Pour lier à la suivante

Transcription

La Sécurité de vos applications
et Services Microsoft
Djélani BABA
à chaque OS sa réponse,
à chaque Système sa méthodologie
et son kit de survie
Centre d’Immunologie de Marseille-Luminy
[email protected]
Problématique
Faire face aux mises à jour des produits
Microsoft
Gérer de manière centralisée l’ensemble de
nos postes de travail
Être informé en permanence de l’état de
notre système (DNS, DHCP, Messagerie, BDD)
Centre d’
d’Immunologie de MarseilleMarseille-Luminy - JRES Marseille, dé
décembre 2005
2
3
Agenda
Outil Microsoft pour la gestion des correctifs et
services packs avec Windows Server Update Services
(WSUS)
Gestion de configuration des postes de travail et des
serveurs Windows avec System Management Server
(SMS 2003)
Supervision et gestion des serveurs et applicatifs
Windows avec Microsoft Operations Manager (MOM
2005)
Centre d’
décembre 2005
4
Gestion des correctifs
Terminologie
Services packs (SP)
ÎMise
à jour, correction, extension des
fonctionnalités
Correctifs logiciels
ÎQuick
Fix Engeneering (QFE) correctifs pour
problèmes bloquants
Correctifs de sécurité
ÎÉlimination
des vulnérabilités de sécurité
Centre d’
décembre 2005
5
Outils d’analyse d’environnement
MBSA (Microsoft Baseline Security Analyser) évalue
les systèmes par rapport à une référence de sécurité
Vérification de la clé du registre suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Hotfix
(exemple KBArtNumber où ArtNumber fait référence au numéro de l’article de la
Base de Connaissance)
Commande Qfecheck.exe /v indique le niveau de SP
et les correctifs installés :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates
Commande Hotfix.exe –l affiche les correctifs
logiciels installés
Centre d’
décembre 2005
Niveau de criticité Microsoft
MSRC (Microsoft Security Response Center)
Niveau
Délai conseillé d’application des
correctifs
Délai d’application
maximum
recommandé
Critique
Dans les 24 heures
Dans les deux semaines
Important
Dans le mois
Dans les deux mois
Moyen
En fonction de la disponibilité prévue, attendez
le prochain SP ou la prochaine maj qui
comprend le correctif, ou déployer le correctif
dans les 4 mois
Déployer la mise à jour logiciel
dans les six mois
Faible
En fonction de la disponibilité prévue, attendez
le prochain SP ou la prochaine maj qui
comprend le correctif, ou déployer le correctif
dans l’année
Déployer la mise à jour
logicielle dans l’année ou
choisissez de ne pas la
déployer du tout
Centre d’
décembre 2005
6
Chronologie des possibilités d’exploitation
Vulnérabilité
signalé
Sans
possibilité
d’exploitation
Seuls Microsoft
et l’auteur du
rapport ont
connaissance
de la
vulnérabilité
Correctif
développé
Bulletin de
Sécurité et
Correctif publiés
Logique du
Correctifreconstituée
Code du
Ver ou
du virus créé
Ver ou
virus
activé
Sans
possibilité
d’exploitation
Sans
possibilité
d’exploitation
Sans
possibilité
d’exploitation
Sans
possibilité
d’exploitation
Seuls Microsoft
et l’auteur du
rapport ont
connaissance
de la
vulnérabilité
Le public
est informé de
la vulnérabilité
mais aucune
information
n’est disponible
pour l’exploiter
Des
informations
sur les
possibilités
d’exploitation
sont disponibles,
mais le ver ou virus
n’est pas
disponible
le ver ou virus
est disponible,
mais désactivé
Protégez vos systèmes et
appliquez-leur des correctifs le
plus rapidement possible avant
qu’une attaque ne soit lancée
Centre d’
décembre 2005
Possibilité
d’exploitation
le ver ou virus
est activé;
les systèmes
non protégés
ou
non équipés
d’un correctif
sont infectés
7
8
Gestion proactive des correctifs
Nom de
l’attaque
Date de
Détection
publique
Niveau
de
Gravité
MSRC
Bulletin
MSRC
Date du
bulletin MSRC
Nombre de
jours
avant
l’attaque
Trojan.Kaht
5 mai 2003
Critique
MS03-007
17 mars 2003
49
SQL Slammer
24 janvier 2003
Critique
MS02-039
24 juillet 2002
184
Klez-E
17 janvier 2002
N/A
MS01-020
29 mars 2001
294
Nimda
18 sept. 2001
N/A
MS01-078
17 oct. 2000
336
Code Red
16 juillet 2001
N/A
MS01-033
18 juin 2001
28
Centre d’
décembre 2005
Déploiement des correctifs
Manuelle :
Installation de l’exécutable sur chaque
machine
Î
WindowsXP-KB873376-x86-enu.exe
ÎKBxxxx.exe
propre aux applications tels IE
Aveugle :
Windows Update
Centre d’
décembre 2005
9
Déploiement avec WSUS
Nouveautés par rapport à SUS
Supporte plusieurs produits Microsoft
(Office, SQL, Exchange…)
Maj par produit ou par type
Maj ciblés à des ordinateurs spécifiques ou
à des groupes d’ordinateurs prédéfinis
Déploiement flexible
Plusieurs possibilités de rapport
Extension possible par API
Prend en charge la mise à jour des drivers
Centre d’
décembre 2005
10
Source : Microsoft
11
Déploiement simple avec un seul serveur
Microsoft Update
Serveur
WSUS
(utilise WSUS)
Postes de travail (clients
WSUS)
Groupe cible 1
Administrateur WSUS
Serveurs (clients WSUS)
Groupe cible 2
L’administrateur
approuve
les
mises
àcatégories
jour
met
les
différents
groupes
cibles
Le serveur
Les
clients télécharge
s’enregistrent
souscrit
lesclients
mises
à
auprès
certaines
àjour
du
jour
serveur
depuis
Microsoft
depar
mises
Update
à jour
installent
mises
àdans
approuvées
l’administrateur
Centre d’
décembre 2005
Déploiement ciblé par groupe d’ordinateurs
Groupe de test
WSUS
Microsoft Update
Deux types de ciblage :
Côté serveur
-L’administrateur WSUS gère l’appartenance aux
groupes depuis le site d’administration (listes sur le
serveur)
Côté client : Appartenance gérée automatiquement
-En utilisant des stratégies de groupe (même
groupe pour toutes les machines d’une
même OU d’Active Directory)
-En utilisant le registre
Centre d’
décembre 2005
Groupe Gestion
Groupe tous les
ordinateurs
12
Abonnement et approbation
Permet de choisir quelles mises à jour télécharger et quand
Produit ou type de mise à jour (sécu, SP, pilote,etc…)
En fait une mise à jour est composée de deux éléments
Î
Î
Un correctif
Les méta données décrivant le correctif
Par défaut :
Î
Î
seules les méta données sont téléchargées (catalogue)
les correctifs sont téléchargés s’ils sont approuvés (contenu)
Vérification avant déploiement (détection)
Évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit
déployée
Au niveau de l’approbation d’une mise à jour, choisir l’action Scan
Après un cycle de détection des clients, la rubrique Status de la mise à
jour indique le nombre de machines qui nécessitent la mise à jour
Installation lors de la prochaine date planifiée
Installation avec date butoir (passée une date donnée, l’installation
devient obligatoire)
Désinstallation (nécessite que la mise à jour le supporte)
Centre d’
décembre 2005
13
Clients déconnectés du réseau Internet
Un serveur WSUS relié à Internet
Copier sur un support le contenu à partir de
\WSUS\WSUSContent
Exporter les métadonnées (WSUSutil.exe)
Copie du contenu sur le serveur de
destination dans l’intranet
Importer les métadonnées (WSUSutil.exe)
Les clients installent les mises à jour
Centre d’
décembre 2005
14
15
Gestion des portables
Les clients
téléchargent les
maj approuvées
depuis le site de
Microsoft Update
Les clients
utilisent le VPN
pour se
connecter au
serveur WSUS
L’administrateur
synchronise les
maj approuvées
Marseille
VP
N
Paris
VPN
N
VP
Douala
Microsoft Update
Centre d’
décembre 2005
WSUS
Aucune Mise
à jour n’est
stocké en
local
16
Configuration des clients
Stratégie de groupe (GPO) de domaine
Stratégie de groupe (GPO) locale
Modification de la base de registre
Options d’environnement
Î HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows
\WindowsUpdate
Configuration des maj automatiques
Î HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows
\WindowsUpdate\AU
….
Centre d’
décembre 2005
Gestion de configuration des postes et
serveurs Windows avec SMS 2003
Gestion des ressources informatiques
Découverte
Inventaire matérielle et logicielle
Reporting
Gestion des applications et correctifs
Distribution logicielle
Packaging
Installation automatique des logiciels
Gestion de la sécurité
Contrôle à distance des machines (téléassistance)
Centre d’
décembre 2005
17
Architecture SMS au CIML
Centre d’
décembre 2005
18
19
Architecture SMS au CIML
Maitrise du parc informatique
Identification des versions et types de matériels
(agent des clients d’inventaire matériel)
Identification des SE, SP et logiciels (agent
d’inventaire logiciel)
Déploiement d’application
Gestion des correctifs de sécurité
Intégration avec l’inventaire
Intégration avec la télédistribution
Prise en compte des appareils mobiles
Centre d’
décembre 2005
Télédistribution logicielle
Automatisation des procédures d’installation
des applications
Distribution et installation des applications
avec prise en compte des problématiques
Inactivité des serveurs par exemple
Déploiement des correctifs applicatifs et de
sécurité ainsi que des SP
Les outils d’inventaire de mise à jour de sécurité
Les outils d’inventaire de mise à jour Microsoft
Office
Suivi de l’utilisation
Désinstallation des applications
Centre d’
décembre 2005
20
Choix d’une solution de gestion de correctif
SMS 2003 : solution flexible de gestion
des maj avec un niveau de contrôle et
de distribution élevé couplé à une
gestion de parc
Nécessite SQL Serveur
WSUS : solution de maj simple pour les
produits Microsoft (gratuit)
Nécessite MSDE (gratuit) ou SQL Serveur
…
Centre d’
décembre 2005
21
Supervision des serveurs avec MOM 2005
Fonctionnement basée sur l’utilisation des
règles prédéfinies (15 000 par défaut)
Collecte des données et traitement via
des réponses automatisées
Création d’alerte et suivi de leur état
Base de connaissance intégrée
Génération d’états et de rapports
Surveillance de l’état opérationnel et des
performances des systèmes
Centre d’
décembre 2005
22
Les packs d’administration
Microsoft fournit les Packs
d’administration pour Windows et tous
les produits Microsoft
Les autres éditeurs
Dell
HP
CITRIX
VERITAS
JALASOFT (pour CISCO par exemple)
eXc Software pour AS/400, MVS et UNIX
Centre d’
décembre 2005
23
Console administration
Centre d’
décembre 2005
24
Console opérateur
Centre d’
décembre 2005
25
Autres consoles
26
Console web pour surveiller l’état
opérationnel des systèmes et applications via
un client léger
http://ServeurMOM/OnePointOperations
Module de reporting pour les tableaux de
bord (plus de 200 rapports préformatés).
Nécessite le module SQL Reporting Service
Centre d’
décembre 2005
Conclusion
Contrôler et automatiser la gestion des
correctifs
Simplifier le processus de maj et
d’installation des logiciels
Augmenter la disponibilité des services et
applications (diminution du TCO)
Administrer de manière souple son
environnement informatique
Centre d’
décembre 2005
27
28
Questions ?
Centre d’
décembre 2005
Notion de regroupement
Centre d’
décembre 2005
29
Les rapports
Centre d’
décembre 2005
30
Mise à jour logiciel
Centre d’
décembre 2005
31

Pour lier à la suivante

Transcription

Documents pareils

grande bibliothèque de l`alcazar, à marseille

marseille - Les Régionales

Suzanne Giorgio

ECOLE D`ARCHITECTURE DE MARSEILLE LUMINY

Plaquette de présentation - Santé

AIR France • APEC • ASSYSTEM • BANQUE LAZARD • BNP

Appartement sur Marseille Réf : V-25

Journée portes ouvertes IUT Marseille Luminy

salle de spectacles et de musique à l`alcazar, marseille

Alphabétisation des Parents d`Eleves pour Creer et Renforcer le

1 Architecture des réseaux sans fil Daniel AZUELOS Architecture