Bienvenue

About This Presentation

Title:

Bienvenue

Description:

http://www.microsoft.com/france/technet/seminaires/webcasts.mspx ... Contenir les menaces pro activement. Permettre une v ritable d fense en profondeur au ... – PowerPoint PPT presentation

Number of Views:345

Avg rating:3.0/5.0

Slides: 84

Provided by: dpe81

Category:

more less

Transcript and Presenter's Notes

Title: Bienvenue

1
Bienvenue
Sponsor Officiel
2
Quest ce que TechNet ?

Des séminaires techniques gratuits
http//www.microsoft.com/france/technet/seminaires
/seminaires.mspx
Des webcasts en live ou en différé
http//www.microsoft.com/france/technet/seminaires
/webcasts.mspx
Une newsletter
http//www.microsoft.com/france/technet/presentati
on/flash/default.mspx
Un site web
http//www.microsoft.com/france/technet/default.ms
px
Un abonnement
http//www.microsoft.com/france/technet/presentati
on/cd/default.mspx

3
Confidentialité et sécurité sur le poste de
travail Windows XP
4
Logistique
Vos questions sont les bienvenues. Nhésitez pas
!
Pause en milieu de session
Feuille dévaluation à remettre remplie en fin de
session
Cédérom
Merci déteindre vos téléphones
Commodités
5
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Outil de suppression de logiciels malveillants
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

6
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Outil de suppression de logiciels malveillants
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

7
A quoi sert la sécurité dans un système
dinformation ?

À protéger la confidentialité des informations,
À assurer lintégrité des données et
applications,
À garantir la disponibilité des services et des
données.

Confidentiality Integrity Availability
8
Les 3 facettes de la sécurité
Architecturesécurisée
9
Défense en profondeur
Pare-feu, mise en quarantaine des clients VPN,
reverse proxy
Défenses du périmètre

Segmentation réseau, IPSec, routeurs avec ACLs,
IDS

Défenses du réseau
Renforcement de la sécurité du système
d'exploitation, gestion des mises à jour,
authentification
Défenses des machines
Renforcement de la sécurité des applications,
mises à jour.
Défenses des applications
Données et Ressources
ACL, chiffrement.
Contrôle daccès (badge), caméras dispositifs
de suivi.
Sécurité physique
Politiques de sécurité
Politique de sécurité, éducation des utilisateurs.
10
La situation actuelle Quand les attaques
ont-elles lieu ? (1/2)
La majorité des attaques a lieu ici
11
La situation actuelle Quand les attaques
ont-elles lieu ? (2/2)
12
Constats à la suite des vers Blaster et Sasser

Prolifération des correctifs,
Temps avant exploitation en baisse,
Exploitations plus sophistiquées,
Lapproche classique nest pas suffisante.

Le nombre de jours entre la sortie du correctif
et lexploitation de la vulnérabilité a tellement
diminué que la seule solution défense restant aux
grandes structures consiste à appliquer les
correctifs.
13
Les facteurs dexposition aux risques sont
multiples

Navigation sur le Web,
E-mail Spam, Phishing,
Messagerie instantanée Spim,
Démocratisation des connexions Internet haut
débit à usage privé,
Développement des réseaux sans-fils
professionnels et surtout personnels,
Téléchargements illicites sur les réseaux P2P,
Logiciels gratuits incluant des malwares,
Virus, vers et BotNets,
.

14
Exemple le Phishing

Usurpation de marque dans le but de voler des
informations personnelles telles que comptes et
mots de passe, numéros de carte bleu,
informations bancaires,
Par le biais de-mail ou de messages pop-up,
Fréquemment
Alarmiste,
Non personnalisé,
Lien dans le message,
(Fautes dorthographe / grammaire).

15
Pour résumer

Les attaques sont de plus en plus sophistiquées,
leur nombre augmente, le temps dexploitation
dune vulnérabilité diminue
Il faut disposer doutils permettant de disposer
dun niveau de sécurité acceptable même en
labsence des derniers correctifs
Lapproche sur la sécurité doit évoluer
Diminuer la surface et les vecteurs dattaque sur
les systèmes
Contenir les menaces pro activement
Permettre une véritable défense en profondeur au
niveau de la couche machine
Le facteur humain (manipulation, supercherie)
sera toujours exploité en conjonction avec les
failles technique
Léducation des utilisateurs ne doit pas être
négligée !!!
Quelques exemples de sites à caractère éducatif
www.protegetonpc.com
http//www.microsoft.com/france/securite/gpublic/p
rotect/

16
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Malicious removal tool
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

17
Isolation et Résilience Réduction des modes
dattaque Windows XP SP2
Mieux protéger le système contre les attaques en
provenance du réseau
Réseau
Permettre des communications plus sûres
Messagerie et IM
Protéger le PC lors des opérations habituelles
sur Internet
Navigation Web
Renforcer la protection du système lui-même
Mémoire
Objectif communiquer et collaborer de manière
plus sécuriséesans sacrifier la productivité des
utilisateurs
18
Risque les attaques via le réseau

De nombreux services et applications sont à
lécoute de trafic réseau, créant autant de
points dentrée pour des attaques.
Les pirates informatiques créent des outils
automatisant la recherche des machines sur
lesquelles ces services et applications
fonctionnent.
Certains services ou applications requièrent
louverture de ports de communication pour
pouvoir fonctionner correctement.
Même avec un pare-feu sur le poste de travail,
des applications ou services peuvent être
vulnérables à des attaques.
Les pare-feux au périmètre de lentreprise
napportent pas toujours un niveau de protection
suffisant.

19
Pare-feu Windows

Objectifs
Fournir par défaut une meilleure protection
contre les attaques réseau.
Focalisation sur les systèmes nomades, les PME,
les utilisateurs à la maison.
Évolutions
Windows Pare Feu (précédemment ICF) est en
service par défaut sur la plupart des
configurations.
Plus doptions de configuration
Support des politiques de groupe, ligne de
commande,
Meilleure interface homme-machine.
Protection lors du démarrage du système
dexploitation.
Support de plusieurs profils
Connecté au réseau de lentreprise versus à la
maison.
Impacts sur les applications
Les connexions réseau entrantes ne sont plus
permises par défaut.
Les ports qui écoutent ne sont ouverts que
lorsque lapplication sexécute.

Réseau
Email/IM
Web
Mémoire
20
Activer le pare-feu Windows XP

2 modes opérationnels en pratique
Site de confiance Activé (trafic entrant
autorisé exception),
Site inconnu Activé sans exception (plus de
trafic entrant non sollicité, conservation des
réglages).
Gérer la liste dexceptions.
Configuration à laide des stratégies de groupe.
Configuration également possible en ligne de
commande (avec Netsh) et scriptable.

21
Amélioration RPC / DCOM

Restriction RPC
Sexécute avec des privilèges moindres.
Requiert une authentification sur les interfaces
par défaut (clé de registre RestrictRemoteClients)
.
Possibilité de restreindre à la machine locale
par programmation.
Désactivation de RPC via UDP par défaut.
Restriction DCOM
Sexécute avec des privilèges moindres.
Contrôle daccès plus strict et paramétrable via
le registre (accès, lancement, activation).

22
Risque les pièces jointes

Lutilisateur a des décisions à prendre et doit
pouvoir évaluer un niveau de confiance.
Les utilisateurs ont peu déléments pour prendre
ces décisions.
Il est simple dinciter un utilisateur à faire de
mauvais choix.
Utiliser une liste statique de fichiers
potentiellement dangereux nest pas suffisant.

23
Pièces jointes et courrier électronique

Objectifs
Fournir un mécanisme système cohérent permettant
aux applications de déterminer les attachements
dangereux.
Expérience cohérente pour les utilisateurs lors
de la décision de faire confiance à un
attachement.
Évolutions
Créer une nouvelle API publique pour gérer les
attachements sans danger (Attachment Execution
Services).
Par défaut, on ne fait pas confiance aux
attachements dangereux.
Outlook Express, Windows Messenger, Internet
Explorer ont été modifiés pour utiliser la
nouvelle API.
Ouvrir / exécuter les attachements avec le moins
de privilège possible.
Prévisualisation sans danger des messages.
Impact sur les applications
Utiliser les nouvelles API dans vos applications
pour une meilleure expérience utilisateur et une
meilleure détermination dun contenu sans danger.
Les applications concernées par les attachements
email peuvent être impactées.

Réseau
Email/IM
Web
Mémoire
24
Outlook Express

Aperçu de message plus sûr.
Améliorations dans OE comparables à celles
dOutlook 2003
E-mail HTML en zone Sites sensibles,
Non téléchargement du contenu HTML externe,
Protection du carnet dadresses,
Protection contre le contenu exécutable.

25
Risque la navigation Web

La source dun téléchargement sur le Web peut
être masquée, modifiée ou non fiable.
Certaines fonctions dInternet Explorer peuvent
être utilisées pour tromper lutilisateur
Les Pop-ups peuvent être conçus pour ressembler à
des messages de sécurité.
Les fenêtres du navigateur peuvent être conçues
pour ressembler à des fenêtres Windows ou des
boîtes de dialogue.
La flexibilité dInternet Explorer peut être
exploitée
Du code HTML et des scripts peuvent être exécutés
avec des privilèges élevés sur la machine locale.
Le paramétrage centralisé dInternet Explorer est
compliqué.

26
Navigation Web

Objectifs
Assurer une expérience de navigation Web
sécurisée.
Évolutions
Verrouiller les zones local machine et local
intranet.
Améliorer les notifications lors de lexécution
ou de linstallation de contrôles et
dapplications ActiveX.
Gestion des modules complémentaires.
Limitation de lusurpation dinterface
utilisateur.
Suppression des fenêtres de pop-up sauf si elles
sont lancées par une action utilisateur.
Impact sur les applications
Contrôler la compatibilité des applications Web
avec le nouveau paramétrage par défaut plus
sécurisé.
Les applications métier qui utilisent les pop-ups
peuvent nécessiter un changement ou être ajoutées
à la liste des exceptions.

Réseau
Email/IM
Web
Mémoire
27
Risque mauvaise utilisation de la mémoire
(saturation de mémoire tampon)

Certains services ou applications gèrent de
manière incorrecte les messages malformés.
Un attaquant peut envoyer un message avec des
données dont la taille est supérieure à celle
attendue
Les données supplémentaires peuvent être du code
dangereux.
Le code dangereux est alors écrit dans une zone
de la mémoire où il est exécuté.

28
Prévention de lexécution des données

Objectifs
Réduire lexposition à certains dépassement de
mémoire tampon.
Évolutions
Tirer parti du support hardware des processeurs
64 bits et des derniers processeurs 32 bits pour
ne permettre lexécution de code en mémoire que
dans des régions spécifiquement marquées comme
execute.
Réduit lexploitabilité des dépassements de
mémoire tampon.
Mis en service par défaut sur toutes les machines
capables de le faire pour les binaires Windows.
Recompilation avec VC 2003 et /GS.
Impact sur les applications
Pas de code dynamique.
Assurez-vous que votre application nexécute par
de code dans un segment de données.
Assurez-vous que vos applications et drivers
supportent le mode PAE.
Utiliser les instructions valides pour que votre
code fonctionne.
Tester votre code sur des processeurs 64 bit et
32 bits en mode PAE avec protection de
lexécution.

Réseau
Email/IM
Web
Mémoire
29
Compilation avec /GS (VS 2003)
30
Prévention de lexécution des données

Prise en charge de la protection matérielle
contre lexécution (NX No Execute) des
processeurs récents (AMD64 / Itanium)
Seules les régions de mémoire marquées
explicitement pour lexécution peuvent sexécuter
(mode noyau et mode utilisateur).
Activé par défaut pour les binaires Windows.
Attention applications de type compilateur
juste à temps.

31
Autres améliorations du SP2 de XP

Assistant de configuration pour les réseaux
sans-fils.
Réduction de la surface dattaque désactivation
de certains services
Windows Messenger,
Alerter.
Centre de Sécurité
Outil de suivi des 3 étapes
de protection des PCs
Pare-feu,
Mise à jour automatique,
Antivirus à jour.
Attention interface.
Client Auto update.

32
Démonstrations

Configuration du pare-feu
Dans linterface graphique,
En ligne de commande.
Centre de sécurité.
Internet Explorer
comparaison Windows XP SP1 vs Windows XP SP2.
Outlook Express.

33
Méthodes de déploiement du SP2

Mise à jour systèmes existants
Manuelle,
Automatisée
Microsoft Update / Windows Update,
Software Update Service / Windows Server Update
Service / System Management Server,
Stratégie de groupe (update.msi).
Installation intégrée (slipstream)
Nouveaux systèmes
Installation automatisée,
Services dinstallation à distance (RIS),
SMS Déploiement des Systèmes dexploitation.

34
Conserver son système à jour
Windows 2000 Office XP Exchange 2000 SQL 2000
SP4
Détection et obtention des mises à jour
WSUS
MBSA 2.0
SMS
Automatic Updates MU Website
Détection et Installation
35
Méthodes conseillées pour les mises à jour de
sécurité
Installer le client Microsoft Update
Configurer les Mises à jour Automatiques en
mode installation automatique
Pour les entreprises, mettre en uvre une
solution de gestion des mises à jours des
correctifs
Analyser régulièrement létat des clients
36
Microsoft Baseline Security Analyzer (MBSA)

Analyser localement ou à distance vos systèmes
Windows, pour détecter d'éventuels correctifs de
sécurité manquants ou erreurs de configuration.

MBSA recherche les mises à jour de sécurité
manquantes sur Windows 2000 SP4 et , Office XP
et . Exchange 2000 et , SQL 2000 SP4 et .
MBSA vérifie la conformité de la configuration du
poste en regard des vulnérabilités les plus
fréquentes.
Est-ce que le pare-feu est activé ? Est-ce les
mises à jour automatiques sont activées ? Les
mots de passe sont-ils forts ? Des comptes
non sécurisés sont-ils présents ?

37
Démonstration

MBSA 2.0

38
Que sont les logiciels espions ?
Exemples
Description
Comportement
Aucun
Inoffensif

Pas de nuisance potentielle

Notepad

Logiciel supportant de la pub
Pop-ups non autorisés

Spyware ou logiciel espion Programme qui
effectue un certain nombre dopérations sans le
consentement approprié de lutilisateur
Publicité

Affichage de pub

Collecte de données

Barre de recherche autorisée
Collecte de données

Collecte de données personnelles

Changements de configuration

Utilitaires de paramétrage
Détournement du navigateur

Potentiel de nuisance

Changements de paramétrages

Surveillance

Contrôle parental
Key-loggers

Enregistrement des frappes clavier

Logiciel du fournisseur daccès
Numérotation vers site porno

Numérotation

Numérotation automatique

Utilisation de ressources à distance

Application partage de cycle
Porte dérobée

Utilisation de ressources à distance

Activité malfaisante

Clairement malfaisant (virus, ver, troyen)

Sasser

Extrême
39
Quelques idées de lampleur

La cause dau moins 1/3 de tous les crashes des
applications Windows1
Problème majeur chez les OEMs la cause numéro 1
des appels au support chez Dell2
Consommateurs
91 des utilisateurs de lInternet haut débit
sont affectés3
En moyenne 5 spywares / adwares par
machine4
Entreprise 5
92 des managers des DI interrogés pensent que
leurs sociétés ont des spywares

1 Analyses MS Watson/OCA, Jan-Mar 2004 2 FTC
Workshop, Avril 2004 3,4 NCSABroadband Consumer
Survey, Earthlink Spy Audit, Avril 2004 5
Websense Web_at_Work Survey, Avril 2004
40
Comment arrivent-ils sur votre PC ?

Via une routine dans un programme autonome
(New.Net, TopText).
En complément dune application autonome
(Cydoor, Onflow).
Installés sous forme de contrôle ActiveX (Gator)
lors dune navigation sur Internet.
Téléchargés par un cheval de Troie (qui peut être
lui-même un logiciel espion).
Installés via des boîtes de dialogue trompeuses.
Peu/pas de programme(s) de désinstallation.

41
Quels sont les vecteurs dinfection ?

Par e-mail ou via des pièces jointes attractives
52 demail en 2004 était du spam
Faux bulletins de sécurité Microsoft
Non signés bien entendu (comment reconnaître un
message authentique http//www.microsoft.com/sec
urity/incident/authenticate_mail.mspx)
Photos
Via des installations de logiciels

42
Pour se protéger des logiciels espions
Microsoft Antispyware
http//www.microsoft.com/spyware
Fondée sur la technologie de GIANT Company
Software, la version bêta de Windows AntiSpyware
réduit les effets négatifs produits par les
logiciels espions. Il est disponible pour
Microsoft Windows 2000 et les versions plus
récentes.
Détection et suppression des logiciels espions
Amélioration de la sécurité lors de la
navigation sur Internet
Arrêt des menaces les plus récentes
43
3 agents et une surveillance temps réel
44
Démonstration

Microsoft AntiSpyware

45
Loutil de suppression de logiciels malveillants
Disponible gratuitement, cet outil complète les
solutions antivirus pour mieux lutter contre les
virus, les vers et leurs variantes.

Mise à jour tous les mois.
Ciblé pour les utilisateurs sans anti virus.
Solution déployable en entreprise.
Disponible via
Windows Update,
Auto Update,
Au travers de linterface en ligne de commande,
MS Download Center.

http//www.microsoft.com/france/securite/outils/ma
lware.mspx
46
Bonnes pratiques pour réduire la surface
dattaque de Windows XP

Utiliser le guide de sécurité de Windows XP
(version 2 mise à jour avec le SP2 ?)

47
Quelques conseils (1/3)

Instaurer une gestion rigoureuse des mises à jour
de sécurité.
Adopter une stratégie de mots de passe forts
(longs et complexes) .
Limiter le nombre de comptes utilisateurs avec
des privilèges dadministrateur.
Vérifier que le compte Invité est désactivé.
Renommer le compte Administrateur.
Appliquer le principe du moindre privilège (LUA)
? cf. plus loin dans le séminaire.
Désactiver ce qui est inutilisé
Services,
comptes utilisateurs,
Partages de fichiers.

Note certains paramètres sont testés par MBSA
48
Quelques conseils (2/3)

Utiliser des disques formatés en NTFS.
Utiliser les permissions (sur les fichiers,
partages, Registre) et coupler les restrictions
daccès avec de laudit.
Limiter l'accès aux informations publiques sur
l'autorité de sécurité locale (LSA)
Restrict Anonymous 2.
Désactiver le stockage des Hash LM
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
1
Objectif complexifier le cassage des mots de
passe et empêcher lutilisation doutil tels que
les tables Rainbow (http//www.antsight.com/zsl/ra
inbowcrack/)
Ne pas afficher le dernier nom dutilisateur dans
la mire de logon.

49
Quelques conseils (3/3)

Augmenter le niveau dauthentification Lan
Manager
Niveau minimum NTLM (éviter LM),
Si possible NTLM v2 (mais à tester car effets de
bords possibles avec certaines applications).
Protéger la Base de Registre contre laccès
anonyme.
Activer par défaut le pare-feu
avec des exceptions si nécessaires.
Utiliser systématiquement un anti-virus à jour.
Activer léconomiseur décran avec verrouillage.
Définir une durée dinactivité courte (5 min).
Déployer IPSec en interne dans votre entreprise
Isolation de domaine avec les stratégies de
groupe et IPsec . http//download.microsoft.com/d
ownload/8/b/1/8b136f49-3e5d-4913-9454-6c5abfb5df4e
/Isolation-de-domaine-avec-IPsec.ppt

50
Démonstration

Console MMC configuration et analyse de la
sécurité
Désactivation du stockage des hash LM,
Stratégie de mot de passe,
Renommer le compte Administrateur,

51
Comment mettre en uvre ces paramétrages ?

Utiliser les modèles de sécurité fournis avec le
guide de sécurité de Windows XP comme exemples
pour créer vos propres modèles.
Utiliser des stratégies locales.
Utiliser les stratégies de groupes Active
Directory.

52
Paramètres de stratégie de groupe locale
Lorsque les clients ne sont pas membres d'un
domaine Active Directory, utiliser la stratégie
de groupe pour configurer des ordinateurs clients
autonomes

Les clients Windows XP autonomes utilisent une
version modifiée des modèles de sécurité.
Chaque client Windows XP Professionnel utilise
une GPO locale et léditeur d'objets de stratégie
de groupe ou des scripts pour appliquer les
paramètres.

53
Conseils pour l'application de paramètres de
stratégie de groupe locale
Utiliser le modèle autonome fourni par le guide
de la sécurité de Windows XP comme ligne de base.
Utiliser l'outil secedit pour automatiser la
distribution du modèle autonome.
Développer des procédures pour le déploiement des
stratégies.
Implémenter des mécanismes de mise à jour des
clients.
Tester soigneusement les modèles avant leur
déploiement.
54
Rappel Composants Active Directory

Forêt
Frontière de sécurité dans Active Directory.
Domaine
Ensemble d'objets (ordinateurs, utilisateurs,
groupes) défini par l'administrateur.
Unité d'organisation (OU)
Conteneur Active Directory utilisé
au sein des domaines.
Stratégie de groupe (GPO)
Mécanisme qui permet de définir et dappliquer
des paramétrages de manière centralisée.

55
Établissement d'une hiérarchie d'unités
d'organisation

La stratégie de groupe simplifie
l'application des paramètres de sécurité sur
les postes clients.
Modèle de hiérarchie éclatée
Séparation des UOd'utilisateurs et
d'ordinateurs,
Application des paramètresde stratégie
appropriés à chaque UO.

Domaine racine
UO contrôleur de domaine
UO département
UO Utilisateurs XP sécurisé
UO Windows XP
UO Bureau
UO Portables
56
Appliquer des modèles de sécurité et des modèles
d'administration
57
Conseils pour implémenter la sécurité à l'aide
des stratégies de groupes AD
Créer une structure d'unités d'organisation pour
la sécurité des clients.
Créer une hiérarchie d'unités d'organisation pour
séparer les utilisateurs et les ordinateurs en
fonction de leur rôle.
Appliquer une stratégie de groupe contenant les
paramètres de sécurité appropriés à chaque rôle
d'ordinateur.
Tester soigneusement la stratégie avant son
déploiement sur de la production.
58
Ce quun compte Admin peut faire, ce quun LUA
ne peut pas faire

Remplacer des fichiers dapplications ou du
système dexploitation par des chevaux de Troie.
Accéder aux secrets LSA (dont les mots de passe
des comptes de service du domaine servant).
Désactiver ou désinstaller lanti-virus.
Créer ou modifier des comptes utilisateurs.
Réinitialiser des mots de passe.
Modifier le fichier hosts et dautres paramètres
de configuration du système.
Éliminer ses traces dans le journal des
événements.
Rendre votre machine incapable de démarrer.

Installer des rootkits en mode noyau.
Installer des keyloggers au niveau système (pour
capture les mots de passe, y compris ceux saisis
à louverture de session).
Installer des contrôles ActiveX, y compris des
extensions de lexplorateur ou dIE (activité
courante pour les spywares).
Installer et démarrer des services.
Arrêter des services existants (comme le pare-feu
par exemple).
Accéder à des données qui appartiennent à
dautres utilisateurs.
Faire en sorte que du code sexécute lorsquun
autre utilisateur ouvrira une session.

LUA
Limited User Account
Least-privileged User Account

59
RunAs

Démarre un programme avec un utilisateur
différent (ou le même mais avec un jeton de
sécurité modifié)
Même bureau.
En ligne de commande ou avec une boîte de
dialogue dans linterface graphique.
Les programmes fils héritent du contexte de
sécurité de leur parent
Démarrer CMD en tant quadministrateur,
Lancer des applications depuis ce CMD,
Elles sexécutent en tant quadministrateur.

60
PrivBar
Exécution dIE en tant quadmin comme
utilisateur avec pouvoir comme
utilisateur normal avec Protéger ma
machine
Téléchargement sur http//www.speakeasy.org/aar
onmar/NonAdmin/PrivBar.zip
61
Démonstration

Runs As
PrivBar

62
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Outil de suppression de logiciels malveillants
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

63
Protection de documentsWindows XP

Mise en place de permissions sur les fichiers
(NTFS).
Qui dit permission dit audit !!!
Chiffrement de fichiers stockés sur le disque dur
(EFS)
Vous, et vous seulement, pouvez déchiffrer les
documents chiffrés via EFS.
Utile sur les portables en cas de vol,
Possibilité de partager des fichiers chiffrés
avec plusieurs personnes identifiées,
Tire avantageusement parti dActive Directory,
Agent de récupération de données configurable
Comment faire pour sauvegarder la clé privée EFS
(Encrypting File System) de l'Agent de
récupération dans Windows Server 2003, in
Windows 2000 et Windows XP.
http//support.microsoft.com/default.aspx?s
cidkbfr241201

Plus dinformations sur EFS http//www.microsoft
.com/resources/documentation/Windows/XP/all/reskit
/en-us/prnb_efs_awzg.asp
64
Protection de documentsOffice

Confidentialité et préservation des informations
personnelles
Chiffrement de document,
Contrôle daccès au contenu (niveau objets),
Suppression des métadonnées du document.
Signatures numériques de documents et de macros
Protection contre la modification du contenu dun
document ou dune macro (intégrité),
Authentification du créateur du document, de la
macro ou de lexpéditeur dun message
électronique.

65
Les moyens de protection de la messagerie

Protections au niveau Clients
Par mise à jour pour les clients Outlook 98 SP2
et 2000
Outlook Security Update suffit à stopper
tous les virus de type ILOVEYOU, Melissa, Goner.
En standard dans Outlook 2002 et 2003
Blocage de pièces jointes,
Blocage de laccès au modèle objet dOutlook,
Désactivation du scripting pour les messages
HTML.
Cas des clients Outlook Express (XP SP2) et
Outlook 2003
Exécution des contenus exécutables dans la zone
sites restreints,
Les contenus HTML ne sont pas chargés
automatiquement.
Protections au niveau serveur
Exchange Server 2003,
Outlook Web Access.

66
Blocage des pièces jointes dans Outlook

Recensement de 38 types dattachements à risque.
Les utilisateurs sont prévenus lorsquils
envoient une pièce jointe de type exécutable .
Par défaut, les pièces jointes de type
exécutable ne sont pas accessibles.
L'utilisateur est averti avant d'ouvrir des
fichiers présentant un danger potentiel.

67
Protection de laccès programmatique

Assure la protection de laccès
A lannuaire,
Aux informations concernant les destinataires de
messages,
Lenvoi automatique/silencieux de messages.
Par défaut, lutilisateur est invité à acquitter
les actions de ce type.

68
Gestion des macros dans Office

Office 97
3 niveaux de sécurité bas, moyen, élevé,
Nécessite une éducation utilisateur au niveau
moyen ,
La sécurité haute prohibe lutilisation des
macros.

Office 2000/2002/2003
Les scripts embarqués peuvent être signés.
Paramétrages de politiques applicatives pour
démarrer les macros signées avec des certificats.
Peut être utilisé pour forcer les revues de code.
Permet lutilisation de scripts en conservant une
sécurité haute.

69
Right Management System (RMS)

Un système RMS comprend des technologies
Serveur,
Cliente.

RMS augmente la stratégie de sécurité dune
entreprise en protégeant linformation au niveau
du document.
70
Configuration requise pour RMS

La configuration logicielle minimale pour la
partie serveur de Windows RMS est la suivante
Système d'exploitation Windows Server 2003,
Système de fichiers NTFS,
Gestion des messages Message Queuing (également
appelé MSMQ),
Services Web Internet Information Services 6.0
(avec ASP.NET activé),
Active Directory Domaine Windows 2000 SP3 ou
ultérieur, le serveur Windows RMS se trouvant
dans ce domaine,
Serveur de base de données (pour la configuration
et la journalisation) Base de données de type
Microsoft SQL Server 2000 SP3 ou ultérieur, ou
Microsoft SQL Server 2000 Desktop Engine (MSDE)
SP3 ou ultérieur.
Database Support for Windows Rights Management
Services (RMS) http//support.microsoft.com/kb/830
804/en-us

71
Composants côté client

Client Windows Rights Managements
Une API cliente est utilisée entre lapplication
et le service RM.
Service Windows Rights Management
Exécute les requêtes du client RM
Peut utiliser le service RM hébergé par
lorganisation ou le service fourni par Microsoft
Office.
Add-on Rights Management pour Internet Explorer
(RMA)
Pour les utilisateurs sans Office 2003
http//www.microsoft.com/windows/ie/downloads/addo
n/rm.mspx

72
Information Right Management (IRM)

IRM est une extension de Windows Rights
Management dans les applications Office Server
2003.
IRM dans Office 2003 nécessite RMS sur Windows
Server 2003.
2 domaines dapplications
Confidentialité des courriers électronique
IRM optimisé pour être aussi facile daccès que
la fonction importance haute (un seul clic).
Confidentialité des documents Office
Des utilisateurs spécifiques peuvent se voir
affecter des droits en
Lecture,
Modification,
ou contrôle total.
Des options plus granulaires peuvent être
spécifiées.

73
Protection des documents mobiles avec IRM

Politique de restriction au niveau applicatif
dans Microsoft Office Server 2003.
A la fois, les documents et le-mail supportent
lexpiration,
la possibilité dappliquer des stratégies de
permission définies par ladministrateur
Stratégie par défaut
E-mail Ne pas faire suivre.
Documents Ne pas distribuer.
Stratégie Corporate
Company Confidential.
Marketing Tous.
Expire dans 60 jours.
Stratégie serveur pour spécifier les permissions
par utilisateur et groupe.

74
Intégration dans les outils Office 2003 (1/2)

Exemple 1 Outlook 2003

75
Intégration dans les outils Office 2003 (2/2)

Exemple 2 Word 2003

76
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Malicious removal tool
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

77
En résumé

Installer le Service Pack 2 de Windows XP et
maintenir à jour le système.
Utiliser un anti-virus et un anti-spyware mis à
jour.
Vérifier létat de vos machines avec MBSA.

Améliorer la sécurité de Windows XP en réduisant
la surface dattaque du système.
?Utiliser des mots de passe forts.
Privilégier une utilisation courante avec un
compte utilisateur standard (LUA).
Activer systématiquement le pare-feu de Windows
XP.
Utiliser les stratégies de groupes Active
Directory pour paramétrer de manière centralisée
vos postes de travail XP.

Chiffrer vos dossiers et fichiers avec EFS sur
les postes mobiles.
Mettre en uvre RMS et IRM pour améliorer la
confidentialité de vos documents Office et
courriers électroniques.

Sensibiliser vos utilisateurs à la sécurité en
leur apprenant les bonnes attitudes (on ne clique
pas sur des pièces jointes suspectes, on ne
répond pas au SPAM)

78
Agenda

Introduction
Améliorer le niveau de protection des postes de
travail Windows XP
Le service pack 2 de Windows XP
MBSA 2.0
MS Antispyware
Malicious removal tool
Quelques bonnes pratiques pour améliorer la
sécurité de Windows XP
Garantir la confidentialité des données
Protéger les documents avec Windows XP et Office
Protection sur la messagerie avec Outlook
NTFS, Encrypting File System
Rights Management Service / Information Rights
Management
Synthèse
Ressources utiles
Questions / Réponses

79
Ressources utiles

Windows XP Security Guide v2 http//www.microsoft.
com/downloads/details.aspx?FamilyId2D3E25BC-F434-
4CC6-A5A7-09A8A229F118displaylangen
Microsoft Anti-spyware http//www.microsoft.com/at
home/security/spyware/software/default.mspx
Microsoft Baseline Analyzer (MBSA)
http//www.microsoft.com/technet/security/tools/mb
sahome.mspx
Rights Management Services
http//www.microsoft.com/rms

80
Ressources utiles (suite)