Professional Documents
Culture Documents
1. La vulnérabilité est signalée et seuls Microsoft et La procédure manuelle passe par l’installation de
l’auteur du rapport en ont connaissance (en règle l’exécutable sur chaque machine ou serveur non protégé.
générale la firme de Redmond ne confirme jamais Le nom du correctif est souvent riche d’information.
les vulnérabilités) Exemple :WindowsXP-KB873376-x86-enu.exe (KB873376
2. Un correctif est mis au point. Au cours du est le numéro de l’article dans la base de connaissances,
développement et du test du correctif, seuls WindowsXP est le produit auquel le correctif est destiné,
Microsoft et l’auteur du rapport ont connaissance x86 l’architecture du processeur et enfin Enu la langue
de la vulnérabilité. D’ailleurs à ce stade si la concernée). Il arrive des fois que le correctif soit de la
vulnérabilité était rendue publique, les intrus forme KBxxxxx.exe, dans ce cas il est en général propre
disposeraient des mêmes informations que aux applications tels que Internet Explorer (IE).
Microsoft.
3. Un bulletin de sécurité et un correctif sont Plusieurs commutateurs peuvent être employés
publiés. La vulnérabilité est maintenant connue de avec l’exécutable :
tous, mais le mécanisme utilisé pour l’exploiter ne
l’est pas. Les intrus éventuels sont informés de la -y pour effectuer une désinstallation
vulnérabilité et le correctif doit être distribué -f pour forcer la fermeture des applications lors de l’arrêt
avant qu’ils ne puissent lancer d’attaques. -n pour ne pas créer de répertoire de désinstallation
4. La logique du correctif est reconstituée. Une fois -z empêche le démarrage à la fin de la mise à jour
le correctif publié, la logique du code est -q installation en mode silencieux
rapidement reconstituée et le mécanisme -m mode sans assistance
d’exploitation tout aussi découvert. -l dresse une liste des correctifs installés
5. Le code du ver ou du virus est créée. A ce stade,
le mécanisme d’attaque existe mais n’a pas encore Les correctifs propres à une application ne
été lancé. prennent pas généralement en charge les commutateurs ci-
6. Le code du ver ou du virus est activé. Une fois le dessus. En règle générale après chaque correctif on est
ver ou le virus lancé, les systèmes non protégés invité à rebooter sa machine car les fichiers qui sont
ou non équipés d’un correctif sont rapidement verrouillés ou en cours d’utilisation ne peuvent être
infectés. remplacés. Si on a donc plusieurs correctifs à mettre sur
une machine, on peut utiliser l’utilitaire QChain qui permet
En fonction de ce cycle, nous voyons bien que nos d’enchainer plusieurs correctifs et de redémarrer une seule
systèmes doivent être protégés à partir du moment où le fois.
bulletin de sécurité a été publié. Le laps de temps entre le
signalement d’une attaque et la mise à disposition du Pour cela il suffit d’exécuter le programme
correctif adapté est très variable. Les exemples dans le d’installation de chaque correctif avec le commutateur –z
tableau suivant montrent que, dans tous les cas, une gestion pour que la machine ne démarre pas et ensuite lancer
préventive des correctifs de sécurité peut éviter des QChain.exe et rebooter la machine.
vulnérabilités avant qu’elles ne soient exploitées par les
pirates. Avant de déployer les correctifs, les outils
d’analyse (MBSA, Outil d’inventaire Office), les services
de mise à jour en ligne (Windows Update, Office Update)
Virus Détection Niveau Date jours
permettent d’analyser son environnement.
publique gravité bulletin avant
MSRC MSRC attaque
L’outil MBSA évoqué un peu plus haut permet
Trojan- 5/05/03 Critique 17/03/03 49
d’évaluer les systèmes par rapport à une référence de
Kaht
sécurité donné pour identifier les correctifs de sécurité
SQL 24/01/03 Critique 24/07/02 184
manquants et certains problèmes de configuration de la
Slammer
sécurité. Cet outil nous avait permit d’analyser un ou
Klez-E 17/01/02 N/A 29/03/01 294 plusieurs ordinateurs à la fois et fonctionne sur des
Nimda 18/09/01 N/A 17/10/00 336 logiciels et systèmes Microsoft très divers (Windows NT,
CodeRed 16/07/01 N/A 18/06/01 28 2000, 2003, XP, IIS toutes versions, SQL 7 et 2000, IE,
lecteur Media Player etc…) que nous utilisons au Centre appliqués aux systèmes. Malheureusement ce système a
d’Immunologie. présenté pas mal de limites dans notre environnement (ne
prend pas en compte la désinstallation des patches, ne
Son fonctionnement est assez simple : au supporte pas certains produits Microsoft que nous
lancement de MBSA, ce dernier télécharge à partir du utilisons). L’arrivée de WSUS avec ses principales
centre de téléchargement Microsoft un fichier CAB qui améliorations nous a permis d’alléger considérablement le
contient MSSecure.xml et vérifie sa signature numérique. fardeau du déploiement des patches sur tous les produits
Ce fichier qui peut être copié sur les ordinateurs locaux Microsoft de notre laboratoire.
contient les informations suivantes :
Proposé en téléchargement gratuit sur le site de
• Nom des bulletins de sécurité l’éditeur, il offre une palette de fonctionnalité beaucoup
• Mise à jour spécifique des produits plus impressionnante que SUS. Non seulement il déploie
• Information des versions des correctifs qui vont au-delà du simple logiciel basé sur
• Clés des registres modifiés Windows, il est fondé aussi sur la nouvelle infrastructure
• Numéros d’articles de la base de connaissances Microsoft Update qui fournit des correctifs pour tous les
Microsoft produits Microsoft tels SQL, Exchange, Office, IIS
présents au CIML.
Il analyse le système d’exploitation et ses
composants ainsi que les applications des systèmes cibles. Nouveautés dans WSUS
Il examine le fichier MSSecure pour voir si des mises à
jour sont disponibles et contrôle le système pour voir si des • Supporte plusieurs produits Microsoft (Office,
mises à jour requises sont manquantes. Enfin il génère un SQL, Exchange…). A terme il couvrira tous les
rapport contenant la liste des mises à jour absentes du produits Microsoft.
système. Cet outil s’utilise selon deux méthodes : • Possibilité de télécharger les mises à jour par
produit ou par type
• Mode GUI : des bons résultats pour des réseaux • Plusieurs langues supportées
de petite taille • Utilise le service de transfert intelligent en arrière
• Mode ligne de commande permet d’effectuer des plan BITS (Background Intelligent Transfert
analyses automatisées en utilisant les paramètres Service) dans sa version 2. C’est une technologie
de ligne de commande. Exemple mbsacli /d Microsoft qui permet à des programmes de
MonDomaine / f rapport.txt. Utilisé en mode télécharger des fichiers en employant la largeur de
HFNetChk il génère un rapport détaillé des bande disponible.
correctifs manquants sur chaque ordinateur, ce qui • Possibilité de cibler des mises à jour à des
vous permet de créer un rapport (liste délimité par ordinateurs spécifiques ou à des groupes
des tabulations) des ordinateurs vulnérables. d’ordinateur prédéfini.
• Possibilité de vérifier si les mises à jour
Quelques exemples de ligne de commande : conviennent avant installation. (Cela se fait
automatiquement pour les mises à jour critiques et
Mbsacli /r « 10.1.1.1-10.1.1.254 » /wus de sécurité)
http://NomServeurWSUS /n « SQL » /n • Déploiements flexibles
« \\MonServeur\Partage\rapport.txt » cette commande • Plusieurs possibilités de rapports
analyse tous les ordinateurs dont l’adresse IP est comprise • Extension possible par API (application
dans la plage 10.1.1.1 à 10.1.1.254 par rapport à la liste de programming interface)
mises à jour approuvées du serveur WSUS nommé
MonServeurWSUS. Cette commande n’effectue pas Scénarios de déploiement d’un serveur WSUS
l’analyse SQL. Le fichier résultat qui s’appelle rapport.txt
sera stocké sur un partage réseau sur le serveur nommé Plusieurs scénarios existent pour le déploiement d’un
MonServeur. serveur WSUS. D’un déploiement simple avec un seul
serveur à un déploiement multiple avec plusieurs serveurs,
2.3 Déploiement automatique des correctifs en passant par une importation manuelle des mises à jour.
avec Windows Server Update Services
Déploiement simple avec un seul serveur
(WSUS)
Le déploiement de WSUS le plus simple consiste
Comme beaucoup d’entre vous, notre laboratoire
à installer un serveur derrière le Firewall pour servir les
a d’abord commencé à utiliser Microsoft Update. Si ce
ordinateurs sur un Intranet privé, comme illustré ci
dernier convient parfaitement aux petites structures, il
dessous.
s’avère inadapté dès que le nombre de postes devient
conséquent. Dès sa sortie, nous avons utilisé SUS depuis 2
ans ce qui nous a permis de contrôler le flux des patches
mises à jour sont concluantes, on pourra les déployer au
groupe gestion. Au centre d’Immunologie nous avons créé
5 groupes d’ordinateurs différents auxquels nous
appliquons des mises à jour ciblées : Groupe d’ordinateurs
d’acquisition (ce sont les ordinateurs qui pilotent des
appareils). Dans ce groupe seules les mises à jour de
sécurité sont déployées. Groupe de portables où les mises à
Cette configuration suffit souvent largement pour jour sont effectuées normalement ou par VPN. Groupe de
la plupart de nos laboratoires. D’ailleurs c’est ce que nous Serveurs où les mises à jour sont installées manuellement
avons déployé lors du passage de SUS à WSUS. Le alors que le téléchargement est automatique. Groupe
serveur WSUS obtient les mises à jour sur le site de Stations (sans données critiques) où les mises à jour sont
Microsoft par synchronisation. Il détermine si des mises à automatiques et enfin Groupe Gestion où les mises à jour
jour sont disponibles depuis la dernière fois où il y a eu sont déployées uniquement s’il n’y a pas de contre
synchronisation. Lors de la première synchronisation indication avec les applications nationales tel XLAB. Pour
toutes les mises à jour sont rendues disponibles pour les tests, nous avons installé une machine qui contient
approbation. Pour obtenir des mises à jour à partir du site toutes les applications critiques et qui héberge aussi tous
Web de Microsoft, le serveur WSUS utilise les ports HTTP les systèmes d’exploitation que nous utilisons (à savoir
et HTTPS. Ces valeurs ne sont pas modifiables. Bien que Windows 2000 Professionnel, Windows 2003 Serveur et
cette synchronisation impose l’ouverture des ports 80 et Windows XP).
443, rien ne vous empêche de configurer plusieurs serveurs
WSUS pour qu’ils se synchronisent via des ports Chaîne de serveurs WSUS
personnalisés.
Contrairement aux déploiements simples de
Déploiement ciblé par groupe d’ordinateurs WSUS on peut créer des déploiements complexes avec de
multiples serveurs. Quand on met plusieurs serveurs
La notion de groupe d’ordinateurs est une donnée WSUS ensemble, le premier serveur ascendant se
importante dans le déploiement de WSUS. Cette notion synchronise avec le serveur de Microsoft et il partage avec
permet de cibler les ordinateurs sur lesquels vous souhaitez les serveurs descendants les mises à jour et le Metadata.
appliquer telle ou telle mise à jour. Microsoft recommande un maximum de trois niveaux pour
ce genre de configuration. Cela se comprend aisément car
Par défaut il y a deux groupes d’ordinateur : Tous chaque niveau rajoute un temps de latence additionnel de
les ordinateurs et Ordinateurs non affectés. Quand un propagation des mises à jour. Théoriquement il n’y a
ordinateur entre en contact avec le serveur WSUS, ce aucune limite quand au nombre de serveurs WSUS dans un
dernier l’ajoute à ces deux groupes. On peut donc déplacer laboratoire. Au CIML, nous n’avons qu’un seul serveur
tout ordinateur du Groupe non affecté à un groupe que l’on WSUS.
créée mais il est impossible d’enlever un ordinateur du
groupe Tous les ordinateurs car ce dernier permet de viser Clients déconnectés du réseau
rapidement des mises à jour à chaque ordinateur du réseau
indépendamment de l’adhésion à un groupe. Par contre le Une autre possibilité offerte par WSUS (que nous
groupe Ordinateurs non affectés permet de viser seulement n’avons pas déployée) et qui est très intéressante est la
les ordinateurs qui n’ont pas été assignés à un groupe. Le mise à jour des clients déconnectés du réseau. Quand vous
fait de créer des groupes d’ordinateur permet de mieux avez des machines qui ne sont pas reliées à Internet, rien
maîtriser les mises à jour comme l’illustre le schéma ne vous empêche de déployer WSUS dans cette
suivant : configuration. Comme l’illustre l’exemple ci-dessous, il
suffit d’avoir un serveur WSUS relié à l’internet mais isolé
dans l’intranet. Après avoir téléchargé les mises à jour sur
ce serveur, il suffira de débrancher le serveur de l’internet
et de le mettre dans l’intranet en exportant et en important
les mises à jour.
• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
Matériels recommandés : • http://wustat.windows.com
• http://ntservicepack.microsoft.com
Æ Pour moins de 500 clients
De même si un serveur Proxy réside sur le réseau, il par stratégie de groupe local, il faut compter environ une
sera peut être nécessaire de configurer WSUS pour qu’il vingtaine de minutes.
utilise ce serveur.
Avant de définir les options de stratégie de
Installation et configuration de IIS groupe, vous devez vous assurez que la dernière version du
modèle d’administration a été installé sur l’ordinateur sur
Pour utiliser WSUS, il faut installer et configurer lequel vous configurez la stratégie de groupe.
IIS. Si vous utilisez Windows 2000, il faut télécharger et
installer la dernière version de IIS Lockdown pour 2) Modification du registre
sécuriser IIS. Avec Windows 2003, vous n’avez pas besoin
de cet outil car cette fonctionnalité est incluse dans le Dans un environnement non AD vous disposez de
système d’exploitation. trois méthodes :
• Paramétrage par le biais de stratégie de groupe Après avoir configuré clients et serveur (stratégie
• Modification du registre de groupe ou modification du registre), reste à faire en
sorte que les postes cibles soient mis à jour avec les bons
1) Stratégie de groupe (avec ou sans Active fichiers.
Directory)
Pour ce faire il est possible d’utiliser les notions
Dans un environnement Active Directory (AD), de « groupe ». Il est donc tout à fait possible de créer
on pourra s’appuyer sur l’objet stratégie de groupe (GPO – d’autres groupes d’ordinateurs comme par exemple un
Group Policy Object). Nous avons d’ailleurs utilisé cette groupe d’ordinateurs tests pour tester les mises à jour avant
stratégie. Si vous êtes dans une configuration non AD, de les déployer en grande échelle.
vous pourrez avoir recours à la modification de la base de
registre ou à l’utilisation de l’objet stratégie de groupe La configuration des groupes d’ordinateurs est un
locale. processus qui comporte plusieurs étapes. La première
consiste à choisir la manière d’affecter les ordinateurs aux
Dans les deux cas vous devrez faire pointer les groupes d’ordinateurs. Pour cela il existe deux options :
postes clients vers le serveur WSUS afin que ces derniers cible côté serveur (ajout manuel de chaque ordinateur à son
obtiennent les mises à jour automatiquement. Quelque soit groupe à l’aide de la console WSUS) et cible côté client
la manière de configurer un client, il faut un certain temps (ajout automatique des clients à l’aide des GPO ou de clés
pour que ce dernier apparaisse dans la liste Ordinateurs de de registre). Une fois le choix opéré il faut créer les
la console WSUS. Si l’on utilise la stratégie de groupe AD, groupes sur WSUS. Enfin il faut déplacer les ordinateurs
on peut forcer l’actualisation par la commande gpupdate au moyen de la méthode choisie lors de la première étape.
/force. Dans un environnement Windows 2000, la On peut donc déclarer très facilement les machines qui
commande est la suivante : secedit/refreshpolicy vont être gérées et les regrouper de manière à définir pour
machine_policy enforce. Pour les ordinateurs configurés les différents groupes des actions différentes concernant les
éléments téléchargés et approuvés.
Une fois l’ensemble de cette procédure effectué,
vous êtes prêt à utiliser le service WSUS de Microsoft et
ainsi bénéficier d’un service de mise à jour performant
pour les environnements Windows. Sa simplicité
d’utilisation est telle que même les petits laboratoires, sans
véritable équipe informatique, peuvent l’installer et
l’administrer.