WebLog de Stéphane PAPP [MSFT] : LUA

Microsoft Security Intelligence Report volume 7 (January - June 2009)

spapp — Mon, 02 Nov 2009 18:26:30 GMT

Faisant suite aux volumes précédemment annoncé ici et là, le 7ième rapport de recherche sur la sécurité couvrant la période de janvier à juin 2009 vient d’être publié à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

De manière plus facile à retenir, vous pouvez le trouver sur :
http://www.microsoft.com/security/portal/Threat/SIR.aspx

Nul doute que sa version française sera prochainement disponible sur :
http://www.microsoft.com/france/securite/sir.mspx

L’annonce en anglais résume les principales tendances des menaces sur ce premier semestre 2009.

Le principal enseignement que je vois dans ce rapport est une tendance favorable à l’utilisation de systèmes d’exploitation récents : Windows Vista, bien que largement moins déployé que Windows XP s’en sort mieux. Face aux menaces existantes, l’utilisation de système 64 bits protège mieux car de nombreux logiciels malfaisants ne savent pas comment traiter ces systèmes. La conséquence jumelée de ces deux constats est que les attaques portent davantage sur des composants qui ne sont pas livrés par le système d’exploitation, mais largement diffusés.

Patchez-vous bien !

Version 6.0.6702.0 du pack d’administration de Microsoft Exchange Server 2007 pour System Center Operations Manager 2007 R2

spapp — Mon, 12 Oct 2009 20:45:06 GMT

La version 6.0.6702.0 du pack d’administration de Microsoft Exchange Server 2007 pour System Center Operations Manager 2007 R2 est disponible sur :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e9f3cd3f-9bc0-45cd-b10f-120e937ee4c4

Parmi les nombreuses modifications apportées par cette version, je retiens la possibilité d’utiliser ce pack dans un scénario à privilèges réduits (low privilege) ce qui correspond à un revirement complet par rapport à l’utilisation de Local System.

Microsoft Security Intelligence Report version 6

spapp — Thu, 09 Apr 2009 08:06:54 GMT

Le blog de la sécurité de Windows vient de mettre en avant la publication de la sixième version du rapport sur la sécurité des différentes versions de Windows sur :
http://www.microsoft.com/security/portal/sir.aspx

Ce rapport réalise une synthèse des principales menaces et analyse l’évolution de celles-ci sur le deuxième semestre de 2008.

Comme pour sa précédente version annoncée ici, une synthèse de ce document est disponible en français sur :
http://www.microsoft.com/france/securite/sir.mspx

Comme l’indique cette synthèse, la prinicpale nouveauté est l’augmentation de logiciels prétendus de sécurité qui proposent de vous protéger en vous infectant.

La tendance globale d’une moindre infection des postes sous Windows Vista que ses prédécesseurs se confirme comme l’indique les statistiques de nettoyage de l’outil Malicious Software Removal Tool (MSRT).

Quoi de neuf dans Windows Installer 5.0

spapp — Tue, 10 Feb 2009 19:38:49 GMT

Le tableau des versions de Windows Installer me confirme que la version 4.5 n’est pas sortie avec une version d’un service pack ou système d’exploitation. Elle est, néanmoins, déjà en passe d’être dépassée.

La version 5 de Windows Installer sera inclue dans Windows 7 et Windows Server 2008 R2.

La page suivante présente la liste des nouveautés :
http://msdn.microsoft.com/en-us/library/dd408114(VS.85).aspx

Parmi les nouveautés, je note l’apparition (le retour) de la possibilité de spécifier qu’une application s’installe en mode par utilisateur. En détail, ce n’est pas l’ancien mode qui posait des problèmes lors des désinstallation, mais une prise en compte de la possibilité d’installer une application uniquement dans le profil d’un utilisateur et sans que des demandes d’élévation de privilèges ne soient présentées. Pour cela, nul doute que la virtualisation des répertoires systèmes et de clés de la base de registre ne soient utilisée.

Autoriser l’installation de pilotes d’impression sans être administrateur

spapp — Sat, 20 Dec 2008 11:55:31 GMT

Windows Vista dispose d’une stratégie permettant à un simple utilisateur d’installer un pilote sans être administrateur pour une catégorie de matériel. La demande classique consiste à autoriser l’installation des pilotes des imprimantes.

La stratégie “Autoriser les non-administrateurs à installer des pilotes pour ces classes” est située à l’emplacement suivant :

Configuration ordinateur / Modèles d’administration / Système / Installation de pilotes

En anglais, la stratégie “Allow non-Administrators to install drivers for these device setup classes” est sur :

Computer Configuration / Administrative Templates / System / Driver Installation

Les classes à utiliser pour les imprimantes sont :

{49ce6ac8-6f86-11d2-ble5-0080c72e74a2}
{4d36e979-e325-11ce-bfc1-08002be10318}
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
{4d36e97a-e325-11ce-bfc1-08002be10318}

La liste de référence des classes de matériel qu’il est possible d’utiliser est sur :
http://msdn.microsoft.com/en-us/library/ms791134.aspx

SCCM, RDP et UAC

spapp — Fri, 07 Nov 2008 09:16:22 GMT

Le correctif 956941 apporte une solution au dysfonctionnement de la prise de main à distance via System Center Configuration Manager 2007 (Config Mgr ou SCCM) Service Pack 1 (SP1) d'un poste sous Windows Vista si le contrôle de compte d'utilisateur (UAC pour User Account Control) est activé et qu'une élévation de privilège est demandée.

L'utilisation de ce correctif me semble préférable à la désactivation de l'UAC.

Critères pour obtenir le logo Windows 7

spapp — Sat, 25 Oct 2008 11:02:57 GMT

Les critères techniques d'éligibilité pour qu'un logiciel obtienne le logo Windows 7 ont été publiés en anglais sur :
http://www.microsoft.com/downloads/details.aspx?FamilyID=0d4b263e-929e-43ae-be3d-e9e38fe42b3a&DisplayLang=en

Les critères énumérés permettent d'évaluer la capacité d'un logiciel à s'installer et à fonctionner sur Windows 7.

De manière synthétique, les critères cités sont :

Capacité à s'installer et à se désinstaller proprement
Respect de l'architecture des répertoires des programmes (Program Files, AppData, etc.)
Support de l'architecture x64, donc, absence de composants 16 bits
Respect du fonctionnement de l'User Account Control (UAC)
Absence de pilotes et services à charger en mode de démarrage "sans échec"
Signature digitale des fichiers
Réussite de l'installation malgré la vérification de la version du système
Absence de demande de redémarrage forcé
Support des sessions multiples
Nombre réduit d'échecs de l'application

D'autres détails sont donnés dans ce document. Par contraste, ils permettent d'évaluer la compatibilité d'un logiciel sur n'importe quel système d'exploitation, y compris ceux que vous utilisez actuellement.

Comprendre les risques à faire l'impasse sur Windows Vista

spapp — Wed, 08 Oct 2008 10:07:21 GMT

La lettre de Calipia m'a signalé une étude intéressante du Gartner Group intitulé "Understand the Risks of Skipping Windows Vista" ou "comprendre les risques à faire l'impasse sur Windows Vista".

Cette étude fait l'objet du commentaire suivant de la part de Calipia :

Cette très synthétique étude étant disponible gratuitement il n’est pas totalement exclu ‐ même si ce n’est pas spécifié – qu’elle ait été « sponsorisée » par un éditeur de logiciels ayant tout intérêt à dynamiser les ventes de Windows Vista… mais bon, moi ce que j’en dis...

De la part de cabinet comme le Gartner, il serait très étonnant d'avoir été acheté. Quand bien même l'étude aurait été commanditée par Microsoft, c'est faire une insulte au professionnalisme de Michael A. Silver que de penser qu'il aurait pu orienter son avis en fonction du commanditaire de l'étude. C'est d'autant plus vrai que les arguments développés ne me semblent pas réellement mettre en avant les véritables arguments. Ce qui est très probable, c'est que le résultat de l'étude allant dans un sens favorable à Microsoft, il ait été décidé d'acheter le droit de la rendre publique à l'emplacement suivant :
http://mediaproducts.gartner.com/reprints/microsoft/vol4/article4/article4.html

Vous pouvez vous faire une idée, mais les arguments développés ne me semblent pas les plus intéressants. Dans mon utilisation quotidienne, ma préférence irait plutôt aux éléments suivants :

La virtualisation des répertoires du système tel qu'elle apparait lorsque je regarde le contenu de mon répertoire "%USERPROFILE%\AppData\Local\VirtualStore". Je suis rassuré de savoir qu'une application ne peut plus écrire dans des répertoires mutualisés. De ce point de vue, je suis intimement persuadé que les problèmes de compatibilité sont moindre avec Windows Vista qu'ils ne l'ont été avec, par exemple, le service pack 2 de Windows XP. Au fil du temps, les applications respectent, d'ailleurs, de plus en plus, les bonnes pratiques édictées par Microsoft pour écrire des applications respectueuses du système.
Beaucoup jasent sur l'UAC et les demandes d'élévation de privilèges, mais, en tant que partisan d'une utilisation des ordinateurs sans privilèges (LUA), je ne peux que féliciter le travail effectué sur le tri des opérations qui nécessitent réellement des droits élevés. Les demandent pour un utilisateur standard n'arrivent pas si fréquemment que certains voudraient le faire croire. Dans une utilisation d'un technicien, elles me rassurent : je sais qu'un virus aura beaucoup plus de difficultés à se répandre sous Windows Vista avec l'UAC activé.
La protection contre les "plantages" de certaines applications. L'apparition du "donut" remplace des écrans bleus et autres messages désagréables, mais est assorti d'une récupération des données et de l'environnement de l'utilisateur qui doit être relativisé : dans un précédent système, il faudrait repartir à zéro. Avec Windows Vista, aucune information n'est perdue. Son apparition régulière pourrait laisser penser que les plantages arrivent plus fréquemment. Pour ce faire une idée plus précise des conditions d'apparition du "donut", il faut analyser la cause réelle telle qu'elle apparaît dans le moniteur de fiabilité ou les rapports et solutions aux problèmes. De manière globale, Windows Vista expose beaucoup plus d'informations pour parvenir à l'exploiter correctement et améliorer son fonctionnement.
Dans une utilisation quotidienne, l'intégration du moteur de recherche a considérablement changé ma manière de travailler. Je classe nettement moins mes fichiers depuis que je sais que je vais pouvoir les retrouver facilement. Certains pourraient arguer qu'un "Desktop Search" est disponible pour Windows XP, mais ce moteur ne s'intègre pas dans le système jusqu'à permettre de chercher une entrée dans le panneau de configuration ou la liste des programmes installés sur mon poste. Je ne lance quasiment plus une application par la combinaison "Windows-R", mais simplement "Windows", puis une partie du nom du programme (essayez, par exemple, "fiabilité", pour comprendre le paragraphe précédent.

Au niveau des missions réalisées chez des clients, le mode d'installation de Windows Vista apporte un avantage sans aucune mesure sur tous les précédents systèmes. Je suis par ailleurs, très (trop ?) confiant sur la résistance aux failles de sécurité de Windows Vista au point que je développe ici régulièrement l'idée que la prochaine crise virale portera sur une autre composant que le système lui-même.

Dans un grand nombre de cas, les difficultés rencontrées au début de l'utilisation de Windows Vista (tant pour ce qui est des utilisateurs de la première heure de fin 2006-début 2007 que pour les premières heures d'utilisation) ont pu laisser une mauvaise impression. Il est toujours difficile de s'habituer à un nouvel environnement et il est indispensable de passer outre ; le fondement de l'informatique consiste à investir du temps pour en gagner ensuite. Près de deux ans après sa sortie, les difficultés s'estompent : les constructeurs ont intégré les nouveautés de Windows Vista et de plus en plus de périphériques récents disposent de pilotes de qualité. Les éditeurs n'ont pas eu, à quelques exceptions près, à faire des efforts considérables pour s'adapter. Les clients qui ont fait l'impasse sur Windows XP mesurent aujourd'hui la difficulté à passer directement vers Windows Vista. Ceux qui pensent pouvoir passer directement à la prochaine version de Windows auront une marche plus grande à franchir. Je suis partisan de répartir l'effort dans le temps. Je sais où sont les difficultés aujourd'hui pour passer à Windows Vista. Je n'ai pas de boule de cristal pour prédire ce qu'il en sera pour la prochaine version, mais doute que ce sera plus facile. À suivre, comme ils disaient...

Terminal Services Application Compatibility

spapp — Wed, 21 May 2008 07:57:29 GMT

Le fonctionnement d'une application sur un serveur de terminaux peut rencontrer des problèmes de compatibilité. En particulier, une application peut rencontrer des difficultés d'exécution liées au fait qu'elle est exécutée par plusieurs utilisateurs simultanément. Comme pour Windows Vista, elle peut nécessiter des privilèges élevés, ce qui est encore plus rare sur un serveur que sur un poste de travail. Enfin, certaines API sont spécifiques sous un serveur de terminaux et cela peut poser quelques problèmes.

Un nouvel outil (Terminal Services Application Compatibility) est disponible sur connect pour évaluer la compatibilité d'une application avec le mode d'utilisation sous un serveur de terminaux.

Cette outil vérifie le fonctionnement de l'application avant que celle-ci soit déployée sur un serveur de terminaux.

Un train qui arrive à l’heure

spapp — Mon, 30 Jul 2007 13:52:00 GMT

En revenant de vacances, je me souviens de l’un de mes retours précédents où une crise virale (Blaster, je crois) avait mobilisé l’ensemble des ressources disponibles de Microsoft France. Cette année, il ne se passe rien de semblable. Cela semble normal pour un grand nombre d’entre nous, mais, il est, tout de même, utile de le signaler tout comme il pourrait être utile d’apprendre, de temps à autre, que la plupart des trains arrivent à l’heure.

Que s’est-il passé depuis cette époque pas si lointaine où Microsoft faisait, plus ou moins régulièrement, l’objet d’articles dans les journaux ?

Entre temps, la sécurité est devenue une préoccupation qui traverse l’ensemble des différentes populations au sein de Microsoft.

Lors d’une discussion avec des collègues ou client, il arrive, souvent, que les évolutions de l’interface d’Internet Explorer ou de Windows Vista soient considérées comme mineures au regard des progrès apportés par Firefox ou MacOs. Pendant des mois, l’effort de développement a porté sur une partie invisible à l’œil nu : le renforcement de la sécurité des logiciels. La conséquence de ces efforts n’est pas visible sauf, si on réalise qu’il ne se produit plus de crises majeures comme je tiens à le signaler ici.

Je ne prétends pas qu’il est impossible d’avoir une crise majeure, mais que les systèmes récents sont nettement moins exposés. Les mécanismes tels que le contrôle du compte utilisateur (UAC pour User Account Control) limitent les risques de propagation de virus sans interaction de l’utilisateur.

Aux vues du nombre de fichiers PDF que je reçois sur certains comptes de messagerie, il semble que la cible ait également évolué : si le système et les applications Microsoft deviennent trop difficiles à exploiter, les auteurs de logiciels malfaisants se tournent vers d’autres cibles plus faciles et, également, largement utilisées.

Statistique intéressante

spapp — Tue, 24 Apr 2007 08:47:00 GMT

35% des 5,7 millions d’ordinateurs détectés comme infectés par le programme Malicious Software Removal Tool (MSRT) l’ont été suite à une action volontaire et délibérée de leur utilisateur.

L’utilisation de Windows Vista et, en particulier, de l’UAC devrait permettre d’abaisser ce chiffre, à la condition d’élever le niveau de vigilance. L’utilisation des ordinateurs sans droits spécifiques (LUA pour Limited User Account, Least-privileged User Account ou Least User Access) est d’autant plus justifiée.

Presse à sensation

spapp — Sat, 10 Mar 2007 11:37:00 GMT

Que ne feraient certains journalistes pour vendre leur sauce ?

Déjà, alors que Windows Vista n’était qu’en préparation, j’avais pu lire beaucoup d’inepties autour ce qui avait pu être communiqué sous le nom de « palladium » et, plus officiellement « Next-Generation Secure Computing Base » ou NGSCB.

Une partie des concepts présentés à l’époque se retrouvent aujourd’hui dans l’User Account Control (UAC), mécanisme qui avertit un administrateur qu’une action nécessitant des droits élevés va être exécutée. Une autre partie se traduit par une dichotomie de certains services qui se séparent en 2 de manière à distinguer leurs fonctions nécessitant des droits spécifiques de celles qui ne le nécessitent pas.

À l’époque Bernard OURGHANLIAN avait publié une lettre ouverte qui reste très intéressante et applicable aujourd’hui.

Les articles actuels visent à semer la confusion et le doute dans l’esprit d’éventuels utilisateurs influençables de Windows Vista. Je trouve qu’ils ne sont pas loin de campagnes plus ou moins organisées de diffamation.

Si je résume le message, Windows Vista empêcherait les utilisateurs de faire ce qu’ils souhaitent avec leur ordinateur. C’est faux et archi faux !

J’ai reçu un message colportant cette rumeur dont est extrait le texte suivant :

Le résultat c'est que si vous installez Windows Vista ou si vous achetez un PC où Windows Vista est déjà préinstallé, vous ne pouvez plus visionner ou enregistrer des vidéos ni écouter ou enregistrer de la musique téléchargées sur Internet.

Pour se convaincre qu’il s’agit bien d’une rumeur infondée, il suffit, par exemple, de prendre n’importe quel disque de musique (non protégé) et de l’encoder en fichier MP3. Copiez-le sur un ordinateur équipé de Windows Vista. Rien ne change ! Vous pouvez l’écouter sans aucun problème. Il en est de même pour ce qui est d’une vidéo. Je vous laisse le soin d’en télécharger une (avec le moyen que vous souhaitez). Je ne veux pas vous encourager à utiliser des outils très largement utilisés à des fins de piratage…

Au passage, je note que le lecteur Windows Media Player inclus dans Windows Vista permet d’effectuer cet encodage en MP3. Il suffit d’aller dans « Outils », puis « Options », sur l’onglet « Extraire de la musique », dans les paramètres d’extraction, la liste déroulante propose nativement, d’encoder en MP3.

Pour une part, la présence de cette option, ainsi que la possibilité, pour Windows Media Player de lire des fichiers MP3, est à la base de l’amende record de 1,5 milliard de dollars infligée à Microsoft aux États-Unis dans son procès contre Alcatel-Lucent. Mon sentiment, dans cette affaire, est qu’une société en difficulté ne serait pas attaquée en justice. La solvabilité de Microsoft attire des convoitises malsaines. Attendons que tous les recours aient été utilisés, mais je trouve la décision injuste… Ce n’est pas la publication du classement mondial de la revue Forbes qui va encore améliorer cette situation.

La rumeur sur les possibilités d’utilisation de Windows Vista repose sur un joyeux cocktail qui mélange l’activité de Microsoft sur la gestion de droits numériques (DRM pour Digital Rights Management), la commercialisation de logiciels protégés par un copyright, la protection des utilisateurs contre des logiciels malveillants et la peur récurrente d’un « big brother » capable de surveiller la terre entière. Cela reste une rumeur et, à ce titre, il faut la combattre par des faits.

Arguments fallacieux

spapp — Sat, 03 Feb 2007 01:19:00 GMT

Le blog de Mr LAM rapporte sa participation au lancement de Windows Vista. Mon collègue David SEBBAN a tenté de contrer les arguments de certains de ces lecteurs. Il a cité, en particulier, quelques fonctions apportées par Vista qu’il jugeait être innovantes par rapport à Mac OS.

Pour David, comme pour moi, nos activités habituelles au sein de la division Services de Microsoft France nous conduisent à penser plus naturellement aux utilisateurs des grandes organisations (entreprises, ministères, etc.). Il m’arrive, parfois, de répondre dans les groupes de discussion à des utilisateurs de très petites sociétés. Mes réponses ne sont pas toujours pertinentes du fait de ce contexte habituel de travail.

Pour ces grandes entreprises et, dans une moins grande mesure, pour le particulier également, le choix de produits Microsoft est un choix stratégique fondé sur un engagement dans la durée. Les évolutions des produits Microsoft sont souvent jugées perturbantes, mais elles s’intègrent, depuis plus de 20 ans, dans une même stratégie, une même architecture qui permet de préserver les investissements passés et de garantir l’avenir. Il m’arrive, même, parfois, de m’insurger contre certains clients qui seraient tentés, par exemple, de continuer à utiliser nos produits actuels comme ils le faisaient depuis des années. Je ne pense pas seulement à ces administrateurs qui redémarrent préventivement leurs serveurs, mais aussi à ceux qui continuent à être administrateurs de leurs postes de travail et désactivent l’UAC.

Le niveau d’expertise que David ou moi-même possédons sur les produits Microsoft nous conduisent forcément à moins bien connaître les systèmes concurrents tels que Mac OS. Il y eu une époque ou j’étais « bilingue », mais je ne peux plus, aujourd’hui, prendre le temps de maintenir mes connaissances sur Mac OS. À l’inverse, j’imagine que les adorateurs du Macintosh ou de Linux connaissent généralement mal les possibilités des produits Microsoft.

Parmi les fonctions citées comme des nouveautés de Vista, David évoque BitLocker qui permet de crypter son disque dur. D’une part, le cryptage des fichiers n’est pas une nouveauté de Vista dans la mesure où EFS existe depuis très longtemps. Mais, d’autre part, les fonctions apportées par Vista sur le cryptage de disques entiers reposent sur des mécanismes complètement industrialisés qui permettent, par exemple, de définir des agents de récupération juste au cas où un utilisateur ne pourrait plus décrypter ses données.

Il en est de même pour ce qui concerne les autres points évoqués par David : dans une organisation un tant soit peu gérée, l’utilisation des stratégies de groupe permet d’appliquer des réglages à un ensemble de postes et d’utilisateurs. De là à les utiliser pour mettre en œuvre le contrôle parentale, il y a un gouffre que je ne franchirais pas. Je ne reviendrais pas sur les fonctions de Media Center dont je n’ai jamais vu de Macintosh dans un facteur de forme de magnétoscope.

L’utilisation de firewall couplé à l’IPSec témoigne d’une utilisation très professionnelle. En revanche, son mode de fonctionnement variable en fonction du type de réseau sur lequel se connecte le poste me semble une avancée qui facilite tant les utilisateurs professionnels que les particuliers. Il contribue à la simplification de l’usage de portables dans différents endroits (en entreprise, chez un client, à la maison ou dans un cybercafé).

Les déploiements à grande échelle font partie de l’environnement professionnel.

À ceux qui prétendent qu’il faut toujours bidouiller sur un PC, je répondrais simplement que la plupart des utilisateurs de PC ne sont pas des bidouilleurs, mais que les bidouilles ne font généralement que dégrader une situation parfaitement stable. Il est très rare qu’un système se dégrade tout seul, mais très fréquent qu’une prétendue amélioration conduise à une instabilité. Pour s’en convaincre, je conseille de lancer le « moniteur de fiabilité » ou « Reliability monitor » qui est une application très intéressante pour tous les bidouilleurs et les autres.

Enfin, parce que la sécurité est le domaine dans lequel Vista présente le plus de progrès, je pointerais la liste des 31 failles dévoilées durant le mois du bug. Cette liste démontre qu’aucun logiciel n’est exempt de failles et qu’il suffit de les chercher pour les trouver.

Microsoft Application Compatibility Toolkit (ACT)

spapp — Wed, 31 Jan 2007 10:27:00 GMT

Le kit de compatibilité des applications est désormais disponible dans sa version 5 en anglais à l’emplacement suivant :

http://www.microsoft.com/downloads/details.aspx?FamilyID=24da89e9-b581-47b0-b45e-492dd6da2971&DisplayLang=en

Cette version supporte, en particulier, Windows Vista.

Publication de l’avis 932114

spapp — Sat, 27 Jan 2007 11:32:00 GMT

Microsoft a publié un avis de sécurité relatif à une faille de Word 2000. Cet avis fait suite à une attaque de type "Zero Day" qui circulerait sur Internet.

La lecture de cet avis confirme l’intérêt de ne pas travailler avec des droits élevés dans la mesure où, si un utilisateur ouvre un document hostile, seuls les privilèges de l’utilisateur peuvent être utilisés.