WebLog de Stéphane PAPP [MSFT] : Securite

Extensions pour Audit Collection Services

spapp — Thu, 17 Dec 2009 05:59:16 GMT

Microsoft vient de livrer un composant intitulé “System Center Operations Manager 2007 R2 Cross Platform Audit Collection Services” à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=68590cff-453f-4822-b9e4-140824c76486

Ces extensions permettent à ACS de collecter les événements de sécurité d’ordinateurs fonctionnant sous différentes versions d’UNIX et de Linux.

Les versions supportées sont :

AIX 5.3 (Power), 6.1 (Power)
HP-UX 11iv2 (IA64/PA-RISC), 11iv3 (IA64/PA-RISC)
Red Hat Enterprise Server 4 (x86/x64), 5 (x86/x64)
Solaris 8 (SPARC), 9 (SPARC), 10 (SPARC/x86)
SUSE Linux Enterprise Server 9 (x86), 10 (x86/x64), 11 (x86/x64)

Contrôler la communication vers Internet de Windows 7 et Windows Server 2008 R2

spapp — Thu, 17 Dec 2009 05:51:11 GMT

Le document en anglais décrivant comment contrôler la communication vers Internet de Windows 7 et Windows Server 2008 R2 vient d’être publié à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=00345a67-a86a-4294-8ea2-52124f565767

Ce document qui existait déjà pour de précédentes versions de Windows vise à couvrir à la fois les préoccupations relatives à la sécurité et au respect de la vie privée.

Exclusions des antivirus pour OpsMgr

spapp — Wed, 09 Dec 2009 06:09:18 GMT

L’article kb975931 de la base de connaissance délivre une position officielle du support Microsoft sur le sujet déjà évoqué ici des exclusions à réaliser dans vos programmes de protection contre les virus par rapport à l’utilisation de Microsoft Operations Manager 2005 (MOM) et Microsoft System Center Operations Manager 2007 (OpsMgr).

Jesque là, il n’y avait que le billet de Kevin Holman.

Bulletins de sécurité de décembre 2009

spapp — Wed, 09 Dec 2009 05:57:52 GMT

Comme indiqué dans le billet publié en anglais par l’équipe Microsoft Security Response Center (MSRC), Microsoft a publié 6 bulletins de sécurité hier. Cette équipe est particulièrement préoccupée par le bulletin MS09-072 qui présente la particularité de cumuler à la fois la criticité et l’exploitabilité les plus grandes.

En cette période de gel des opérations sur les serveurs, comme souligné par Pascal SAULIERE dans un billet récent, et d’achats de nouveaux ordinateurs qui ne sont pas protégés tant qu’ils ne sont pas mis à jour, le potentiel de crise est assez élevé.

Volumes des bases Audit Collection Service

spapp — Sun, 29 Nov 2009 09:45:03 GMT

Audit Collection Service (ACS) est un composant de Microsoft System Center Operations Manager 2007 dont l’objectif est de collecter les journaux de sécurité.

Dans la plupart des installations, il est toujours intéressant de prévoir la place disque nécessaire avant de commencer à installer un logiciel. Dans le cas d’ACS, l’exercice est délicat car il dépend de nombreux facteurs. Pour information et ma mémoire, car je cite souvent ce chiffre sans l’avoir réellement en tête, chez Microsoft, le volume collecté est de l’ordre de 8To par mois.

La démarche à utiliser repose sur l’installation de l’agent pour un ordinateur seul et d’extrapoler à partir des données affichées par AdtAdmin.exe /Stats.

Le volume de données collectées dépend des paramètres suivants :

la quantité de données qui apparaît dans les journaux de sécurité des “forwarders” qui dépend lui-même de la politique d’audit mise en œuvre,
le filtrage mis en œuvre au niveau du collecteur avant d’insérer les données dans la base de données par la commande AdtAdmin comme indiqué sur la page consacrée à setquery,
la durée de rétention des données dans la base de données réglée par défaut à 14 jours.

Attention aux flogs

spapp — Sun, 08 Nov 2009 09:09:54 GMT

Bien que le terme de “flogs” ne soit pas totalement nouveau, il semble qu’une nouvelle menace tende à augmenter avec la manière de les utiliser.

Le néologisme a été créé sur la contraction de False et de Blog ; c’est à dire de faux journal sur Internet. L’article en anglais de Wikipédia donne quelques exemples connus de faux blogs. Il s’agissait, jusque récemment, de parodier ouvertement un site officiel.

Vous connaissiez les pages de phishing qui tentent d’imiter une page classique d’un site officiel. Dans son évolution récente, un flog est assez similaire du tout moins dans son objectif d’extorquer des informations précieuses telles que des numéros de cartes bancaires, mais surtout adresse email valide ou de vous guider pour ouvrir vos ordinateurs de manière à pouvoir les attaquer.

L’utilisation du filtrage SmartScreen d’Internet Explorer 8 (IE8) devrait vous protéger, mais restez vigilants ! Tout ce qui est écrit sur Internet n’est pas forcément vrai. Je peux seulement vous assurer que, n’étant pas le 1er avril, cette information sur les flogs est bien réelle.

Enhanced Mitigation Evaluation Toolkit version 1.0.2

spapp — Mon, 02 Nov 2009 19:08:20 GMT

Comme vous avez pu le deviner à travers différents messages postés sur ce blog, dont le dernier consacré au rapport SIR7, je suis un fervent partisan de la mise à jour des systèmes d’exploitation et applications pour mieux résister aux menaces actuelles. Néanmoins, il peut arriver qu’une vieille application demeure indispensable et pas forcément sur le dernier système d’exploitation disponible.

La boîte à outil intitulée “Enhanced Mitigation Evaluation Toolkit” ou EMET permet de renforcer la sécurité d’applications sans revenir au code des applications. Elle est disponible à l’emplacement suivant :
http://go.microsoft.com/fwlink/?LinkID=162309

Elle est utilisable sur les systèmes suivants :

Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2

Des détails complémentaires sont disponibles sur le blog suivant :
http://blogs.technet.com/srd/archive/2009/10/27/announcing-the-release-of-the-enhanced-mitigation-evaluation-toolkit.aspx

Microsoft Security Intelligence Report volume 7 (January - June 2009)

spapp — Mon, 02 Nov 2009 18:26:30 GMT

Faisant suite aux volumes précédemment annoncé ici et là, le 7ième rapport de recherche sur la sécurité couvrant la période de janvier à juin 2009 vient d’être publié à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

De manière plus facile à retenir, vous pouvez le trouver sur :
http://www.microsoft.com/security/portal/Threat/SIR.aspx

Nul doute que sa version française sera prochainement disponible sur :
http://www.microsoft.com/france/securite/sir.mspx

L’annonce en anglais résume les principales tendances des menaces sur ce premier semestre 2009.

Le principal enseignement que je vois dans ce rapport est une tendance favorable à l’utilisation de systèmes d’exploitation récents : Windows Vista, bien que largement moins déployé que Windows XP s’en sort mieux. Face aux menaces existantes, l’utilisation de système 64 bits protège mieux car de nombreux logiciels malfaisants ne savent pas comment traiter ces systèmes. La conséquence jumelée de ces deux constats est que les attaques portent davantage sur des composants qui ne sont pas livrés par le système d’exploitation, mais largement diffusés.

Patchez-vous bien !

Security Compliance Management Toolkit Series

spapp — Wed, 28 Oct 2009 14:58:00 GMT

Est-ce pour tromper les ennemis ? Toujours est-il que ce qui s’est longtemps appelé le guide de sécurité (security guide) des systèmes d’exploitation est désormais noyé dans le “Security Compliance Management Toolkit Series”.

La version qui vient d’être mise à jour à l’emplacement suivant contient les informations relatives à Windows 7, BitLocker et Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e

Dans la version que je viens de télécharger, le package censé contenir les données de tous les système ne contient pas celui pour Windows 7, ni celui d’Internet Explorer 8 qui doivent, donc, être téléchargés séparément.

Ces packs sont livrés avec des packs de configuration utilisables par le module de gestion de conformité (DCM pour Desired Configuration Management) de System Center Configuration Manager 2007 R2 (ConfigMgr).

Version 2.1.1 de Microsoft Baseline Security Analyzer

spapp — Tue, 27 Oct 2009 20:06:05 GMT

La version 2.1.1 de Microsoft Baseline Security Analyzer (MBSA) vient d’être mise à disposition à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

Cette mise à jour de l’outil de détection de correctifs manquants vise à couvrir Windows 7 et Windows Server 2008 R2 y compris en architecture x64.

Cette version est disponible en anglais (EN), allemand (DE), français (FR) et japonais (JA).

Les articles de la base de connaissance de Microsoft évoquent la version 2.1 sans qu’un distinction soit faite, généralement, sur cette version 2.1.1, à l’exception de ceux le faisant explicitement.

Arnaques en vues

spapp — Fri, 09 Oct 2009 20:45:31 GMT

Depuis quelques temps, les attaques d’usurpation de sites Web se multiplient. Je ne ferai pas la liste exhaustive de tous les sites mais vous donnerai quelques exemples choisis.

Je dois, par exemple, me rendre prochainement aux États-Unis. Les formalités pour les ressortissants d’un pays comme la France prévoient que l’on puisse remplir sur un site Internet l’équivalent du formulaire vert que l’on remplissait précédemment dans l’avion (vous savez, celui où vous vous aperceviez trop tard que vous n’aviez pas mis votre date de naissance sur la bonne ligne :-)). Il existe donc, un site officiel, gratuit, pour réaliser l’opération. Il est accessible via :
https://esta.cbp.dhs.gov/esta/esta.html

J’ai vu passer une copie d’écran d’un site qui tentait de ce faire passer pour ce site officiel. Non seulement les informations demandées étaient similaires, mais le site frauduleux prétendait vous demander de payer quelques euros, via l’indication de numéro de carte bancaire. La somme demandée n’était pas importante. Sans être méfiant, il était possible d’être trompé. Bien naturellement, ce n’était pas à ces quelques euros que le site frauduleux en voulait ! L’objectif était de récupérer votre numéro de carte.

Dans le même genre, j’ai eu connaissance d’une arnaque sur le site de la direction générale des impots. L’appat repose sur un message électronique vous informant d’un remboursement d’une partie des impôts perçus. Chic ! Cela n’arrive pas tous les jours ! Vous êtes invités à aller inscrire vos coordonnées bancaires de manière à pouvoir effectuer ce remboursement. Le site actuel de la DGI indique qu’il s’agit d’une arnaque comme précisé dans l’actualité :
http://www.impots.gouv.fr/portal/dgi/public/actualite

Dans le même genre, la Caisse des Allocations Familiales subit une attaque actuelle d’un genre similaire. Il serait possible de multiplier les exemples.

Comment s’en protéger ?

La première démarche est de ne pas confier un numéro de carte bancaire sur un site qui n’utilise pas SSL, donc, commençant par https. Non seulement, ce mécanisme évite de faire transiter en clair les informations demandées, mais, de plus, il est possible de vérifier l’identité du propriétaire du certificat qui permet cet usage. Dans la plupart des cas, vous ne vérifiez pas cette information, mais c’est une erreur.

La seconde démarche est de pas croire au père Noël. Si vous recevez un mail d’une personne que vous ne connaissez pas, il est très peu probable que cette personne soit le Père Noël et décide de vous faire un cadeau. C’est d’autant plus vrai si pour recevoir ce cadeau, le Père Noël vous demande de payer une somme quelconque.

Vous pouvez trouver beaucoup d’informations sur la protection de votre ordinateur et la sécurité lorsque vous surfez sur Internet sur :
http://www.microsoft.com/france/protect/

De manière plus personnelle, j’aime assez les billets publiés par Mathieu Malaise sur :
http://blogs.technet.com/pasdemalaise/default.aspx

En particulier :
http://blogs.technet.com/pasdemalaise/archive/tags/arnaques/default.aspx

Forefront Endpoint Protection et Configuration Manager

spapp — Fri, 09 Oct 2009 07:25:59 GMT

L’équipe en charge de Forefront Endpoint Protection (FEP) vient de publier sur son blog un billet précisant le planning et la stratégie pour sa prochaine version.

Outre le changement de nom de Forefront Client Security (FCS) et son intégration dans la suite Forefront Protection Suite, System Center Configuration Manager (ConfigMgr) sera utilisé pour l’évaluation de la conformité, le déploiement et la mise à jour de Forefront Endpoint Protection.

Cette prochaine version est planifiée pour la première moitié de 2010.

Mise à jour de la fonction Autoplay

spapp — Wed, 16 Sep 2009 08:32:15 GMT

En cette période où Conficker continue à sévir, en particulier, via l’exécution automatique de programmes lors de montages de périphériques amovibles (clé USB ou DVD), il est intéressant de noter la possibilité d’utiliser le mécanisme disponible sur Windows 7 sur de plus anciens comme Windows Vista et Windows XP.

La fiche technique kb971029 (Update to the AutoPlay functionality in Windows ou Mise à jour pour la fonctionnalité exécution automatique dans Windows) propose des correctifs pour modifier le comportement de l’explorateur de Windows dans différentes versions.

Some like IT hot

spapp — Mon, 17 Aug 2009 22:11:15 GMT

Vous me pardonnerez ce titre en anglais, mais je ne peux m'empêcher ce clin d'œil au fil de Billy Wilder avec, entre autres, Marilyn Monroe.

Il y a quelques années, Nicholas Carr publiait un article intitulé "IT doesn't matter". Je l'ai vu discuter avec l'un de nos directeurs (Robert L. McDowell). Leurs discours n'étaient pas si éloignés que l'on aurait pu le penser. Leurs divergences principales portaient sur la mesure réelle de l’impact des technologies de l’information sur la compétitivité des organisations.

En cette période actuelle où les entreprises craignent de voir leurs marchés s'effondrer, il me semblerait dangereux de rester dans une position plutôt attentiste. Les coûts de fonctionnement risquent de devenir insupportables. Les investissements risquent de devenir de plus en plus difficiles. Des choix devront être faits. Celui d'investir dans l'informatique ne me semble pas nécessairement le plus mauvais. Celui d'investir de manière à réduire les coûts de fonctionnement serait encore plus pertinent dans la mesure où ils représentent une bonne part des budgets informatiques.

Je ne souhaite pas entrer dans le débat politique sur la meilleure manière de sortir de la crise en choisissant entre la relance par l'investissement et la relance par la consommation. Imaginons simplement que, par analogie, une relance par les investissements consisterait à acquérir de nouveaux ordinateurs et logiciels pour la mise en œuvre de services équivalents à ceux actuellement utilisés. Une relance par la consommation pourrait reposer sur la fourniture de nouveaux services sur les ordinateurs et logiciels actuellement utilisés. Depuis quelques années, je ressens une tendance à ne plus vouloir de services supplémentaires, mais à ne se limiter qu’aux fonctions déjà connues et maîtrisées. La crise tend à renforcer encore davantage cette orientation : geler les investissements en prolongeant la durée de vie des ordinateurs et logiciels et réduire les services offerts en se concentrant sur ce qui est considéré comme le strict nécessaire.

La réduction des investissements pourrait représenter un risque non négligeable si elle s'accompagnait de l'arrêt de l'entretien et du prolongement de l'utilisation d'anciens investissements. La gestion du système d'information risquerait, dans ces conditions, de devenir de plus en plus chaude, d'où le titre de ce billet.

Pour faire un parallèle, il est quasiment reconnu que la réduction des coûts de maintenance des sociétés de transport dans certains pays a entrainé des incidents voire des catastrophes. Il ne serait pas étonnant que, voulant faire des économies, certaines organisations subissent des crises liées à une inadaptation aux besoins de leur système d'information. Avec une telle démarche, l’image négative de l’informatique comme un centre de coût et non pas un catalyseur de l’activité économique risque de se renforcer. Les balbutiements de la micro-informatique sont arrivés à une époque similaire où les utilisateurs ont pris le pouvoir et décidé d’utiliser d’autres outils que ceux mis à leur disposition par les équipes informatiques.

Les solutions délivrées par Microsoft visent à maîtriser les coûts d'exploitation tout en offrant des services supplémentaires. Une nouvelle version, par exemple, de Windows propose des solutions de plus en plus efficaces pour diminuer les coûts d'exploitation et simplifier la vie des utilisateurs. Les mauvaises ondes autour de Windows Vista ont fait oublier les avancées procurées par ce système par rapport à Windows XP. Je suis confiant sur le fait que Windows 7 capitalise les bénéfices de Windows Vista et apporte de nouvelles avancées. Dans le même temps, les produits de la gamme System Center sont parfaitement adaptées pour tirer le meilleur parti de ces nouvelles versions que ce soit sur pour les systèmes des postes clients comme les systèmes des serveurs.

Au niveau de Windows, les menaces qui pèsent sur les ordinateurs évoluent. Les réponses à donner ne doivent pas se fonder sur des solutions anciennes qui sont aujourd'hui inadaptées. Prenons l'exemple du ver informatique Conficker : il ne suffit plus d'appliquer le correctif sur l'ensemble du parc, mais également d'augmenter le niveau global de sécurité en imposant des mots de passe complexes, voire en segmentant les réseaux par l’isolation des serveurs contenant des données sensibles et la mise en quarantaine des postes non conformes. Cette démarche pro-active me semble davantage pertinente que d’attendre une crise pour réagir. Les coûts induits sont nettement moins élevés et c’est faire un pari très risqué que de penser pouvoir passer à travers.

L’augmentation de la longueur des mots de passe est considérée comme inéluctable pour défendre correctement le système d’information. Il est reconnu que cette augmentation induit obligatoirement un accroissement des erreurs de saisie. Il est plus facile de composer un mot de passe d’un seul caractère, voire d’appuyer simplement sur Entrée que de réussir à ne pas se tromper sur une chaine de plus de 15 caractères. L’alternative pour réduire l’impact auprès des utilisateurs existe : la carte à puce. Sa mise en œuvre est aujourd’hui beaucoup plus facile que par le passé. Elle simplifie la vie des utilisateurs. Certes, elle induit une charge de gestion supplémentaire, mais je ne suis pas persuadé que cette charge soit supérieure à celle de la gestion des comptes verrouillés et des mots de passe oubliés.

Il y a quelques années, la couche TCP/IP devait être achetée pour être utilisée sur des ordinateurs. La généralisation de la mise en réseau des ordinateurs s’est accompagnée par l’inclusion de cette couche TCP/IP dans le système d’exploitation. Plus tard, la présence d’un navigateur est apparue à une époque où surfer sur Internet commençait à se répandre. Je ne doute pas que les briques aujourd’hui disponibles pour vérifier si un ordinateur est conforme ou non à une politique de sécurité répondent à des besoins qui seront, un jour, généralisés, comme l’est quasiment partout l’usage de la messagerie et des accès à Internet. Je ne doute pas non plus que des solutions telles que DirectAccess soient généralisées prochainement. Ces solutions évitent à l’utilisateur de lancer un programme de connexion à son réseau d’entreprise pour accéder aux ressources qui lui mises à disposition. Une alternative est possible par l’hébergement des ressources de l’entreprise sur des serveurs hébergés à l’extérieur de l’entreprise et accessible via Internet.

Au niveau des produits de la gamme System Center, en réaction aux déclencheurs de la crise, les autorités et autres gouvernements vont imposer de plus en plus de contraintes de régulation. Concrètement, les outils tels que Microsoft Audit Collection Services (ACS) pourront servir à consolider les journaux de sécurité de manière à permettre des audits. Ils permettent également, par exemple, d’identifier des comptes faisant l’objet d’attaque comme le réalise le ver informatique Conficker. ACS peut vous aider à retrouver l’origine d’un verrouillage, à la condition que votre Active Directory ne soit pas sur une version dépassée de Windows.

Combien de fois êtes-vous prévenu d’une défaillance par vos utilisateurs ? Une solution telle qu’Operations Manager permet, non seulement d’être alerté d’une défaillance, mais surtout, d’être prévenu d’une dégradation qui pourrait conduire à une défaillance. Les solutions qui ne se contentent que de regarder si quelques compteurs de performance sont dans des valeurs acceptables ou des services en fonctionnement ne sont plus suffisantes pour assurer un service de qualité. De telles démarches conduisent à courir perpétuellement après de temps tel le pompier qui éteint le feu sans jamais proposer de débroussailler.

Dans ce même domaine de la régulation, l’utilisation de la gestion de la configuration souhaitée (DCM pour desired Configuration Management) de Configuration Manager permet d’identifier les déviations à des règles de gestion. En renversant le problème, une gestion par modèle permet de gagner du temps en limitant les combinatoires à gérer. Il n’est plus aujourd’hui nécessaire de chercher à doter l’ensemble des postes et serveurs d’un réglage unique. La gestion par modèle est plus efficace et plus souple. Elle permet d’identifier les réglages nécessaires à une famille d’ordinateurs.

La prise en charge de la quarantaine par Configuration Manager est d’autant plus simple à mettre en œuvre que la gestion des correctifs est faite par le même logiciel et qu’elle s’intègre dans le système d’exploitation des postes et des serveurs. Que vous mettiez en œuvre Direct Access ou non, Configuration Manager est capable de mettre à jour les postes sans demander d’actions spécifiques aux utilisateurs.

La mise en œuvre de l’installation de systèmes d’exploitation sans passage physique sur les postes est aujourd’hui mature. Les systèmes d’exploitation récents proposent des solutions industrielles d’installation et System Center Configuration Manager supporte pleinement ce mode d’installation. Les progrès réalisés pour sauvegarder les données et réglages des utilisateurs augmentent le service rendu aux utilisateurs qui ne perdent plus des heures précieuses à chaque migration ou changement de poste.

Toutes ces possibilités n’existent aujourd’hui que sur des systèmes et serveurs récents. En conservant des antiquités en fonctionnement, ce n’est pas seulement l’image de l’informatique qui est mise en péril, mais aussi, probablement, l’activité des organisations. De la vision d’un ordinateur sur chaque bureau, l’objectif de Microsoft est devenu de vous permettre de réaliser votre potentiel. Rien ne se fera, néanmoins, sans votre adhésion à cette vision.

Erreur 5115 suite au passage en mode natif de Configuration Manager 2007

spapp — Mon, 10 Aug 2009 21:21:24 GMT

Suite au passage en mode natif d’une infrastructure System Center Configuration Manager 2007, l’affichage des messages d’état affiche l’erreur 5115 dont le texte en anglais est le suivant :

SMS Policy Provider has failed to sign one or more policy assignments. It will retry this operation automatically

Ce message d’erreur peut provenir de l’impossibilité d’utiliser une clé privé lorsque le certificat utilisé avec la fonctionnalités de signature de document (Document Signing) a été généré sans cocher la case :

Make private key exportable

En français, l’option s’intitule :

Permettre l'exportation de la clé privée

La solution consiste à regénérer le certificat avec cette option cochée.