Upload
mirabelle-pascal
View
123
Download
6
Embed Size (px)
Citation preview
Les ressources :bulletins, outils et publications
Les ressources :bulletins, outils et publications
Michel BERNEUILResponsable Technique de CompteMicrosoft France
Agenda
Vulnérabilités, bulletins et Vulnérabilités, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques (MSAT)La gestion des risques (MSAT)
Vie et mort d’une vulnérabilité…
La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif
La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif
Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici
Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici
..
Produitinstallé
Vulnérabilitédécouverte
Composantcorrigé
Correctifpublié
Correctif déployéchez les clients
IgnoranceSignalement
volontaireModule Gap
Test, intégrationet déploiement
Mesure traditionnelle de la vulnérabilité
Vulnérabilité à une attaque générale
Vulnérabilité théorique
Vulnérabilitépublique
Le temps avant exploitationLe temps avant exploitation
Est devenu si court que le Est devenu si court que le “patching” n’est plus une défense “patching” n’est plus une défense suffisantesuffisante
Le temps est de plus en plus Le temps est de plus en plus réduit pour appliquer du “reverse réduit pour appliquer du “reverse engineering” au patch et engineering” au patch et découvrir la faille…découvrir la faille…
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Nombre de jours Nombre de jours entre le correctif et entre le correctif et
l’exploitationl’exploitation
1818
Sasser
Sasser
Vie et mort d’une vulnérabilité…suite
Microsoft Security Response Center
Analyse et traitement Analyse et traitement des rapports de des rapports de vulnérabilitésvulnérabilités
[email protected]@microsoft.com
Suivi des listes SécuritéSuivi des listes Sécurité
Point central de coordination Point central de coordination et communicationet communication
Plan de réponse Plan de réponse Sécurité de Sécurité de MicrosoftMicrosoft
Responsable du plan et de sa Responsable du plan et de sa coordination au sein de Microsoftcoordination au sein de Microsoft
Travaille à la réduction des risques en Travaille à la réduction des risques en modifiant les processus internes de modifiant les processus internes de développement par rapport à la développement par rapport à la sécurité sécurité
Communauté et Communauté et CommunicationsCommunications
Travaille avec les autorités légales Travaille avec les autorités légales et les décideurset les décideurs
Création d’une communauté Création d’une communauté d’échange avec les découvreurs des d’échange avec les découvreurs des vulnérabilitésvulnérabilitéshttp://www.microsoft.com/security/msrc/default.mspx
Le MSRC : un centre névralgique
MSRCMSRC
JuridiqueJuridique
Recherche Recherche SécuritéSécurité
Éditeurs Éditeurs SécuritéSécurité
Décideurs Décideurs IndustrieIndustrie
Groupes Groupes ProduitsProduits
Equipes Equipes SupportSupport
PressePresse
Partenaires Partenaires MicrosoftMicrosoft
Clients Clients MicrosoftMicrosoft
Agences Agences gouvernementalesgouvernementales
Microsoft Security Response CenterMicrosoft Security Response Center
Genèse d’un correctif de sécurité
PrioritéPriorité
Analyse du rapport et des impacts possibles sur les clientsÉvaluation de la sévérité de la vulnérabilité et des risques d’exploitationNiveau de priorité décidé
Relation avec Relation avec l’auteurl’auteur
CommunicationRéponse rapideAnalyse de la motivation et des besoinsÉchanges réguliers
CommunautéEncourager les rapports volontaires
Le MSRC reçoit les rapports de vulnérabilité par:
[email protected] TechNet Sécurité – rapports anonymes
MSRC s’engage à répondre à tous les rapports en 24 h
Rapport deRapport devulnérabilitévulnérabilité
Création de Création de contenucontenu
Écriture du bulletin de sécurité :
Logiciels/composants affectés Description techniqueContournements et atténuationFAQsRemerciements
Validation du groupe de produit
Publication bulletin de sécurité : 2ème Mardi de chaque moisCoordination de toute la communication en ligneEnvoi d’informations et de conseils aux clientsSuivi des problèmes clients et de l’activité Presse
PublicationPublication
Réalisation Réalisation du correctifdu correctif
Équipe Produit :Identifie l’impact de la vulnérabilitéRecherche de variantesAnalyse en profondeur du code et des spécifications
Ecriture du correctif pour test
TestTest
Plusieurs niveaux de test :
Vérification de l’Installation et du packagingProfondeurIntégrationRéseau Microsoft
MAJ des outils MAJ des outils et règleset règles
MAJ « best practices »MAJ des outils de testMAJ du processus de développement et de design
Sévérité des bulletins
L'exploitation de cette vulnérabilité a des conséquences L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitationintervention de l'utilisateur ou la difficulté d'exploitation
CritiqueCritique
ModéréModéré
FaibleFaible
L'exploitation de cette vulnérabilité peut permettre la L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateurNimda ou Blaster, sans intervention de l'utilisateur
L'exploitation de cette vulnérabilité est très difficile L'exploitation de cette vulnérabilité est très difficile ou a un impact minimeou a un impact minime
ImportantImportantL'exploitation de cette vulnérabilité peut impacter L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitementdes ressources de traitement
Plus d’information : www.microsoft.com/technet/security/bulletin/rating.mspx
Le MSRC et les bulletins de sécurité
Avant la Avant la publicationpublication
PublicationPublication
2nd Mardi2nd Mardi
Après la Après la publicationpublication
Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés
http://www.microsoft.com/technet/security/bulletin/advance.mspx http://www.microsoft.com/technet/security/bulletin/advance.mspx
Correctifs publiés sur le Download Center, WU et/ou Office Update, MU
Notifications envoyées par email aux clientshttp://www.microsoft.com/technet/security/bulletin/notify.mspx
Bulletins publiés les sites Microsofthttp://www.microsoft.com/france/securite/bulletins/default.mspx
Informations proactives pour la Presse
Publication sur les newsgroups Sécurité / flux RSS
Webcast d’informations sur les bulletins (Mercredi, 19h00)
http://www.microsoft.com/technet/security/default.mspx
Suivi des bulletins et des problèmes client via le Support.
Maintenance des bulletins
Les avis de sécurité (“Security Advisories”)
Complémente les Complémente les bulletins de bulletins de
sécurité Microsoftsécurité Microsoft
ContenuContenu
Plus Plus d’informationsd’informations
Fournit des informations et conseils à propos de Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la modifications de logiciels et de mises à jour liées à la sécuritésécuritéQuelques exemples de thèmes qui pourraient être Quelques exemples de thèmes qui pourraient être traités :traités :
Améliorations de sécurité pour la “défense en profondeur" Améliorations de sécurité pour la “défense en profondeur" ou d’autres changements non liés à des vulnérabilitésou d’autres changements non liés à des vulnérabilitésConseils de protection qui pourraient s’appliquer à propos Conseils de protection qui pourraient s’appliquer à propos de vulnérabilités divulguées publiquementde vulnérabilités divulguées publiquement
Résumé des raisons de la publication de l’avis de Résumé des raisons de la publication de l’avis de sécuritésécuritéForum aux questionsForum aux questionsActions suggéréesActions suggéréesPeut être mis à jour à n’importe quel moment où Peut être mis à jour à n’importe quel moment où nous avons davantage d’informationsnous avons davantage d’informations
Fait référence à un numéro d’article de la base de Fait référence à un numéro d’article de la base de connaissance (Knowledge Base) pour davantage connaissance (Knowledge Base) pour davantage d’informationsd’informationsInscription : Inscription : www.microsoft.com/technet/security/bulletin/notify.www.microsoft.com/technet/security/bulletin/notify.mspxmspx
www.microsoft.com/technet/security/advisory
Réponse à un incident de sécuritéAperçuProcessus d’entreprise pour faire face aux Processus d’entreprise pour faire face aux
menaces de sécurité critiquesmenaces de sécurité critiques
Mobilisation de ressources Microsoft dans le Mobilisation de ressources Microsoft dans le monde entiermonde entier
Objectifs :Objectifs :Obtenir rapidement une bonne compréhension du Obtenir rapidement une bonne compréhension du problèmeproblème
Vous fournir à temps des informations pertinentes Vous fournir à temps des informations pertinentes et cohérenteset cohérentes
Fournir des outils des mises à jour de sécurité et Fournir des outils des mises à jour de sécurité et d’autre éléments d’aide à la restauration du d’autre éléments d’aide à la restauration du service normalservice normal
Réponse à un incident de sécurité
WatchWatch
Observation Observation (détection d’un (détection d’un problème problème potentiel)potentiel)
Relations avec :Relations avec :PartenairesPartenaires
Chercheurs en Chercheurs en sécurité et sécurité et découvreurs de découvreurs de vulnérabilitésvulnérabilités
Écoute des Écoute des demandes clients demandes clients au support, de au support, de celles de la celles de la pressepresse
AlertAlertand and
MobilizeMobilize
Évaluation du Évaluation du niveau de graviténiveau de gravité
Mobilisation des Mobilisation des équipes de équipes de réponse et des réponse et des groupes de groupes de support en 2 support en 2 groupes :groupes :
Emergency Emergency Engineering TeamEngineering Team
Emergency Emergency Communications Communications TeamTeam
Observation des Observation des demandes clients demandes clients et niveau d’intérêt et niveau d’intérêt à propos de cet à propos de cet incidentincident
AssessAssessandand
StabilizeStabilize
Évaluation de la Évaluation de la situation et des situation et des infos techniques infos techniques disponiblesdisponibles
Début du travail Début du travail sur la solutionsur la solution
Communication Communication des conseils des conseils initiaux et des initiaux et des contournements contournements
Notification et Notification et information des information des employés de employés de MicrosoftMicrosoft
ResolveResolve
Fourniture Fourniture d’informations et d’informations et d’outils pour d’outils pour rétablir la situation rétablir la situation normalenormale
La solution La solution appropriée est appropriée est fournie : mise à fournie : mise à jour de sécurité, jour de sécurité, outil ou correctifoutil ou correctif
Revue des Revue des processus processus internes et internes et dégagement des dégagement des enseignementsenseignements
Première information dans les NewsgroupPremière information dans les Newsgroup
Escalade immédiateEscalade immédiate
Alerte des équipes de réponse à un incident de sécurité et mise en place Alerte des équipes de réponse à un incident de sécurité et mise en place d’une équiped’une équipe
Observation des impacts Observation des impacts
Observation des lignes de support, des newsgroup et des Observation des lignes de support, des newsgroup et des communautéscommunautés
Analyse en interne des processusAnalyse en interne des processus
Étude de cas : WMF
WatchWatch(27 décembre (27 décembre 2005)2005)
Alert & Alert & MobilizeMobilize(27 décembre (27 décembre 2005)2005)
ResolveResolve(5 janvier et suivant)(5 janvier et suivant)
Assess & Assess & StabilizeStabilize(27 décembre 2005 au (27 décembre 2005 au 5 janvier 2006)5 janvier 2006)
Analyse de l’attaque, développement et test d’une mise à jourAnalyse de l’attaque, développement et test d’une mise à jour
Publication d’avis de sécurité incluant des solutions de contournement.Publication d’avis de sécurité incluant des solutions de contournement.
Diffusion du correctif en dehors du cycle normalDiffusion du correctif en dehors du cycle normal
Agenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)
Solutions Techniques
Windows Update SUS 1.0 WSUS (SUS 2.0) SMS
MBSA
Mode « Pull » Mode « Push »
Windows 98, NT4, XP, 2000, 2003 Windows XP, 2000, 2003 Windows XP, 2000, 2003
Windows 98, NT4, XP, 2000, 2003
Patchs, Màj, SP Patches, SP Patches, Màj, SP, Màj Office, SQL, Exchg. Patches, Màj, SP
Toutes applicationsRapports
Rapports personnalisés
Inventaire et gestion de la base d’installations intégrées à SMS
Fonctionnement au travers d’un proxy
Communication sécurisée (https)
Solution Microsoft complémentaire pour analyser le niveau de protection des ordinateurs cibles
Communication directe avec l’Internet
Pas de support pour Windows NT4 et W98
Création de groupes d’ordinateurs cibles
API Scriptables (côtés client et serveur)
Image ISO des correctifs Windows
http://support.microsoft.com/kb/913086/en-us
MBSA
Automatise l'identification des correctifs de Automatise l'identification des correctifs de sécurité manquants et des problèmes de sécurité manquants et des problèmes de configuration de la sécuritéconfiguration de la sécuritéPermet à un administrateur d'analyser d'un point Permet à un administrateur d'analyser d'un point central un grand nombre de systèmescentral un grand nombre de systèmesScriptable (Consolidation)Scriptable (Consolidation)2 modes2 modes
Graphique (GUI)Graphique (GUI)Ligne de commandeLigne de commande
Disponible en version 2.0Disponible en version 2.0
http://www.microsoft.com/technet/security/tools/http://www.microsoft.com/technet/security/tools/mbsahome.mspxmbsahome.mspx
Console MBSAConsole MBSA
MBSA 2.0 Déploiement de l’agent
3.3. Si l’interface d’analyse Si l’interface d’analyse (API) n’est pas disponible, (API) n’est pas disponible, téléchargement des téléchargement des composants de l’agentcomposants de l’agent
1.1. Exécution de MBSA sur un système Exécution de MBSA sur un système d’administration, en spécifiant une ou des d’administration, en spécifiant une ou des ciblescibles
4.4. Pousse l’agent, accord Pousse l’agent, accord explicite, puis essaie de explicite, puis essaie de nouveau l’APInouveau l’API5.5. Si le site MU ne peut Si le site MU ne peut pas être utilisé, alors pas être utilisé, alors téléchargement de téléchargement de WSUSSCAN.CABWSUSSCAN.CAB
6.6. Comparaison de la Comparaison de la version de l’agent version de l’agent dans le .CAB à la dans le .CAB à la version de l’agent version de l’agent WUAWUA
7.7. Si version inférieure, Si version inférieure, alors on reprend en alors on reprend en 3., puis on essaie de 3., puis on essaie de nouveau avec nouveau avec WSUSSCAN.CABWSUSSCAN.CAB
Microsoft Update
WindowsUpdateAgent20-WindowsUpdateAgent20-x86.exex86.exe
WindowsUpdateAgent20-WindowsUpdateAgent20-x64.exex64.exe
Machine cibleMachine cible
WSUSSCAN.CABWSUSSCAN.CAB2.2. Tentative d’analyse (API)Tentative d’analyse (API)
Console MBSAConsole MBSA
Analyse avec MBSA 2.0
2.2. Par défaut, tentative avec le serveur Par défaut, tentative avec le serveur WSUS (s’il est assigné)WSUS (s’il est assigné)
1.1. Exécution de MBSA depuis un Exécution de MBSA depuis un système d’administration, en système d’administration, en spécifiant la ou les ciblesspécifiant la ou les cibles
4.4. Si échec avec MU, alors on utilise Si échec avec MU, alors on utilise le fichier .CABle fichier .CAB
5.5. Si le .CAB actuel n’est Si le .CAB actuel n’est pas à jour, télécharger pas à jour, télécharger le nouveaule nouveau
6.6. Analyse avec le .CAB Analyse avec le .CAB (API)(API)
Microsoft Update
.CAB.CABhors hors ligneligne
7.7. Si WSUS et MU Si WSUS et MU produisent tous les produisent tous les deux des résultats, deux des résultats, les fusionnerles fusionner
8.8. Utilisation du score par Utilisation du score par défaut pour les mises défaut pour les mises à jour non approuvés à jour non approuvés par WSUSpar WSUS
3.3. Tentative avec le site MU (par Tentative avec le site MU (par défaut)défaut)
Site MUSite MU(Microsoft (Microsoft
Update)Update)
WSUSWSUS
Machine cibleMachine cible
Détection de mises à jour MBSA 2.0
Mises à jour de sécurité (aujourd’hui)Mises à jour de sécurité (aujourd’hui)
Windows 2000 SP3 et +Windows 2000 SP3 et +
IIS 5.0 et +IIS 5.0 et +
SQL Server 2000 / MSDE et +SQL Server 2000 / MSDE et +
IE 5.01 SP3 et +IE 5.01 SP3 et +
Exchange 2000, 2003 et +Exchange 2000, 2003 et +
Windows Media Player 6.4 et +Windows Media Player 6.4 et +
Office XP, 2003 et +Office XP, 2003 et +
MSXML 2.5, 2.6, 3.0, 4.0MSXML 2.5, 2.6, 3.0, 4.0
MDAC 2.5, 2.6, 2.7, 2.8MDAC 2.5, 2.6, 2.7, 2.8
Microsoft Virtual Machine (JVM)Microsoft Virtual Machine (JVM)
Nouvelles plateformesNouvelles plateformes
Seulement à distance, uniquement Seulement à distance, uniquement pour les mises à jourpour les mises à jour
XP EmbeddedXP Embedded
IA64IA64Mises à jour seulementMises à jour seulement
X64X64
Pas disponible tout de suitePas disponible tout de suite
Service Packs de SQL et Service Packs de SQL et ExchangeExchange
Mises à jour d’Office 2000Mises à jour d’Office 2000
Commerce ServerCommerce Server
Content Mgt ServerContent Mgt Server
BizTalkBizTalk
Host Integration ServerHost Integration Server
Mises à jour de sécurité (nouveautés)Mises à jour de sécurité (nouveautés)DirectXDirectX.NET Framework.NET FrameworkWindows MessengerWindows MessengerFrontPage Server ExtensionsFrontPage Server ExtensionsWindows Media Player 10Windows Media Player 10Windows Script 5.1, 5.5, 5.6Windows Script 5.1, 5.5, 5.6Windows Server 2003, 64-Bit Windows Server 2003, 64-Bit EditionEditionWindows XP 64-Bit EditionWindows XP 64-Bit EditionWindows XP Embedded Windows XP Embedded EditionEdition
MBSA – Rapports (GUI)
MBSA 2.0MBSA 2.0
démo
Options en ligne de commande
MBSA 1.2.xMBSA 1.2.x
/hf /h ou /hf /i/hf /h ou /hf /i
/c ou /i/c ou /i
/hf /x/hf /x
/hf/hf
/sus/sus
/hf /fip/hf /fip
/hf /fh/hf /fh
/v/v
MBSA 2.0MBSA 2.0
/target/target
/target/target
/catalog/catalog
/xmlout or /n */xmlout or /n *
/wa/wa
/listfile/listfile
/listfile/listfile
/ld/ld
* = OS+IIS+SQL+Motdepasse
MBSA 2.0
Analyse sans installationAnalyse sans installationmbsacli.exe, wsusscan.dll et wsusscan.cab mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors lignerequis pour une analyse hors ligne
PerformancePerformancePossibilité de lancer plusieurs instances Possibilité de lancer plusieurs instances simultanémentsimultanément
Supportera les CVE-IDs du Mitre quand Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft le contenu sera ajouté à Microsoft UpdateUpdateConnecteur Visio Connecteur Visio
Connecteur VisioConnecteur VisioAdd-in COM pour Visio 2003Add-in COM pour Visio 2003
Visualisation des résultats MBSAVisualisation des résultats MBSA
2 modes :2 modes :Import des résultats dans le schéma du réseauImport des résultats dans le schéma du réseau
Lancement du scan directement à partir du Lancement du scan directement à partir du schémaschéma
http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-99ee2aa76c62&DisplayLang=en99ee2aa76c62&DisplayLang=en
MBSA - Compléments
MBSA 1.2.1
Fin de support au 31 mars 2006Fin de support au 31 mars 2006
MSSecure.xml (version MBSA 1.2.1)MSSecure.xml (version MBSA 1.2.1)
Ne concerne pasNe concerne pas• • Microsoft SMS 2.0 avec Software Update Microsoft SMS 2.0 avec Software Update
Services (SUS) Feature Pack Services (SUS) Feature Pack
• • Microsoft SMS 2003 Microsoft SMS 2003
http://support.microsoft.com/kb/914791
Agenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSAT)(MSAT)
InoffensifInoffensif
PublicitéPublicité
Collecte donnéesCollecte données
SurveillanceSurveillance
NumérotationNumérotation
Utilisation distanteUtilisation distante
ChangChangtt paramètres paramètres
MalfaisantMalfaisant
Pas de nuisance Pas de nuisance potentiellepotentielle
Utilisation ressourcesUtilisation ressources
Collecte de données Collecte de données persoperso
Affichage de Affichage de publicitépublicité
Changement Changement paramétrageparamétrage
Numérotation Numérotation automatiqueautomatique
Clairement malfaisantClairement malfaisant
Enregistrement Enregistrement clavierclavier
Logiciel payé / publicitéLogiciel payé / publicitéPop-ups non autorisésPop-ups non autorisés
Barre de rechercheBarre de rechercheCanal cachéCanal caché
Utilitaire de Utilitaire de paramétrageparamétrageDétournement Détournement navigateurnavigateurContrôle parentalContrôle parentalKey loggersKey loggers
Logiciel FAILogiciel FAINuméroteur site pornoNuméroteur site porno
Appli de partage de Appli de partage de cyclescyclesPorte dérobéePorte dérobée
SasserSasser
Bloc-notesBloc-notes
Spectre des logiciels malveillants
Pote
nti
el d
e n
uis
an
ce
Pote
nti
el d
e n
uis
an
ce
AucuAucunn
ExtrêExtrêmeme
EXEMPLESDESCRIPTIONCOMPORTEMENT
InoffensifInoffensif
PublicitéPublicité
Collecte donnéesCollecte données
SurveillanceSurveillance
NumérotationNumérotation
Utilisation distanteUtilisation distante
ChangChangtt paramètres paramètres
MalfaisantMalfaisant
Spectre des logiciels malveillants
EXEMPLESDESCRIPTIONCOMPORTEMENT
Spyware (logiciel espion) Spyware (logiciel espion) ou autre logiciel indésirableou autre logiciel indésirable
programme qui effectue un certain programme qui effectue un certain nombre d’opérations sans le nombre d’opérations sans le
consentement approprié de l’utilisateurconsentement approprié de l’utilisateur
Virus, vers, chevaux de TroieVirus, vers, chevaux de TroieProgrammes ayant des activités malfaisantesProgrammes ayant des activités malfaisantes
Pote
nti
el d
e n
uis
an
ce
Pote
nti
el d
e n
uis
an
ce
AucuAucunn
ExtrêExtrêmeme
Quelques idées de l’ampleur
La cause d’au moins 1/3 de tous les crashes des La cause d’au moins 1/3 de tous les crashes des applications Windowsapplications Windows11
Problème majeur chez les OEMs : la cause Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dellnuméro 1 des appels au support chez Dell22
ConsommateursConsommateurs91 % des utilisateurs de l’Internet haut débit sont 91 % des utilisateurs de l’Internet haut débit sont affectésaffectés33
En moyenne : 5+ « spyware » / « adware » par En moyenne : 5+ « spyware » / « adware » par machinemachine44
Entreprise Entreprise 55
92 % des managers des DI interrogés pensent que leurs 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware »sociétés ont des « spyware »
1Analyses MS Watson/OCA, Jan-Mar 20042FTC Workshop, Avril 20043,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 20045Websense Web@Work Survey, Avril 2004
Microsoft Windows AntiSpyware
Lutte contre les logiciels espions
Aide à protéger les utilisateurs de Aide à protéger les utilisateurs de Windows contre les logiciels espions et Windows contre les logiciels espions et autres logiciels non désirésautres logiciels non désirés
• Détection et suppression des spywares / logiciels indésirablesDétection et suppression des spywares / logiciels indésirables• 9 agents en temps réel (dont Internet Explorer)9 agents en temps réel (dont Internet Explorer)• Analyses planifiéesAnalyses planifiées
• Arrêt des dernières menacesArrêt des dernières menaces• Communauté SpyNet : identifier les nouveaux spywaresCommunauté SpyNet : identifier les nouveaux spywares• Mise à jour automatique des signaturesMise à jour automatique des signatures
Windows DefenderWindows Defender
démo
Windows Defender
Plus de 25 millions de Plus de 25 millions de téléchargementstéléchargements
Retours positifsRetours positifs
Signatures anti-spyware mises à Signatures anti-spyware mises à jour toutes les semainesjour toutes les semaines
Site Microsoft Anti-spyware Site Microsoft Anti-spyware
http://www.microsoft.com/spywarehttp://www.microsoft.com/spyware
Evolution de l’Anti-spyware
Windows ClientWindows Client
Détection et suppression des Détection et suppression des spywaresspywaresProtection continueProtection continueDéfenses à jourDéfenses à jour
Windows DefenderWindows Defender
En entrepriseEn entrepriseDéploiement centralisé (client et Déploiement centralisé (client et signatures)signatures)Rapports étendusRapports étendusOptions de configuration et contrôle Options de configuration et contrôle Admin des signaturesAdmin des signatures
Outil de suppression des logiciels malfaisants (MSRT)
Mise à jour tous les mois pour Mise à jour tous les mois pour supprimer les nouveaux supprimer les nouveaux logiciels malfaisantslogiciels malfaisantsCiblé vers les consommateurs Ciblé vers les consommateurs sans antivirussans antivirusDéployable en entreprise Déployable en entreprise comme partie intégrante d’une comme partie intégrante d’une stratégie de défense en stratégie de défense en profondeurprofondeurDisponible à traversDisponible à travers Windows UpdateWindows Update Auto UpdateAuto Update Interface en ligne (ctrl ActiveX Interface en ligne (ctrl ActiveX
sur sur http://www.microsoft.com/frahttp://www.microsoft.com/france/securite/outils/malware.nce/securite/outils/malware.mspxmspx) )
Download CenterDownload Center
Complémente les technologies traditionnelles des Antivirus en Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandusfournissant un outil qui supprime virus et vers les plus répandus
Outil de suppression des logiciels malfaisants
Remplace toutes les versions précédentes Remplace toutes les versions précédentes des logiciels d’éradication de codes des logiciels d’éradication de codes malfaisants produits par Microsoftmalfaisants produits par Microsoft
CibleCibleBlaster, Sasser, MyDoom, DoomJuice, Zindos, Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Berbew (aussi connu comme Download.Ject), Gaobot, Nachi, Sober, ZorobGaobot, Nachi, Sober, Zorob
Disponible dans les 23 langues supportés Disponible dans les 23 langues supportés par Windows XPpar Windows XPhttp://support.microsoft.com/?id=890830http://support.microsoft.com/?id=890830 http://www.microsoft.com/france/securite/outils/fahttp://www.microsoft.com/france/securite/outils/families.mspxmilies.mspx
Agenda
Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)
La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)
La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)
La gestion des risques La gestion des risques (MSAT)(MSAT)
Pas simplement des technos…
Les 3 facettes de la sécurité
ArchitectureArchitecturesécuriséesécurisée
Technologies
Technologies
OSOS
Annuaire
Annuaire
Correctif
s
Correctif
s
IPSECIPSEC
KerberosKerberos
PKIPKI
ChiffrementChiffrement
de fichiersde fichiers
SSL/TLS
SSL/TLS
Clusters
Clusters
Détectio
n
Détectio
n
d’in
trusio
nd
’intru
sion
Gestion de systèmes
Gestion de systèmes
SupervisionSupervision
Pare-feuPare-feu
Antivirus
Antivirus
PersonnesPersonnesAdmin.Admin.de l’Entreprise
de l’EntrepriseAdm
in.
Admin
.
Du Dom
aine
Du Dom
aine
Service/Service/
SupportSupport
Développeur
DéveloppeurUtilisateurUtilisateur
ArchivageArchivage
Politique
Politiqued’accès
d’accès
Inst
alla
tion
Inst
alla
tion
Réparation
RéparationGes
tion d
es
Ges
tion d
es
évén
emen
ts
évén
emen
ts
Gestion desGestion des
perfsperfs
Gestion du
Gestion du
Changement /
Changement /
de la C
onfiguratio
n
de la C
onfiguratio
n
Proc
essu
s
Proc
essu
s
RestaurationRestauration Sauvegard
e
Sauvegard
e
Réponse à Réponse à IncidentIncident
Évalu
atio
n
Évalu
atio
n
de ri
sque
s
de ri
sque
s
Microsoft Security Risk Self-Assessment Tool
Évaluer les faiblesses de Évaluer les faiblesses de votre environnement en votre environnement en matière de sécurité matière de sécurité informatiqueinformatiqueQuestionnaire détailléQuestionnaire détailléTraite infrastructure, Traite infrastructure, applications, opérations applications, opérations et personnel et personnel
Multilangue, mise à jour Multilangue, mise à jour en ligneen lignePossibilité de Possibilité de comparaison anonymecomparaison anonyme
http://www.microsoft.com/france/securite/outils/riskself.mspxhttp://www.microsoft.com/france/securite/outils/riskself.mspx
MSATMSAT
démo
Publications MicrosoftGuides de sécurité pour le poste de Guides de sécurité pour le poste de
travail:travail:
http://www.microsoft.com/technet/security/topics/DesktopSecurity.mspx
Publications MicrosoftGuides de sécurité pour les serveurs:Guides de sécurité pour les serveurs:
http://www.microsoft.com/technet/security/topics/serversecurity.mspx
Abonnez-vous
Flash Sécurité : Flash Sécurité : http://www.microsoft.com/france/securite/newsletters.mspxhttp://www.microsoft.com/france/securite/newsletters.mspx
Grand public : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1
IT Pro : IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1
Alerte et BulletinsAlerte et Bulletinshttp://www.microsoft.com/technet/security/bulletin/http://www.microsoft.com/technet/security/bulletin/
notify.mspxnotify.mspxRSS Feed, Instant Messaging, Notification Service (+ RSS Feed, Instant Messaging, Notification Service (+
Comprehensive)Comprehensive)
Ressources
Général (Abonnements bulletins, alertes, newsflash)Général (Abonnements bulletins, alertes, newsflash)http://www.microsoft.com/securityhttp://www.microsoft.com/security http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite
Security Guidance Center :Security Guidance Center :http://www.microsoft.com/security/guidancehttp://www.microsoft.com/security/guidancehttp://www.microsoft.com/france/securite/entreprises/default.mspxhttp://www.microsoft.com/france/securite/entreprises/default.mspx
Outils : Outils : http://www.microsoft.com/technet/Security/toolshttp://www.microsoft.com/technet/Security/tools
Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?http://www.microsoft.com/technet/itsolutions/msithttp://www.microsoft.com/technet/itsolutions/msit
E-Learning Clinics : E-Learning Clinics : https://www.microsoftelearning.com/securityhttps://www.microsoftelearning.com/security
Événements et Événements et Webcasts : Webcasts : http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspx
Hotline sécurité : 0 825 827 829 code 55Hotline sécurité : 0 825 827 829 code 55
Nous sommes tous des ingénieurs support
Pour notre famillePour notre famille
Pour nos amisPour nos amis
Pour nos voisinsPour nos voisins
www.protegetonordi.com
La sécurité informatique à la maison
www.microsoft.com/france/securite/gpublic/default.mspx
Windows Live Safety Center (beta)
http://safety.live.com/site/en-US/center/howsafe.htm
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com