Les ressources :bulletins, outils et publications

Les ressources :bulletins, outils et publications

Michel BERNEUILResponsable Technique de CompteMicrosoft France

Agenda

Vulnérabilités, bulletins et Vulnérabilités, bulletins et alertes (MSRC)alertes (MSRC)

La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)

La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)

La gestion des risques (MSAT)La gestion des risques (MSAT)

Vie et mort d’une vulnérabilité…

La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif

La plupart des La plupart des exploitsexploits sont sont conçues après la mise à conçues après la mise à disposition du correctifdisposition du correctif

Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici

Les attaques se produisent Les attaques se produisent majoritairement icimajoritairement ici

..

Produitinstallé

Vulnérabilitédécouverte

Composantcorrigé

Correctifpublié

Correctif déployéchez les clients

IgnoranceSignalement

volontaireModule Gap

Test, intégrationet déploiement

Mesure traditionnelle de la vulnérabilité

Vulnérabilité à une attaque générale

Vulnérabilité théorique

Vulnérabilitépublique

Le temps avant exploitationLe temps avant exploitation

Est devenu si court que le Est devenu si court que le “patching” n’est plus une défense “patching” n’est plus une défense suffisantesuffisante

Le temps est de plus en plus Le temps est de plus en plus réduit pour appliquer du “reverse réduit pour appliquer du “reverse engineering” au patch et engineering” au patch et découvrir la faille…découvrir la faille…

151151180180

331331

Blaster

Blaster

Welchia/ Nachi

Welchia/ Nachi

NimdaNimda

2525

SQL Slammer

SQL Slammer

Nombre de jours Nombre de jours entre le correctif et entre le correctif et

l’exploitationl’exploitation

1818

Sasser

Sasser

Vie et mort d’une vulnérabilité…suite

Microsoft Security Response Center

Analyse et traitement Analyse et traitement des rapports de des rapports de vulnérabilitésvulnérabilités

secure@microsoft.comsecure@microsoft.com

Suivi des listes SécuritéSuivi des listes Sécurité

Point central de coordination Point central de coordination et communicationet communication

Plan de réponse Plan de réponse Sécurité de Sécurité de MicrosoftMicrosoft

Responsable du plan et de sa Responsable du plan et de sa coordination au sein de Microsoftcoordination au sein de Microsoft

Travaille à la réduction des risques en Travaille à la réduction des risques en modifiant les processus internes de modifiant les processus internes de développement par rapport à la développement par rapport à la sécurité sécurité

Communauté et Communauté et CommunicationsCommunications

Travaille avec les autorités légales Travaille avec les autorités légales et les décideurset les décideurs

Création d’une communauté Création d’une communauté d’échange avec les découvreurs des d’échange avec les découvreurs des vulnérabilitésvulnérabilitéshttp://www.microsoft.com/security/msrc/default.mspx

Le MSRC : un centre névralgique

MSRCMSRC

JuridiqueJuridique

Recherche Recherche SécuritéSécurité

Éditeurs Éditeurs SécuritéSécurité

Décideurs Décideurs IndustrieIndustrie

Groupes Groupes ProduitsProduits

Equipes Equipes SupportSupport

PressePresse

Partenaires Partenaires MicrosoftMicrosoft

Clients Clients MicrosoftMicrosoft

Agences Agences gouvernementalesgouvernementales

Microsoft Security Response CenterMicrosoft Security Response Center

Genèse d’un correctif de sécurité

PrioritéPriorité

Analyse du rapport et des impacts possibles sur les clientsÉvaluation de la sévérité de la vulnérabilité et des risques d’exploitationNiveau de priorité décidé

Relation avec Relation avec l’auteurl’auteur

CommunicationRéponse rapideAnalyse de la motivation et des besoinsÉchanges réguliers

CommunautéEncourager les rapports volontaires

Le MSRC reçoit les rapports de vulnérabilité par:

Secure@Microsoft.comSite TechNet Sécurité – rapports anonymes

MSRC s’engage à répondre à tous les rapports en 24 h

Rapport deRapport devulnérabilitévulnérabilité

Création de Création de contenucontenu

Écriture du bulletin de sécurité :

Logiciels/composants affectés Description techniqueContournements et atténuationFAQsRemerciements

Validation du groupe de produit

Publication bulletin de sécurité : 2ème Mardi de chaque moisCoordination de toute la communication en ligneEnvoi d’informations et de conseils aux clientsSuivi des problèmes clients et de l’activité Presse

PublicationPublication

Réalisation Réalisation du correctifdu correctif

Équipe Produit :Identifie l’impact de la vulnérabilitéRecherche de variantesAnalyse en profondeur du code et des spécifications

Ecriture du correctif pour test

TestTest

Plusieurs niveaux de test :

Vérification de l’Installation et du packagingProfondeurIntégrationRéseau Microsoft

MAJ des outils MAJ des outils et règleset règles

MAJ « best practices »MAJ des outils de testMAJ du processus de développement et de design

Sévérité des bulletins

L'exploitation de cette vulnérabilité a des conséquences L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitationintervention de l'utilisateur ou la difficulté d'exploitation

CritiqueCritique

ModéréModéré

FaibleFaible

L'exploitation de cette vulnérabilité peut permettre la L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateurNimda ou Blaster, sans intervention de l'utilisateur

L'exploitation de cette vulnérabilité est très difficile L'exploitation de cette vulnérabilité est très difficile ou a un impact minimeou a un impact minime

ImportantImportantL'exploitation de cette vulnérabilité peut impacter L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitementdes ressources de traitement

Plus d’information : www.microsoft.com/technet/security/bulletin/rating.mspx

Le MSRC et les bulletins de sécurité

Avant la Avant la publicationpublication

PublicationPublication

2nd Mardi2nd Mardi

Après la Après la publicationpublication

Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés

http://www.microsoft.com/technet/security/bulletin/advance.mspx http://www.microsoft.com/technet/security/bulletin/advance.mspx

Correctifs publiés sur le Download Center, WU et/ou Office Update, MU

Notifications envoyées par email aux clientshttp://www.microsoft.com/technet/security/bulletin/notify.mspx

Bulletins publiés les sites Microsofthttp://www.microsoft.com/france/securite/bulletins/default.mspx

Informations proactives pour la Presse

Publication sur les newsgroups Sécurité / flux RSS

Webcast d’informations sur les bulletins (Mercredi, 19h00)

http://www.microsoft.com/technet/security/default.mspx

Suivi des bulletins et des problèmes client via le Support.

Maintenance des bulletins

Les avis de sécurité (“Security Advisories”)

Complémente les Complémente les bulletins de bulletins de

sécurité Microsoftsécurité Microsoft

ContenuContenu

Plus Plus d’informationsd’informations

Fournit des informations et conseils à propos de Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la modifications de logiciels et de mises à jour liées à la sécuritésécuritéQuelques exemples de thèmes qui pourraient être Quelques exemples de thèmes qui pourraient être traités :traités :

Améliorations de sécurité pour la “défense en profondeur" Améliorations de sécurité pour la “défense en profondeur" ou d’autres changements non liés à des vulnérabilitésou d’autres changements non liés à des vulnérabilitésConseils de protection qui pourraient s’appliquer à propos Conseils de protection qui pourraient s’appliquer à propos de vulnérabilités divulguées publiquementde vulnérabilités divulguées publiquement

Résumé des raisons de la publication de l’avis de Résumé des raisons de la publication de l’avis de sécuritésécuritéForum aux questionsForum aux questionsActions suggéréesActions suggéréesPeut être mis à jour à n’importe quel moment où Peut être mis à jour à n’importe quel moment où nous avons davantage d’informationsnous avons davantage d’informations

Fait référence à un numéro d’article de la base de Fait référence à un numéro d’article de la base de connaissance (Knowledge Base) pour davantage connaissance (Knowledge Base) pour davantage d’informationsd’informationsInscription : Inscription : www.microsoft.com/technet/security/bulletin/notify.www.microsoft.com/technet/security/bulletin/notify.mspxmspx

www.microsoft.com/technet/security/advisory

Réponse à un incident de sécuritéAperçuProcessus d’entreprise pour faire face aux Processus d’entreprise pour faire face aux

menaces de sécurité critiquesmenaces de sécurité critiques

Mobilisation de ressources Microsoft dans le Mobilisation de ressources Microsoft dans le monde entiermonde entier

Objectifs :Objectifs :Obtenir rapidement une bonne compréhension du Obtenir rapidement une bonne compréhension du problèmeproblème

Vous fournir à temps des informations pertinentes Vous fournir à temps des informations pertinentes et cohérenteset cohérentes

Fournir des outils des mises à jour de sécurité et Fournir des outils des mises à jour de sécurité et d’autre éléments d’aide à la restauration du d’autre éléments d’aide à la restauration du service normalservice normal

Réponse à un incident de sécurité

WatchWatch

Observation Observation (détection d’un (détection d’un problème problème potentiel)potentiel)

Relations avec :Relations avec :PartenairesPartenaires

Chercheurs en Chercheurs en sécurité et sécurité et découvreurs de découvreurs de vulnérabilitésvulnérabilités

Écoute des Écoute des demandes clients demandes clients au support, de au support, de celles de la celles de la pressepresse

AlertAlertand and

MobilizeMobilize

Évaluation du Évaluation du niveau de graviténiveau de gravité

Mobilisation des Mobilisation des équipes de équipes de réponse et des réponse et des groupes de groupes de support en 2 support en 2 groupes :groupes :

Emergency Emergency Engineering TeamEngineering Team

Emergency Emergency Communications Communications TeamTeam

Observation des Observation des demandes clients demandes clients et niveau d’intérêt et niveau d’intérêt à propos de cet à propos de cet incidentincident

AssessAssessandand

StabilizeStabilize

Évaluation de la Évaluation de la situation et des situation et des infos techniques infos techniques disponiblesdisponibles

Début du travail Début du travail sur la solutionsur la solution

Communication Communication des conseils des conseils initiaux et des initiaux et des contournements contournements

Notification et Notification et information des information des employés de employés de MicrosoftMicrosoft

ResolveResolve

Fourniture Fourniture d’informations et d’informations et d’outils pour d’outils pour rétablir la situation rétablir la situation normalenormale

La solution La solution appropriée est appropriée est fournie : mise à fournie : mise à jour de sécurité, jour de sécurité, outil ou correctifoutil ou correctif

Revue des Revue des processus processus internes et internes et dégagement des dégagement des enseignementsenseignements

Première information dans les NewsgroupPremière information dans les Newsgroup

Escalade immédiateEscalade immédiate

Alerte des équipes de réponse à un incident de sécurité et mise en place Alerte des équipes de réponse à un incident de sécurité et mise en place d’une équiped’une équipe

Observation des impacts Observation des impacts

Observation des lignes de support, des newsgroup et des Observation des lignes de support, des newsgroup et des communautéscommunautés

Analyse en interne des processusAnalyse en interne des processus

Étude de cas : WMF

WatchWatch(27 décembre (27 décembre 2005)2005)

Alert & Alert & MobilizeMobilize(27 décembre (27 décembre 2005)2005)

ResolveResolve(5 janvier et suivant)(5 janvier et suivant)

Assess & Assess & StabilizeStabilize(27 décembre 2005 au (27 décembre 2005 au 5 janvier 2006)5 janvier 2006)

Analyse de l’attaque, développement et test d’une mise à jourAnalyse de l’attaque, développement et test d’une mise à jour

Publication d’avis de sécurité incluant des solutions de contournement.Publication d’avis de sécurité incluant des solutions de contournement.

Diffusion du correctif en dehors du cycle normalDiffusion du correctif en dehors du cycle normal

Agenda

Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)

La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)

La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)

La gestion des risques La gestion des risques (MSRSAT)(MSRSAT)

Solutions Techniques

Windows Update SUS 1.0 WSUS (SUS 2.0) SMS

MBSA

Mode « Pull » Mode « Push »

Windows 98, NT4, XP, 2000, 2003 Windows XP, 2000, 2003 Windows XP, 2000, 2003

Windows 98, NT4, XP, 2000, 2003

Patchs, Màj, SP Patches, SP Patches, Màj, SP, Màj Office, SQL, Exchg. Patches, Màj, SP

Toutes applicationsRapports

Rapports personnalisés

Inventaire et gestion de la base d’installations intégrées à SMS

Fonctionnement au travers d’un proxy

Communication sécurisée (https)

Solution Microsoft complémentaire pour analyser le niveau de protection des ordinateurs cibles

Communication directe avec l’Internet

Pas de support pour Windows NT4 et W98

Création de groupes d’ordinateurs cibles

API Scriptables (côtés client et serveur)

Image ISO des correctifs Windows

http://support.microsoft.com/kb/913086/en-us

MBSA

Automatise l'identification des correctifs de Automatise l'identification des correctifs de sécurité manquants et des problèmes de sécurité manquants et des problèmes de configuration de la sécuritéconfiguration de la sécuritéPermet à un administrateur d'analyser d'un point Permet à un administrateur d'analyser d'un point central un grand nombre de systèmescentral un grand nombre de systèmesScriptable (Consolidation)Scriptable (Consolidation)2 modes2 modes

Graphique (GUI)Graphique (GUI)Ligne de commandeLigne de commande

Disponible en version 2.0Disponible en version 2.0

http://www.microsoft.com/technet/security/tools/http://www.microsoft.com/technet/security/tools/mbsahome.mspxmbsahome.mspx

Console MBSAConsole MBSA

MBSA 2.0 Déploiement de l’agent

3.3. Si l’interface d’analyse Si l’interface d’analyse (API) n’est pas disponible, (API) n’est pas disponible, téléchargement des téléchargement des composants de l’agentcomposants de l’agent

1.1. Exécution de MBSA sur un système Exécution de MBSA sur un système d’administration, en spécifiant une ou des d’administration, en spécifiant une ou des ciblescibles

4.4. Pousse l’agent, accord Pousse l’agent, accord explicite, puis essaie de explicite, puis essaie de nouveau l’APInouveau l’API5.5. Si le site MU ne peut Si le site MU ne peut pas être utilisé, alors pas être utilisé, alors téléchargement de téléchargement de WSUSSCAN.CABWSUSSCAN.CAB

6.6. Comparaison de la Comparaison de la version de l’agent version de l’agent dans le .CAB à la dans le .CAB à la version de l’agent version de l’agent WUAWUA

7.7. Si version inférieure, Si version inférieure, alors on reprend en alors on reprend en 3., puis on essaie de 3., puis on essaie de nouveau avec nouveau avec WSUSSCAN.CABWSUSSCAN.CAB

Microsoft Update

WindowsUpdateAgent20-WindowsUpdateAgent20-x86.exex86.exe

WindowsUpdateAgent20-WindowsUpdateAgent20-x64.exex64.exe

Machine cibleMachine cible

WSUSSCAN.CABWSUSSCAN.CAB2.2. Tentative d’analyse (API)Tentative d’analyse (API)

Console MBSAConsole MBSA

Analyse avec MBSA 2.0

2.2. Par défaut, tentative avec le serveur Par défaut, tentative avec le serveur WSUS (s’il est assigné)WSUS (s’il est assigné)

1.1. Exécution de MBSA depuis un Exécution de MBSA depuis un système d’administration, en système d’administration, en spécifiant la ou les ciblesspécifiant la ou les cibles

4.4. Si échec avec MU, alors on utilise Si échec avec MU, alors on utilise le fichier .CABle fichier .CAB

5.5. Si le .CAB actuel n’est Si le .CAB actuel n’est pas à jour, télécharger pas à jour, télécharger le nouveaule nouveau

6.6. Analyse avec le .CAB Analyse avec le .CAB (API)(API)

Microsoft Update

.CAB.CABhors hors ligneligne

7.7. Si WSUS et MU Si WSUS et MU produisent tous les produisent tous les deux des résultats, deux des résultats, les fusionnerles fusionner

8.8. Utilisation du score par Utilisation du score par défaut pour les mises défaut pour les mises à jour non approuvés à jour non approuvés par WSUSpar WSUS

3.3. Tentative avec le site MU (par Tentative avec le site MU (par défaut)défaut)

Site MUSite MU(Microsoft (Microsoft

Update)Update)

WSUSWSUS

Machine cibleMachine cible

Détection de mises à jour MBSA 2.0

Mises à jour de sécurité (aujourd’hui)Mises à jour de sécurité (aujourd’hui)

Windows 2000 SP3 et +Windows 2000 SP3 et +

IIS 5.0 et +IIS 5.0 et +

SQL Server 2000 / MSDE et +SQL Server 2000 / MSDE et +

IE 5.01 SP3 et +IE 5.01 SP3 et +

Exchange 2000, 2003 et +Exchange 2000, 2003 et +

Windows Media Player 6.4 et +Windows Media Player 6.4 et +

Office XP, 2003 et +Office XP, 2003 et +

MSXML 2.5, 2.6, 3.0, 4.0MSXML 2.5, 2.6, 3.0, 4.0

MDAC 2.5, 2.6, 2.7, 2.8MDAC 2.5, 2.6, 2.7, 2.8

Microsoft Virtual Machine (JVM)Microsoft Virtual Machine (JVM)

Nouvelles plateformesNouvelles plateformes

Seulement à distance, uniquement Seulement à distance, uniquement pour les mises à jourpour les mises à jour

XP EmbeddedXP Embedded

IA64IA64Mises à jour seulementMises à jour seulement

X64X64

Pas disponible tout de suitePas disponible tout de suite

Service Packs de SQL et Service Packs de SQL et ExchangeExchange

Mises à jour d’Office 2000Mises à jour d’Office 2000

Commerce ServerCommerce Server

Content Mgt ServerContent Mgt Server

BizTalkBizTalk

Host Integration ServerHost Integration Server

Mises à jour de sécurité (nouveautés)Mises à jour de sécurité (nouveautés)DirectXDirectX.NET Framework.NET FrameworkWindows MessengerWindows MessengerFrontPage Server ExtensionsFrontPage Server ExtensionsWindows Media Player 10Windows Media Player 10Windows Script 5.1, 5.5, 5.6Windows Script 5.1, 5.5, 5.6Windows Server 2003, 64-Bit Windows Server 2003, 64-Bit EditionEditionWindows XP 64-Bit EditionWindows XP 64-Bit EditionWindows XP Embedded Windows XP Embedded EditionEdition

MBSA – Rapports (GUI)

MBSA 2.0MBSA 2.0

démo

Options en ligne de commande

MBSA 1.2.xMBSA 1.2.x

/hf /h ou /hf /i/hf /h ou /hf /i

/c ou /i/c ou /i

/hf /x/hf /x

/hf/hf

/sus/sus

/hf /fip/hf /fip

/hf /fh/hf /fh

/v/v

MBSA 2.0MBSA 2.0

/target/target

/target/target

/catalog/catalog

/xmlout or /n */xmlout or /n *

/wa/wa

/listfile/listfile

/listfile/listfile

/ld/ld

* = OS+IIS+SQL+Motdepasse

MBSA 2.0

Analyse sans installationAnalyse sans installationmbsacli.exe, wsusscan.dll et wsusscan.cab mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors lignerequis pour une analyse hors ligne

PerformancePerformancePossibilité de lancer plusieurs instances Possibilité de lancer plusieurs instances simultanémentsimultanément

Supportera les CVE-IDs du Mitre quand Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft le contenu sera ajouté à Microsoft UpdateUpdateConnecteur Visio Connecteur Visio

Connecteur VisioConnecteur VisioAdd-in COM pour Visio 2003Add-in COM pour Visio 2003

Visualisation des résultats MBSAVisualisation des résultats MBSA

2 modes :2 modes :Import des résultats dans le schéma du réseauImport des résultats dans le schéma du réseau

Lancement du scan directement à partir du Lancement du scan directement à partir du schémaschéma

http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-http://www.microsoft.com/downloads/details.aspx?FamilyID=8ea27d78-32b5-4f37-a7fd-99ee2aa76c62&DisplayLang=en99ee2aa76c62&DisplayLang=en

MBSA - Compléments

MBSA 1.2.1

Fin de support au 31 mars 2006Fin de support au 31 mars 2006

MSSecure.xml (version MBSA 1.2.1)MSSecure.xml (version MBSA 1.2.1)

Ne concerne pasNe concerne pas• • Microsoft SMS 2.0 avec Software Update Microsoft SMS 2.0 avec Software Update

Services (SUS) Feature Pack Services (SUS) Feature Pack

• • Microsoft SMS 2003 Microsoft SMS 2003

http://support.microsoft.com/kb/914791

Agenda

Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)

La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)

La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)

La gestion des risques La gestion des risques (MSAT)(MSAT)

InoffensifInoffensif

PublicitéPublicité

Collecte donnéesCollecte données

SurveillanceSurveillance

NumérotationNumérotation

Utilisation distanteUtilisation distante

ChangChangtt paramètres paramètres

MalfaisantMalfaisant

Pas de nuisance Pas de nuisance potentiellepotentielle

Utilisation ressourcesUtilisation ressources

Collecte de données Collecte de données persoperso

Affichage de Affichage de publicitépublicité

Changement Changement paramétrageparamétrage

Numérotation Numérotation automatiqueautomatique

Clairement malfaisantClairement malfaisant

Enregistrement Enregistrement clavierclavier

Logiciel payé / publicitéLogiciel payé / publicitéPop-ups non autorisésPop-ups non autorisés

Barre de rechercheBarre de rechercheCanal cachéCanal caché

Utilitaire de Utilitaire de paramétrageparamétrageDétournement Détournement navigateurnavigateurContrôle parentalContrôle parentalKey loggersKey loggers

Logiciel FAILogiciel FAINuméroteur site pornoNuméroteur site porno

Appli de partage de Appli de partage de cyclescyclesPorte dérobéePorte dérobée

SasserSasser

Bloc-notesBloc-notes

Spectre des logiciels malveillants

Pote

nti

el d

e n

uis

an

ce

Pote

nti

el d

e n

uis

an

ce

AucuAucunn

ExtrêExtrêmeme

EXEMPLESDESCRIPTIONCOMPORTEMENT

InoffensifInoffensif

PublicitéPublicité

Collecte donnéesCollecte données

SurveillanceSurveillance

NumérotationNumérotation

Utilisation distanteUtilisation distante

ChangChangtt paramètres paramètres

MalfaisantMalfaisant

Spectre des logiciels malveillants

EXEMPLESDESCRIPTIONCOMPORTEMENT

Spyware (logiciel espion) Spyware (logiciel espion) ou autre logiciel indésirableou autre logiciel indésirable

programme qui effectue un certain programme qui effectue un certain nombre d’opérations sans le nombre d’opérations sans le

consentement approprié de l’utilisateurconsentement approprié de l’utilisateur

Virus, vers, chevaux de TroieVirus, vers, chevaux de TroieProgrammes ayant des activités malfaisantesProgrammes ayant des activités malfaisantes

Pote

nti

el d

e n

uis

an

ce

Pote

nti

el d

e n

uis

an

ce

AucuAucunn

ExtrêExtrêmeme

Quelques idées de l’ampleur

La cause d’au moins 1/3 de tous les crashes des La cause d’au moins 1/3 de tous les crashes des applications Windowsapplications Windows11

Problème majeur chez les OEMs : la cause Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dellnuméro 1 des appels au support chez Dell22

ConsommateursConsommateurs91 % des utilisateurs de l’Internet haut débit sont 91 % des utilisateurs de l’Internet haut débit sont affectésaffectés33

En moyenne : 5+ « spyware » /  « adware » par En moyenne : 5+ « spyware » /  « adware » par machinemachine44

Entreprise Entreprise 55

92 % des managers des DI interrogés pensent que leurs 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware »sociétés ont des « spyware »

1Analyses MS Watson/OCA, Jan-Mar 20042FTC Workshop, Avril 20043,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 20045Websense Web@Work Survey, Avril 2004

Microsoft Windows AntiSpyware

Lutte contre les logiciels espions

Aide à protéger les utilisateurs de Aide à protéger les utilisateurs de Windows contre les logiciels espions et Windows contre les logiciels espions et autres logiciels non désirésautres logiciels non désirés

• Détection et suppression des spywares / logiciels indésirablesDétection et suppression des spywares / logiciels indésirables• 9 agents en temps réel (dont Internet Explorer)9 agents en temps réel (dont Internet Explorer)• Analyses planifiéesAnalyses planifiées

• Arrêt des dernières menacesArrêt des dernières menaces• Communauté SpyNet : identifier les nouveaux spywaresCommunauté SpyNet : identifier les nouveaux spywares• Mise à jour automatique des signaturesMise à jour automatique des signatures

Windows DefenderWindows Defender

démo

Windows Defender

Plus de 25 millions de Plus de 25 millions de téléchargementstéléchargements

Retours positifsRetours positifs

Signatures anti-spyware mises à Signatures anti-spyware mises à jour toutes les semainesjour toutes les semaines

Site Microsoft Anti-spyware Site Microsoft Anti-spyware

http://www.microsoft.com/spywarehttp://www.microsoft.com/spyware

Evolution de l’Anti-spyware

Windows ClientWindows Client

Détection et suppression des Détection et suppression des spywaresspywaresProtection continueProtection continueDéfenses à jourDéfenses à jour

Windows DefenderWindows Defender

En entrepriseEn entrepriseDéploiement centralisé (client et Déploiement centralisé (client et signatures)signatures)Rapports étendusRapports étendusOptions de configuration et contrôle Options de configuration et contrôle Admin des signaturesAdmin des signatures

Outil de suppression des logiciels malfaisants (MSRT)

Mise à jour tous les mois pour Mise à jour tous les mois pour supprimer les nouveaux supprimer les nouveaux logiciels malfaisantslogiciels malfaisantsCiblé vers les consommateurs Ciblé vers les consommateurs sans antivirussans antivirusDéployable en entreprise Déployable en entreprise comme partie intégrante d’une comme partie intégrante d’une stratégie de défense en stratégie de défense en profondeurprofondeurDisponible à traversDisponible à travers Windows UpdateWindows Update Auto UpdateAuto Update Interface en ligne (ctrl ActiveX Interface en ligne (ctrl ActiveX

sur sur http://www.microsoft.com/frahttp://www.microsoft.com/france/securite/outils/malware.nce/securite/outils/malware.mspxmspx) )

Download CenterDownload Center

Complémente les technologies traditionnelles des Antivirus en Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandusfournissant un outil qui supprime virus et vers les plus répandus

Outil de suppression des logiciels malfaisants

Remplace toutes les versions précédentes Remplace toutes les versions précédentes des logiciels d’éradication de codes des logiciels d’éradication de codes malfaisants produits par Microsoftmalfaisants produits par Microsoft

CibleCibleBlaster, Sasser, MyDoom, DoomJuice, Zindos, Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Berbew (aussi connu comme Download.Ject), Gaobot, Nachi, Sober, ZorobGaobot, Nachi, Sober, Zorob

Disponible dans les 23 langues supportés Disponible dans les 23 langues supportés par Windows XPpar Windows XPhttp://support.microsoft.com/?id=890830http://support.microsoft.com/?id=890830 http://www.microsoft.com/france/securite/outils/fahttp://www.microsoft.com/france/securite/outils/families.mspxmilies.mspx

Agenda

Vulnérabilité, bulletins et Vulnérabilité, bulletins et alertes (MSRC)alertes (MSRC)

La gestion des correctifs La gestion des correctifs (WSUS, MBSA)(WSUS, MBSA)

La suppression des intrus La suppression des intrus (Antispyware, MSRT)(Antispyware, MSRT)

La gestion des risques La gestion des risques (MSAT)(MSAT)

Pas simplement des technos…

Les 3 facettes de la sécurité

ArchitectureArchitecturesécuriséesécurisée

Technologies

Technologies

OSOS

Annuaire

Annuaire

Correctif

s

Correctif

s

IPSECIPSEC

KerberosKerberos

PKIPKI

ChiffrementChiffrement

de fichiersde fichiers

SSL/TLS

SSL/TLS

Clusters

Clusters

Détectio

n

Détectio

n

d’in

trusio

nd

’intru

sion

Gestion de systèmes

Gestion de systèmes

SupervisionSupervision

Pare-feuPare-feu

Antivirus

Antivirus

PersonnesPersonnesAdmin.Admin.de l’Entreprise

de l’EntrepriseAdm

in.

Admin

.

Du Dom

aine

Du Dom

aine

Service/Service/

SupportSupport

Développeur

DéveloppeurUtilisateurUtilisateur

ArchivageArchivage

Politique

Politiqued’accès

d’accès

Inst

alla

tion

Inst

alla

tion

Réparation

RéparationGes

tion d

es

Ges

tion d

es

évén

emen

ts

évén

emen

ts

Gestion desGestion des

perfsperfs

Gestion du

Gestion du

Changement /

Changement /

de la C

onfiguratio

n

de la C

onfiguratio

n

Proc

essu

s

Proc

essu

s

RestaurationRestauration Sauvegard

e

Sauvegard

e

Réponse à Réponse à IncidentIncident

Évalu

atio

n

Évalu

atio

n

de ri

sque

s

de ri

sque

s

Microsoft Security Risk Self-Assessment Tool

Évaluer les faiblesses de Évaluer les faiblesses de votre environnement en votre environnement en matière de sécurité matière de sécurité informatiqueinformatiqueQuestionnaire détailléQuestionnaire détailléTraite infrastructure, Traite infrastructure, applications, opérations applications, opérations et personnel et personnel

Multilangue, mise à jour Multilangue, mise à jour en ligneen lignePossibilité de Possibilité de comparaison anonymecomparaison anonyme

http://www.microsoft.com/france/securite/outils/riskself.mspxhttp://www.microsoft.com/france/securite/outils/riskself.mspx

MSATMSAT

démo

Publications MicrosoftGuides de sécurité pour le poste de Guides de sécurité pour le poste de

travail:travail:

http://www.microsoft.com/technet/security/topics/DesktopSecurity.mspx

Publications MicrosoftGuides de sécurité pour les serveurs:Guides de sécurité pour les serveurs:

http://www.microsoft.com/technet/security/topics/serversecurity.mspx

Abonnez-vous

Flash Sécurité : Flash Sécurité : http://www.microsoft.com/france/securite/newsletters.mspxhttp://www.microsoft.com/france/securite/newsletters.mspx

Grand public : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1

IT Pro : IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/Subhttps://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1CntDefault.aspx?LCID=1036&SIC=1

Alerte et BulletinsAlerte et Bulletinshttp://www.microsoft.com/technet/security/bulletin/http://www.microsoft.com/technet/security/bulletin/

notify.mspxnotify.mspxRSS Feed, Instant Messaging, Notification Service (+ RSS Feed, Instant Messaging, Notification Service (+

Comprehensive)Comprehensive)

Ressources

Général (Abonnements bulletins, alertes, newsflash)Général (Abonnements bulletins, alertes, newsflash)http://www.microsoft.com/securityhttp://www.microsoft.com/security http://www.microsoft.com/france/securitehttp://www.microsoft.com/france/securite

Security Guidance Center :Security Guidance Center :http://www.microsoft.com/security/guidancehttp://www.microsoft.com/security/guidancehttp://www.microsoft.com/france/securite/entreprises/default.mspxhttp://www.microsoft.com/france/securite/entreprises/default.mspx

Outils : Outils : http://www.microsoft.com/technet/Security/toolshttp://www.microsoft.com/technet/Security/tools

Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ?http://www.microsoft.com/technet/itsolutions/msithttp://www.microsoft.com/technet/itsolutions/msit

E-Learning Clinics : E-Learning Clinics : https://www.microsoftelearning.com/securityhttps://www.microsoftelearning.com/security

Événements et Événements et Webcasts : Webcasts : http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspx

Hotline sécurité : 0 825 827 829 code 55Hotline sécurité : 0 825 827 829 code 55

Nous sommes tous des ingénieurs support

Pour notre famillePour notre famille

Pour nos amisPour nos amis

Pour nos voisinsPour nos voisins

www.protegetonordi.com

La sécurité informatique à la maison

www.microsoft.com/france/securite/gpublic/default.mspx

Windows Live Safety Center (beta)

http://safety.live.com/site/en-US/center/howsafe.htm

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com