windows xp service pack 2 en entreprise pascal sauliere consultant principal sécurité, cissp...
TRANSCRIPT
Windows XP Service Pack 2 en EntrepriseWindows XP Service Pack 2 en Entreprise
Pascal SauliereConsultant Principal Sécurité, CISSPMicrosoft Francehttp://microsoft.com/france/securite
Objectifs et points clés
Objectifs de la sessionRevue des composants principaux du SP2Projet de déploiementCompatibilité des applicationsMécanismes de déploiementPrincipes de l’administration
Points clésLe déploiement de XP SP2 est un événement majeur
Traitez-le comme un mini déploiement d’OSTestez, testez, testez !Les utilisateurs seront impactés
Formation et communicationProfitez de SMS 2003 pour minimiser l’impact du déploiementProfitez d’Active Directory pour l’administration
Agenda
Fonctionnalités de Windows XP SP2
Projet de déploiement
Méthodes de déploiement
Administration
Fonctionnalités du SP2Fonctionnalités du SP2
Vous nous avez dit…
« Donnez-nous un « Donnez-nous un bon contrôle bon contrôle
d’accès »d’accès »
« Donnez-nous un « Donnez-nous un bon contrôle bon contrôle
d’accès »d’accès »
« Développez du code « Développez du code fiable fiable
et sécurisé »et sécurisé »
« Développez du code « Développez du code fiable fiable
et sécurisé »et sécurisé »
« Simplifiez la « Simplifiez la maintenance »maintenance »« Simplifiez la « Simplifiez la maintenance »maintenance »
« Réduisez l’impact « Réduisez l’impact du code malveillant »du code malveillant »« Réduisez l’impact « Réduisez l’impact
du code malveillant »du code malveillant »
Amélioration des mises à Amélioration des mises à jourjour
Excellence de Excellence de l’engineeringl’engineering
Authentification, Authentification, Autorisation, Contrôle Autorisation, Contrôle d’accèsd’accès
Isolation et résilienceIsolation et résilience
« Donnez-nous de « Donnez-nous de meilleurs conseils »meilleurs conseils »« Donnez-nous de « Donnez-nous de
meilleurs conseils »meilleurs conseils »Fournir des guides Fournir des guides prescriptifs, des outils, de prescriptifs, des outils, de bonnes réponsesbonnes réponses
Nos actions…Nos actions…
Notre réponse : les tâches de MicrosoftIsolation et Isolation et RésilienceRésilience
Amélioration Amélioration des mises à des mises à
jourjourAuthentificationAuthentification, Autorisation et , Autorisation et
Contrôle Contrôle d’Accèsd’Accès
Excellence en Excellence en ingénierieingénierie
Guides, Outils Guides, Outils et Réponseet Réponse
Réduire le risque d’arrêt de Réduire le risque d’arrêt de l’activitél’activité
Diminuer le coût du maintien à Diminuer le coût du maintien à jour er augmenter l’efficacitéjour er augmenter l’efficacité
Simplifier l’adoption de la gestion Simplifier l’adoption de la gestion de la sécuritéde la sécurité
Élever le niveau de la sécurité des Élever le niveau de la sécurité des logicielslogiciels
Accélérer l’adoption des Accélérer l’adoption des meilleures pratiquesmeilleures pratiques
Fonctionnalités du SP2Résumé audacieux
Centre de sécurité Windows : paramètres de sécurité de votre ordinateur à partir d'un emplacement unique (hors domaine)Pare-feu Windows : installé et activé par défautProtection du téléchargement pour Internet ExplorerGestionnaire de pièces jointes : Outlook Express, Windows Messenger et Internet ExplorerBloqueur de fenêtres publicitaires intempestives (pop-up blocker) dans Internet ExplorerWindows Movie Maker 2.1Modifications apportées au Lecteur Windows Media Microsoft (mis à jour vers Windows Media Série 9)
Isolation et RésilienceRéduction des modes d’attaque
Communiquer et collaborer de manière plus sécuriséeCommuniquer et collaborer de manière plus sécuriséesans sacrifier la productivité des collaborateurssans sacrifier la productivité des collaborateurs
Protection réseauProtection réseau
Mail et IM plus sûrsMail et IM plus sûrs
Navigation Web Navigation Web plus sûreplus sûre
Protection contre lesProtection contre lesBuffer OverflowBuffer Overflow
Projet de déploiementProjet de déploiement
Projet de déploiement
Microsoft Solutions Framework
Compatibilité des applications
Revue et mise à jour de la politique de sécurité
Éducation et formation des utilisateurs
Déploiement en phases
Projet de déploiement
Équipes :Compatibilité, testsDéploiementSécuritéFormation et communication
Phases :Microsoft Solutions Framework
Projet de déploiementPhase Vision
Définir les paramètres du projetObjectifsÉquipesCalendriers
Identifier les applications et cas d’usage
Applications critiquesTop 10 installationsApplications Web / sites Web
Identifier le matérielDrivers critiquesDrivers les plus courants
Projet de déploiementPhase Planification 1/3
Équipe compatibilité, testsIdentifier les applications et cas d’usage (applications critiques, applications web)Identifier le matériel à tester
Équipe déploiementIdentifier les machines avec ressources suffisantesIdentifier les machines dial-up (OU, nom, IP, « tag »)Déterminer les besoins et l’impact réseauDévelopper une méthodologie de déploiement en phases
Définir des ensembles selon des critères raisonnablesPhases pilote, volontaire, obligatoire
Évaluer les options d’installationInstallateur compressé / fichiers d’installation décompressésDistribution : logiciel ou patchSlispstreaming
Identifier les pré requis (correctifs SMS 2003 ou SMS 2003 SP1)
Projet de déploiementPhase Planification 2/3
Équipe formation et communicationÉvaluer l’impact sur les « utilisateurs anxieux » : déploiement de correctifs de compatibilité, utilisateurs pilotes, formateurs internes
Équipe sécuritéÉvaluer les paramètres d’IE et du Windows Firewall
Analyser et évaluer les méthodes de configuration
Group Policies – documentation en ligne
Outils ligne de commande
Utilisation du fichier .inf du firewall
unattend.txt – personnalisation de l’installation
Scripting
Projet de déploiementPhase Planification 3/3
Équipe sécuritéDéterminer la configuration idéale (IE et WF)
Évaluer les compromis possibles
Évaluer l’impact et le support des machines hors domaine
Nécessite une approche par script ou ligne de commande
Identifier les besoins en rapports de conformitéCourt terme : inventaire SMS pour capturer les réglages par fournisseur (firewall, antivirus…)
Long terme : étendre l’inventaire SMS pour capturer l’information depuis le nouvel espace de nom « root/SecurityCenter »
Identifier, définir et implémenter les politiques d’exemption du Windows Firewall par GPO
Projet de déploiementPhase Développement
Équipe Compatibilité et testsTester les applications et périphériques identifiés avec le SP2
Tester les sites web identifiés
Actions correctives pour les applications et sites web qui posent problème
Créer des package pour le déploiement :Application Compatibility Database – sdbinst.exe
Mises à jour de drivers
Mises à jour applicatives (ne pas étendre trop le périmètre !)
Documenter les procédure de récupération
Base de données de compatibilité des applications (ACT)
Projet de déploiementPhase Développement
Équipe déploiementScripts d’installation, slipstreamRapports et tableaux de bord SMSCollections SMS, par phasesPackages de correctifs (infrastructure, drivers, applications)Simulation d’échecs (coupure réseau, coupure électrique, reboot pendant l’installation…)Gestion des exclusions et exceptionsDésinstallation des correctifs obsolètes
Projet de déploiementPhase Développement
Équipe SécuritéScripts de configuration du firewall
Autoriser le contrôle à distance SMS, l’assistance à distance
Scripts de configuration d’IEConsidérer la stratégie locale
Critères et procédures d’exception
Projet de déploiementPhase Stabilisation
Toutes les équipesDémarrer le déploiement pilote
Créer tous les packagesAnnonce du déploiement volontaireDéploiement obligatoire pour le groupe pilote
Surveiller le déploiementRapports web SMS, inventaireIncidents du help desk
Affiner le processusDéploiementConfigurationModification des scripts, packages
Projet de déploiementPhase Déploiement
Revue du déploiement pilote
Déploiement en phasesEntitésSegments WAN/LAN
Surveillance et ajustements si nécessaire
Limiter le nombre de machines par jour :
Capacité réseau et infrastructureCapacité du help deskNombre de problèmes rencontrés
Projet de déploiementProjet terminé
Compatibilité des applicationsCompatibilité des applications
Application Compatibility Toolkit (ACT) 4.0
Compatibilité des applicationsDomaine fonctionnel Statut
compatibilitéNX & /GS Expérience
utilisateur modifiéeGestion des pièces jointes
Pare-feu WindowsApplications, services
Configuration requise (peu d’applications)
DCOM & RPCLaunch and activation permissions, remote anonymous access, remote non-admin activation & launch, RPC requires authenticated access
Autres composantsInternet ExplorerPop-up blocker, auto download blocking, windows restrictions, MIME handling, binary behaviors, object caching, zone elevation, LMZ lockdown, mk:// protocol
Configuration requise (quelques applications)
Application Compatibility Toolkit (ACT)
Méthodes et informations pour résoudre les problèmes de compatibilité les plus courants
ACT 3.0http://www.microsoft.com/windowsserver2003/compatible/appcompat.mspx
ACT 4.0Spécifiquement conçu pour le SP2Pour les professionnelsBeta disponible :http://www.microsoft.com/windows/appcompatibility/act4beta.mspxVersion finale selon feedback de la beta
Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2 (SP2)http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/appcom/default.mspx
Méthodes de déploiementMéthodes de déploiement
Méthodes de déploiement
Mise à jour – systèmes existants
Installation intégrée (slipstream) – nouveaux systèmes
Outils et fichiers
http://go.microsoft.com/fwlink/?linkID=23354
WindowsXP-KB835935-SP2-ENU.exeWindowsXP-KB835935-SP2-FRA.exeXPSP2.EXE sur le CD
Update.exe (dans update\)
Windows Installer et Update.msi (dans update\)
Unattend.txt pour les installations intégrées
Outils et fichiers
Extraction : XPSP2.EXE /u /x:<chemin>
XPSP2.EXE /?
update\update.exe /?
Déploiement avec SMS 2.0
SMS 2.0 SP41. Créer le package SMS en important
le fichier de définition2. Fournir le chemin vers le SP2 dans le
package3. Distribuer le package vers les points
de distribution4. Créer une publication pour notifier
les clients5. Vérifier l’installation du SP2
(inventaire ou MBSA)
Déploiement avec SMS 20031. Créer les collections des systèmes
Windows XP cibles2. Créer le package SMS3. Créer le programme pour le package SMS4. Spécifier les points de distribution, et
copier le package sur les points de distribution
5. Créer une publication et sélectionner le package (2), le programme (3) et la collection (1)
6. Vérifier l’installation du SP2 à l’aide du rapport « Computers with a specific Operating System and Service Pack »Surveiller le statut de publication dans la console
Déploiement avec Windows Installer et une Group Policy1. Créer un dossier de distribution
partagé – permission lecture pour les utilisateurs et ordinateurs cibles – copier les fichiers du SP2 extraits (i386)
2. Créer un GPO pour le déploiement du SP2
3. Créer le package associé au GPO – dans la partie Ordinateur
4. Vérifier l’installation avec MBSA
Déploiement avec SUS
SUS 1.0 SP1
1. Télécharger le SP2 pour les langues utilisées sur le réseau
2. Définir les politiques d’installation du SP2 et autres mises à jour
3. Installer le SP2Approuver le SP2
4. Vérifier l’installation avec MBSA
Installation intégrée
1. Créer un répertoire de distributionmd d:\xpsp2\pro
2. Copier Windows XP Gold dans le répertoire xcopy [CD]:\ d:\xpsp2\pro /e
3. Extraire les fichiers du SP2WindowsXP-KB835935-SP2-FRA.exe /u /x:d:\temp
4. Intégrer le SP2 dans le répertoire de distributiond:\temp\i386\update\update.exe /integrate:d:\xpsp2\pro
5. Personnaliser l’installation de Windows XP
AdministrationAdministration
Nouveaux modèles d’administrationModèles :
system.adm (Windows 2000, XP, 2003)
inetres.adm (Internet Explorer)
conf.adm (NetMeeting 3.01)
wmplayer.adm (Windows Media Player)
wuau.adm (Automatic Updates)
Modèles d’administration
Nouveautés
Créer le GPO avec Active Directory Users and Computers ou GPMC
Éditer le GPO depuis un poste Windows XP SP2
Pour mettre à jour les .adm sur les DC
Correctif 842933 pour l’erreur « The following entry in the [strings] section is too long and has been truncated » sur Windows Server 2003, 2000, XP SP1…http://support.microsoft.com/?id=842933
Nouveautés
Configuration du client AutoUpdate
Configuration du Centre de Sécurité
Configuration du Pare-feu Windows
Configuration d’Internet Explorer
Références
816662 - Recommendations for managing Group Policy administrative template (.adm) fileshttp://support.microsoft.com/?id=816662842933 - The following entry in the [strings] section is too long and has been truncated error message when you try to modify or to view GPOs in Windows Server 2003, Windows XP, or Windows 2000http://support.microsoft.com/?id=842933Group Policy Settings Reference for Windows XP Professional Service Pack 2http://go.microsoft.com/fwlink/?LinkId=22031
ConclusionConclusion
Références
Windows XP Service Pack 2 Resources for IT Professionalshttp://www.microsoft.com/technet/prodtechnol/winxpproWindows XP Service Pack 2 (SP2) for IT Professionalshttp://support.microsoft.com/gp/windowsxpsp2itDeploying Windows XP Service Pack 2 in Enterprise Environments – Windows XP Service Pack 2 Enterprise Planning Guidehttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/sp2entpl.mspx
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.