8. Gestion des correctifs

 

Les systèmes d'exploitation et les applications sont souvent très complexes. Ils sont parfois constitués de millions de lignes de code, écrites par un grand nombre de programmeurs différents. Par conséquent, il est essentiel de disposer de logiciels fiables qui ne compromettent pas la sécurité et la stabilité de l'environnement informatique. Pour limiter les problèmes, les programmes sont soigneusement testés avant d'être commercialisés. Cependant, les pirates informatiques n'ont de cesse de rechercher des faiblesses dans les logiciels, de sorte qu'il est impossible de prévoir toutes les attaques à venir.

Les éditeurs de logiciels publient des correctifs destinés à résoudre les faiblesses présentes dans le code ou dans l'implémentation et qui se manifestent après la sortie d'un produit. Un correctif est un fragment de code objet inséré dans un programme exécutable afin de résoudre provisoirement un bogue.

De plus en plus, ces problèmes sont liés à la sécurité. Non seulement le nombre d'attaques augmente, mais les pirates informatiques ont également recours à des méthodes toujours plus sophistiquées. Par ailleurs, pour exploiter les vulnérabilités de sécurité des logiciels, ils créent en permanence du nouveau code malveillant, c'est-à-dire du code exécutable qui cause des dommages intentionnels ou fortuits dans un nouvel environnement de travail. Cependant, il arrive aussi que certains correctifs soient simplement destinés à ajouter des fonctionnalités utiles à un produit.

Pour la majorité des entreprises, la gestion des correctifs de sécurité est d’une importance capitale. Dès qu'une faiblesse a été mise en évidence dans un logiciel, les pirates se font un plaisir de diffuser instantanément l'information au sein de leur communauté. Les éditeurs de logiciels mettent alors tout en œuvre pour publier le plus rapidement possible un correctif de sécurité destiné à éliminer la vulnérabilité. Cependant, en attendant que le correctif puisse être déployé, la sécurité, pierre angulaire de toute infrastructure informatique, risque d'être gravement compromise.

Que votre entreprise compte plusieurs milliers d'ordinateurs ou seulement quelques-uns, la gestion de tous les correctifs disponibles, le choix des correctifs pertinents pour votre environnement et l'évaluation du nombre de tests que vous avez le temps de réaliser avant de les déployer sont autant de tâches compliquées et fastidieuses. Après avoir appliqué le dernier Service Pack disponible pour Microsoft® Windows® 2000 sur tous les systèmes Contoso, chaque serveur a fait l'objet d'un examen afin de sélectionner les correctifs logiciels susceptibles d'y être installés. Il s'est avéré que tous les serveurs nécessitaient les mêmes correctifs. Quelques correctifs supplémentaires spécialement conçus pour Internet Information Service (IIS) ont été également installés mais uniquement sur les serveurs Web.

Ce chapitre a pour but de vous aider à préserver la sécurité de vos serveurs Windows 2000, mais les procédures qu'il décrit peuvent s'appliquer à la gestion des correctifs de mise à jour de vos autres logiciels. Pour obtenir des détails précis sur le déploiement de mises à jour relatives à un autre logiciel, il est conseillé de contacter le fabricant de ce logiciel.

Terminologie

Dans ce guide, les expressions « correctif », « correctif logiciel » et « Service Pack » sont employées indifféremment pour représenter des modifications apportées à un logiciel après sa publication. En effet, le processus de déploiement est identique dans les trois cas. Chacune de ces expressions correspond cependant à une modification spécifique.

Service Packs

Un Service Pack permet de maintenir à jour un produit, de corriger des problèmes connus et, éventuellement, d'étendre les fonctionnalités du réseau informatique. Présenté sous la forme d'un package et facile à télécharger, il se compose d'outils, de pilotes et de mises à jour, et comprend des améliorations développées après la publication du produit. Les Service Packs sont propres à un produit ; à chaque produit correspond donc une série distincte de Service Packs. Toutefois, le même Service Pack est généralement utilisé pour différentes versions d'un même produit. Par exemple, un Service Pack unique sert à mettre à jour Windows 2000 Server et Windows 2000 Professionnel. Les Service Packs sont cumulatifs : un nouveau Service Pack contient tous les correctifs logiciels des versions précédentes ainsi que les nouveaux correctifs et modifications système recommandés depuis. Il n'est donc pas nécessaire d'installer tous les Service Packs : le dernier suffit. Un Service Pack peut en outre contenir un nombre limité de fonctionnalités ou modifications de conception demandées par les clients. En raison de leur large distribution, ils sont préalablement soumis à des tests approfondis.

Correctifs logiciels ou QFE

Quick Fix Engineering (QFE) est un groupe interne chez Microsoft qui élabore des correctifs logiciels, c'est-à-dire des corrections apportées au code des produits. La plupart de ces équipes portent aujourd'hui l'appellation « Sustained Engineering ». Les correctifs logiciels ou QFE sont fournis aux clients qui rencontrent des problèmes critiques auxquels il n'est pas possible de remédier par une astuce quelconque. Certains documents techniques utilisent l'abréviation QFE pour faire référence à des correctifs logiciels. Ceux-ci ne sont pas soumis à des tests de régression intensifs, et ils s'appliquent à des problèmes très spécifiques. N'appliquez un correctif logiciel que si vous rencontrez exactement le problème qu'il corrige et si vous utilisez la version actuelle du logiciel avec le dernier Service Pack. Des groupes de correctifs logiciels sont incorporés périodiquement aux Service Packs. Ils subissent alors des tests plus rigoureux et sont mis à la disposition de tous les clients.

Correctifs de sécurité

Les correctifs de sécurité sont conçus pour éliminer des vulnérabilités en matière de sécurité. Un intrus peut exploiter ces vulnérabilités pour accéder par effraction à un système. Correctifs de sécurité et correctifs logiciels sont similaires, mais les premiers sont obligatoires si les circonstances auxquelles ils s'appliquent sont vérifiées, et ils doivent être déployés rapidement. Les mises à jour de sécurité qui sont publiées concernent, pour la plupart, des problèmes rencontrés par des applications clientes (très souvent des navigateurs). Elles ne sont pas forcément pertinentes pour les installations de serveur.

Gestion des correctifs dans votre entreprise

Le type d'implémentation choisie pour la gestion des correctifs dépend pour une large part de la taille et de la complexité de votre entreprise. Il est toutefois essentiel de bien comprendre l'importance de la gestion des correctifs et son rôle dans la stratégie globale de gestion des risques pour votre entreprise.

Par exemple, si vous décidez de réduire les risques à tout prix, vous pouvez appliquer une stratégie prescrivant la fermeture de tous les systèmes de production dès qu'une nouvelle vulnérabilité est mise en évidence dans un logiciel. Ensuite, vous pouvez choisir de ne pas redémarrer les systèmes tant que le correctif de sécurité n'a pas été rigoureusement testé et déployé dans toute l'entreprise. Ce processus est très long et coûteux, ce qui rend son application impossible pour bon nombre d'entreprises.

Le processus de gestion des correctifs suppose une évaluation permanente des risques par rapport au coût de déploiement des contre-mesures appropriées. Il peut s'écouler un bref délai entre la découverte d'une vulnérabilité du système de sécurité et la publication du correctif approprié. Il est donc important d'évaluer le risque posé par cette vulnérabilité et de déterminer les mesures à prendre jusqu'au moment du test et du déploiement d'un correctif.

Ces mesures peuvent comprendre la désactivation de services, la déconnexion de systèmes ou la limitation de l'accès aux utilisateurs internes, ou à d'autres groupes le cas échéant. Dès qu'un correctif est disponible, vous devez mettre dans la balance, d'une part, le risque posé par un déploiement immédiat et, d'autre part, les coûts induits par la période d'indisponibilité ou d'absence de protection des services tout au long des tests visant à vérifier l'absence d'impact négatif du correctif sur le système. Si vous optez pour les tests, vous devez décider de leur étendue et de leur durée avant que les risques posés par le non déploiement du correctif n'excèdent ceux de son déploiement.

Remarque

Votre entreprise doit implémenter un processus de gestion des modifications. Le modèle Microsoft Operations Framework (MOF) comprend un processus de gestion du changement qui peut servir de base à celui de votre entreprise. Pour plus d'informations sur le modèle MOF, reportez-vous à la section « Informations complémentaires » en fin de chapitre.

 

Évaluation de votre environnement actuel

Souvent, les correctifs sont appliqués de manière peu homogène dans l'entreprise et aucune documentation n'explique pourquoi, quand et où ils ont été déployés. Vous ne pouvez pas gérer correctement la sécurité de votre environnement si vous n'avez pas une connaissance détaillée de son état actuel. Pour assurer la gestion des correctifs, vous devez pouvoir identifier les éléments suivants :

·         les systèmes installés dans votre environnement et notamment :

·         les systèmes d'exploitation et leurs versions ;

·         les niveaux de correctifs appliqués (versions de Service Pack, correctifs logiciels et autres modifications) ;

·         leur fonction ;

·         les applications employées dans l'ensemble de l'environnement ;

·         les informations de contact sur les individus et groupes responsables de la maintenance de chaque système ;

·         les ressources de votre environnement et leur valeur relative ;

·         les menaces connues et les processus utilisés pour identifier les nouvelles menaces ou les changements de niveau des menaces existantes ;

·         les vulnérabilités connues et les processus utilisés pour identifier les nouvelles vulnérabilités ou les changements de niveau des vulnérabilités existantes ;

·         les contre-mesures déployées dans votre environnement.

Il est fortement recommandé de mettre ces informations à la disposition de toutes les personnes participant au processus de gestion des correctifs et d'assurer leur mise à jour permanente.

Avec une bonne connaissance des ressources, des vulnérabilités, des menaces et de la configuration de votre environnement, vous pouvez déterminer les menaces et vulnérabilités susceptibles de poser un problème à votre entreprise, ainsi que l'ordre de priorité de leur traitement.

Service de mise à jour des logiciels (SUS)

Dans bon nombre d'environnements, il est utile de disposer d'ordinateurs principalement dédiés aux procédures de gestion des correctifs. Ces systèmes constituent des emplacements spécialisés pour stocker les outils de sécurité, les correctifs, les correctifs logiciels, les Service Packs et la documentation afférente. Vous pouvez y centraliser l'exécution des tâches d'analyse, d'extraction et de déploiement des correctifs. Dans ce guide, de tels systèmes sont appelés « services de mise à jour des logiciels » (SUS, Software Update Service).

Veillez à ce que vos services de mise à jour dédiés à la sécurité soient installés sur un ou plusieurs ordinateurs dédiés, protégés et contrôlés par des mesures particulièrement strictes. En effet, ils vont servir à déployer et à gérer les correctifs de sécurité destinés à tous les systèmes de l'environnement.

Dans la mesure où la charge imposée aux services de mise à jour de la sécurité est généralement très faible, il n'est pas nécessaire de choisir des serveurs très puissants. Toutefois, le facteur de disponibilité revêt une importance majeure puisque ces systèmes doivent garantir la mise à jour de votre environnement par l'application des correctifs les plus récents.

Pour être efficace, un ordinateur dédié à la mise à jour de la sécurité doit bénéficier d'un accès direct ou indirect à Internet afin de pouvoir télécharger les dernières informations relatives aux correctifs à partir de sources de confiance. Il doit, en outre, pouvoir accéder à tous les ordinateurs qu'il doit mettre à jour.

Vous trouverez des exemples et des extraits de scripts à exécuter à partir d'un service de mise à jour de la sécurité SUS plus loin dans ce chapitre.

Remarque

Le modèle MOF traite des systèmes de mise à jour dans le cadre du processus de gestion des versions.

 

Communication

Une entreprise de petite taille n'a généralement besoin que d'une seule personne pour assurer la mise à jour, les tests et l'installation des correctifs, ainsi que la consultation des divers fichiers journaux générés par ces opérations. En revanche, les environnements plus importants exigent souvent la présence de plusieurs responsables pour superviser les différents aspects de la gestion des correctifs de sécurité.

Il est très important que tous ces responsables puissent communiquer de manière efficace. Ils peuvent ainsi prendre des décisions sans fournir d'efforts redondants et sans qu'aucune étape du processus ne soit escamotée.

Gestion des correctifs et gestion du changement

La gestion des correctifs ne représente, pourrait-on dire, qu'un sous-ensemble de la gestion du changement Si votre entreprise dispose déjà d'une procédure de gestion du changement vous n'aurez pas à créer un tout nouveau processus pour la gestion des correctifs. Ce chapitre fournit néanmoins des informations spécifiques au processus de gestion des correctifs, qui vous permettront d'optimiser le processus de gestion du changement existant.

Pour être efficace, une procédure de contrôle du changement modifications doit disposer d'un propriétaire identifié et d'un chemin pour les entrées client. Un journal d'audit doit assurer le suivi de toutes les modifications. Outre une période d'annonce et de révision clairement définie, elle doit comporter des procédures de test et un plan de restauration à l'état initial parfaitement maîtrisé.

Processus de gestion des correctifs

L'organigramme suivant représente le processus de gestion des correctifs.


 


Figure 8-1. Processus de gestion des correctifs.

Examinons de plus près les différentes étapes :

·         Analyse. Examinez l'environnement actuel et les menaces potentielles. Déterminez les correctifs à déployer pour réduire les menaces.

·         Planification. Identifiez les correctifs à déployer pour éliminer les menaces potentielles et les vulnérabilités précédemment détectées. Désignez un responsable des tests et du déploiement et définissez les procédures requises.

·         Tests. Passez en revue les correctifs disponibles et classez-les en différentes catégories en fonction de votre environnement. Testez tous les correctifs sélectionnés pour vérifier qu'ils n'ont pas d'impact négatif sur votre environnement. Cherchez à comprendre l'action de chaque correctif et ses effets sur votre environnement. Vérifiez que le correctif accomplit les actions prévues.

·         Déploiement. Déployez les correctifs appropriés pour garantir la sécurité de l'environnement.

·         Surveillance. Après avoir déployé les correctifs, contrôlez tous les systèmes pour vérifier l'absence d'effets secondaires indésirables.

·         Révision. Dans le cadre du processus suivi de gestion des correctifs, vous devez périodiquement faire le point sur les nouveaux correctifs publiés, sur votre environnement et sur les correctifs nécessaires pour votre entreprise. Si cette étape de révision met en évidence la nécessité de déployer de nouveaux correctifs, recommencez la procédure depuis le début.

Important

Il est fortement recommandé de sauvegarder tous les systèmes de production avant de déployer des correctifs.

 

Analyse de l'environnement à la recherche des correctifs manquants

Vous devez vérifier régulièrement si vous disposez des derniers correctifs. Il arrive parfois qu'un nouveau correctif soit publié et que vous deviez l'installer sur tous vos serveurs. Il est également possible que vous mettiez en service un nouveau serveur et que vous deviez lui appliquer les correctifs appropriés. Il est important d'analyser tous les serveurs pour s'assurer de la présence des correctifs les plus récents. Pour ce faire, vous disposez de toute une panoplie d'outils.

Microsoft Baseline Security Analyzer

L'outil Microsoft Baseline Security Analyzer (MBSA) a été conçu pour analyser les ordinateurs exécutant Windows NT 4.0, Windows 2000, Windows XP Professionnel et Windows XP Édition familiale, Windows Server 2003. MBSA peut être exécuté à partir de n'importe quel ordinateur Windows 2000 Professionnel, Windows 2000 Server, Windows XP Édition familiale ou Windows XP Professionnel.

Pour garantir la protection permanente d'un système, il est important de s'assurer que les derniers correctifs de sécurité en date sont installés. Il faut donc savoir quels correctifs ont déjà été appliqués et, plus important encore, lesquels ne l'ont pas été. L'outil MBSA fournit ces informations en se référant à une base de données XML (Extensible Markup Language) constamment mise à jour par Microsoft. Pour cela, il recourt à la même technologie que HFNetChk, bien connu, publié par Microsoft en août 2001.

Le fichier XML contient des informations au sujet des correctifs logiciels disponibles pour chaque produit Microsoft. Il comprend le nom et le titre du bulletin de sécurité concerné, ainsi que des données détaillées sur les correctifs de sécurité spécifiques du produit. Parmi ces informations, citons notamment le nom des fichiers compris dans chaque package de correctif ainsi que leurs versions et leurs sommes de contrôle, les clés de Registre créées ou modifiées par le package d'installation du correctif logiciel, des informations sur le caractère prioritaire de certains correctifs par rapport à d'autres, les numéros des articles apparentés dans la Base de connaissances Microsoft.

Lorsque vous exécutez l'outil MBSA pour la première fois, il doit obtenir une copie de ce fichier XML afin d'identifier les correctifs logiciels disponibles pour chaque produit. Le fichier XML peut être téléchargé à partir du site Web du Centre de téléchargement Microsoft. Il s'agit d'un fichier compressé (fichier .cab avec signature numérique). L'outil MBSA télécharge le fichier .cab et le décompresse sur l'ordinateur local exécutant MBSA après avoir vérifié sa signature. Notez qu'un fichier .cab est un fichier compressé similaire à un fichier WinZip (.zip).

Remarque

À chaque exécution, l'outil MBSA tente de se connecter à Internet pour télécharger le fichier XML depuis le site Microsoft. Si aucune connexion Internet n'est disponible, il recherche une copie locale du fichier XML dans son dossier d'installation. Chaque fois que ce fichier est téléchargé au cours d'une analyse, une copie locale de ce fichier est enregistrée sur l'ordinateur, dans l'éventualité d'un échec de connexion à Internet ultérieur. Il existe une autre possibilité pour les ordinateurs qui ne bénéficient pas d'une connexion à Internet : l'utilisateur peut télécharger séparément ce fichier à partir du site du Centre de téléchargement Microsoft et le copier sur les ordinateurs qui exécuteront l'outil MBSA.

 

Après la décompression du fichier CAB, l'outil MBSA analyse l'ordinateur (ou les ordinateurs sélectionnés) afin de déterminer le système d'exploitation utilisé, les Service Packs installés et les programmes exécutés. Il analyse ensuite le fichier XML et identifie les correctifs de sécurité disponibles pour la combinaison de logiciels installés sur l'ordinateur. Pour déterminer si un correctif spécifique est installé sur un ordinateur donné, l'outil MBSA vérifie trois éléments : la clé de Registre installée par le correctif, la version du fichier et la somme de contrôle de chaque fichier installé par le correctif.

Dans sa configuration par défaut, l'outil MBSA compare les informations des fichiers et les clés de Registre du sous-ensemble XML résultant aux informations du Registre et fichiers de l'ordinateur analysé. Si l'une des informations de fichier ou de clé de Registre présentes sur l'ordinateur ne correspond pas à celles contenues dans le fichier XML, il considère le correctif de sécurité associé comme n'étant pas installé et les résultats sont affichés dans le rapport de sécurité. Le numéro de l'article spécifique de la Base de connaissances lié au correctif apparaît également à l'écran.

En général, l'outil MBSA tente de détecter les problèmes de sécurité des systèmes d'exploitation Windows (Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003), comme l'état du compte « Invité », le type du système de fichiers, les partages de fichiers disponibles, les membres du groupe Administrateurs, et ainsi de suite. Le rapport de sécurité décrit les résultats de chaque vérification du système d'exploitation et fournit des instructions sur l'application d'un correctif logiciel pour chaque problème décelé.

Remarque

Pour employer l'outil MBSA, vous devez disposer d'un accès en tant qu'administrateur local ou administrateur de domaine pour l'ordinateur analysé.

 

Cet outil comprend un certain nombre de commutateurs de ligne de commande, répertoriés dans les tableaux suivants. Comme c'était le cas depuis la version 1.0 de l'outil MBSA, les résultats des analyses MBSA sont stockés dans des fichiers XML distincts, qu'il est ensuite possible de consulter via l'interface utilisateur MBSA. Les analyses MBSA comprennent l'ensemble des vérifications de mises à jours de sécurité, d'applications bureautiques, de Windows, d'IIS et de Microsoft® SQL Server disponibles.

Tableau 8-1. Commutateurs de lignes de commande MBSA

Commutateur

Fonction

Sélection de l'ordinateur à analyser

<pas d'option>

Analyse l'ordinateur local

/c <nom_de_domaine>\<nom_d'ordinateur>

Analyse l'ordinateur désigné

/i <xxx.xxx.xxx.xxx>

Analyse l'ordinateur dont l'adresse IP est spécifiée

/r <xxx.xxx.xxx.xxx -xxx.xxx.xxx.xxx>

Analyse les ordinateurs correspondant à la plage d'adresses IP spécifiée

/d <nom_de_domaine>

Analyse le domaine désigné

Sélection des options d'analyse à EXCLURE (concaténation possible, par exemple : /n OS+IIS+Updates)

/n IIS

Ignore les vérifications IIS

/n OS

Ignore les vérifications du système d'exploitation Windows

/n Password

Ignore les vérifications de mots de passe

/n SQL

Ignore les vérifications de SQL

/n Updates

Ignore les vérifications des mises à jour de sécurité

Options d'analyse des mises à jour de sécurité

/sus <serveur_SUS>

Vérifie uniquement les mises à jour de sécurité approuvées au niveau du serveur SUS spécifié

/s0

Ne supprime pas les remarques et les avertissements générés au cours de la vérification des mises à jour de sécurité

/s 1

Supprime les remarques générées au cours de la vérification des mises à jour de sécurité

/s 2

Supprime les remarques et les avertissements générés au cours de la vérification des mises à jour de sécurité

/nosum

Les totaux de contrôle des fichiers ne sont pas testés au cours de la vérification des mises à jour de sécurité

Définition du modèle de noms de fichiers de sortie

/o %domaine%

%nom_d'ordinateur% (%date%)

Affichage des résultats et des informations

/e

Affiche la liste des erreurs décelées au cours de la dernière analyse

/l

Affiche la liste de tous les rapports disponibles

/ls

Affiche la liste des rapports de la dernière analyse

/lr <nom_de_rapport>

Affiche un rapport récapitulatif

/ld <nom_de_rapport>

Affiche un rapport détaillé

/v

Affiche les codes de raison de mise à jour de sécurité

Autres options

/?

Affiche l'aide à l'utilisation

/qp

N'affiche pas la progression

/qe

N'affiche pas la liste des erreurs

/qr

N'affiche pas la liste des rapports

L'analyse HFNetChk tente de détecter les éventuelles mises à jour de sécurité manquantes ; ses résultats s'affichent sous la forme de texte dans la fenêtre de ligne de commande, comme c'est le cas dans la version autonome de l'outil HFNetChk. MBSA 1.1.1 comprend l'indicateur « /hf » qui indique l'exécution d'une analyse HFNetChk au moteur MBSA. Les commutateurs HFNetChk répertoriés ci-dessous peuvent être employés après l'indicateur « /hf » dans la ligne de commande.

Remarque

Les paramètres de l'analyse MBSA énumérés dans le tableau précédent ne peuvent pas être combinés avec l'option d'indicateur /hf.

 

Tableau 8-2. Commutateurs de lignes de commande HFNetChk.

Commutateur

Fonction

Sélection de l'ordinateur à analyser

-h <nom_d'hôte>

Analyse l'ordinateur dont le nom NetBIOS est spécifié. L'emplacement par défaut est l'hôte local. Pour analyser plusieurs ordinateurs, spécifiez leurs noms d'hôte en les séparant par une virgule.

-fh <nom_de_fichier>

Analyse les ordinateurs dont les noms NetBIOS (Network Basic Input/Output System) sont indiqués dans le fichier texte désigné. Spécifiez un seul nom d'ordinateur par ligne dans le fichier .txt, avec au maximum 256 noms.

-i <xxx.xxx.xxx.xxx>

Analyse l'ordinateur dont l'adresse IP est spécifiée. Pour analyser plusieurs ordinateurs, spécifiez leurs adresses IP en les séparant par une virgule.

-fip <nom_de_fichier>

Analyse les ordinateurs dont l'adresse IP est indiquée dans le fichier texte désigné. Spécifiez une seule adresse IP par ligne dans le fichier .txt, avec au maximum 256 entrées.

-r <xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx>

Analyse les ordinateurs correspondant à la plage d'adresses IP spécifiée.

-d <nom_de_domaine>

Indique le nom de domaine à analyser.

-n

Prescrit l'analyse de tous les ordinateurs du réseau local. Tous les ordinateurs de tous les domaines dans le Voisinage réseau sont analysés.

Définition des options d'analyse à exécuter/afficher ou pas

-sus <serveur_SUS>

Vérifie seulement la présence des les mises à jour de sécurité approuvées sur le serveur SUS.

-b

Analyse l'ordinateur uniquement à la recherche des mises à jour marquées comme critiques par le MSRC (Microsoft Security Response Center).

-fq <nom_de_fichier>

Indique le nom d'un fichier contenant des articles de base de connaissance (Qnombre) à supprimer de la sortie. Spécifiez un Qnombre par ligne. Ce commutateur ne fait qu'empêcher l'affichage du ou des éléments désignés dans la sortie. Ces éléments continuent d'être pris en compte lors des analyses.

-s

Supprime les messages de remarque et d'avertissement. Par défaut, ces deux types de messages ne sont pas supprimés. Les options suivantes sont utilisées avec ce commutateur :

(1) Supprime les messages de remarque uniquement.

(2) Supprime les messages de remarque et d'avertissement.

-nosum

Annule la validation du total de contrôle des fichiers de mises à jour de sécurité. Dans des circonstances normales, ce commutateur ne doit pas être employé.

-sum

Force la validation de la somme de contrôle lors de l'analyse d'un système n'utilisant pas la langue anglaise. N'utilisez ce commutateur que si vous disposez d'un fichier XML personnalisé avec des sommes de contrôle spécifiques à la langue.

-z

Annule l'exécution des vérifications du Registre.

-history

Affiche les mises à jour explicitement installées, explicitement non installées ou les deux. En situation normale, ce commutateur n'est pas nécessaire. Il ne doit être employé que dans des circonstances très particulières. Les options suivantes sont utilisées avec ce commutateur :

(1) Affiche les mises à jour explicitement installées.

(2) Affiche les mises à jour explicitement non installées.

(3) Affiche les mises à jour explicitement installées et non installées.

-v

Affiche la raison pour laquelle un test n'a pas fonctionné en mode « wrap » (retours à la ligne). Ce commutateur indique la raison pour laquelle une mise à jour de sécurité est considérée comme « introuvable » ou la raison pour laquelle vous recevez un message de remarque ou d'avertissement.

Définition du format de sortie et des noms de fichiers

-o

Indique le format de sortie souhaité. Les options suivantes sont utilisées avec ce commutateur :

(tab) Affiche la sortie sous la forme de texte délimité par des tabulations.

(wrap) Affiche la sortie sous la forme de texte avec retours à la ligne.

-f <nom_de_fichier>

Indique le nom d'un fichier dans lequel enregistrer les résultats. Vous pouvez utiliser ce commutateur avec les options wrap ou tab.

Autres options

-t

Affiche le nombre de threads employées pour exécuter l'analyse. Les valeurs possibles sont comprises entre 1 et 128, la valeur par défaut étant 64. Ce commutateur peut être utilisé pour ralentir (ou accélérer) l'analyseur.

-u <nom_d'utilisateur>

Indique le nom d'utilisateur avec lequel effectuer l'analyse d'un ordinateur ou d'un groupe d'ordinateurs local ou distant. Vous devez utiliser ce commutateur avec l'option -p (mot de passe).

-p <mot_de_passe>

Indique le mot de passe à utiliser pour effectuer l'analyse d'un ordinateur ou d'un groupe d'ordinateurs local ou distant. Vous devez utiliser ce commutateur avec l'option -u (nom d'utilisateur). Pour des motifs de sécurité, le mot de passe n'est pas envoyé sur le réseau sous la forme de texte en clair. L'outil MBSA utilise à la place le mécanisme d'authentification par stimulation/réponse intégré de Windows NT 4.0 et versions ultérieures, de façon à sécuriser le processus d'authentification.

-x

Indique la source de données XML contenant les informations de mise à jour de sécurité disponibles. L'emplacement spécifié peut être un nom de fichier XML, un fichier .cab XML compressé ou une URL (Uniform Resource Locator). Le fichier par défaut est le fichier mssecure.cab du site Web Microsoft. Si vous omettez ce commutateur, le fichier mssecure.xml est téléchargé à partir du site Web Microsoft.

-ver

Vérifie si vous exécutez la dernière version de MBSA.

-trace

Crée un journal de débogage qui facilite le dépannage (hf.log dans le répertoire local). Ce commutateur doit être le premier commutateur spécifié dans la ligne de commande et peut être associé à d'autres commutateurs.

-about

Affiche des informations au sujet de MBSA.

Si vous avez recours à l'outil MBSA pour vérifier l'état de votre ordinateur quant aux correctifs installés, veillez à l'exécuter régulièrement. Dans la plupart des environnements, la meilleure façon de procéder consiste à planifier son exécution à intervalles prédéfinis.

Remarque

Pour plus d'informations sur l'outil MBSA, reportez-vous à la page http://www.microsoft.com/france/technet/themes/secur/info/mbsa.html.

Script de gestion des correctifs

Ce guide comprend un script de gestion des correctifs, appelé MBSAPatchCheck.cmd, lequel analyse plusieurs serveurs afin d'identifier les éventuels correctifs manquants et stocke les résultats dans un fichier journal enregistré dans un dossier créé sur la base de la date. Il recourt, d'une part, à l'outil MBSA pour analyser les serveurs et, d'autre part, à un autre script nommé movelog.vbs, pour déplacer les fichiers vers les dossiers adéquats. Au fil du temps, ces dossiers permettent de constituer un historique qu'il est possible d'examiner au cours des phases d'analyse et de révision du processus, afin de renforcer la sécurité de votre environnement.

Remarque

Le script inclus avec ce guide nécessite MBSA version 1.1 ou ultérieure.

 

Après que vous avez téléchargé et extrait les scripts inclus avec ce guide, le script de gestion des correctifs se présente avec la structure de dossiers suivante :

Tableau 8-3. Structure de dossiers du script de gestion des correctifs.

Dossier

Description

C:\SecurityOps

Dossier racine de tous les fichiers accompagnant ce guide.

C:\SecurityOps\PatchMgmt

Dossier contenant le script de gestion des correctifs (MBSAPatchCheck.cmd), le script movelog.vbs et les sous-dossiers des fichiers de support et des journaux. C'est dans ce dossier que doit également figurer le fichier mssecure.xml.

C:\Program Files\Microsoft Baseline Security Analyzer\

Dossier où doit être placé l'outil MBSA après avoir été téléchargé à partir du site Web Microsoft. Voir ci-dessous pour des instructions plus détaillées.

C:\SecurityOps\PatchMgmt\ServerLists

Dossier où vous créez et conservez les fichiers texte avec la liste des groupes de serveurs à analyser pour rechercher des correctifs manquants.

C:\SecurityOps\PatchMgmt\Logs

Dossier où sont enregistrés les fichiers journaux après l'exécution de MBSAPatchCheck.cmd. Ce script crée un sous-dossier désigné par la date du jour, dans lequel le fichier journal est enregistré. Exemple : \SecurityOps\PatchMgmt\Logs\2002117

Important

Si vous installez les fichiers inclus avec ce guide sur une partition autre que le lecteur C, vous devez modifier les chemins d'accès dans le fichier MBSAPatchCheck.cmd de sorte qu'ils spécifient cette partition.

 

Ø      Pour installer et utiliser le script MBSAPatchCheck.cmd sur le serveur SUS

1.      Exécutez SecurityOps.exe pour extraire les fichiers scripts inclus avec ce guide et créer la structure de dossiers décrite dans le tableau 8.3. Par défaut, ce fichier se trouve dans C:\SCI\Scripts lorsque vous extrayez les fichiers à l'aide du fichier exécutable à extraction automatique appelé SecWin2k.exe.

2.      Téléchargez l'outil MBSA à partir du site http://download.microsoft.com/download/8/e/e/8ee73487-4d36-4f7f-92f2-2bdc5c5385b3/mbsasetup.msi (en anglais). Après avoir extrait le contenu du fichier téléchargé, installez l'outil dans le dossier par défaut (C:\Program Files\Microsoft Baseline Security Analyzer).

3.      Si l'ordinateur qui exécute le script n'est pas connecté à Internet, vous devez également télécharger le fichier mssecure.xml à partir du site http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab (en anglais). Placez Mssecure.xml dans le dossier MBSA.

4.      Créez un fichier texte avec la liste de serveurs dans C:\SecurityOps\PatchMgmt\ServerLists. Ce fichier texte contient les noms NetBIOS des serveurs à analyser, séparés par des retours chariot.

5.      Ouvrez une invite de commande, accédez au dossier C:\SecurityOps\PatchMgmt et lancez le script au moyen de la ligne de commande :

MBSAPatchCheck.cmd liste_serveurs.txt

liste_serveurs.txt représentant le nom du fichier texte contenant la liste de serveurs.

Remarque

Si une boîte de dialogue s'affiche pour vous inviter à télécharger le fichier mssecure.xml, cliquez sur Oui.

6.      Accédez au dossier C:\SecurityOps\PatchMgmt\Logs, ouvrez le dossier portant comme nom la date du jour et ensuite le fichier portant le même nom que le fichier liste_serveurs.txt.

7.      Examinez le fichier journal afin de déterminer les correctifs manquants identifiés lors de l'analyse des serveurs.

Remarque

Si le script de gestion des correctifs est exécuté deux fois le même jour, le fichier journal généré au terme de la première exécution est écrasé.

 

Utilisation de plusieurs listes de serveurs

Un réseau de grande taille comprend souvent différents types de serveurs. Dans le cadre du processus de gestion des risques, vous pouvez être amené à analyser certains serveurs plus souvent que d'autres pour identifier les correctifs manquants.

En recourant à plusieurs listes de serveurs, vous pouvez planifier l'exécution du script de gestion des correctifs de telle sorte qu'il analyse plusieurs types de serveurs à des intervalles différents. Cette méthode est également utile si plusieurs administrateurs sont responsables de la gestion de différents groupes de serveurs. En effet, elle vous permet de créer des rapports distincts pour chacun des groupes d'administrateurs.

Par exemple, vous pouvez créer cinq fichiers de liste de serveurs, afin d'obtenir des rapports de gestion des correctifs pour différents groupes d'administrateurs du réseau Contoso représenté par la figure suivante.


 


Figure 8-2. Fichiers de liste de serveurs pour un réseau simple

Dans cet exemple, les fichiers de liste de serveurs pour chaque type de serveur contiennent les noms de ces serveurs. Ainsi, FichiersImpression.txt comprend uniquement les noms suivants :

FP01

FP02

FP03

Le cinquième fichier, Serveurs.txt, comporte les noms de tous les serveurs de l'environnement. Les résultats de cette analyse peuvent être exploités par l'équipe responsable de la sécurité afin de vérifier que chaque groupe tient à jour ses serveurs avec les correctifs les plus récents.

Planification de l'exécution du script de gestion des correctifs

Pour procéder à des analyses à l'aide de MBSAPatchCheck.cmd à intervalles prédéfinis, pensez à planifier l'exécution régulière de l'outil. Pour cela, vous pouvez avoir recours au Planificateur de tâches ou à la commande AT. De plus, l'utilisation de plusieurs listes de serveurs vous permet d'échelonner les analyses de différents serveurs.

Remarque

Par défaut, le service de planification est désactivé dans les stratégies de base des serveurs membres et des contrôleurs de domaine. Vous devez activer ce service si vous voulez planifier l'exécution du script de gestion des correctifs.

 

Autres méthodes d'évaluation des niveaux des correctifs logiciels

Si vous ne voulez ou ne pouvez pas utiliser l'outil MBSA dans certaines parties de votre environnement, d'autres solutions sont à votre disposition pour déterminer si les derniers correctifs ont été installés.

La méthode la plus simple consiste à examiner la clé de Registre HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix. À chaque nouveau correctif installé correspond une clé dont le nom commençant par Q fait référence à l'article de la Base de connaissances qui traite du correctif en question. Cela n'est toutefois pas le cas pour certains correctifs logiciels plus anciens ou spécifiques à certaines applications.

Autres outils d'évaluation des niveaux des correctifs logiciels

Microsoft propose trois autres outils gratuits pour réunir ces informations, à savoir :

·         Qfecheck.exe /v. Indique le niveau de Service Packs et les correctifs logiciels installés sur vos serveurs. Il signale également si un correctif n'a pas été installé correctement dans l'environnement.

·         Hotfix.exe -l. Affiche le nombre de correctifs logiciels installés et leurs versions.

Planification

Les menaces et vulnérabilités ne présentent pas toutes un risque important pour votre environnement. Lorsque vous prenez connaissance de nouvelles vulnérabilités potentielles du système d'exploitation ou d'une application, demandez-vous si elles s'appliquent à votre cas particulier.

Par exemple, une vulnérabilité du service FTP (File Transfer Protocol) de Windows 2000 ne vous concerne pas si vous n'activez jamais ce service. De la même façon, l'annonce de risques d'ouragan ne doit pas vous inquiéter outre mesure si votre site informatique est situé loin des côtes.

Si vous prenez des mesures pour pallier des menaces et des vulnérabilités qui ne s'appliquent pas réellement à votre cas, vous consommez inutilement des ressources précieuses et risquez même de nuire à la stabilité de votre environnement.

Lisez attentivement toutes les informations publiées sur les nouvelles menaces et vulnérabilités mises en évidence. Cette précaution vous permet d'évaluer correctement le risque réel encouru par votre entreprise et de prendre des décisions éclairées sur la réaction à adopter, qu'il s'agisse de désactiver le service en danger, de déployer un correctif ou de ne rien faire.

Important

Lorsque vous planifiez le déploiement d'un nouveau correctif, vous devez également prévoir un plan de restauration à l'état initial.

Pour être régulièrement informé de la disponibilité de nouveaux correctifs, abonnez-vous aux bulletins de sécurité de Microsoft. Pour ce faire, visitez le site Web sur la sécurité de Microsoft. Pour plus d'informations, reportez-vous à la section « Informations complémentaires » en fin de chapitre.

Classification des correctifs

Lorsqu'un nouveau correctif est créé, vous devez évaluer son importance pour votre environnement. Vous saurez ainsi s'il est urgent de le déployer et dans quelle mesure vous pouvez vous permettre de le tester.

Microsoft fournit une évaluation des différentes vulnérabilités traitées dans un bulletin de sécurité. Cette classification par niveau est décrite dans le tableau suivant.

Tableau 8-4. Classes de vulnérabilités définies par Microsoft.

Type d'ordinateur

Niveau de vulnérabilité

 

Critique

Modéré

Faible

Serveurs Internet

Dégradation de site Web, déni de service ou prise de conrôle

Exploitation difficile, configuration inhabituelle ou effet passager

Impact limité (par exemple, divulgation de scripts)

Serveurs internes

Élévation de privilèges, divulgation ou modification de données. Audit difficile.

Divulgation ou modification de données d'audit, déni de service.

Vol ou modification de données non ciblées ou fragmentaires, déni de service limité.

Systèmes clients

Exécution de code arbitraire sans intervention de l'utilisateur, élévation de privilèges à distance.

Élévation locale de privilèges ; divulgation de données non ciblées ou déni de service ; exploitation d'actions de l'utilisateur.

Vol ou modification de données limitées ou fragmentaires ; attaques hostiles de sites Web.

Ce système d'évaluation classifie les vulnérabilités en fonction de leur impact potentiel si elles étaient exploitées ainsi que des probabilités qu'elles le soient.

Vous pouvez vous en inspirer pour définir des catégories de correctifs. Toutefois, le système d'évaluation de Microsoft n'est qu'une estimation globale de l'impact potentiel des vulnérabilités en tenant compte de millions de clients dans le monde entier. Les niveaux de gravité s'appuient sur des expériences antérieures et sur un jugement subjectif. Aussi ne constituent-ils pas forcément des indicateurs exacts dans votre cas. Il est donc préférable de définir vos propres catégories de correctifs sur la base de votre environnement particulier.

Test des correctifs

Comme tout autre logiciel, un correctif ne fonctionne pas toujours parfaitement dans tous les environnements. L'idéal est de tester soigneusement chaque correctif avant de l'installer. Or, par nature, les correctifs de sécurité doivent souvent être installés rapidement pour éviter des problèmes graves.

La plupart du temps, vous allez mettre en œuvre une procédure de test constituant un compromis entre deux nécessités : celle de résoudre rapidement un problème de sécurité et celle de vérifier la stabilité du correctif dans votre environnement.

Le nombre de tests à effectuer dépendra de la catégorie à laquelle se rattache le correctif. Fondé sur la classification établie par Microsoft, le tableau suivant suggère un niveau de test minimal pour chaque catégorie de correctifs. Dans le scénario Contoso, nous voulions être certains que les serveurs correspondant à chacun des rôles de serveur fonctionnaient toujours correctement après l'installation des correctifs logiciels recommandés. Pour cela, nous avons vérifié si les divers ordinateurs clients pouvaient toujours se connecter aux services réseau exécutés sur les serveurs correspondant à chaque rôle. Ensuite, nous avons effectué d'autres procédures de test pour nous assurer que les fonctionnalités élémentaires étaient encore parfaitement opérationnelles.

Tableau 8-5. Niveau de test minimal des différents types de correctifs.

Type de correctif

Contenu des tests

Niveau de gravité critique

Évaluation du correctif Évaluation du fonctionnement du serveur (limitée)

Niveau de gravité modéré

Évaluation du correctif Installation du correctif dans un environnement de test Évaluation du fonctionnement du serveur (complète) Vérification de la procédure de désinstallation

Niveau de gravité faible

Évaluation du correctif Installation du correctif dans un environnement de test Évaluation du fonctionnement du serveur (complète) Évaluation du fonctionnement des applications Vérification de la procédure de désinstallation

Dans le cadre de votre procédure de gestion des risques, vous devez déterminer la rigueur avec laquelle chaque étape doit être effectuée. Si vous omettez certaines étapes pour des raisons d'urgence, veillez néanmoins à les effectuer dans un laboratoire de tests pour essayer de mettre en évidence les problèmes potentiels avant qu'ils ne se produisent sur les systèmes déjà déployés.

Tous les tests doivent se dérouler sur des serveurs les plus semblables possible aux serveurs de production.

Évaluation du correctif

La phase d'évaluation du correctif doit au moins comporter les tâches suivantes :

·         Identification du responsable du correctif. Pour chaque correctif, vous devez identifier un responsable qui sera en charge de son évaluation.

·         Examen complet de la documentation. Avant d'appliquer un Service Pack, un correctif logiciel ou un correctif de sécurité, il convient de lire l'ensemble de la documentation disponible et de la soumettre à vos collègues pour examen. Ce dernier point est capital car, en cas de lecture par une seule personne, des points importants risquent d'être négligés lors de l'évaluation.

·         Confirmation de la catégorie du correctif. Au terme de l'évaluation d'un correctif, il se peut que vous deviez l'affecter à une autre catégorie. Pareil changement aura des conséquences sur d'autres aspects des tests.

Lorsque vous lisez la documentation, tentez de répondre aux questions suivantes :

·         La mise à jour est-elle pertinente et va-t-elle résoudre un problème important ?

·         L'adoption de cette mise à jour va-t-elle entraîner d'autres problèmes qui compromettent le système de production ?

·         La mise à jour est-elle assortie de dépendances ? (Par exemple, faut-il activer ou désactiver certaines fonctionnalités pour qu'elle prenne effet ?)

·         Faut-il effectuer des opérations particulières avant de déployer la mise à jour ?

En plus de la documentation publiée avec les mises à jour, consultez le site Web du Support technique Microsoft pour y trouver d'éventuelles informations de dernière minute. Le site Web TechNet fournit également une base de données des bulletins de sécurité dans laquelle vous pouvez effectuer des recherches (par nom de produit et Service Pack). Il est impératif que vous vous référiez à ces sources d'informations.

Installation

Assurez-vous que le correctif s'installe comme prévu. Vérifiez s'il nécessite un redémarrage du système, l'espace disponible nécessaire (avec le dossier de désinstallation), les options proposées, etc. Lisez toute la documentation existante pour déterminer les avantages et les inconvénients liés à l'application du correctif.

Fonctionnement du serveur

Une fois le correctif installé, vérifiez que le serveur continue de fonctionner normalement. Il n'est pas inutile de consulter le journal des événements et le Moniteur système car ils peuvent contenir des résultats imprévus.

Testez toutes les fonctions du serveur et assurez-vous qu'elles fonctionnent normalement. La durée du test de fonctionnement du serveur dépend du niveau de risque admis pour ce serveur en particulier et de la vulnérabilité concernée. Si des problèmes se produisent, veillez à les documenter et à les signaler le plus tôt possible à Microsoft.

Remarque

Pour recueillir les informations du journal des événements et du Moniteur système, vous pouvez utiliser Microsoft Operations Manager.

 

Fonctionnement des applications

Dans le cadre de votre procédure de test, il est important de tester le correctif avec toutes les applications qui coexistent sur les serveurs et d'identifier tous les problèmes de dépendances. Après avoir installé le correctif, vérifiez que toutes les applications fonctionnent comme auparavant.

Désinstallation

Il se peut qu'en dépit des tests, le correctif crée des problèmes qui vous obligent à le désinstaller. Il est donc important de s'assurer que la désinstallation fonctionne. Après avoir effectué la désinstallation, vérifiez que le serveur fonctionne comme prévu et continuez de surveiller le journal des événements et les compteurs du Moniteur système.

Création d'un plan de restauration à l'état initial

Même si l'intégralité de la procédure de test se déroule sans incident, il n'est pas impossible que des problèmes surviennent lors du déploiement du correctif dans l'ensemble de l'entreprise. Le cas échéant, vous devez avoir défini un plan d'action qui vous permette de restaurer le système tel qu'il était avant ce déploiement. Certaines situations nécessitent l'exécution d'une sauvegarde instantanée d'un serveur avant de procéder à l'installation du correctif de manière à pouvoir très vite rétablir la configuration antérieure du serveur en cas de problème. Quelles que soient ses modalités, un plan de restauration doit faire l'objet de tests approfondis.

Déploiement des correctifs

Si tous les tests se sont déroulés normalement, il est temps de déployer le correctif dans l'ensemble de votre entreprise. Vous avez le choix entre diverses méthodes et processus :

·         Déploiement manuel

·         Stratégie de groupe

·         Scripts

Remarque

Pour plus d'informations sur le déploiement de correctifs, consultez l'article TechNet « Best Practices for Applying Service Packs, Hotfixes and Security Patches », dont le lien est indiqué dans la section « Informations complémentaires » en fin de chapitre.

 

Déploiement manuel

La méthode de déploiement la plus courante dans la plupart des entreprises est l'installation manuelle des correctifs logiciels. Elle consiste à simplement lancer le fichier exécutable correspondant au correctif sur chaque serveur. Si votre entreprise compte un grand nombre de serveurs, cette solution n'est pas toujours pratique.

Le nom des correctifs comporte plusieurs informations sur ceux-ci. Prenons l'exemple de Q292435_W2K_SP3_x86_fr.EXE.

Dans ce cas :

·         Q292435 est le numéro de l'article de la Base de connaissances où vous pouvez trouver des informations supplémentaires sur le correctif logiciel.

·         W2K désigne le produit auquel le correctif est destiné (Microsoft Windows 2000).

·         SP3 est le numéro du Service Pack auquel le correctif sera ajouté.

·         x86 est l'architecture de processeur à laquelle le correctif est destiné.

·         fr désigne la langue du correctif logiciel (ici, le français).

Remarque

Les correctifs logiciels dont le nom de fichier se présente sous la forme QXXXXXX.exe, sans W2K_SP3_x86 à la suite du nom, sont propres à des applications telles que Internet Explorer.

 

En outre, les correctifs logiciels prennent en charge divers commutateurs de ligne de commande qui permettent de contrôler le comportement de l'installation.

Tableau 8-6. Commutateurs pour les fichiers exécutables des correctifs logiciels

Commutateur

Description

-y

Effectuer une désinstallation.

-f

Forcer la fermeture des applications lors de l'arrêt du système.

-n

Ne pas créer de répertoire de désinstallation.

-z

Ne pas redémarrer le système à la fin de la mise à jour.

-q

Mode silencieux : aucune interface utilisateur.

-m

Mode sans assistance.

-l

Afficher la liste des correctifs installés.

Remarque

Les correctifs propres à une application dont le nom de fichier a le format QXXXXXX.exe ne prennent généralement pas en charge tous les commutateurs ci-dessus.

 

Si vous écrivez un script installant plusieurs correctifs logiciels, vous devez utiliser les commutateurs ‑q et ‑z pour que l'installation s'effectue sans interface utilisateur et qu'elle ne force pas un redémarrage du système.

Normalement, vous devez redémarrer l'ordinateur après l'installation de chaque correctif. En effet, les fichiers qui sont verrouillés ou en cours d'utilisation ne peuvent pas être remplacés ; ils sont donc placés dans une file d'attente et remplacés après le redémarrage du système.

QChain est un outil qui permet d'enchaîner l'installation de plusieurs correctifs logiciels et de ne redémarrer le système qu'une seule fois. Pour l'utiliser, exécutez le programme d'installation avec le commutateur ‑z pour qu'il ne redémarre pas l'ordinateur. Exécutez ensuite QChain.exe et redémarrez l'ordinateur.

Remarque

QChain est disponible sur le site TechNet. Pour plus d'informations, consultez la section « Informations complémentaires » en fin de chapitre.

 

Si vous ajoutez un composant tel que DNS (Domain Name System) après avoir appliqué un Service Pack et des correctifs, il faut appliquer de nouveau ceux-ci pour garantir que le nouveau composant est à jour.

Stratégie de groupe

Windows 2000 assure la prise en charge native de la distribution des logiciels à l'aide d'une stratégie de groupe. En général, les correctifs ne se présentent pas sous la forme d'un package Windows Installer. Vous pouvez toutefois utiliser le fichier exécutable en le combinant avec un fichier .zap.

Les applications qui n'utilisent pas des packages Windows Installer ont besoin d'un fichier .zap pour décrire leur programme d'installation. Un fichier .zap est un fichier texte (semblable aux fichiers .ini) qui fournit des informations sur la manière d'installer un programme, sur les propriétés de l'application et sur les points d'entrée que l'application doit installer.

Cependant, un fichier .zap ne peut être assigné qu'à un utilisateur ; autrement dit, une fois que vous avez configuré la stratégie de groupe pour distribuer le correctif logiciel, vous devez encore vous connecter à l'ordinateur avec le compte d'utilisateur auquel le fichier .zap a été assigné.

Remarque

Pour plus d'informations sur la création d'un fichier .zap et son assignation à l'aide de la stratégie de groupe, consultez l'article F231747 de la Base de connaissances, intitulé « Publier des programmes non MSI à l'aide de fichiers .zap ».

 

Scripts

Vous avez la possibilité de créer vos propres scripts Microsoft® Visual Basic® Scripting Edition (VBScript) ou fichiers de commandes pour déployer des correctifs. Il peut s'agir de scripts d'ouverture de session ou de démarrage qui vérifient l'état actuel des correctifs et le comparent aux mises à jour d'un serveur centralisé. Vos scripts peuvent comprendre l'outil QChain, de sorte que le système n'est redémarré qu'une seule fois même si plusieurs correctifs doivent être installés.

Surveillance

Après avoir installé les correctifs dans votre environnement de production, vous devez continuer de surveiller vos serveurs. Veillez à consulter le journal des événements et les compteurs du Moniteur système pour déceler les éventuels problèmes. Si vous constatez d'autres erreurs sur les ordinateurs au cours des deux semaines qui suivent le déploiement d'un correctif, effectuez des tests pour vérifier si ces erreurs ne sont pas liées au correctif. Par ailleurs, si vous avez implémenté un correctif sans effectuer de tests complets en laboratoire à cause de l'urgence de la situation, ces tests doivent être réalisés par la suite pour s'assurer de n'avoir rien négligé.

Outre vos serveurs, vous devez surveiller l'ensemble de l'environnement pour éviter que de nouveaux serveurs soient ajoutés au réseau alors qu'ils ne disposent pas des correctifs à jour. Veillez à toujours avoir sous la main une « dernière version » de ces correctifs et à l'installer sur les nouveaux serveurs. La stratégie de contrôle de votre entreprise doit faire en sorte que cette mesure soit respectée.

Révision

Seule la révision d'un processus permet de s'assurer que celui-ci s'est déroulé correctement. Dans le cadre de la gestion des correctifs, vous devez procéder à une révision pour vérifier que chaque correctif a été correctement déployé et que toutes les procédures ont fonctionné comme prévu. De cette manière, vous êtes certain que le processus de gestion des correctifs se poursuit sans problème. La phase de révision doit comporter une analyse continue de votre environnement : si de nouveaux changements sont détectés, vous devez recommencer le processus de gestion des correctifs.

Autres outils

Si vous suivez les recommandations exposées depuis le début de ce chapitre, vous avez de grandes chances de mener à bien la gestion des correctifs au sein de votre entreprise. Vous pouvez toutefois faire appel à d'autres outils pour pousser l'automatisation du processus encore plus loin.

Microsoft Systems Management Server

Si Microsoft® Systems Management Server (SMS) est déployé dans votre entreprise, vous pouvez y avoir recours pour la plupart des étapes décrites précédemment.

Le kit de fonctionnalités additionnelles SUS Feature Pack pour SMS facilite dans un premier temps l'identification des ordinateurs nécessitant des correctifs de sécurité et, ensuite, la création de paquetage, de publication et le déploiement de ces correctifs.

Les fonctionnalités de déploiement de logiciel offertes par SMS peuvent servir à déployer des correctifs sur tous les ordinateurs disposant du client SMS. Si vous créez un package pour le correctif, vous pouvez forcer une mise à niveau de l'ensemble ou d'une partie des ordinateurs de votre environnement. Ce procédé présente notamment l'avantage de vous permettre de surveiller les ordinateurs sur lesquels le correctif est installé. En revanche, il faut, dans la plupart des cas, un administrateur SMS ou un personnel formé à la création de packages SMS pour assurer ce type de mise à niveau.

Outils tiers

Divers outils tiers sont à votre disposition pour faciliter la gestion des correctifs. Ils proposent certaines fonctionnalités que n'offrent pas les actuels outils Microsoft gratuits. Par exemple, il est possible de déployer des correctifs logiciels et d'obtenir immédiatement un rapport. Certains outils permettent en outre de créer des groupes d'ordinateurs partageant les mêmes besoins de mise à jour. Citons encore la prise en charge de produits non couverts par les outils décrits ci-dessus ou encore une interface utilisateur graphique (GUI) réservée aux tâches d'administration. Évaluez ces fonctionnalités pour déterminer si elles peuvent être utiles dans votre environnement.

Utilitaire Polaris Group Hotfix/Service Pack

Cet outil possède une interface utilisateur simple d'emploi ; il prend en charge tous les produits Microsoft et est capable d'automatiser le déploiement des Service Packs et des correctifs logiciels pour que tous les ordinateurs soient conformes à une norme d'entreprise que vous spécifiez.

http://www.polarisgroup.com/products.asp

Shavlik Hfnetchkpro

Cet outil est basé sur la technologie HFNetChk. Il est doté d'une interface utilisateur graphique et d'une fonctionnalité d'historique d'analyse, non disponible dans l'utilitaire de ligne de commande.

http://www.shavlik.com/nshc.htm

Bindview Security Advisor

Cet utilitaire est doté d'une interface utilisateur graphique qui simplifie l'analyse des ordinateurs non conformes. Il offre également un service de mise à jour qui vous informe de la publication de nouveaux correctifs.

http://www.bindview.com/Solutions/Security/SecAdvisor_bvCtrlW2k.cfm

Pedestal Software's Security Expressions

Les administrateurs apprécieront cet outil qui permet d'implémenter des stratégies de verrouillage de sécurité sur des ordinateurs Windows et UNIX. Il est également capable de vérifier la présence des correctifs logiciels et, au besoin, de les télécharger et de les installer automatiquement.

http://www.pedestalsoftware.com/secexp/index.htm

Résumé

Les violations de la sécurité informatique s'expliquent dans la majorité des cas par l'exploitation d'environnements systèmes qui ne sont pas à jour en matière de correctifs de sécurité. Une gestion rigoureuse des correctifs est essentielle pour réduire les risques. En consacrant suffisamment d'attention à cette gestion, vous pouvez réduire considérablement les coûts que représente une violation de la sécurité informatique. Avec le scénario Contoso, nous avons pris conscience du fait que la gestion des correctifs est un processus suivi et nous avons veillé à conserver tous les serveurs à jour par l'application des correctifs de sécurité requis tout au long du projet.

Informations complémentaires

Informations sur Microsoft Baseline Security Analyzer :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/mbsahome.asp (en anglais)

http://support.microsoft.com/default.aspx?scid=kb;fr;320454&FR=1

Livre blanc technique sur Microsoft Baseline Security Analyzer :

http://www.microsoft.com/technet/security/tools/tools/mbsawp.asp (en anglais)

Téléchargement de Microsoft Baseline Security Analyzer :

http://download.microsoft.com/download/win2000platform/Install/1.0/NT5XP/EN-US/mbsasetup.msi (en anglais)

Téléchargement du fichier mssecure.cab :

http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab (en anglais)

Informations complémentaires sur la création d'un fichier .zap à utiliser avec une stratégie de groupe :

http://support.microsoft.com/default.aspx?scid=kb;fr;231747&FR=1

ou

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnexnt00/html/ewn0085.asp (en anglais)

Informations sur Qfecheck.exe et téléchargement :

http://support.microsoft.com/default.aspx?scid=kb;fr;282784&FR=1

Téléchargement d'informations sur Hotfix.exe :

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q184305 (en anglais)

Téléchargement d'informations au sujet de Qchain et de son fichier exécutable :

http://support.microsoft.com/default.aspx?scid=kb;fr;296861&FR=1

Informations sur le système d'évaluation de la sécurité Microsoft :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/policy/rating.asp (en anglais)

Abonnement aux bulletins de sécurité Microsoft :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp (en anglais)

Informations sur le modèle Microsoft Operations Framework (MOF) :

http://www.microsoft.com/business/services/mcsmof.asp (en anglais)

Article sur les méthodes conseillées pour l'application des Service Packs, correctifs logiciels et correctifs de sécurité (« Best Practices for Applying Service Packs, Hotfixes and Security Patches ») :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/bpsp.asp (en anglais)

Autres références

Site sur la sécurité de Microsoft TechNet :

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/itsolutions/security/bestprac/secthret.asp (en anglais)

Méthodes conseillées Microsoft Sécurité :http://www.microsoft.com/france/securite/entreprises/default.asp

Article « Publier des programmes non MSI à l'aide de fichiers .zap » (F231747) : http://support.microsoft.com/default.aspx?scid=kb;fr;231747