Présentation du Service Pack 2 de Windows XP

Windows Xp service Pack 2  est un cumulatif des correctifs depuis le SP1. Cette mise à jour doit renforcer la sécurité du système pour prévenir contre les attaques de toutes sortes. Le service pack 2 de Windows apporte de grands changements, il ne s’agit pas d’une simple compilation de hotfixes à installer, mais plutôt une méthode de mise à jour de votre Windows XP vers la nouvelle politique de sécurité de Microsoft axé sur l’informatique de confiance. En effet, amélioration de la gestion des correctifs de sécurité, réduction de la surface d’attaque sont mis en avant avec ce service pack. La sensibilisation et la formation des utilisateurs à la politique de sécurité ont également été mises en avant.

Nous pouvons établir quatres catégories d’attaques auquel ce service répondra 

- Réseau (pare-feu amélioré, configuration RCP DCOM renforcée),

-Messagerie électronique et messagerie instantanée (pièce jointes),

-Navigation Internet (Active X, pop up),

-Mémoire (Buffer overflows).

Ainsi que d’autres amélioration liées à la maintenance.

 

I) Protection Réseau

Désormais le pare-feu de Windows XP est activé par défaut et plus facile à configurer. On peut gérer le pare feu depuis l’interface utilisateur, la ligne de commande, une stratégie de groupe ou une API. Pour rendre la gestion la plus simple possible, on dispose de  trois modes de configuration qui sont :

Activé : le pare-feu est activé seul sont autorisés les exceptions.

Activé sans exception : Aucun trafic entrant non sollicité.

Désactivé

Les réglages du pare-feu ont été simplifiés, par exemple pour le partage de fichiers. A cela s’ajoute la possibilité de configurer les options pour le protocole ICMP (protocole utilisé pour vérifier la connectivité d’un ordinateur via la commande PIING sur un réseau). Mais surtout de bénéficier du support de l’IPv6.

Stratégie de groupe

Avant il était possible pour un administrateur d’interdire l’utilisation d’un pare-feu via une GPO.

(Modèles d’administration\Réseau\Connexions réseau). 

La nouvelle GPO ( Configuration ordinateur\Modèles d’administration\réseau\Connexion réseau \Pare-feu Windows\Profil standard ( ou profil du domaine). Permet de définir des profils pour autoriser ou refuser  les connexions réseaux, il sera également possible d’établir une liste d’exception pour obtenir une cohérence dans votre politique d’infrastructure réseau.

Une liste d’exceptions  peut être définie pour autoriser l’ouverture des ports. Une nouvelle fonctionnalité est implémentée qui permet d’ajouter  une application à cette liste pour ouvrir les ports non connu.  La création de cette liste requière les droits d’administrateurs.

Broadcast et multicast

Le pare feu autorise une réponse unicast pendant une durée de trois secondes depuis n’importe quel adresse source avec le même port que celui avec lequel le trafic est émis. Une stratégie de groupe est possible pour limiter les réponses en mono diffusion pour des requêtes multidiffusion ou diffusion.

Profils Multiples

Un utilisateur qui dispose d’un portable ne travaille pas de la même façon quand il chez lui ou au bureau. De ce fait il est un danger potentiel pour la propagation de virus au sein de l’entreprise. C’est pourquoi il a été mit en place les « profils multiples » qui permettent de définir des paramètres en fonction du lieu.  Si il n’y a pas de contrôleur de domaine on utilise  le profil standard sinon celui du domaine. De ce fait on peut isoler les risques d’une infection virale. Il faut disposer d’un domaine pour que cette fonctionnalité soit possible.

RPC/DCOM

La sécurité au niveau de la connexion réseau est renforcée. RPC (Remote Procedure Call) ne s’exécute qu’avec des privilèges moindres tout comme DOM (Distributed Component Object Model). Une authentification sera  nécessaire sur les interfaces utilisant RPC.

II) Navigation Internet Plus sure

Internet exploreur a été revu pour rendre la consultation des pages web plus sécurisée.

Verrouillage de la zone poste de travail

Le poste de travail sera à présent une zone à part entière qui permettra de garantir la confidentialité des informations présentes. Le contenu local est définie une zone ce qui évitera les tentatives d’intrusion mais aussi d’élévation des privilèges.

Modules ActiveX

Lorsque vous vous connectez à un site Web, vous pouvez être emmené à installer des contrôles ActiveX  sans en être suffisamment informé, cette installation comporte des risques pour votre système qui pourrait devenir  instable. Pour palier à cette éventualité il sera désormais possible de visualiser les contrôles ActiveX afin de déterminer leur politique et  de les bloquer si nécessaire.

MIME (Multipurpose Internet Mail)

Vous pourrez déterminer si un fichier est un exécutable déguisé en analysant sa signature. Si il est détecté son extension sera alors modifiée et  la pièce jointe sera mise en cache.

POP UP

Cette fonctionnalité est maintenant intégrée dans Internet Explorer, il permettra de reconnaître un pop up et de le bloquer systématiquement après avoir analyse son en tête. Cependant vous pourrez paramétrer votre Internet Explorer pour autoriser l’appartion de ces pop-ups.

II) Messagerie et messagerie instantanée

Un mail peut contenir des pièces jointes susceptibles de contenir un virus, un trojan. Il faut pouvoir identifier le contenu afin de déterminer les pièces jointes dangereuses. Une API publique de gestion des pièces jointes (Attachment Execution Services) a été crée pour gérer le contenu des pièces jointes. L’OUVERTURE DES PIECES JOINTES SE FERA AVEC UN MINIMUM DE PRIVILEGE POUR EVITER TOUTE PROPAGATION. Notons que cette API peut être utilisée par d’autres programmes comme Messenger, Outlook Express.  Il est également possible de bloquer les scripts contenus dans une lettre en HTML.

IV) Protection mémoire

Afin de prévenir contre le dépassement de mémoire (Buffer Overflow), il a été mit en place un système de prise en charge contre l’exécution du matérielle (NX : No Execute) pour les processeurs récents Amd64 et Itanium. En effet seul les zones de mémoire qui sont marquées seront exécutées.  Ainsi le système sera  en parti préservé contre les débordements de piles. L’utilisation du /GS lors de la compilation de votre code permettra de vérifier si celui-ci est optimisé contre un débordement de pile.

V) Mise à jour et Centre de sécurité

Depuis le centre de sécurité il sera possible d’évaluer le niveau de sécurité sur son Pc. A savoir la présence d’un antivirus, le niveau de sécurité du firewall et la mise à jour du système. Avec Windows update il est possible de désinstaller certains composants pour réduire les risques provoqués par une mise à jour.

Conclusion

Le service Pack 2 de Windows XP tend vers la nouvelle politique de sécurité de Microsoft axé sur l’informatique de confiance. Tous ces correctifs apporteront un niveau de sécurité plus élevé sur les postes de travail.

Nous avons envie de relever 2 points qui nous paraissent très important, le premier étant la contre attaque contre les pièces jointes comportant du code malicieux, l’API Attachment Execution Services devrait logiquement stoppé de manière significative la propagation de virus cachés dans les pièces jointes de mails ou transférer via MSN Messenger, en effet je vous rappelle que l’ouverture des pièces jointes se fera désormais avec un minimum de privilèges ; ce qui limitera le champ d’action du code malicieux, accès et écriture dans la base de registre, modification des fichiers système, etc…