Guide : comment réduire les menaces contre Microsoft Windows NT 4.0 et Windows 98

Chapitre 6 : gestion des correctifs

Paru le 22 novembre 2004

L'un des meilleurs moyens de vous protéger contre les attaques est de vous assurer que votre environnement est bien actualisé avec toutes les dernières mises à jour de sécurité nécessaires. Les correctifs sont requis à la fois au niveau des serveurs et des clients. Le Chapitre 6 vous présente comment prendre connaissance régulièrement des derniers correctifs disponibles, comment les installer de façon fiable et rapide dans toute votre entreprise et comment contrôler que ces mises à jour ont bien été déployées à tous les niveaux. Il décrit également les compromis relatifs aux mises en œuvre de la gestion des correctifs et conclut par une description détaillée du système de gestion des correctifs utilisé par Trey Research.

Sur cette page

	Contexte
	Conception de la solution
	Implémentation
	Résumé

Contexte

La gestion des correctifs joue un rôle crucial dans la sécurité des informations. Lorsque de nouvelles vulnérabilités sont identifiées dans un code existant ou lorsque de nouvelles menaces surviennent, les fournisseurs publient des correctifs permettant de mettre fin à ces vulnérabilités ou d'ajouter de nouvelles fonctions de sécurité. Les sociétés telles que Trey Research doivent être capables d'identifier rapidement quels ordinateurs nécessitent quels correctifs, et de déployer les correctifs appropriés. Ce processus doit se faire de façon cohérente et répétée car quelques ordinateurs non protégés par les nouveaux correctifs suffisent à mettre en danger un réseau tout entier.

Haut de page

Conception de la solution

Le mode précis de mise en œuvre de la gestion des correctifs au sein de votre organisation dépend à la fois de la taille et de la complexité de votre entreprise. Toutefois, il est essentiel de bien comprendre l'importance de la gestion des correctifs et sa place dans la stratégie générale de gestion des risques de votre entreprise.

Par exemple, si vous décidez que les risques doivent être minimisés à tout prix, vous pouvez établir une stratégie imposant d'arrêter tous les systèmes de production chaque fois qu'une nouvelle vulnérabilité est détectée dans vos logiciels. Vous pouvez alors décider de ne pas redémarrer les systèmes avant d'avoir effectué un test à grande échelle du correctif de sécurité et de l'avoir déployé dans toute votre entreprise. Ce processus, qui coûte cher et prend beaucoup de temps, est impossible à mettre en application dans la plupart des entreprises.

Tout au long du processus de gestion des correctifs, vous devrez donc évaluer les risques par rapports au coût du déploiement des contre-mesures appropriées. Il peut s'écouler un bref délai entre la détection d'une vulnérabilité de sécurité et la publication d'un correctif. Vous devrez donc évaluer l'augmentation potentielle du risque engendré par cette vulnérabilité et déterminer les mesures à prendre avant de tester puis de déployer le correctif.

Vous devrez peut-être désactiver certains services, faire fonctionner certains systèmes hors connexion ou encore limiter l'accès aux utilisateurs internes ou à d'autres groupes le cas échéant. Après publication d'un correctif, vous devez déterminer le risque relatif à son déploiement immédiat par rapport aux coûts liés à l'arrêt des services ou à leur manque de protection pendant le test, et vous assurer que le correctif n'a pas d'effets négatifs sur votre système. Si vous décidez de tester le correctif, vous devez également déterminer le nombre de tests que vous pouvez vous permettre d'effectuer avant que les risques de non déploiement du correctif ne dépassent ceux de son déploiement.

Remarque : votre entreprise doit mettre en œuvre un processus de gestion des modifications. Microsoft Operations Framework (MOF) comprend un processus de gestion des modifications pouvant servir de base au processus correspondant de votre entreprise. Pour obtenir plus de précisions sur Microsoft Operations Framework (MOF), reportez-vous à la section "Informations complémentaires" située à la fin de ce chapitre.

Configuration requise pour la solution

La solution de gestion des correctifs Trey Research doit permettre au service informatique de votre entreprise de :

•	Répertorier automatiquement les ordinateurs sur lesquels a été appliqué le correctif et ceux ne l'ayant pas reçu.
•	Réaliser rapidement des inventaires sur demande afin d'identifier immédiatement les ordinateurs sur lesquels manquent les correctifs spécifiés.
•	Réaliser automatiquement des analyses planifiées pour rechercher les correctifs installés, puis générer des rapports pouvant être mis à jour et suivis à long terme.
•	Installer un ou plusieurs correctif(s) sur des ordinateurs sélectionnés sans intervention de l'utilisateur, en minimisant, le cas échéant, le nombre de redémarrages nécessaires.

La société Trey possédant des bureaux sur plusieurs sites, chacun disposant de sa propre équipe administrative, il lui est nécessaire d'adopter un jeu d'outils et de processus uniforme de gestion des correctifs. Bien qu'il s'agisse principalement d'un problème de processus (pouvant être résolu par la solution décrite dans une section suivante), certains autres problèmes techniques affectent également la conception de la solution Trey :

•

L'installation de Microsoft® Software Update Service (SUS), utilisé par les ordinateurs Trey exécutant le système d'exploitation Microsoft Windows® XP ou Windows 2000, ne prend pas en charge ni Windows 98 ni Microsoft Windows NT® version 4.0. La présence de ces anciens systèmes d'exploitation limite la capacité à télécharger automatiquement les nouvelles mises à jour de sécurité et les dirige vers les ordinateurs clients.

•

Les ordinateurs exécutant Windows 98 et Windows NT peuvent utiliser le service public hébergé par Microsoft Windows Update pour télécharger les correctifs et les mises à jour, mais il n'est pas possible de définir des paramètres de stratégie système pour limiter le nombre des mises à jour téléchargées par l'utilisateur. Il n'est pas possible non plus pour ces clients d'utiliser un SUS interne ni un serveur de services Windows Update.

Architecture de la solution

Les architectures de gestion des correctifs varient considérablement d'une entreprise à une autre. Certaines organisations optent pour un système centralisé et étroitement contrôlé utilisant le plus d'outils disponibles sur le marché que possible, tandis que d'autres préfèrent créer un ensemble de correctifs et d'outils de déploiement personnalisés. Toutefois, toutes ces architectures partagent des fonctionnalités et des conditions requises communes. Le processus de base de gestion des correctifs est composé de quatre phases :

•	L'accès à l'environnement pour déterminer le nombre d'ordinateurs présents, la détermination de la façon dont les correctifs peuvent être potentiellement mis en œuvre sur chacun des ordinateurs, le repérage des processus commerciaux affectés et la sélection des correctifs à appliquer. Pour ce faire, vous devez examiner votre environnement actuel et évaluer les menaces potentielles (comme décrit dans le Chapitre 2 de ce guide). Une fois l'évaluation terminée, vous pourrez déterminer les correctifs que vous devez déployer pour réduire les menaces contre votre environnement.
•	Identifiez ensuite quels ordinateurs spécifiques nécessitent quels correctifs spécifiques. Ce processus peut se faire automatiquement grâce à un outil tel que Microsoft Baseline Security Analyzer ou Systems Management Server, que ce soit manuellement ou à l'aide de scripts spécifiques à votre environnement destinés à contrôler la révision des correctifs.
•	Évaluez et planifiez le déploiement des correctifs, y compris la phase de test, en prévoyant de pouvoir annuler leur installation en cas d'échec, et décidez quels sont les correctifs suffisamment importants pour nécessiter une application immédiate. Vous devez également décider explicitement de qui va s'occuper de tester les correctifs et de les appliquer.
•	Déployez les correctifs sur les systèmes qui en ont besoin, en vérifiant que tous les correctifs nécessaires ont bien été appliqués et que les systèmes ont bien été redémarrés lorsque cela était nécessaire.

Important : il est fortement recommandé de sauvegarder tous les systèmes de production avant de déployer les correctifs.

Évaluation de l'environnement

Pour pouvoir gérer les correctifs de façon efficace, votre personnel informatique doit au moins disposer des informations suivantes :

•

Quels sont les systèmes présents dans votre environnement, y compris :

•	Les systèmes d'exploitation et leurs versions.
•	Les niveaux des correctifs actuellement utilisés (version des Service Packs, correctifs et autres modifications).
•	Les fonctions exécutées par les systèmes.
•	Les applications utilisées dans tout l'environnement.
•	Les coordonnées des personnes ou des groupes chargés de la maintenance de chaque système.

•

Quels sont les actifs présents et la valeur de chacun.

•

Quelles sont les menaces connues et quels processus ont été mis en place pour identifier les nouvelles ou les changements de niveau de ces menaces.

•

Quelles sont les vulnérabilités connues et quels processus ont été mis en place pour identifier les nouvelles ou les changements de niveau de ces vulnérabilités.

•

Quelles contre-mesures ont été déployées.

Il est fortement recommandé que ces informations puissent être accessibles à toutes les personnes impliquées dans le processus de gestion des correctifs et qu'elles soient régulièrement mises à jour. Une fois que vous connaissez vos actifs, vos vulnérabilités, les menaces susceptibles d'endommager votre système et la façon dont est configuré votre environnement, vous pouvez déterminer et hiérarchiser les menaces et les vulnérabilités représentant les dangers les plus importants.

Si vous avez suivi le conseil donné au Chapitre 2, "Application d'une discipline de gestion du risque de sécurité au scénario Trey Research", la plupart de ces informations doivent déjà être disponibles au moment où vous planifiez le déploiement de la gestion de vos correctifs. Les informations relatives aux correctifs spécifiques actuellement utilisés peuvent être recueillies en suivant les étapes décrites dans les sections suivantes. Les données relatives aux applications, aux actifs, aux risques et aux contre-mesures peuvent être adaptées à partir de la discipline de gestion du risque de sécurité (SRMD) et des recommandations des chapitres précédents de ce guide.

Identification des conditions requises pour l'application des correctifs

En règle générale, vous devez toujours vous assurer que les correctifs appliqués à vos ordinateurs sont bien à jour. Dans certains cas, la publication d'un nouveau correctif nécessitera son installation sur tous vos serveurs. Dans d'autres cas, seul un nouveau serveur fonctionnant en ligne aura besoin de recevoir ce correctif. Vous devrez continuer à analyser l'ensemble de vos serveurs pour vous assurez qu'ils ont bien été mis à jour avec les tout derniers correctifs disponibles. Pour mettre a jour efficacement tous les ordinateurs de votre entreprise, vous devez connaître quelles sont leurs vulnérabilités et quelles protections existent déjà. Pour vous aider dans cette analyse, vous pouvez utiliser des outils tels que Microsoft Baseline Security Analyzer (MBSA), Microsoft Systems Management Server (SMS) version 2.0 et SMS 2003, ainsi que l'outil d'inventaire de recherche des mises à jour d’Office (Office Update Inventory Tool).

Utilisation de Microsoft Baseline Security Analyzer

Bien qu'il soit indispensable de connaître les correctifs qui ont été appliqués à votre système, il est encore plus important de savoir quels sont les correctifs qui n'ont pas été appliqués. MBSA a été conçu pour analyser les ordinateurs exécutant Windows NT 4.0, Windows 2000, Windows XP Professional et Windows XP Home Edition, et pour générer des rapports indiquant quels sont les correctifs installés et quels sont ceux qui sont nécessaires.

Remarque : MBSA peut être exécuté depuis n'importe quel ordinateur exécutant Windows 2000 Professional, Windows 2000 Server, Windows XP Home ou Windows XP Professional. Il ne fonctionne pas sous Windows 98 ni Windows NT 4.0, et ne peut pas analyser les ordinateurs exécutant Windows 98.

L'outil MBSA réalise son analyse en utilisant une base de données Extensible Markup Language (XML) mise à jour en permanence par Microsoft. Il utilise également le célèbre outil « HFNetChk » mis sur le marché par Microsoft en août 2001. Le fichier XML contient les noms et les titres des bulletins de sécurité ainsi que des données détaillées sur les correctifs de sécurité spécifiques aux produits, comme les fichiers contenus dans chaque ensemble de correctifs, leur version et les totaux de contrôle des fichiers, les clés de registre appliquées par le module d'installation des correctifs, des informations sur les remplacement des anciens correctifs par les nouveaux, les numéros des articles de la Base de connaissances, et bien plus encore.

Lorsque vous exécutez l'outil MBSA pour la première fois, cet outil doit récupérer une copie du fichier XML de façon à connaître les correctifs disponibles pour chaque produit. Le fichier XML est disponible sur le site Web du Centre de téléchargement Microsoft dans un format compressé (fichier .cab signé numériquement). MBSA télécharge le fichier .cab, vérifie la signature, puis décompresse le fichier .cab sur l'ordinateur local où il est en cours d'exécution. Notez qu'un fichier .cab est un fichier compressé similaire à un fichier .zip.

Remarque : chaque fois que vous exécutez l'outil MBSA, il tente de se connecter à Internet pour télécharger le dernier fichier XML à partir du site de Microsoft. Si la connexion Internet n'est pas active, MBSA recherche alors une copie locale du fichier XML dans son dossier d'installation. Chaque fois que le fichier XML est téléchargé avec succès au cours d'une analyse, une copie locale de ce fichier est conservée sur l'ordinateur au cas où les analyses suivantes ne pourraient pas se connecter à Internet. Pour les ordinateurs ne se connectant jamais à Internet, les utilisateurs peuvent télécharger séparément ce fichier à partir du site Web du Centre de téléchargement Microsoft puis le copier sur les ordinateurs exécutant MBSA.

Après avoir décompressé le fichier .cab, MBSA analyse votre ordinateur (ou les ordinateurs sélectionnés) pour déterminer le système d'exploitation, les Service Packs et les programmes utilisés. MBSA analyse ensuite le fichier XML et identifie les correctifs de sécurité disponibles pour la combinaison de logiciels installés.

Pour que MBSA puisse déterminer si un correctif spécifique est installé ou non sur un ordinateur donné, trois éléments sont pris en compte : la clé de registre ayant été installée par le correctif, la version du fichier et les totaux de contrôle de chacun des fichiers installés par le correctif.

Dans la configuration par défaut, MBSA compare les détails des fichiers et les clés de registre du sous-ensemble XML obtenu aux détails des fichiers et des registres de l'ordinateur en cours d'analyse. Si l'un des détails des fichiers ou des registres de cet ordinateur ne correspond pas aux informations stockées dans le fichier XML, le correctif de sécurité associé est identifié comme n'étant pas installé et les résultats de l'analyse s'affichent dans le rapport de sécurité. Le numéro de l'article de la Base de connaissances se rapportant à ce correctif s'affiche également.

En général, l'outil MBSA recherche les éventuels problèmes de sécurité dans les systèmes d'exploitation Windows (Windows NT 4.0, Windows 2000 et Windows XP), tels que l'état du compte Invité, le type de système de fichiers, les membres du groupe Administrateurs, etc. La description de la vérification de chaque système d'exploitation s'affiche dans les rapports de sécurité avec les instructions permettant de résoudre les éventuels problèmes détectés.

Remarque : pour utiliser MBSA, vous devez disposer d'un accès d'administrateur local ou d'administrateur de réseau à l'ordinateur sur lequel les correctifs sont recherchés.

L'outil MBSA possède plusieurs commutateurs de ligne de commande pouvant être utilisés selon deux modes différents : le mode MBSA et le mode HFNetChk. L'analyse de type MBSA stocke les résultats (comme dans MBSA version 1.0) dans des fichiers XML individuels pouvant être visualisés ultérieurement depuis l'interface utilisateur MBSA. L'analyse de type MBSA inclut l'ensemble des services Windows disponibles, Internet Information Services (IIS), Microsoft SQL Server™, les applications de bureau et la recherche des mises à jour de sécurité.

L'analyse de type HFNetChk recherche les mises à jour de sécurité manquantes et affiche les résultats de l'analyse sous forme de texte dans la fenêtre de ligne de commande, comme c'est le cas pour l'outil autonome HFNetChk. MBSA 1.1 comprend l'indicateur "/hf" indiquant qu'une analyse HFNetChk est en cours sur le moteur MBSA. De plus, en mode HFNetChk, MBSA peut analyser toute une liste d'ordinateurs fournie dans un fichier texte, ainsi que l'ensemble des systèmes pour vérifier s'ils disposent de tous les correctifs publiés par un serveur nommé Software Update Service (SUS).

Si vous utilisez MBSA pour vérifier l'état des correctifs, vous devez vous assurer de l'exécuter régulièrement. Dans la plupart des environnements, le meilleur moyen de vous en assurer est de planifier son exécution à intervalles prédéfinis.

Remarque : pour obtenir plus d'informations sur l'utilisation de l'outil MBSA, reportez-vous à la page relative à Microsoft Baseline Security Analyzer sur le site Microsoft TechNet à l'adresse :http://www.microsoft.com/technet
/security/tools/mbsahome.mspx.

Outil Office Update Inventory Tool

En raison des puissantes capacités de programmation d'applications intégrées à Microsoft Office, il est devenu important de surveiller les vulnérabilités des applications elles-mêmes. De nombreux virus et chevaux de Troie profitent de la capacité des applications de productivité d'aujourd'hui pour agir sur le contenu actif de vos documents, feuilles de calculs et communications par courrier électronique. Pour vous aider à tenir à jour vos déploiements Office et à les sécuriser, Microsoft a créé et mis sur le marché l'outil Office Update Inventory Tool. Cet utilitaire peut être exécuté sur les ordinateurs exécutant le système d'exploitation Windows 98 ou version ultérieure et Office 2000 ou version ultérieure. Il permet aux administrateurs d'évaluer précisément le niveau des correctifs de leurs déploiements Office.

L'outil Office Update Inventory Tool est disponible à l'adresse suivante : http://www.microsoft.com/office/ork
/2003/journ/offutoolv2.htm.

Autres méthodes de détermination du niveau des correctifs

Si vous ne souhaitez pas ou ne savez pas comment utiliser l'outil MBSA dans certaines zones de votre environnement, il existe d'autres moyens de déterminer quels correctifs sont déjà installés.

La méthode la plus simple consiste à regarder dans le registre de l'ordinateur, sous la clé HKLM\Software\Microsoft\Windows NT\Currentversion\hotfix. Chaque nouveau correctif installé doit avoir une clé dotée d'un nom Q correspondant à l'article de la Base de connaissances relatif à ce correctif. Ce n'est toutefois pas le cas pour certains correctifs plus anciens et pour les correctifs de certaines applications particulières.

Autres outils de détermination du niveau des correctifs

Il existe deux autres outils gratuits de Microsoft pouvant être utilisés pour recueillir ces informations. Ces outils sont les suivants :

•

Qfecheck.exe utilisé avec le commutateur /v. Cet outil est traité dans l'article 282784 de la Base de connaissances Microsoft, "Qfecheck.exe Verifies the Installation of Windows 2000 and Windows XP Hotfixes" (Qfecheck.exe vérifie l'installation des correctifs Windows 2000 et Windows XP) à l'adresse http://support.microsoft.com/kb/282784. Cet outil vous informe sur le niveau des Service Packs et la version des correctifs installés sur vos serveurs. Qfecheck vous indique également si un correctif n'a pas été correctement installé dans votre environnement.

•

Hotfix.exe utilisé avec le commutateur –l. Cet outil est traité dans le Microsoft Windows NT and Windows 2000 Hotfix Installation and Deployment Guide (Guide d'installation et de déploiement des correctifs Microsoft Windows NT et Windows 2000) à l'adresse : http://www.microsoft.com/technet/archive
/security/tools/tools/hfdeploy.mspx. Cet outil permet d'afficher le nombre et la version des correctifs utilisés sur vos ordinateurs.

Évaluation et planification de l'application des correctifs

Toutes les menaces et toutes les vulnérabilités ne représentent pas forcément un risque majeur pour votre environnement. Lorsque vous lisez des notifications relatives aux vulnérabilités potentielles des nouveaux systèmes d'exploitation ou des applications, il convient d'évaluer si ces vulnérabilités s'appliquent à votre environnement particulier.

Par exemple, si une vulnérabilité concerne le service FTP (File Transfer Protocol) de Windows 2000 et que vous n'utilisez jamais ce service, cette vulnérabilité ne s'applique pas à votre environnement. De même, si vous appreniez que les risques d'ouragans étaient très importants cette année, mais que votre environnement informatique était situé bien à l'intérieur des terres, le risque pour vous serait minimal. Si vous traitez les menaces et les vulnérabilités qui ne s'appliquent pas à votre environnement, vous risquez de gaspiller des ressources importantes, et vous risquez même de compromettre la stabilité de votre environnement sans n'en tirer aucun bénéfice.

Lorsque de nouvelles menaces et de nouvelles vulnérabilités émergent, lisez tout d'abord toutes les informations disponibles les concernant. Ceci vous permettra de prendre une décision motivée quant au niveau de risque réel pour votre environnement et de déterminer la réponse à apporter. Vous pourrez alors décider de n'entreprendre aucune action, de désactiver les services potentiellement en danger, ou de déployer un correctif.

Important : lorsque vous planifiez le déploiement d'un nouveau correctif, vous devez également créer un plan d'annulation décrivant comment supprimer le correctif ou minimiser les échecs lors de l'installation du correctif.

Pour vous assurer que vous disposez bien toujours des derniers correctifs disponibles, contrôlez que vous recevez régulièrement les bulletins de sécurité publiés par Microsoft. Pour recevoir les bulletins de sécurité, allez sur le site Web de Microsoft à l'adresse http://www.microsoft.com/worldwide et sélectionnez votre pays pour accéder à la page d'accueil de Microsoft Security à l'adresse http://www.microsoft.com/security/.

Classification des correctifs

Dès qu'un nouveau correctif est mis sur le marché, vous devez tout d'abord déterminer s'il concerne votre environnement, ce qui vous permettra de décider s'il convient de le déployer, et le nombre de tests que vous pouvez vous permettre d'effectuer.

Microsoft assigne un niveau à chaque vulnérabilité faisant l'objet d'un bulletin de sécurité. Les différents niveaux sont présentés dans le tableau qui suit.

Tableau 6.1 : niveaux de vulnérabilité, tels que définis par Microsoft

Type d'ordinateur	Niveau critique	Niveau modéré	Niveau faible
Serveurs Internet	Dégradation du site Web, deni de service ou contrôle total.	Difficulté d'exploitation, configuration inhabituelle ou effet passager.	Impact limité tel que la divulgation de scripts.
Serveurs internes	Élévation des privilèges, divulgation ou modification des données. Audit difficile.	Divulgation ou modification des données auditables ou déni de service.	Vol ou modification non ciblé(e) ou fragmentaire de données, déni de service limité.
Systèmes client	Exécution de code arbitraire sans intervention de l'utilisateur, élévation des privilèges à distance.	Élévation locale des privilèges, divulgation de données non ciblées ou déni de service, exploitation d'actions d'utilisation.	Vol ou modification limité(e) ou fragmentaire de données, attaques dangereuses par le Web.

Le système d'évaluation permet de classifier les vulnérabilités en fonction de leur impact potentiel et de leur probabilité.

Vous pouvez utiliser ce système d'évaluation pour vous aider à classifier les correctifs. Toutefois, le système d'évaluation de Microsoft ne constitue qu'une estimation générale de l'impact potentiel d'une vulnérabilité sur la base de millions de clients répartis dans le monde entier. L'évaluation de la gravité s'appuie sur les expériences du passé et sur un jugement subjectif. Pour toutes ces raisons, ce système d'évaluation ne constitue pas forcément un système de prédiction fiable et précis en ce qui concerne votre environnement. Pour finir, vous devez classifier les correctifs en fonction de votre propre environnement.

Évaluation du correctif

La vérification de la mise à jour de logiciel doit comporter au minimum les étapes suivantes :

1.	Identification du propriétaire du correctif. Pour tous les correctifs, vous devez disposer d'un propriétaire identifié responsable de l'évaluation du correctif.
2.	Lecture de toute la documentation disponible. Avant d'appliquer quelque Service Pack, correctif ou correctif de sécurité que ce soit, il convient de lire toute la documentation correspondante et de la faire évaluer par vos pairs. Le processus d'évaluation par les pairs (peer-review) est essentiel car il réduit le risque de voir une personne manquer des informations critiques et pertinentes lors de l'évaluation de la mise à jour.
3.	Vérification de la catégorie du correctif. Une fois l'évaluation approfondie du correctif réalisée, vous devrez peut-être modifier sa catégorie. Ceci affectera certaines caractéristiques des tests à effectuer.

Pendant la lecture de la documentation, recherchez des réponses aux questions suivantes :

•	La mise à jour est-elle pertinente ? Permettra-t-elle de résoudre un problème en cours ?
•	L’adoption de la mise à jour va-t-elle entraîner d’autres problèmes, compromettant ainsi le système de production ?
•	Existe-t-il des interdépendances liées à la mise à jour ? (Par exemple, certaines fonctions doivent-elles être activées ou désactivées pour que la mise à jour soit efficace ?)
•	Certaines actions sont-elles nécessaires avant le déploiement de la mise à jour ?

En plus de lire attentivement la documentation parue avec les mises à jour, vous devrez rechercher sur le site Web de Microsoft toutes les informations relatives à cette mise à jour ayant été publiées depuis. Le site Web TechNet propose lui aussi des bulletins de sécurité dans une base de données interrogeable (par nom de produit et version de Service Pack). Ces bulletins fournissent des informations critiques devant être référencées.

Test des correctifs

Comme tout logiciel, les correctifs peuvent ne pas fonctionner parfaitement dans tous les environnements. Idéalement, il faudrait tester de façon approfondie tous les correctifs que vous envisagez d'installer sur votre environnement. On sait cependant que de nombreux correctifs de sécurité nécessitent d'être installés rapidement pour résoudre de graves problèmes potentiels.

Bien souvent, la procédure de test est un compromis entre le besoin de résoudre un problème de sécurité et le besoin de vous assurer que le correctif fonctionne correctement dans votre environnement.

Le nombre de tests nécessaires dépend de la catégorie dans laquelle vous avez classé le correctif. Si l'on utilise la classification Microsoft, le tableau suivant indique le niveau de test minimal devant être réalisé pour chaque type de correctif. Dans le scénario Trey Research, chacun des rôles du serveur devait absolument fonctionner correctement après installation des correctifs recommandés. Leur bon fonctionnement a été confirmé en vérifiant que divers ordinateurs client pouvaient toujours se connecter aux services du réseau fonctionnant sur plusieurs des rôles du serveur et en réalisant d'autres procédures de base pour confirmer que tout fonctionnait bien comme avant.

Tableau 6.2 : niveau de test minimal des correctifs

Type de correctif	Phases de test
Gravité critique	Évaluation du correctif Évaluation du fonctionnement du serveur (limité)
Gravité modérée	Évaluation du correctif Installation du correctif dans un environnement de test Évaluation du fonctionnement du serveur (complète) Vérification de la procédure de désinstallation
Gravité faible	Évaluation du correctif Installation du correctif dans un environnement de test Évaluation du fonctionnement du serveur (complète) Évaluation du fonctionnement des applications Vérification de la procédure de désinstallation

Dans le cadre du processus de gestion des risques, vous devez déterminer le niveau de réalisation de chaque étape (complet ou limité). Si vous sautez certaines étapes car le temps presse, vous pouvez toujours les réaliser dans un laboratoire pour rechercher les problèmes éventuels avant qu'ils ne se produisent sur des systèmes déjà déployés.

Tous les tests doivent être réalisés sur des serveurs ressemblant le plus possible à vos serveurs de production.

Installation du correctif

Vous devez vous assurer que le correctif est installé correctement, savoir s'il nécessite un redémarrage, connaître l'espace qu'il occupe (y compris le dossier de désinstallation), comprendre quelles sont les options auxquelles vous avez accès, etc. Vous devez également lire toutes les documentations afférentes pour pouvoir évaluer les avantages par rapport aux inconvénients consécutifs à l'application de ce correctif.

Test du fonctionnement du serveur

Une fois le correctif installé, vous devez vous assurer que le serveur fonctionne toujours normalement. Il est également judicieux de consulter le Journal des événements et le Contrôle système à la recherche d'éventuels résultats inattendus.

Testez toutes les fonctions du serveur et assurez-vous que tout fonctionne bien normalement. C'est le niveau de risque que vous êtres capable de gérer sur un serveur particulier qui va déterminer la durée pendant laquelle vous allez laisser le serveur fonctionner avant de conclure que tout fonctionne normalement. Si un problème survient, vous devez vérifier s'il est référencé et le signaler à Microsoft aussi rapidement que possible.

Remarque : vous pouvez utiliser le gestionnaire MOM (Microsoft Operations Manager) pour recueillir les informations en provenance du Journal des événements et du Contrôle système sur les serveurs Windows NT 4.0.

Test du fonctionnement des applications

Dans le cadre du processus de test, il est important de tester le correctif sur toutes les applications coexistant sur les serveurs et de vérifier que vous avez bien repérer tous les problèmes éventuels relatifs aux interdépendances. Une fois le correctif installé, vous devez vérifier que toutes les applications fonctionnent bien toujours comme avant.

Préparation de la désinstallation

Il reste toutefois possible que malgré les tests effectués, vous rencontriez des problèmes après l'installation du correctif, problèmes nécessitant sa désinstallation. Il est donc important de tester que le processus de désinstallation fonctionne bien. Une fois la désinstallation effectuée, vous devez vérifier que le serveur poursuit son exécution normale et continuer à examiner les comptes du Journal des événements et du Contrôle système.

Création d'un plan d'annulation

Même si tous les tests se sont déroulés sans incident, des problèmes peuvent quand même survenir lors du déploiement du correctif au niveau de toute votre entreprise. Vous devez avoir créé un plan d'action destiné à restaurer le système à son état d'origine, c'est-à-dire avant que le correctif ne soit déployé.

Dans certains cas, ce plan consistera à prendre un instantané de sauvegarde d'un serveur avant d'y installer le correctif, de façon à pouvoir le restaurer rapidement en cas de problème(s). Vous devez là aussi tester soigneusement le plan d'annulation conçu par votre entreprise.

Déploiement des correctifs

Si tous les tests se sont déroulés sans incidents, vous pouvez déployer le correctif dans toute votre entreprise. Pour ce faire, il existe plusieurs méthodes et processus, y compris les suivants :

•	Déploiement manuel
•	Outils de déploiement automatisé fournis par Microsoft ou d'autres fournisseurs
•	Scripts intégrés à, ou personnalisés pour votre environnement.

Remarque : pour plus d'informations sur le déploiement des correctifs, reportez-vous à l'article "Best Practices for Applying Service Packs, Hotfixes and Security Patches" (Pratiques recommandées pour l'application des Service Packs, des correctifs et des correctifs de sécurité) sur le site Microsoft TechNet à l'adresse http://www.microsoft.com/technet/security
/bestprac/bpsp.mspx.

Déploiement manuel

Le nom de la plupart des correctifs donne des informations importantes sur leur contenu. Par exemple, un nom typique de correctif est : Q292435_W2K_SP3_x86_en.exe. Dans ce cas :

•	Q292435 correspond au numéro de l'article de la Base de connaissances dans lequel vous trouverez plus d'informations sur ce correctif.
•	W2K correspond au nom du produit auquel est destiné le correctif (ici Microsoft Windows 2000).
•	SP3 correspond au Service Pack dans lequel sera inclus le correctif.
•	Ensuite, x86 indique l'architecture du processeur pour laquelle il a été conçu.
•	Enfin, en indique la langue dans laquelle le correctif a été publié (en pour english - anglais - dans le cas présent)..

Remarque : les correctifs possédant un nom de fichier de type QXXXXXX.exe et pour lesquels W2K_SP3_x86 n'est pas ajouté au nom de fichier, sont spécifiques à des applications particulières telles que Microsoft Internet Explorer.

Les correctifs prennent également en charge plusieurs commutateurs de ligne de commande pouvant être utilisés pour contrôler le comportement du processus d'installation du correctif. Ces commutateurs sont répertoriés dans le tableau suivant.

Tableau 6.3 : commutateurs des fichiers exécutables des correctifs

Commutateur	Description
-y	Désinstalle le correctif.
-f	Force la fermeture des applications à l'arrêt du système.
-n	Ne crée pas de répertoire de désinstallation.
-z	Ne redémarre pas l’ordinateur une fois la mise à jour terminée.
-q	Utilise le mode silencieux — absence d'interface utilisateur.
-m	Utilise le mode sans assistance.
-l	Affiche la liste des correctifs installés.

Remarque : les correctifs spécifiques à certaines applications possédant un nom de fichier de type QXXXXXX.exe ne prennent généralement pas en charge tous les commutateurs indiqués dans le tableau ci-dessus.

Lorsque vous créez un script d'installation de plusieurs correctifs, vous souhaitez généralement utiliser les commutateurs -q et -z de façon à installer les correctifs sans interface utilisateur ni redémarrage nécessaire.

Or, lorsque l'on installe plusieurs correctifs, il est souvent nécessaire de redémarrer l'ordinateur après chaque installation. Ceci s'explique par le fait que les fichiers verrouillés ou ceux qui sont en cours d'utilisation ne peuvent pas être remplacés. Ils sont donc placés dans une file d'attente pour être remplacés après le redémarrage du système.

QChain est un outil vous permettant d'enchaîner plusieurs correctifs pour Windows NT 4.0 pour n'avoir plus qu'à réaliser un seul et unique redémarrage à la fin de l'installation de tous les correctifs. Pour utiliser l'outil QChain, lancez le programme d'installation après y avoir ajouté le commutateur -z pour lui demander de ne pas redémarrer le système après l'installation de chaque correctif. Exécutez ensuite QChain.exe et redémarrez l'ordinateur.

Si des composants Windows supplémentaires, tels que le service DNS (Domain Name System), sont ajoutés après l'application d'un Service Pack et de correctifs, il est nécessaire d'appliquer une nouvelle fois ce Service Pack et ces correctifs pour vous assurer que les nouveaux composants sont correctement protégés.

Scripts de déploiement

Vous pouvez souhaiter créer vos propres scripts en utilisant le langage Microsoft Visual Basic® Scripting Edition (VBScript) ou des fichiers de commandes pour déployer des correctifs. Ces scripts peuvent prendre la forme de scripts d'ouverture de session ou de démarrage contrôlant l'état actuel des correctifs, puis recherchant les mises à jour depuis un serveur centralisé. Vos scripts peuvent inclure l'outil QChain afin qu'un seul redémarrage ne soit plus nécessaire en cas d'installation de plusieurs correctifs.

Contrôle du déploiement et rapports correspondants

Une fois les correctifs installés dans votre environnement de production, vous devez continuer à contrôler vos serveurs. Surveillez régulièrement les comptes Journal des événements et Contrôle système à la recherche d'éventuels problèmes. Si vous remarquez des erreurs sur vos ordinateurs dans les semaines qui suivent, effectuez des tests pour vous assurer qu'ils ne proviennent pas du correctif que vous avez déployé. De même, si vous avez installé un correctif sans le tester au préalable de façon approfondie en laboratoire car le temps pressait, vous devez continuer à le tester dans un environnement de laboratoire afin de vous assurer qu'aucun problème potentiel n'a été manqué.

En plus du contrôle des serveurs existants, il est essentiel de contrôler l'environnement dans son ensemble pour vous assurer qu'aucun nouveau serveur n'a été installé sur le système sans avoir reçu les correctifs en cours. Les nouveaux serveurs doivent toujours recevoir les dernières versions des correctifs et la stratégie de surveillance de votre entreprise doit être conçue dans ce sens.

Le seul moyen de vous assurer que chacun des processus fonctionne correctement est de les examiner. Une fois le processus de gestion des correctifs terminé pour chaque correctif, vous devez les vérifier un à un pour vous assurer qu'ils ont été déployés correctement, et que toutes les procédures ont été exécutées de façon appropriée. Cette vérification vous aide à garantir que votre processus de gestion des correctifs va continuer à fonctionner comme il le doit. Lorsque vous vérifiez le processus, n'oubliez pas de continuer à analyser votre environnement pour repérer les futures modifications. Dès qu'une modification se produit, vous devez appliquer une nouvelle fois le processus de gestion des correctifs.

Haut de page

Implémentation

La solution de gestion des correctifs Trey Research comprend plusieurs composants distincts fonctionnant ensemble pour proposer au final des services d'inventaire et de livraison fiables et performants. La première étape réalisée par Trey a été d'analyser dans leur intégralité le réseau et les systèmes existants dans la société. Les correctifs sont souvent appliqués de façon incohérente au sein d'une même entreprise, sans trace des raisons pour lesquelles ils ont été déployés, du moment de leur installation ni de leur emplacement. Trey souhaitait créer un processus de gestion des correctifs uniforme pouvant être utilisé pour appliquer les correctifs nécessaires aux bons ordinateurs aux bons moments, et ce de façon régulière et cohérente.

Création des serveurs intermédiaires de mise à jour

Dans de nombreux environnements, il peut être utile de dédier des ordinateurs au processus de gestion des correctifs. Ces systèmes constituent alors des emplacements réservés au stockage des outils de sécurité, des correctifs, des Service Packs et de la documentation. Vous pouvez utiliser ces systèmes comme emplacements sur lesquels effectuer l'analyse des correctifs, leur récupération et leur déploiement. Microsoft Software Update Service (SUS) et Windows Update Services (WUS) sont des produits permettant d'exécuter toutes ces fonctionnalités sur les réseaux Windows. Toutefois, SUS ne pouvait pas être utilisé dans l'environnement Trey car il n'est pas pris en charge par Windows 98 ni Windows NT 4.0. Trey a donc décidé de construire ses propres serveurs intermédiaires pour tester et distribuer les correctifs. Ces serveurs sont actuellement hébergés de façon partagée sur les contrôleurs de domaine Microsoft Windows Server™ 2003. Trey a téléchargé le Microsoft Security Tool Kit, l'a placé sur les serveurs intermédiaires, et utilisé les correctifs contenus dans le kit pour renforcer la sécurité des ordinateurs existants. De plus, Trey a mis à jour son processus de création de serveurs et de stations de travail pour y inclure l'application des correctifs du Security Tool Kit au moment même de la conctruction de nouveaux ordinateurs.

Trey a choisi d'utiliser ses contrôleurs de domaine en tant que serveurs intermédiaires pour s'assurer que les systèmes de mise à jour de sécurité résident sur un ou plusieurs ordinateurs dédiés pouvant être étroitement contrôlés et sécurisés. Trey a fait ce choix car ce sont ces systèmes qui seront utilisés pour déployer et gérer les correctifs de sécurité de tous les systèmes dans leur environnement.

Bien que les systèmes de mise à jour de sécurité ne nécessitent généralement pas d'être des serveurs ultra-puissants (la charge à gérer étant généralement assez faible), il est très important qu'ils soient hautement disponibles.

Pour déployer correctement un système de mise à jour de sécurité, l'ordinateur doit posséder un accès direct ou indirect à Internet afin de pouvoir télécharger les toutes dernières informations relatives aux correctifs provenant de sources sûres, et d'avoir accès à chacun des ordinateurs responsables de l'actualisation de ces informations.

Remarque : MOF traite des systèmes de mise à jour dans le cadre du processus de gestion des versions.

Identification des correctifs manquants

Un processus d'analyse continu est nécessaire pour vous assurer que les correctifs les plus récents ont bien été appliqués à tous les serveurs et à toutes les stations de travail. Pour s'assurer que tous les ordinateurs de leur réseau sont bien à jour, le personnel informatique de Trey utilise une combinaison de tous les outils décrits précédemment dans ce chapitre.

Analyse du système d'exploitation de base

MBSA permet au personnel informatique de Trey d'analyser régulièrement leurs serveurs et leurs stations de travail Windows NT et de cataloguer les résultats. Tout d'abord, le directeur informatique a utilisé MBSA pour effectuer une rapide analyse de base afin d'identifier les systèmes pour lesquels manquaient certains correctifs. Une fois les correctifs nécessaires appliqués, MBSA a ensuite été planifié pour être exécuté régulièrement sur différents ensembles de systèmes.

Pour réaliser une analyse de base avec MBSA

1.	Ouvrez une session sur un ordinateur exécutant Windows 2000, Windows XP ou Windows Server 2003 à l'aide d'un compte doté de privilèges d'administrateur pour cet ordinateur ou les ordinateurs que vous souhaitez analyser.
2.	Ouvrez une invite de commande.
3.	Lancez la version de ligne de commande de MBSA avec le commutateur –b, comme suit : mbsacli.exe /hf –d <votre Domaine> -b Le commutateur –b exécute MBSA dans son mode d'analyse de base, qui contrôle uniquement les correctifs considérés comme des correctifs de base par le MSRC (Microsoft Security Response Center).
4.	Lisez le rapport généré, indiquant quels systèmes ont été trouvés, s'ils ont été analysés et donnant des informations sur les éventuels correctifs manquants.

Pour réaliser une analyse standard avec MBSA

1.	Ouvrez une session sur un ordinateur exécutant Windows 2000, Windows XP ou Windows Server 2003 à l'aide d'un compte doté de privilèges d'administrateur pour cet ordinateur ou les ordinateurs que vous souhaitez analyser.
2.	Lancez MBSA et cliquez sur Analyser plusieurs ordinateurs.
3.	Dans le champ Nom de domaine, saisissez le nom du domaine que vous souhaitez analyser.
4.	Cliquez sur Démarrer l’analyse et attendez que MBSA énumère et analyse tous les systèmes présents sur votre réseau.
5.	Cliquez sur Choisir le rapport de sécurité à afficher.
6.	Sélectionnez un ordinateur dans la liste des rapports de sécurité, puis double-cliquez sur le nom associé à cet ordinateur.
7.	Lisez le rapport.

Le livre blanc "Microsoft Baseline Security Analyzer V1.2", disponible à l'adresse http://www.microsoft.com/technet
/security/tools/mbsawp.mspx, décrit de façon détaillée les différents modes d'analyse et les contrôles de vulnérabilité réalisés par MBSA.

Analyse des installations Office

Vous pouvez utiliser l'outil Office Update Inventory Tool décrit plus haut dans ce chapitre pour analyser chaque station de travail à la recherche des mises à jour d'Office critiques. Ceci nécessite toutefois qu'un fichier exécutable client soit installé et exécuté sur chaque système. Trey Research allant bientôt migrer vers Office 2003 dans le cadre de sa modernisation informatique, la société possède actuellement un mélange d'installations Office 2000 et Office XP, et les administrateurs ont d'ores et déjà installé les Service Packs actuels dans le cadre de la maintenance normale du système. Trey a évalué les risques de failles de sécurité d'Office liés à ce compromis comme étant assez faibles, et a donc adopté une stratégie permettant aux utilisateurs d'accéder directement au site Web Office Update à l'adresse http://office.microsoft.com/officeupdate pour prendre connaissance des dernières mises à jour. Les systèmes critiques, et ceux appartenant aux cadres supérieurs, sont analysés de l'une des deux manières suivantes :

•	Les systèmes exécutant Windows NT, Windows 2000 et Windows XP sont analysés en utilisant MBSA en mode local, qui contrôle uniquement la présence des correctifs de sécurité d'Office au niveau de l'ordinateur local.
•	Les systèmes exécutant Windows 98 sont analysés manuellement en utilisant l'outil Office Update Inventory Tool.

Planification de l'application des correctifs

Le directeur informatique de Trey Research a conçu un modèle de plan d'application des correctifs qui est utilisé comme base des plans mensuels d'application des correctifs de la société. Microsoft émettant ses correctifs de sécurité selon un agenda prévisible, ce modèle permet aux administrateurs de Trey de suivre un processus standardisé d'évaluation et de déploiement de chaque ensemble de correctifs de sécurité, chaque fois que Microsoft en publie un. Ce modèle comprend les éléments suivants :

•	Quels sont les services, systèmes et applications pouvant être considérés comme critiques pour l'activité de Trey et quels sont ceux étant optionnels ou non essentiels.
•	Comment déterminer si un correctif s'applique à un système particulier ou à un ensemble de systèmes donné.
•	Comment déterminer si le correctif peut générer d'autres problèmes.
•	Des instructions permettant d'identifier les interdépendances de chaque correctif.
•	Des critères permettant de décider si une vulnérabilité est suffisamment importante pour nécessiter une installation du correctif en urgence ou de planifier un déploiement de correctif(s) supplémentaire(s).
•	Qui doit vérifier et approuver le déploiement des correctifs.
•	Comment annuler l'installation du correctif et revenir en arrière en cas d'échec.

En plus d'avoir développé ce modèle, le personnel informatique de Trey s'est abonné au service de notification Microsoft Security Notification Service, afin de pouvoir consulter régulièrement la page d'accueil de Microsoft Security à l'adresse http://www.microsoft.com/security/.

Classification des correctifs

Trey Research utilise le système de classification standard de Microsoft relatif à la gravité des problèmes résolus par les correctifs, comme indiqué précédemment dans le Tableau 6.1. La société a toutefois ajouté un paramètre supplémentaire à cette classification, indiquant si le correctif s'appliquait à son environnement. Par exemple, Trey n'utilisant pas actuellement Office 2003, les correctifs s'y rapportant recevront la mention "non applicable", quelle que soit la gravité associée à cette vulnérabilité par Microsoft. De même, Trey utilisant énormément Microsoft Data Engine (MSDE) et SQL Server 2000, tous les correctifs relatifs à SQL Server sont classés comme "applicables". Cette approche nécessite un effort de classification supplémentaire, mais permet à Trey de se concentrer sur les correctifs les plus pertinents pour l'environnement de la société.

Test des correctifs

L'administrateur informatique principal de Trey Research a conçu un plan de test des correctifs établissant les conditions de test des correctifs lors d'un déploiement à grande échelle en fonction de la gravité des vulnérabilités concernées, de l'applicabilité des correctifs et de la nature des systèmes sur lesquels ils sont appliqués. Trey a choisi d'adopter les recommandations de Microsoft en ce qui concerne le niveau des tests à réaliser (indiqué dans le Tableau 6.2) et a créé un modèle représentant son réseau de production à utiliser en laboratoire, et contenant les représentations des différents serveurs et stations de travail de la société. Les nouveaux correctifs sont tout d'abord déployés au niveau du laboratoire de test pour vérifier qu'ils s'installent bien correctement et qu'ils ne compromettent aucun élément critique. Si ce premier test réussit, les correctifs sont ensuite déployés selon les critères définis dans le plan d'application des correctifs.

Une fois le correctif installé dans le laboratoire de test, Trey réalise un ensemble de tests standard. Ces tests incluent l'ajout et la suppression de ressources dans le service d'annuaire Microsoft Active Directory® ainsi que l'exécution d'un ensemble standard d'applications sectorielles de la société Avant qu'un test soit considéré comme réussi, le Journal des Événements et le Contrôle système sont également passés en revue à la recherche d'éventuels résultats inattendus.

Déploiement des correctifs

Si tous les tests se sont déroulés sans incident, Trey Research déploie alors les correctifs sur les systèmes en ayant besoin. Pour ce faire, ils utilisent une combinaison de deux méthodes : le déploiement manuel par des administrateurs ou des utilisateurs concernés et le déploiement automatisé utilisant des scripts personnalisés.

Déploiement manuel

L'installation manuelle des correctifs est la méthode d'installation la plus fréquemment utilisée. Elle consiste simplement à lancer sur chaque serveur le fichier exécutable correspondant au correctif souhaité. Cette méthode peut toutefois être inadaptée si votre entreprise dispose de nombreux serveurs. Trey utilisant un nombre modéré de serveurs, et parce que les serveurs de cette société sont répartis dans de nombreux sites, le déploiement manuel des correctifs est la méthode de déploiement standard actuellement utilisée. Pour éviter tout temps d'arrêt inutile, le personnel informatique installe les correctifs en utilisant le commutateur –z afin d'éviter les redémarrages successifs après l'installation de chaque correctif. La dernière étape du processus d'installation consiste à exécuter Qchain.exe afin d'unifier tous les fichiers installés au cours de l'application des correctifs.

Scripts de déploiement

Trey Research a créé un script personnalisé utilisant QChain pour installer plusieurs correctifs en ayant simplement à redémarrer le système après l'installation du dernier correctif. Ce script est décrit dans l'article 296861 de la Base de connaissances Microsoft, "How to Install Multiple Windows Updates or Hotfixes with Only One Reboot" (Comment faire pour installer plusieurs mises à jour ou correctifs Microsoft Windows en un seul redémarrage), à l'adresse http://support.microsoft.com/kb/296861. Le modèle de script qui suit indique la façon dont Qchain a été utilisé :

@echo off
setlocal
set PATHTOFIXES=some path
%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\qchain.exe

Haut de page

Résumé

La plupart des failles de sécurité informatiques proviennent de l'exploitation d'environnements système n'étant pas totalement à jour au niveau des correctifs de sécurité appliqués. Une bonne gestion des correctifs est nécessaire pour minimiser les risques de sécurité auxquels vous pouvez vous trouver confronté. Si vous prenez au sérieux la gestion des correctifs, il est plus que probable que vous pourrez réduire de façon considérable les coûts liés aux failles de sécurité. Pour Trey Research, comme pour la plupart des entreprises, la gestion des correctifs est un processus continu : il est impératif que les serveurs soient mis à jour avec les derniers correctifs de sécurité disponible.

Informations complémentaires

•	Le Microsoft Security Tool Kit peut vous permettre d'obtenir les Service Packs et le les correctifs nécessaires pour maintenir vos serveurs à jour. Ce kit d'outils contient d'importantes informations de sécurité, les Service Packs actuels ainsi que les correctifs de sécurité critiques pour Windows NT 4.0, Windows 2000, IIS et Microsoft Internet Explorer. Il comprend également l'outil de notification Critical Update. Cet outil vous connecte au site Windows Update pour s'assurer que les tout derniers correctifs disponibles sont bien installés sur vos ordinateurs. Le Security Tool Kit est disponible sur le site Microsoft TechNet à l'adresse http://www.microsoft.com/technet/Security /tools/stkintro.mspx.
•	Le guide Microsoft Solution Accelerator pour la gestion des correctifs utilisant SMS 2003 doit être considéré comme le guide de référence en ce qui concerne le déploiement des systèmes de gestion des correctifs SMS 2003. Le guide Gestion des correctifs de sécurité avec Systems Management Server 2003 est disponible à l'adresse http://www.microsoft.com/technet /itsolutions/techguide/msm/swdist/ pmsms/2003/pmsms031.mspx.
•	Le Systems Management Server 2003 Concepts, Planning, and Deployment Guide (Guide de déploiement, planification et concepts de SMS 2003), qui constitue la référence complète en matière de problèmes de déploiement, est disponible à l'adresse http://www.microsoft.com/resources/documentation /sms/2003/all/cpdg/en-us/default.mspx.
•	Vous trouverez des informations détaillées sur les fonctions de gestion des correctifs de SMS 2003 à l'adresse http://www.microsoft.com/smserver /evaluation/capabilities/patch.asp.
•	L'outil Office Update Inventory est disponible à l'adresse suivante : http://www.microsoft.com/office/ork /2003/journ/offutoolv2.htm.
•	L'article intitulé "Best Practices for Applying Service Packs, Hotfixes and Security Patches" (Pratiques recommandées pour l'application des Service Packs, des correctifs et des correctifs de sécurité) est disponible à l'adresse http://www.microsoft.com/technet/security /bestprac/bpsp.mspx. Cet article décrit un ensemble de pratiques recommandées pour la gestion de l'installation, le test et le déploiement des correctifs, des Service Packs et des correctifs de sécurité.
•	Les entreprises utilisant SMS 2.0 peuvent souhaiter se procurer le SMS 2000 Software Update Services Feature Pack, ajoutant des capacités avancées de gestion des correctifs et des inventaires à SMS 2.0. Vous trouverez plus d'informations sur le SUS Feature Pack pour SMS 2.0 à l'adresse http://www.microsoft.com/technet/prodtechnol/sms/ sms2/confeat/smsfpdep.mspx.

Outils tiers

Un certain nombre d'outils tiers sont disponibles sur le marché pour vous aider dans la gestion des correctifs. Ces outils proposent des fonctionnalités non disponibles sur les outils gratuits de Microsoft, telle que la capacité à déployer des correctifs avec génération d'un rapport, à créer des groupements d'ordinateurs ayant les mêmes besoins en matière de correctifs, à prendre en charge d'autres produits non pris en charge par les outils décrits précédemment, et à utiliser une interface utilisateur graphique (GUI) pour gérer les tâches administratives. Vous pouvez évaluer ces fonctionnalités et déterminer si elles sont appropriées pour votre environnement. Parmi les outils tiers disponibles figurent :

•	Shavlik HFNetChkPro. Basé sur la technologie HFNetChk, HFNetChkPro propose un certain nombre de lignes de commandes non incluses dans MBSA. Vous trouverez plus d'informations sur HFNetChkPro à l'adresse www.shavlik.com/pHFNetChkPro.aspx.
•	Bindview bv-Control. Ce produit propose une interface utilisateur graphique contribuant à simplifier le processus de vérification la non conformité des ordinateurs. Il possède également un service de mise à jour vous informant de la publication de nouveaux correctifs. Vous trouverez plus d'informations à l'adresse www.bindview.com/Products/VulnMgmt/index.cfm.
•	Pedestal Software Security Expressions. Ce produit permet aux administrateurs de mettre en place des stratégies de verrouillage sur les ordinateurs Windows et UNIX. Il permet également de vérifier les correctifs installés et de les télécharger et de les installer automatiquement si nécessaire. Vous trouverez plus d'informations à l'adresse www.pedestalsoftware.com/products/se/.

Haut de page

6 sur 9

Dans cet article

•	Chapitre 1 : Introduction
•	Chapitre 2 : application d'une discipline de gestion du risque de sécurité au scénario Trey Research
•	Chapitre 3 : sécurité du réseau et renforcement
•	Chapitre 4 : renforcement de Microsoft Windows NT 4.0
•	Chapitre 5 : renforcement de Microsoft Windows 98
•	Chapitre 6 : gestion des correctifs
•	Chapitre 7 : protection antivirus
•	Chapitre 8 : conclusion
•	Remerciements