> Tech > Déployer des serveurs sécurisés

Déployer des serveurs sécurisés

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Minasi - mis en ligne le 19/02/2003
Il fut un temps où peu m'importait de construire un nouveau serveur de test sans hotfixes ou packs de service. Après tout, ce n'était qu'un serveur de test : il ne contenait aucune donnée importante pour moi, donc sa sécurité m'importait peu. Mais c'était avant les virus Microsoft IIS. Aujourd'hui, si je mets un serveur non sécurisé sur le réseau, il pourrait s'infecter et s'ajouter à  toutes les machines que je surveille à  longueur de journée.

Mais l'installation des hotfixes est fastidieuse. Microsoft a pris l'engagement d'écrire des hotfixes ne nécessitant pas de réinitialisation. Mais en attendant, je dois appliquer plus d'une dizaine de hotfixes à  - et réinitialiser plus d'une dizaine de fois - tout système post-Service Pack 2 (SP2) Windows 2000, si je veux qu'il soit aussi sécurisé que Microsoft sait le faire.

Je suis un chaud partisan du scripting et de Microsoft RIS (Remote Installation Services). Ce mois-ci, je vous montre comment préparer un serveur RIS qui vous permettra de démarrer une installation Win2K automatisée, d'aller faire un tour et de revenir pour constater que tous les derniers hotfixes ont été installés. Bien que je bâtisse mon exemple sur RIS, cette méthode marche aussi dans une installation en réseau plus simple utilisant un i386 partagé.

Déployer des serveurs sécurisés

Il faut d’abord assembler les outils nécessaires
pour déployer le serveur. Il
faut disposer d’un serveur RIS et, bien
entendu, les systèmes serveurs prévus
capables de s’initialiser sur RIS en utilisant
des clients intégrés ou le disque
d’initialisation générique de RIS. Il
vous faut aussi le dernier pack de services
(SP2 au moment de l’écriture de
cet article) et tous les hotfixes de packs
post-service. Pour trouver les hotfixes,
je vous conseille d’aller à  http://www.
microsoft.com/security ou de rechercher
« security bulletin » sur le site de
Microsoft. L’une ou l’autre de ces méthodes
vous conduira à  une page récapitulant
les derniers hotfixes.

Les hotfixes sont généralement des
fichiers .exe avec des noms du genre
q303984_w2k_sp3_x86_en.exe. Le nom de fichier à  lui seul peut vous en
dire beaucoup : que l’article Microsoft
Q303984 explique ce que le hotfix corrige,
que le correctif est destiné à 
Win2K dans sa version Intel Pentium
de cet OS, que le patch est destiné à 
être intégré dans SP3 et que le patch
concerne la version anglaise de l’OS.

Il vous faut aussi un autre outil.
L’installation de hotfixes a toujours été
une corvée pour (au moins) deux raisons.
La première raison déjà  mentionnée
est que l’installation d’un hotfix
oblige à  réinitialiser le système.
L’application des 16 hotfixes d’actualité
à  mi-octobre 2001, par exemple, nécessiterait
16 réinitialisations. Heureusement,
la plupart des hotfixes écrits depuis
mi-2000 proposent deux
commutateurs -m et -z, qui disent aux
hotfixes de s’installer tranquillement et
de ne pas imposer une réinitialisation,
respectivement. La seconde raison est
la suivante : s’il y a plusieurs hotfixes, il
faut absolument les installer dans le
bon ordre pour éviter des conflits
entre eux.

C’est ici qu’intervient l’outil
qchain.exe de Microsoft. Après avoir
utilisé le commutateur -z pour installer
plusieurs hotfixes et avant de réinitialiser,
utilisez Qchain : il réagence tous
les hotfixes pour éviter tout conflit.
L’article Microsoft « Use QChain.exe to
Install Multiple Hotfixes with Only One
Reboot » (http://support.microsoft.
com/directory/article.asp?id=kb;e
n-us;q296861) explique l’outil et fournit
un lien pour le télécharger.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro.fr - Publié le 24 juin 2010