par Mark Minasi - mis en ligne le 19/02/2003
Il fut un temps où peu m'importait
de construire un nouveau serveur de
test sans hotfixes ou packs de service.
Après tout, ce n'était qu'un serveur de
test : il ne contenait aucune donnée importante pour moi, donc sa sécurité
m'importait peu. Mais c'était avant les
virus Microsoft IIS. Aujourd'hui, si je
mets un serveur non sécurisé sur le réseau,
il pourrait s'infecter et s'ajouter à toutes les machines que je surveille à
longueur de journée.
Mais l'installation des hotfixes
est fastidieuse. Microsoft a pris
l'engagement d'écrire des hotfixes ne nécessitant pas de réinitialisation. Mais
en attendant, je dois appliquer plus
d'une dizaine de hotfixes à - et réinitialiser
plus d'une dizaine de fois - tout
système post-Service Pack 2 (SP2)
Windows 2000, si je veux qu'il soit aussi
sécurisé que Microsoft sait le faire.
Je suis un chaud partisan du scripting
et de Microsoft RIS (Remote
Installation Services). Ce mois-ci, je
vous montre comment préparer un
serveur RIS qui vous permettra de démarrer
une installation Win2K automatisée,
d'aller faire un tour et de revenir
pour constater que tous les derniers
hotfixes ont été installés. Bien que je
bâtisse mon exemple sur RIS, cette méthode
marche aussi dans une installation
en réseau plus simple utilisant un
i386 partagé.
Il faut d’abord assembler les outils nécessaires
pour déployer le serveur. Il
faut disposer d’un serveur RIS et, bien
entendu, les systèmes serveurs prévus
capables de s’initialiser sur RIS en utilisant
des clients intégrés ou le disque
d’initialisation générique de RIS. Il
vous faut aussi le dernier pack de services
(SP2 au moment de l’écriture de
cet article) et tous les hotfixes de packs
post-service. Pour trouver les hotfixes,
je vous conseille d’aller à http://www.
microsoft.com/security ou de rechercher
« security bulletin » sur le site de
Microsoft. L’une ou l’autre de ces méthodes
vous conduira à une page récapitulant
les derniers hotfixes.
Les hotfixes sont généralement des
fichiers .exe avec des noms du genre
q303984_w2k_sp3_x86_en.exe. Le nom de fichier à lui seul peut vous en
dire beaucoup : que l’article Microsoft
Q303984 explique ce que le hotfix corrige,
que le correctif est destiné à
Win2K dans sa version Intel Pentium
de cet OS, que le patch est destiné à
être intégré dans SP3 et que le patch
concerne la version anglaise de l’OS.
Il vous faut aussi un autre outil.
L’installation de hotfixes a toujours été
une corvée pour (au moins) deux raisons.
La première raison déjà mentionnée
est que l’installation d’un hotfix
oblige à réinitialiser le système.
L’application des 16 hotfixes d’actualité
à mi-octobre 2001, par exemple, nécessiterait
16 réinitialisations. Heureusement,
la plupart des hotfixes écrits depuis
mi-2000 proposent deux
commutateurs -m et -z, qui disent aux
hotfixes de s’installer tranquillement et
de ne pas imposer une réinitialisation,
respectivement. La seconde raison est
la suivante : s’il y a plusieurs hotfixes, il
faut absolument les installer dans le
bon ordre pour éviter des conflits
entre eux.
C’est ici qu’intervient l’outil
qchain.exe de Microsoft. Après avoir
utilisé le commutateur -z pour installer
plusieurs hotfixes et avant de réinitialiser,
utilisez Qchain : il réagence tous
les hotfixes pour éviter tout conflit.
L’article Microsoft « Use QChain.exe to
Install Multiple Hotfixes with Only One
Reboot » (http://support.microsoft.
com/directory/article.asp?id=kb;e
n-us;q296861) explique l’outil et fournit
un lien pour le télécharger.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
