pascals.blog

Vulnérabilités des OS clients : Vista, XP SP2, Linux, Mac OS... et Windows 2000 dans tout ça ?

Jeff Jones vient de publier deux papiers comparant pour le premier les vulnérabilités de Windows Vista et de Windows XP SP2 en 2007, et, pour le second, les vulnérabilités du premier trimestre 2008 pour Vista, XP SP2, RHEL Desktop v5 client, RHEL WS v4, Ubuntu 6.06 LTS Desktop, Mac OS 10.4 et 10.5.

• Windows Vista vs Windows XP SP2 Vulnerability Report 2007
• Q1 2008 - Client OS Vulnerability Scorecard

Le premier papier évoque de façon très intéressante le rôle d'UAC dans la réduction de la menace liée aux vulnérabilité.

A propos (cela date de la semaine dernière), il paraît que Windows 2000 serait plus sûr que Windows Vista... Ce genre d'auto-promotion sensationnaliste (qui avait entendu parler de PC Tools auparavant ?) ferait juste sourire si elle n'était pas reprise à tour de bras par tous les sites d'informations technologiques de la planète. Une réponse n'était pas vraiment nécessaire, mais voici tout de même :

• Windows Vista and Malware

Virtual PC 2007 SP1 et Virtual Server 2005 R2 SP1 Update

Du neuf coté Virtual PC et Virtual Server : le SP1 du premier et une mise à jour du second leur permet de supporter dorénavant les derniers systèmes : XP SP3, Vista SP1 et Windows Server 2008.

• Téléchargement de Virtual PC 2007 SP1 (release notes) - version 6.0.192.0.
• Téléchargement de Virtual Server 2005 R2 SP1 Update (KB948515) - mise à jour de Virtual Server 2005 R2 SP1

Et comme d'habitude, c'est gratuit, pourquoi s'en priver ?

MBSA 2.1 est disponible

La dernière version 2.1 de MBSA (Microsoft Baseline Security Analyzer) est disponible en version finale depuis le 2 mai dernier. Parmi les nouveautés intéressantes : support de Windows Vista et Windows Server 2008, des versions 64 bits et compatibilité avec WSUS 2.0 et 3.0.

• Tous les outils de sécurité
• Informations et téléchargement de MBSA
• MBSA 2.1 FAQ
• Téléchargement direct (anglais, français, allemand, japonais)

Bulletins de sécurité du 13 mai

Encore un petit mois pour Windows : 4 bulletins dont 3 critiques (2 Office et 1 Windows) et un modéré (moteur antivirus).

• Synthèse en français
• Synthèse en anglais
• Annonce du MSRC

MS08-026 est critique pour Word 2000 SP3 et Outlook 2007 RTM et SP1 : à appliquer d'urgence sur les postes de travail.

MS08-027 n'est critique que pour Publisher 2000 SP3 : à n'appliquer que si Publisher est installé sur vos postes.

MS08-028 affecte le moteur Jet 4.0 sur Windows 2000 SP4, XP SP2 et 2003 SP1. Les dernières versions (XP SP3, 2003 SP2, Vista, Vista SP1 et 2008) ne sont pas vulnérables. La vulnérabilité est critique, donc à corriger en urgence. Si vous avez des applications qui utilisent le moteur Jet, il y aura peut-être des tests applicatifs à prévoir, mais les postes non concernées par ces applications doivent être mise à jour au plus vite. Des exploits sont déjà actifs pou cette vulnérabilité...

Enfin, MS08-029 concerne le moteur anti-logiciel malveillant dans les produits OneCare, Antigen, Defender, Forefront et DaRT. La vulnérabilité est un déni de service et sa sévérité est modérée.

Voir également les infos de l'ISC. Si vous vous arrêtez 5 minutes sur le site de l'ISC, regardez également l'article sur les vulnérabilités de OpenSSH dans Debian et Ubuntu. Comme beaucoup, je vais devoir retravailler sur ma connexion distante à base de tunnels SSH... :)

Patchez-vous bien !

Ubuntu 8.04 dans Virtual PC

En décembre dernier je décrivais une méthode pour faire fonctionner Ubuntu 7.10 Desktop dans Virtual PC 2007. La nouvelle version 8.04 LTS vient de sortir, est-ce que cela va être mieux ou pire ? D'après ce que l'on peut lire les expériences sont très variées, aussi voici comment j'ai procédé sur un test.

Déjà coté serveur, pas de problème. Ubuntu 8.04 LTS Server Edition fonctionne correctement dans Hyper-V (sans oublier UTC=no dans /etc/default/rcS et clock=pit dans les options du noyau dans /boot/grub/menu.lst.)

Venons-en à Ubuntu 8.04 LTS Desktop Edition (qui se moque des noms des produits Microsoft ? :)) dans Virtual PC.

Mes premiers tests n'ont pas été concluants, puisque chacune de mes tentatives se soldait par l'erreur suivante :

Puis je suis tombé sur cet article et ses commentaires très utiles, et voici la méthode qui fonctionne sur ma machine (Intel Core 2 Duo E6400). Notez que, comme toujours avec Linux dans Virtual PC 2007, il faut veiller à ce que la virtualisation matérielle soit activée :

Tout d'abord, téléchargez le alternate desktop CD (case à cocher en base de la page de téléchargement) : ubuntu-8.04-alternate-i386.iso.

Démarrez la machine virtuelle, chargez l'iso, redémarrez si nécessaire.

La première chose à faire est de choisir la langue, puis <F3> et choisir le clavier :

Point très important puisque c'est cela qui a supprimé le message d'erreur sur ma configuration : tapez <F6> et ajoutez l'option vga=771 (ou 791 si vous préférez plus grand) :

Avec l'option Install Ubuntu sélectionnée, tapez <Entrée>.

Si la machine virtuelle plante encore avec le même message d'ereur, recommencez depuis le début, mais en ajoutant cette fois les trois options : noapic nolapic vga=771.

Choisir ensuite :

• la langue
• la localisation géographique

Puis, après quelques instants de détection matérielle :

• le nom de la machine
• le partitionnement du disque

L'installation du système se déroule alors sans intervention, jusqu'à ce que l'on vous demande :

• un nom et un mot de passe pour un premier utilisateur
• le proxy, si nécessaire

C'est le moment d'aller voir dehors s'il fait beau... A votre retour on vous demandera :

• Est-ce que l'horloge système est à l'heure UTC ? Répondez Non.
• Redémarrage

On n'a pas fini... Au redémarrage, tapez <Echap> pendant que Grub est visible :

Tapez directement e pour éditer la première entrée :

Sélectionnez l'entrée kernel /boot/vmlinuz... et tapez une nouvelle fois e.

Tapez <espace> puis : noapic nolapic vga=771<entrée>

Tapez b. Le système démarre en principe correctement...

On reconnaît bien là un Linux dans Virtual PC non ? :-)

Reste alors à suivre à peu près la méthode précédente :

• Tapez Ctrl+Alt+F1 pour ouvrir une session en mode texte.
• Editez (sudo nano ou sudo vim selon les goûts) le fichier /boot/grub/menu.lst, trouver la ligne kernel vers la fin du fichier et ajoutez les options : noapic nolapic vga=771.
• Dans le fichier /etc/X11/xorg.conf, ajoutez une ligne DefaultDepth 16 dans la section "Screen".
• Tapez Ctrl+Alt+F7 pour retourner sur l'écran graphique, puis Ctrl+Alt+<Backspace> pour redémarrer X.

Tadaaaaa !

Il reste à activer le réseau en cliquant sur l'icône adéquate et en choissant Wired Network.

Mise à jour 5/5/2008 - Correction mineure et mise à jour des dernières copies d'écran. Je confirme également que la méthode fonctionne sur une deuxième machine (Lenovo X61).

Bitlocker et Linux sur la même machine

Mon collègue Cyril Voisin vient de publier un webcast sur la configuration d'un dual boot Linux et Vista avec Bitlocker et un TPM. Ce webcast complète par une démonstration détaillée et un livre blanc ses précédents articles sur le sujet.

Le webcast, la présentation et le livre blanc :

• Installer une machine en double démarrage (dual boot) avec Linux et Windows Vista protégé par BitLocker et un TPM

Les articles :

• How to use Windows Vista’s Boot Manager to boot Linux
• Building a dual boot system with Windows Vista BitLocker protection with TPM support

Merci Cyril !

Mise à jour 14/05/2008 - Cyril a posté sur son blog un article plus détaillé avec des copies d'écrans et le minutage des séquences de la vidéo.

Outils BitLocker pour Vista SP1 et Windows Server 2008

Les outils BitLocker viennent d'être publiés pour Windows Vista SP1 et Windows Server 2008 :

• BitLocker Drive Preparation Tool : description, téléchargement
• BitLocker Recovery Password Viewer for Active Directory Users and Computers tool : description, téléchargement
• BitLocker Repair Tool : description, téléchargement

La nouveauté majeure ici est la disponibilité publique du dernier outil : si vous êtes administrateur en entreprise et que BitLocker est déployé sur votre parc de portables, cet outil pourra vous sauver en cas de problème physique sur un disque.

Snapshots dans Hyper-V

Voici un sujet technique que j'aurais voulu traiter, mais Robert Larson m'a devancé.. Précipitez-vous, c'est la meilleure explication du fonctionnement des snapshots dans Hyper-V :

Virtual Machine Snapshots with Hyper-V

Heure correcte dans une VM Linux dans Hyper-V

Récemment j'écrivais ici que le démon ntpd suffisait pour maintenir l'horloge d'une VM Linux sous Hyper-V. En fait, j'avais tord. Et pas qu'un peu. A l'usage, mes deux VM (Debian 4.0r3 et Ubuntu LTS Server 8.04) ne s'avèrent pas à l'heure du tout. Comment résoudre ce problème simplement ? Comme je l'indiquais aussi précédemment, il y a vsntp : aujourd'hui le meilleur candidat.

A noter également : le problème est pire avec les noyaux récents 2.6. Une raison et un contournement (option clock=pit) sont indiqués dans cet article :

The system time runs too fast on a Linux-based virtual machine that is hosted in Virtual Server 2005 R2.

Manifestement le sujet n'est pas encore clos, et mérite encore quelques tests.

Hyper-V : pourquoi uniquement sur Windows x64 ?

Une question vient de m'être posée sur les raisons qui ont conduit à ne proposer Hyper-V que sur les versions x64 de Windows Server 2008. Effectivement, Hyper-V n'est pas disponible sur les versions 32 bits. Pour y répondre, voici un rappel des pré-requis pour l'installation d'Hyper-V :

1. Windows Server 2008 Standard, Enterprise ou Datacenter, édition x64. Hyper-V est un rôle de Windows Server 2008 et nécessite une version x64 (sur un processeur AMD64 ou Intel EM64T). Il n'est pas disponible sur les versions Itanium (IA-64), 32 bits (x86), ni sur aucune version de Vista. La raison première en est que la virtualisation aujourd'hui est principalement poussée par la consolidation de serveurs. La meilleure plate-forme pour la consolidation de serveurs est x64, ne serait-ce que parce que 3 ou 4 Go de RAM ne suffisent plus.
2. Support matériel de la virtualisation. Hyper-V nécessite le support matériel de la virtualisation : Intel VT ou AMD AMD-V. Ces technologies sont disponibles depuis plus de deux ans chez les principaux fournisseurs de serveurs et, comme pour le point précédent, le besoin principal étant de consolider des serveurs, il est fort peu probable que l'on cherche à consolider sur des matériels plus anciens. A noter si l'on active le support de cette fonction dans le BIOS, il est nécessaire d'éteindre la machine, puis de la rallumer.
3. La protection matérielle contre l'exécution de données (Data Execution Prevention, DEP) doit être activée. Hyper-V nécessite que DEP soit activé. DEP est une fonction des processeurs x64 que l'on active dans le BIOS : AMD NX (no execute bit) ou Intel XD (execute disable bit). Le principe est d'empêcher l'exécution de pages de données.

Rapport Microsoft sur les données de sécurité, Volume 4

Le 4ème volume du rapport Microsoft sur les données de sécurité vient d'être publié :

• Rapport Microsoft sur les données de sécurité (en français)
• Microsoft Security Intelligence Report (en anglais)

Description tirée du site français :

Ce volume du Rapport Microsoft sur les données de sécurité se concentre sur le second semestre de l'année 2007 (juillet à décembre) et consolide les données publiées dans les volumes précédents. En utilisant les données fournies par plusieurs centaines de millions d'utilisateurs Windows et par certains services en ligne les plus fréquentés, ce rapport fournit une perspective approfondie sur les tendances liées à la divulgation des vulnérabilités, à leur exploitation ainsi qu'un panorama des logiciels malveillants ou indésirables. La portée de ce quatrième volume a été étendue afin d'inclure une analyse sur la protection de la vie privée et les notifications de violations de la sécurité, ainsi que de présenter le support apporté par Microsoft aux organismes chargés de l'application de la loi dans leur combat contre les cyber-criminels.

Bonne lecture !

Prise en main d'Hyper-V : 4 - Configurer l'administration à distance

Nous avons vu dans les articles précédents de quoi mettre en place la base de la configuration de test d'Hyper-V :

1. Choisir la machine de test
2. Installer Windows Server 2008 x64
3. Installer Hyper-V

Aujourd'hui nous allons voir une fonctionnalité importante, l'administration à distance (depuis un poste Vista SP1).

Hyper-V Manager MMC est disponible depuis le 25 mars : x86, x64. Il s'agit de la console d'administration d'Hyper-V (virtmgmt.msc), accompagnée de vmconnect.exe qui est le programme d'accès à la console des machines virtuelles, l'équivalent de vmrc.exe de Virtual Server. Elle s'installe sur Windows Vista SP1, dans le répertoire C:\Program Files\Hyper-V. Ce dernier n'est pas ajouté dans le PATH : en fonction de votre usage, il faudra faire le nécessaire.

La console est la même que celle que l'on trouve sur le serveur Hyper-V lui-même. Il faut simplement spécifier le serveur sur lequel on se connecte. Quant à vmconnect.exe, on peut directement l'utiliser ce cette façon :

C:\Program Files\Hyper-V\vmconnect.exe <serveur> <machine virtuelle>

Génial n'est-ce pas ? Attendez, cela se gâte... Sauf si votre serveur et votre client sont dans un domaine (tout marche mieux dans un domaine). Si l'une des machines ou les deux sont en "workgroup", alors la console vous donnera quasiment à coup sûr le message d'erreur :

You do not have the requested permission to complete this task. Contact the administrator of the authorization policy for the computer 'COMPUTERNAME'.

Si c'est le cas, accrochez-vous, tout n'est pas perdu, mais il va falloir suivre les instructions à la lettre. Cela se trouve ici, dans 5 articles de John Howard :

• 1ère partie - configuration du serveur
• 2ème partie - configuration du client
• 3ème partie - cas particulier du server core
• 4ème partie - dans un domaine
• 5ème partie - client dans un domaine et serveur en workgroup

Ces procédures passent par la configuration du firewall pour WMI, les autorisations DCOM, etc. Bon courage !

Heure correcte dans une VM Linux, le cas d'Hyper-V

Suite de mes expérimentations sur l'heure dans une machine virtuelle Linux. Je viens donc de migrer de Virtual Server (sur un Pentium 4, sans virtualisation matérielle), vers Hyper-V (sur un Intel Core 2 Quad Q6600) et évidemment il me fallait des machines virtuelles Linux à l'heure !

Comme indiqué précédemment, j'utilisais vsntp dans mes VM Linux sous Virtual Server et Virtual PC. Lors de la migration, j'ai reconstruit une VM Debian 4.0r3 version i386 (2.6.18-6-686). Comme prévu, l'heure de la VM a immédiatement tendance à être en avance. J'ai toutefois testé une solution plus classique, à savoir installer le package ntp :

# apt-get install ntp

Dans sa configuration par défaut, le package ntp installe le démon ntpd avec un fichier de configuration /etc/ntp.conf qui provoque la synchronisation par rapport à des serveurs de temps de pool.ntp.org :

# pool.ntp.org maps to more than 300 low-stratum NTP servers.
# Your server will pick a different set every time it starts up.
#  *** Please consider joining the pool! ***
#  *** <http://www.pool.ntp.org/join.html> ***
server 0.debian.pool.ntp.org iburst
server 1.debian.pool.ntp.org iburst
server 2.debian.pool.ntp.org iburst
server 3.debian.pool.ntp.org iburst

Après quelques jours de fonctionnement, le résultat est très satisfaisant pour mon usage, à savoir que les fichiers de log du système soient à peu près cohérents. Je ne m'avancerais pas ici sur des besoins plus exigents...

Cela dit, si vous utilisez SUSE Linux Enterprise Server 10 SP1 (x86 ou x64), vous pouvez tenter les Linux Integration Components for Hyper-V.

Prise en main d'Hyper-V : 3 - Installer Hyper-V

Nous voici donc à la troisième étape de notre prise en main d'Hyper-V sur une configuration de test. Nous avons déjà vu ces deux premières étapes :

1. Choisir la machine de test (avec les contraintes liées au processeur)
2. Installer Windows Server 2008 x64, sans oublier d'installer la mise à jour d'Hyper-V RC0 (KB949219) par Windows Update.

Confus par ces derniers mots ? Comment installer la mise à jour d'Hyper-V avant d'installer Hyper-V ? L'explication est que comme nous allons le voir, installer Hyper-V consiste à activer le rôle Hyper-V. La mise à jour KB949219 remplace le rôle Hyper-V (Beta dans Windows Server 2008) par sa version RC0, même s'il n'est pas activé. Le principe est de le mettre à jour en RC0 (et dans quelques mois en version finale) avant de l'activer.

Pour activer le rôle Hyper-V mis à jour, ouvrez le Server Manager, et, dans la partie gauche, cliquez sur Roles.

Sous Roles Summary, Cliquez sur Add Roles.

Dans le Add Roles Wizard, suivez les étapes suivantes :

	Cliquez sur Next.
	Cochez la case Hyper-V.
	Cliquez sur Next.
	Cochez la case correspondant à la carte réseau à utiliser.
	Récapitulatif de l'installation : cliquez sur Install.
	Cliquez sur Close.
	Cliquez sur Yes pour redémarrer.

Une fois le système redémarré, ouvrez une session avec le même compte administrateur :

En principe le message Installation succeeded doit apparaître. Cliquez alors sur Close.

Vous pouvez maintenant explorer la console d'administration d'Hyper-V dans le Server Manager :

Si la machine était compatible et que tout s'est bien passé, les services d'Hyper-V RC0 doivent être actifs, ce qui se voit dans la console. Il ne reste plus qu'à vous lancer dans la création de machines virtuelles. Mes petits conseils :

• Ne cherchez pas à réutiliser des VHD créés avec Virtual PC ou Virtual Server. Le fichier sera utilisable, certes, mais l'OS invité ne fonctionnera pas directement de façon optimale. Plus d'infos.
• Commencez par des OS supportés : Windows Server 2008, Windows Server 2003 SP1 ou SP2, Windows Vista SP1, Windows XP SP3.
• Utilisez des fichiers ISO des CD ou DVD d'installation des OS.

Références :

• How to Install Windows Server 2008 Hyper-V Release Candidate
• Hyper-V
• Step-by-Step Guide to Getting Started with Hyper-V
• Virtualization Role
• Windows Server 2008 Step-by-Step Guides

Prochaine étape, et sans aucun doute la plus complexe : configurer l'administration à distance. Ou, comment gérer votre serveur Hyper-V au bureau depuis votre portable Vista SP1 dans un TGV...

Point de vue : sécurité de Windows Vista, culture Microsoft, SDL

A lire : cet article point de vue de Michael Howard, à qui l'on doit le Secure Development Lifecyle (SDL) qui régit maintenant tous les développements chez Microsoft et commence réellement à porter ses fruits. Que font les autres pour la sécurité de leurs produits ?

Building Security into Windows Vista and the Microsoft Culture

[la suite sur Hyper-V sans doute vers la fin de semaine... trop occupé ces quelques jours !]