pascals.blog : Sécurité

Bulletins de sécurité du 10 novembre 2009

pascals — Tue, 10 Nov 2009 18:28:39 GMT

Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.

Synthèse :

Détail des bulletins de ce mois :

Bulletin de sécurité Microsoft MS09-063 - Critique : Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans WSDAPI (API de services Web pour périphériques) sur le système d'exploitation Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un système Windows affecté recevait un paquet spécialement conçu. Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Windows Vista et Windows Server 2008. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.
Bulletin de sécurité Microsoft MS09-064 - Critique : Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows 2000. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un message réseau spécialement conçu à un ordinateur exécutant le serveur d'enregistrement de licence. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
Bulletin de sécurité Microsoft MS09-065 - Critique : Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue. Dans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant des polices spécialement conçues destinées à exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
Bulletin de sécurité Microsoft MS09-066 - Important : Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service d'annuaire Active Directory, Active Directory en mode application (ADAM) et Active Directory Lightweight Directory Service (AD LDS). Cette vulnérabilité pourrait permettre un déni de service si l'espace de pile était épuisé lors de l'exécution de certains types de requêtes LDAP ou LDAPS. Cette vulnérabilité n'affecte que les contrôleurs de domaine et les systèmes configurés pour exécuter ADAM ou AD LDS.
Bulletin de sécurité Microsoft MS09-067 - Important : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Excel. Ces vulnérabilités pourraient permettre l'exécution de code à distance lorsqu'un utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Bulletin de sécurité Microsoft MS09-068 - Important : Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Par ailleurs les bulletins MS09-045 et MS09-051 ont été mis à jour.

Patchez-vous bien !

Rapport Microsoft sur les données de sécurité, volume 7

pascals — Mon, 09 Nov 2009 22:46:21 GMT

Le 7ème rapport Microsoft sur les données de sécurité a été publié il y a quelques jours :

http://www.microsoft.com/france/sir (chiffres clés, en français)
http://www.microsoft.com/sir (rapport complet, en anglais)

Parmi les recommandations énoncées (page 166) nous retrouvons notre vieille amie la gestion des mises à jour de sécurité. C’est l’occasion d’indiquer le guide : The Microsoft Security Update Guide, qui sera publié en français d’ici peu. Ce qui me rappelle… Prêts pour demain ?

La perle du week-end

pascals — Sat, 24 Oct 2009 22:41:45 GMT

Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.

Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :

Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.

Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :

Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :

Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.

Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.

Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.

Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.

La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.

Préavis des bulletins de sécurité du 13 octobre

pascals — Thu, 08 Oct 2009 21:58:59 GMT

Grosse livraison pour ce mois d’octobre, puisque nous avons droit mardi prochain à 13 bulletins de sécurité, dont 8 critiques :

http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

Les postes de travail et les serveurs, y compris les serveurs applicatifs, sont concernés, puisque les bulletins concernent Windows, IE, Office, Silverlight, SQL Server, les outils de développement et Forefront Client Security.

Microsoft Security Essentials

pascals — Tue, 29 Sep 2009 19:10:03 GMT

Microsoft Security Essentials (ex-Morro), logiciel anti-malware grand public gratuit, est désormais disponible à partir d’aujourd’hui à l’adresse :

http://www.microsoft.com/security_essentials/

Il supporte Windows XP SP2 et SP3, Windows Vista Gold, SP1 et SP2 (x86 et x64), ainsi que Windows 7 (x86 et x64).

Avis 975497 - Vulnérabilité SMBv2 dans Windows Vista et Windows Server 2008

pascals — Fri, 18 Sep 2009 16:24:40 GMT

Une vulnérabilité fait la une ces jours-ci, la vulnérabilité sur le protocole SMBv2. Je conseille la lecture attentive de l’avis suivant, publié le 8 septembre et mis à jour le 17 :

Avis de sécurité Microsoft (975497) : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance

Cette vulnérabilité (CVE-2009-3103) affecte Windows Vista RTM, SP1 et SP2, ainsi que Windows Server 2008 RTM et SP2, en versions 32 et 64 bits. Elle est significative car elle permet une exécution de code à distance qui a déjà été démontrée. Cela dit, bien qu’un correctif ne soit pas encore disponible à ce jour, l’avis ci-dessus est très clair sur les solutions de contournement qui existent :

Désactiver SMBv2, soit par le registre comme indiqué dans l’avis (smb2 [DWORD] = 0 dans HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters, puis redémarrer le service server), soit par le “Fix it” (solution en un clic) de l’article KB975497.
Bloquer les ports TCP 139 et 445.

Mon avis est que la première solution de contournement est la plus simple et la moins impactante, en attendant un correctif. SMBv2 n’est utilisé qu’entre des systèmes Vista et 2008. : si vous avez des clients XP ou des serveurs 2003, SMBv2 n’est de toutes manières pas utilisé. Voir cet article pour plus d’informations sur SMBv2, voire les spécifications si vous avez le courage.

[En attendant que ma contribution bloguesque reprenne un rythme plus régulier, sachez que je commets quelques tweets occasionnels sur http://twitter.com/psauliere]

Vacances tranquilles 2 : Windows 7 et BitLocker sans TPM

pascals — Thu, 30 Jul 2009 00:23:35 GMT

Il y a un an, je décrivais ici même les précautions que vous pouvez prendre avant de partir en vacances l’esprit tranquille quant à vos données à la maison : faites des sauvegardes et chiffrez les données qui restent derrière vous. L’idée est que vos données soient protégées même en cas de vol du PC ou de non-redémarrage au retour de vacances. Ces conseils sont toujours d’actualités.

Aujourd’hui je vais profiter du fait que je suis en train de préparer un départ proche, pour vous faire profiter de l’utilisation de BitLocker dans Windows 7 Ultimate pour protéger les données qui restent sur place. Cette manipulation est valable pour la RC de Windows 7, et le sera à l’identique pour la version Ultimate (Intégrale) finale.

Cette machine contient deux disques internes : le disque du système et un disque de données. Comme c’est une machine de bureau et qu’elle date un peu, elle ne dispose pas d’un TPM. Il faudra donc utiliser une clé USB pour que Windows récupère la clé BitLocker lors de son démarrage.

AVERTISSEMENT : Ne chiffrez pas votre disque à moins de comprendre le mécanisme de BitLocker, de disposer d’au moins deux clés USB formatées en FAT, et d’être certain de ne pas perdre ces deux clés. Une fois votre disque chiffré, si vous perdez la clé, personne ne pourra absolument rien pour vous, vos données seront perdues à jamais.

1. Chiffrement du disque C: (système)

Donc la première étape est de configurer BitLocker pour qu’il accepte de fonctionner dans ce mode “clé USB”, sans TPM. Pour ceci, lancez gpedit.msc, puis sélectionnez le nœud Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption – Operating System Drives :

Double-cliquez sur Require additional authentication at startup :

Sélectionnez Enabled pour activer la stratégie, et cochez la case Allow BitLocker without a compatible TPM. Les explications se trouvent dans le texte de droite. Validez et fermez gpedit.

Dans l’explorateur Windows, cliquez à droite sur le Disque C et sélectionnez Turn on BitLocker.

L’assistant BitLocker démarre :

Sélectionnez Require a Startup key at every startup. Si ce n’est déjà fait, connectez la clé USB choisie pour abriter la clé de chiffrement BitLocker. L’assistant vous montre la clé USB connectée :

Sélectionnez la clé USB et cliquez sur Save.

Cette étape vous propose de faire une ou plusieurs copies du mot de passe de récupération BitLocker. Je vous conseille de faire deux choses : imprimez le mot de passe grâce à la troisième option Print the recovery key, puis sauvegardez le mot de passe sur la même clé USB que la clé BitLocker, grâce à la première option Save the recovery key to a USB flash drive.

Conservez le papier sur lequel vous avez imprimé le mot de passe en lieu sûr.

Une fois ces deux sauvegardes effectuées, cliquez sur Next.

Cette étape est très importante : elle consiste à vérifier que votre PC parvient à lire la clé USB lors du démarrage, ce qui est nécessaire pour le fonctionnement de BitLocker sans TPM. Assurez-vous que la case Run BitLocker system check est bien cochée, puis cliquez sur Continue.

Cliquez sur Restart now pour effectuer la vérification. Après le redémarrage, ouvrez une session avec le même compte utilisateur que précédemment.

Au redémarrage, en cas de problème avec la vérification, un message vous en préviendra. Arrêtez ici : il est inutile, et dangereux, de continuer plus loin. Au mieux, retentez l’opération depuis le début avec une autre clé USB.

Si aucun message ne vient vous avertir d’un problème, la vérification a réussi et le chiffrement du disque est en train de commencer. Vous verrez un icône de BitLocker dans la zone de notification de Windows 7 :

En cliquant sur l’icône vous pouvez suivre la progression du chiffrement (patience… le chiffrement de mon disque SATA2 de 500 Go a pris plusieurs heures.)

Vous remarquerez aussi que pendant le chiffrement, le disque C apparaît complètement saturé :

C’est tout à fait normal et cela ne dure que le temps du chiffrement. Pendant ce temps, vous pouvez observer le statut de BitLocker dans une ligne de commande en tant qu’administrateur, avec la commande manage-bde –status :

De même vous pouvez consulter les protecteurs de clé pour le disque C avec la commande manage-bde –protectors –get C:

Notez que cette commande vous permet d’afficher le mot de passe de récupération.

Une fois le chiffrement terminé, vérifiez que votre machine redémarre correctement : avec la clé USB connectée, le démarrage doit se dérouler normalement. Sans la clé, BitLocker doit vous inviter à connecter la clé et à taper Echap pour redémarrer. S’il y a un problème à ce niveau, il vaut mieux déchiffrer le disque :

Utilisez le mot de passe de récupération (recovery mode) que vous avez imprimé pour démarrer le système.
Depuis le panneau de configuration (Control Panel – System and Security – BitLocker Drive Encryption), sélectionnez Turn Off BitLocker puis Decrypt Drive.

Si tout s’est bien déroulé jusqu’ici, il est temps de faire une deuxième copie de la clé USB. Pour ce faire, cliquez à droite sur le disque C dans l’explorateur Windows, et sélectionner Manage BitLocker. Sélectionnez alors Duplicate the startup key pour sauvegarder la clé de chiffrement sur la deuxième clé USB. Puis, refaites l’opération en sélectionnant cette fois Save or Print recovery key again pour sauvegarder à nouveau le mot de passe de récupération.

2. Chiffrement d’un disque de données interne

Si vous avez tout suivi jusqu’ici, et si vous avez comme moi un deuxième disque dur interne à protéger, il reste à chiffrer celui-ci, cette fois avec un simple mot de passe.

Dans l’explorateur Windows, cliquez à droite sur le disque de données (D: dans mon cas) et sélectionnez Turn on BitLocker.

Cochez la case Use a password to unlock the drive, et entrez (deux fois) le mot de passe que vous avez choisi. Cochez également la case Automatically unlock this drive on this computer. Notez que cette dernière option permet de déverrouiller automatiquement le disque de données, mais que la clé est stockée sur le disque C qui est déjà chiffré, donc protégée. Il n’y a donc pas de risque à ce niveau.

Cliquez sur Next.

On vous demande ensuite de sauvegarder le mot de passe de récupération (recovery key) pour ce deuxième disque. La manipulation est identique à précédemment : Imprimez le mot de passe, puis sauvegardez-le une fois sur la 1ère clé USB, et une seconde fois sur la seconde clé USB.

Une fois l’impression et les sauvegardes effectuées, cliquez sur Next.

Cliquez sur Start Encrypting pour démarrer le chiffrement. Quelques heures sont encore nécessaires, pendant lesquelles le disque de données apparaîtra comme presque plein et ne disposant que de 6 Go de libre.

Reste à s’assurer que les impressions des mots de passe de récupération seront en lieu sûr, ainsi que les deux clés USB. Personnellement je les apporte en vacances, avec les sauvegardes de mes données sur un disque dur externe compact. S’il prenait l’idée à un voleur de mettre la main sur mon PC, il n’aurait qu’une machine qui ne démarre pas et deux disques illisibles…

Bonnes vacances !

Bulletins de sécurité du 28 juillet

pascals — Wed, 29 Jul 2009 00:55:30 GMT

Un avis de sécurité et deux nouveaux bulletins de sécurité ont été publiés ce soir. Les versions françaises de ces bulletins seront publiés exceptionnellement plus tard (surveillez la synthèse de juillet en français les jours qui viennent) :

Synthèse et informations complémentaires :

Synthèse en anglais : synthèse de juillet mise à jour en 2.0 pour cette publication.
Annonce du MSRC, détaillant clairement la nature et les implications de ces vulnérabilités.
Article de Michael Howard détaillant la cause des vulnérabilités de MS09-035.
Article publié sur le blog du Blue Hat sur la découverte de ces vulnérabilités.

Reportez-vous en priorité à l’avis 973882 pour plus d’informations.

Homegroups : comment ça marche ?

pascals — Tue, 28 Jul 2009 03:06:47 GMT

Il y a des choses dans Windows qui ne changent pas. Comme le SRM par exemple. Le Security Reference Monitor est cette petite chose qui contrôle tous les accès à des objets : chaque fois qu’un processus demande à accéder à un objet (un fichier par exemple), le SRM vérifie obligatoirement les permissions sur l’objet (quels utilisateurs et/ou groupes ont le droit de faire quoi) et le jeton du processus, représentant son identité (utilisateur, groupes).

Cela se corse un peu par le réseau, notamment dans un contexte de type workgroup. Dans ce contexte, si depuis une MachineA je veux lire un fichier situé sur MachineB, je dois m’authentifier avec un compte local à MachineB, et ce compte doit avoir la permission adéquate à la fois sur le partage réseau et le fichier.

Cela est simplifié en général par deux mécanismes. Le premier est le mode de partagé simplifié (seul disponible sur les versions Home / Familiales de Windows depuis XP), dans lequel on est systématiquement authentifié en tant qu’Invité sur la machine cible. Le second, dans cas du mode de partage standard, consiste à utiliser le même compte et le même mot de passe sur les deux machines. Ainsi si MachineA\User1 et MachineB\User1 existent et ont le même mot de passe, l’authentification sera automatique.

Un détail qui a son importance ici : un autre mécanisme a été introduit depuis Windows XP : l’interdiction par défaut d’accéder à des ressources par le réseau avec un compte sans mot de passe.

Dans WIndows 7 apparaissent ce que l’on appellent les Homegroups. L’idée est de prendre en compte le fait que, dans la famille, on rencontre de plus en plus des PC individuels : chaque membre de la famille a son PC. De plus, dans la plupart des cas, chaque PC a un seul compte (l’utilisateur), qui est administrateur (d’où l’intérêt d’UAC au passage…) et sans mot de passe. D’où des problèmes sans fin avec le partage de fichiers entre les membres de la famille.

Partant également du principe qu’en général les membres de la famille veulent partager leurs fichiers (photos, vidéos, musique), le homegroup simplifie énormément la manière de procéder :

D’abord, le homegroup est fondé sur un seul mot de passe, qui est généré par le système, et peut être copié ou imprimé pour être partagé dans la famille.

Une fois le homegroup rejoint, chacun a la possibilité de choisir quelles librairies il souhaite partager avec le reste de la famille :

On peut également filtrer fichier par fichier ce que l’on souhaite partager ou non. Chacun peut ensuite accéder aux librairies partagées sur les autres ordinateurs de la famille, sans s’occuper des comptes ou des mots de passe de chacun :

Comment cela se passe-t-il ? Étant donné que des fichiers partagés sont dans le profil de l’utilisateur, l’accès ne peut pas être anonyme, ni Invité. Les utilisateurs de partagent pas leurs mots de passe, ceux-ci peuvent d’ailleurs être vides, donc la connexion ne se fait pas au nom d’un utilisateur.

Rien de magique à cela, et l’on reste bien dans le cadre d’un partage tout à fait normal. Chaque machine dans un Homegroup a un compte d’utilisateur nommé HomeGroupUser$. Ce compte appartient à un groupe nommé HomeUsers. Lancez lusrmgr.msc pour les voir. Ce groupe a les permissions sur les répertoires et fichiers partagés via les librairies.

Le contrôle d’accès est donc fait sur le compte HomeGroupUser$ qui est utilisé pour l’authentification. Le partage utilisé s’appelle Users, et correspond au dossier C:\Users. Ce partage a comme permissions BUILTIN\Administrators:F et Everyone:F (F pour Full Control), ce qui peut sembler un peu ouvert (!), mais tout le contrôle est fait sur les permissions NTFS des répertoires et fichiers : l’utilisateur du homegroup n’aura accès qu’au fichiers sur lesquels le groupe HomeUsers a des permissions.

Illustration sur la machine cible, avec l’outil ShareWatch qui affiche les connexions actives sur la machine cible :

On voit le partage Users ouvert par HomeGroupUser$, et les répertoires ouverts dans ce partage.

Préavis de bulletin de sécurité hors cycle du 28 juillet

pascals — Sat, 25 Jul 2009 16:09:32 GMT

Mardi 28 vers 19h seront publiés deux bulletins de sécurité hors cycle donc suffisamment urgents pour justifier un déploiement immédiat. Le préavis est publié en anglais :

http://www.microsoft.com/technet/security/Bulletin/ms09-jul-ans.mspx

Il y aura un bulletin critique pour Internet Explorer (y compris IE7 et IE8), et un modéré pour Visual Studio.

Voir également l’annonce du MSRC.

Etant en congés, je n’assurerai pas un suivi ni une analyse mardi soir… En attendant je mets à jour le calendrier des bulletins.

Patchez-vous bien !

Mise à jour : il s’agit de 2 bulletins, et ajouté l’annonce du MSRC.

Bulletins de sécurité du 14 juillet

pascals — Tue, 14 Jul 2009 22:43:22 GMT

6 nouveaux bulletins de sécurité Microsoft ont été publiés aujourd’hui, dont 3 critiques et 3 importants. Avant cela, un nouvel avis de sécurité a été publié, indépendamment de la publication des bulletins :

Avis de sécurité Microsoft (973472) : Une vulnérabilité dans Microsoft Office Web Components pourrait permettre l'exécution de code à distance

Synthèse :

Synthèse en français
Synthèse en anglais
Annonce du MSRC, avec une vidéo sur les risques et impacts des vulnérabilités publiées

Et voici les 6 bulletins de juillet :

Comme toujours, patchez-vous bien ! Même si on est un 14 juillet...

Microsoft Security Essentials Beta

pascals — Wed, 24 Jun 2009 11:32:59 GMT

La beta de Microsoft Security Essentials (ex-Morro), l’anti-malware gratuit de Microsoft, est disponible en téléchargement ici :

http://www.microsoft.com/security_essentials/

Pour rappel, MSE est un anti-virus et anti-spyware gratuit, compatible avec Windows XP, Windows Vista et Windows 7, 32 et 64 bits.

Que ferez-vous le 10 novembre 2009 à 19h ?

pascals — Tue, 16 Jun 2009 14:12:07 GMT

Que ferez-vous le 10 novembre 2009 à 19h ? Sans doute la même chose que le 9 juin dernier. Et peut-être la même chose que le 14 juillet prochain. Je sais, vous pensez sans doute plus aux vacances qui approchent qu’à votre planning du mois de novembre. Mais, que ce soit une veille de jour férié, un jour férié ou un jour normal, les bulletins de sécurité Microsoft sont toujours publiés le deuxième mardi du mois, à 10h heure de la côte Ouest des Etats-Unis, soit à 19h heure de Paris.

Il convient alors de planifier suffisamment tôt, voire sur l’année, l’activité des personnes qui auront à analyser ces bulletins et à préparer les tests et déploiements.

Pour vous aider dans cette tâche, nous mettons à votre disposition un calendrier partagé que vous pouvez inclure dans Outlook ou tout gestionnaire de calendrier qui sait importer un calendrier partagé au format ICS. J’ai personnellement testé ce calendrier dans Outlook 2007, Windows Live Calendar et Google Calendar.

Ce calendrier des bulletins contient des événements de deux heures (durée toute symbolique) :

le jeudi précédent le deuxième mardi de chaque mois à 19h heure française, pour la publication du préavis des bulletins de sécurité ;
le deuxième mardi de chaque mois à 19h heure française, pour la publication des bulletins.

Voici ces événements pour novembre prochain, vus dans Outlook 2007 après import du calendrier des bulletins :

Détail de l’événement du 10 novembre :

Voici deux adresses pour ce calendrier partagé :

Utilisez cette adresse pour consulter le calendrier en ligne. Vous constaterez qu’il contient les dates des bulletins pour environ un an.
Utilisez cette adresse pour inclure le calendrier dans le votre, par exemple dans Outlook (renommez le calendrier, par exemple “Bulletins Microsoft” après import dans Outlook).

Revoici l’adresse pour importer le calendrier, cette fois en clair pour faciliter le copier-coller :

webcal://cid-e40b4c35f78a7f62.calendar.live.com/calendar/Bulletins%20de%20Securite%20Microsoft/calendar.ics

Si nécessaire, voici la documentation d’Outlook concernant l’import et l’affichage de calendriers :

Patchez-vous bien, et à temps !

Préavis des bulletins de sécurité du 9 juin

pascals — Fri, 05 Jun 2009 11:51:45 GMT

Après des mois d’avril et mai consacrés à d’autres priorités pour cause de solde de congés, c’est reparti pour un tour, au moins jusqu’aux congés d’été… Il va être grand temps d’aborder des sujets d’actualités comme Windows 7, avec par exemple BitLocker To Go et Windows Virtual PC. En attendant, c’est l’actualité des bulletins de sécurité qui nous occupe.

Hier soir ont été annoncés les bulletins de sécurité Microsoft qui seront publiés ce mardi 9 juin : 10 bulletins sont prévus, dont 6 exécutions de code à distance critiques ; Windows, IE et Office sont concernés. Juin sera donc un mois chargé pour les responsables sécurité et administrateurs (postes et serveurs.)

http://www.microsoft.com/technet/security/bulletin/ms09-jun.mspx

A mardi soir pour les bulletins définitifs.

Le guide de sécurité d’Hyper-V

pascals — Fri, 03 Apr 2009 15:24:46 GMT

Le Hyper-V Security Guide vient d’être publié :

http://go.microsoft.com/fwlink/?LinkId=140066

Ce guide est structuré en trois parties :

Sécurisation d’Hyper-V
Délégation de l’administration des machines virtuelles
Protection des machines virtuelles