pascals.blog : Windows Server 2008

Avis 975497 - Vulnérabilité SMBv2 dans Windows Vista et Windows Server 2008

pascals — Fri, 18 Sep 2009 16:24:40 GMT

Une vulnérabilité fait la une ces jours-ci, la vulnérabilité sur le protocole SMBv2. Je conseille la lecture attentive de l’avis suivant, publié le 8 septembre et mis à jour le 17 :

Avis de sécurité Microsoft (975497) : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance

Cette vulnérabilité (CVE-2009-3103) affecte Windows Vista RTM, SP1 et SP2, ainsi que Windows Server 2008 RTM et SP2, en versions 32 et 64 bits. Elle est significative car elle permet une exécution de code à distance qui a déjà été démontrée. Cela dit, bien qu’un correctif ne soit pas encore disponible à ce jour, l’avis ci-dessus est très clair sur les solutions de contournement qui existent :

Désactiver SMBv2, soit par le registre comme indiqué dans l’avis (smb2 [DWORD] = 0 dans HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters, puis redémarrer le service server), soit par le “Fix it” (solution en un clic) de l’article KB975497.
Bloquer les ports TCP 139 et 445.

Mon avis est que la première solution de contournement est la plus simple et la moins impactante, en attendant un correctif. SMBv2 n’est utilisé qu’entre des systèmes Vista et 2008. : si vous avez des clients XP ou des serveurs 2003, SMBv2 n’est de toutes manières pas utilisé. Voir cet article pour plus d’informations sur SMBv2, voire les spécifications si vous avez le courage.

[En attendant que ma contribution bloguesque reprenne un rythme plus régulier, sachez que je commets quelques tweets occasionnels sur http://twitter.com/psauliere]

Mettre à jour un Server Core

pascals — Wed, 10 Jun 2009 00:47:06 GMT

Après avoir installé le SP2 sur un Windows Server 2008 en mode Server Core, voici l’installation des mises à jour de juin, toujours à l’aide du script WUA_SearchDownloadInstall.vbs.

Dans mon test le serveur n’est pas dans un domaine ni rattaché à un WSUS. Mais le script, puisqu’il s’appuie sur le client Windows Update, fonctionne de la même façon, que ce soit contre Windows Update ou WSUS :

Nous voyons dans la capture ci-dessus les actions du script (détection, téléchargement, confirmation, installation), puis la commande manuelle de redémarrage prête à être exécutée.

Remarquez au passage qu’un serveur en mode Server Core a besoin de peu de mises à jour par rapport à la livraison de juin.

Ce script est donc intéressant pour les serveurs sur lesquels vous préférez installer les mises à jour manuellement, à la demande, ou pour dépanner en cas d’urgence. On n’est pas ici dans l’automatisme, que WSUS ou SCCM savent gérer, et qui est toujours préférable.

Patchez-vous bien !

Installer le SP2 sur un serveur Windows Server 2008 en mode Server Core

pascals — Sun, 07 Jun 2009 18:11:46 GMT

Si vous cherchez à installer manuellement le SP2 sur un Server Core, voici un moyen très simple. J’utilise ici le script WUA_SearchDownloadInstall.vbs que l’on trouve ici :

http://msdn.microsoft.com/en-us/library/aa387102(VS.85).aspx

Que le système utilise Microsoft Update ou un serveur WSUS, ce script utilise le client Windows Update pour rechercher, télécharger et installer les mises à jour applicables, avec demande de confirmation pour l’installation.

Il est possible que l’assistant graphique d’installation du SP2 apparaisse derrière la fenêtre de la ligne de commande. Si rien ne se passe alors que le script affiche Installing Updates, Alt+Tab est votre ami.

Windows Vista SP2 et Windows Server 2008 SP2 sur Technet et MSDN

pascals — Mon, 04 May 2009 10:35:44 GMT

Après le SP2 d’Office 2007 (article précédent), voici les SP2 de Windows Vista et de Windows Server 2008. Pour rappel, il n’y a pas eu de SP1 de Windows Server 2008 car celui-ci est sorti directement en version SP1.

Windows Vista SP2 et Windows Server 2008 SP2 sont donc disponible depuis le 30/4 pour les abonnés Technet et MSDN, sous la forme d’un seul et unique fichier ISO regroupant les versions en, fr, de, ja et es, le tout pour les architectures x86, x64 et ia64. Ce qui pèse tout de même 1377 Mo.

La publication de ces SP2 nous rappelle que Windows Vista SP1 et Windows Server 2008 ne seront donc supportés que 24 mois encore, c’est à dire jusqu’à mi-2011 environ.

Un SP2 dispo, deux à venir

pascals — Thu, 30 Apr 2009 02:21:33 GMT

C'est la fête des SP2 cette semaine !

Commençons par Office 2007 SP2 :

Windows Vista et Windows Server 2008 ont aussi leur SP2 qui arrive bientôt. Voir la page Technet, incluant notamment les guides de déploiement.

IE8, le retour

pascals — Fri, 20 Mar 2009 23:38:21 GMT

A force d’utiliser Windows 7 tous les jours, on oublierait presque les Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008, qui peuvent depuis hier recevoir la version finale d’Internet Explorer 8 :

http://www.microsoft.com/ie8 (le site français n’est pas encore à jour)

Qu’est-ce qu’IE8 apporte aujourd’hui en terme de sécurité ? Jetez un œil sur l’article du blog IE : un tableau y résume parfaitement la liste des améliorations. Voici ma traduction littérale de la liste en question…

Protection contre les malware. Prévention de l’installation de logiciel malveillant.
Filtre contre les Cross-Site Scripting. Protection contre les attaques de sites web.
Isolation des onglet et récupération automatique après plantage. Continuer à naviguer même si une page ou un contrôle plante.
Mise en valeur du nom de domaine dans la barre d’adresse. Il est facile de voir sur quel site vous êtes réellement.
InPrivate Filtering. Protéger votre vie privée en contrôlant les traces de votre activité.
Suppression d'adresses dans l'historique de la barre d'adresse. Encore plus de protection pour la vie privée.
Protection des paramètres de recherche. Votre fournisseur de recherche reste celui que vous avez choisi.
Protection contre le Clickjacking. Protection contre une classe d’exploits impliquant des redirection de clics.
ActiveX par Utilisateur/Site. Protection supplémentaire contre des contrôles ActiveX détournés de leur usage.
DEP/NX. Protection contre une classe d’exploits en mémoire.
Mashups plus sécurisés pour les développeurs, avec de nouvelles fonctions et le support de nouveaux mécanismes standards (ToStaticHTML(), XDomainRequest ; Support JSON natif, postMessage()).

Je n’ai pas encore cherché d’informations sur la disponibilité d’IE8 dans Windows Update et pour WSUS, mais j’y reviendrai dès que possible.

Questions pièges : quel impact sur votre processus de patch management ? Quelles sont les versions d’Internet Explorer supportées à ce jour par OS et jusqu’à quelles dates ? La réponse bientôt. En attendant, passez plutôt un bon week-end !

Server Core : comment supprimer les restrictions sur les mots de passe

pascals — Mon, 22 Dec 2008 17:49:23 GMT

Qui n’a pas utilisé P@ssw0rd comme mot de passe administrateur lorsqu’obligé par la règle de complexité des mots de passe ? Suggérer ou imposer des règles sur les mots de passe est une bonne chose, en production. Sur des plate-formes de démonstration ou de test, on peut préférer que le mot de passe que l’on va taper des dizaines de fois par jour soit simple, voire très simple. Sous Windows Server 2003 et Windows Server 2008 en mode normal, il suffit de modifier la stratégie locale de sécurité en lançant secpol.msc. Sur Windows Server 2008 en mode Core, c’est une autre histoire : pas de mmc.exe, pas d’option utile dans la commande NET ACCOUNTS, bref, pas de moyen direct pour modifier ce paramètre.

La solution consiste à utiliser un modèle de sécurité (security template) et de l’appliquer avec secedit.exe. Le modèle de sécurité est un fichier .inf et voici celui qui convient à notre objectif :

[Unicode] Unicode=yes [System Access] MinimumPasswordAge=0 ;MaximumPasswordAge=42 MinimumPasswordLength=0 PasswordComplexity=0 PasswordHistorySize=0 ClearTextPassword=0 [Version] signature="$CHICAGO$" Revision=1

Le paramètre qui nous intéresse ici est PasswordComplexity=0. Les autres sont ici uniquement pour exemple.

Pour appliquer ce modèle, créez un réperoire, par exemple c:\temp. Sauvegardez le modèle dans un fichier inf, par exemple c:\temp\demo.inf (Note : notepad.exe fonctionne dans Windows Server Core --pas vraiment “Core”, hmm ?). Ensuite, appliquez le modèle :

C:\temp>secedit /configure /db demo.sdb /cfg demo.inf

La solution modèle de sécurité est la seule que j’ai trouvée pour la complexité des mots de passe. Pour ce qui est des autres paramètres à “débloquer”, NET ACCOUNTS peut être utile. Par exemple, la commande suivante débloque l’expiration des mots de passe, ce qui est utile car l’option MaximumPasswordAge=0 n’est pas possible dans un modèle de sécurité :

net accounts /MAXPWAGE:UNLIMITED

Utilisez la commande net accounts /? pour d’autres options.

Et rappelez-vous : ce n’est pas une bonne idée de baisser le niveau de sécurité en production ! Cet article ne concerne que des environnements de test !

Surface d'attaque d'Hyper-V

pascals — Mon, 22 Sep 2008 10:00:24 GMT

Je suis tombé récemment sur cet article de Tony Soper, indiquant que le tableau de référence de la surface d'attaque d'Hyper-V était téléchargeable ici. Il s'agit d'un tableau Excel listant les fichiers, services et règles de firewall ajoutés par le rôle Hyper-V sur Windows Server 2008. Le guide de sécurisation de Windows Server 2008 ne contient pas encore ces informations, mais sera mis à jour prochainement.

UrlScan 3.0 est RTM

pascals — Wed, 17 Sep 2008 19:29:06 GMT

J'en parlais en juin : UrlScan fait son come back, avec une version 3.0 adaptée aux dernières versions d'IIS. Pour ceux qui ne sont pas familiers avec cet outil, il s'agit d'un filtre à installer sur le serveur web, permettant de définir des règles sur les contenus interdits ou autorisés des requêtes HTTP et URL. Par exemple, la version 3.0 permet une protection contre les injections SQL, bien sûr en attendant la correction de l'application Web fautive.

Annonce sur le blog de la division Windows Server
Téléchargement : x86 et x64

Hyper-V : une nouvelle race de SID

pascals — Fri, 18 Jul 2008 03:29:04 GMT

Si vous savez ce que sont des jetons, des SID et des DACL, passez le début et allez directement à la première image ci-dessous...

Depuis que Windows est "NT", c'est à dire depuis Windows NT 3.1, un principe de base de la sécurité de Windows, le contrôle d'accès discrétionnaire, utilise des SID et des ACL. Pour l'explication détaillée, je vous conseille le chapitre 8 du livre de Mark Russinovich et David Solomon : Windows Internals. Une autre source est le chapitre Authorization and Access Control Technologies dans la librairie technique de Windows Server 2003.

Pour l'explication rapide, voici une tentative de résumé : dans Windows, tout processus est authentifié et s'exécute dans le contexte de sécurité de l'utilisateur. Un jeton (token) est attaché à chaque process, et ce jeton contient entre autres les identifiants de l'utilisateur et de tous les groupes auxquels cet utilisateur appartient. Si vous exécutez la commande whoami /all dans une ligne de commande, vous obtenez une vue lisible de votre jeton. Comme les utilisateurs et groupes peuvent changer de nom, on les repère par des identifiants numériques, des SID (Security Identifiers). Windows saura en général faire la traduction pour vous.

Les objets, comme par exemple les fichiers, ont un Security Descriptor (SD) qui contient une DACL (liste de contrôle d'accès discrétionnaire). Cette liste contient des ACE (Access Control Entries) et chaque ACE indique un SID et un type d'accès ; par exemple : Utilisateurs / Lecture, Administrateurs / Lecture et Ecriture. Si vous exécutez la commande icacls nom_fichier dans une ligne de commande, vous obtenez une vue lisible de la DACL du fichier (si icacls ne marche pas, essayez cacls.)

Pour faire simple, lorsqu'un processus veut accéder à un objet pour un type d'accès donné (par exemple pour le modifier), le Security Reference Monitor (SRM) de Windows contrôle la DACL de l'objet, le jeton du process, et regarde si un des SID du jeton se trouve dans une ACE qui lui permet l'accès demandé.

Au fil des versions de Windows ce mécanisme est toujours resté, et des concepts nouveaux sont venus l'utiliser sans jamais le modifier. Par exemple, depuis Windows Vista, il existe une nouvelle sorte de SID : les SID de service. Il s'agit de SID qui identifient un service au lieu d'un utilisateur ou d'un groupe. Ils servent à faire en sorte que, même si deux services S1 et S2 s'exécutent sous le même compte (par exemple LOCAL SERVICE), alors on peut faire en sorte qu'un fichier ne soit accessible que par S1 en lui attachant une ACE relative au SID de service NT SERVICE\S1. C'est la notion d'isolation des services, abordée notamment dans cet article de Cyril Voisin et Jean-Yves Poublan.

On trouve donc depuis Windows Vista des fichiers qui ont des ACE faisant référence à des SID de service, comme par exemple :

c:\Windows\notepad.exe
    NT SERVICE\TrustedInstaller:(F)
    BUILTIN\Administrators:(RX)
    NT AUTHORITY\SYSTEM:(RX)
    BUILTIN\Users:(RX)

Ce qui signifie que seul le service TrustedInstaller (nom complet : Windows Modules Installer) a tous les droits sur les fichiers de Windows.

C'était un bien longue introduction pour aborder une nouvelle sorte de SID définis par Hyper-V : les SID de machines virtuelles. Un peu comme les SID de service, les SID de VM vont servir à isoler les VM, c'est à dire à assurer que les ressources propres à une VM ne sont accessibles en écriture que par cette VM.

Voici la DACL sur le fichier VHD d'une machine virtuelle déclarée dans Hyper-V :

Rappelons qu'un fichier VHD est le disque dur virtuel de la VM. Remarquez le SID de la forme NT VIRTUAL MACHINE\<GUID>. Ce GUID (090928A5- etc.) est l'identifiant Hyper-V unique de cette machine virtuelle. On peut le vérifier en regardant le fichier C:\ProgramData\Microsoft\Windows\Hyper-V\<GUID>.xml.

Dans Process Explorer, on peut afficher les propriétés du processus (worker process) vmwp.exe correspondant à cette VM :

Et voici, toujours affiché dans Process Explorer, le jeton du process (propriétés du process, onglet Security) :

Ce jeton et cette DACL assurent donc (1) que le process (qui s'exécute en tant que NETWORK SERVICE) aura accès en lecture et écriture (mais pas suppression) au VHD, et (2) que les autres VM ou autres services n'y auront pas accès en écriture.

Au passage, avez-vous remarqué que icacls et Process Explorer profitaient de Windows pour toujours traduire les SID en noms lisibles ? Quoique, je ne sais pas si NT VIRTUAL MACHINE\090928A5-E592-47E1-A819-85F56654EBCF est plus lisible que S-1-5-83-1-151595173-1205986706-4119140776-3488306278... :)

Si vous souhaitez en savoir plus sur les fonctions avancées des jetons de sécurité dans Windows, consultez la série d'articles de Cyril et Jean-Yves sur le durcissement des services dans Windows Vista et Windows Server 2008.

Mise à jour 18/7/2008 - Quelques fautes de frappes corrigées.

Hyper-V est RTM !

pascals — Thu, 26 Jun 2008 22:43:40 GMT

Aujourd'hui est un grand jour ! Hyper-V est finalement disponible en version finale, aux emplacements suivants :

Hyper-V pour Windows Server 2008 x64 - il s'agit du package complet pour Windows Server 2008 x64. Il doit être installé sur la partition parente, et inclut les composants Hyper-V pour les installations complètes et core, ainsi que les outils d'administration pour les installations complètes. Ce package ne peut pas être désinstallé.
Outils d'administration d'Hyper-V pour Windows Vista SP1 x64.
Outils d'administration d'Hyper-V pour Windows Vista SP1 x86.
Outils d'administration d'Hyper-V pour Windows Server 2008 x86.

Voir également les articles de la base de connaissances :

Quelques remarques concernant la mise à jour depuis la RC0 ou la RC1 :

Les états sauvegardés (saved states) ne sont pas supportés lors de la mise à jour. Cela concerne également les snapshots online (effectués lorsque la VM était démarrée).
Les nouveaux composants d'intégration (IC, Integration Components) doivent être installés sur les OS supportés dans les VM. Pour ce faire, dans le menu de VMconnect, dans le menu "Action", choisir "Insert Integration Services Setup Disk". Note : il faut fermer l'assistant Nouveau Matériel lorsqu'il apparaît.

La bonne nouvelle accompagnant la disponibilité d'Hyper-V est la nouvelle liste d'OS supportés :

Windows Server 2008 x64 (avec 1, 2 ou 4 processeurs virtuels)
Windows Server 2008 x86 (avec 1, 2 ou 4 processeurs virtuels)
Windows Server 2003 x64 SP2 (avec 1 ou 2 processeurs virtuels)
Windows Server 2003 x86 SP2 (avec 1 ou 2 processeurs virtuels)
Windows 2000 Server SP4 (avec 1 processeur virtuel)
Suse Linux Enterprise Server 10 x86 SP1 et SP2
Suse Linux Enterprise Server 10 x64 SP1 et SP2
Windows Vista x64 SP1 (avec 1 ou 2 processeurs virtuels)
Windows Vista x86 SP1 (avec 1 ou 2 processeurs virtuels)
Windows XP x86 SP2 (avec 1 processeur virtuel)
Windows XP x86 SP3 (avec 1 ou 2 processeurs virtuels)
Windows XP x64 SP2 (avec 1 ou 2 processeurs virtuels)

Remarquez dans cette liste l'apparition de Windows 2000 SP4 et Windows XP SP2, cette fois avec les composants d'intégration.

Le site général Hyper-V : http://www.microsoft.com/Hyper-V.

Pour finir, sachez que, après les sites MSDN et Technet, 25% des serveurs web de www.microsoft.com fonctionnent aujourd'hui sur Hyper-V (détails). www.microsoft.com, c'est : 15.000 requêtes par secondes, 40 millions de hits par jour, 1,2 milliards de pages lues par mois, 280 millions de visiteurs uniques par mois... Alors, prêts ?

Mise à jour 1/7/2008 - Ajouté l'article KB954958.

Hyper-V et BitLocker : le whitepaper

pascals — Thu, 26 Jun 2008 01:28:20 GMT

On dirait que quelqu'un de l'autre coté de l'Atlantique a écrit ce whitepaper juste pour être cité ici :-)

Windows Server 2008 Hyper-V and BitLocker Drive Encryption

Dès que les serveurs seront correctement répliqués (manifestement il y a quelques soucis dans la publication), vous pourrez récupérer à l'adresse ci-dessus un whitepaper vous expliquant comment les responsables de réseaux d'agences pourront dormir plus tranquilles..

Imaginez un serveur dans une agence reculée, sous un bureau ou dans un placard, mais hébergeant quelques machines virtuelles critiques (contrôleur de domaine, données clients, opérations financières, etc.) Le risque de vol du serveur ou d'un disque est nettement supérieur que pour ses grands frères au frais dans les datacenters centraux : d'où l'idée d'utiliser BitLocker de Windows Server 2008 pour chiffrer les volumes hébergeant les VHD des machines virtuelles. De quoi sauver la journée à moindre frais !

Je n'ai pas lu le whitepaper. Étant donné les contraintes propres à l'environnement d'une agence, il est probable que la recommandation soit d'être dans un mode "TPM seul" de façon à ce que le système puisse (re)démarrer sans intervention manuelle à l'initiative des centres nationaux ou régionaux. Cela implique que la protection ne concerne que les attaques "offline" : démarrage sur un autre OS, lecture du disque sur une autre machine, tentative de démarrage sur une autre machine. Par contre et comme toujours avec ce niveau de protection, la machine démarre automatiquement : sa protection "online" doit donc être définie indépendamment de BitLocker.

Windows Server Core et la sécurité

pascals — Mon, 16 Jun 2008 00:15:00 GMT

Jeff Jones étudie dans un court rapport publié il y a quelques jours l'impact de l'installation "Core" de Windows Server 2008 sur les vulnérabilités de Windows. Comme on peut l'imaginer, et comme je le notais pour 3 des 7 bulletins publiés la semaine dernière, bon nombre de vulnérabilités de Windows ne s'appliquent pas à une installation "Core" parce que les composants vulnérables ne sont pas présents : Internet Explorer, Direct X, Windows Explorer, etc. Le rapport de Jeff Jones analyse les bulletins des 2 dernières années par rapport à un hypothétique mode "Core" de Windows Server 2003. Le résultat est que le mode Core serait vulnérables à 40% de bulletins de moins que le mode complet de Windows Server.

Windows Server Core est un pas de géant dans la bonne direction en ce qui concerne les serveurs Windows : pas d'Internet Explorer, pas d'Explorer, pas de Media Player : moins de composants, moins d'exposition, moins de vulnérabilités, moins de patches à installer, moins de redémarrage, plus de disponibilité. La meilleure solution aujourd'hui pour les serveurs Hyper-V et IIS, mais aussi les serveurs de fichiers et imprimantes ou les serveurs d'infrastructures : DNS, WINS, DHCP, contrôleurs de domaine, etc.

Outils BitLocker pour Vista SP1 et Windows Server 2008

pascals — Wed, 30 Apr 2008 00:05:53 GMT

Les outils BitLocker viennent d'être publiés pour Windows Vista SP1 et Windows Server 2008 :

BitLocker Drive Preparation Tool : description, téléchargement
BitLocker Recovery Password Viewer for Active Directory Users and Computers tool : description, téléchargement
BitLocker Repair Tool : description, téléchargement

La nouveauté majeure ici est la disponibilité publique du dernier outil : si vous êtes administrateur en entreprise et que BitLocker est déployé sur votre parc de portables, cet outil pourra vous sauver en cas de problème physique sur un disque.

Hyper-V : pourquoi uniquement sur Windows x64 ?

pascals — Thu, 24 Apr 2008 15:30:47 GMT

Une question vient de m'être posée sur les raisons qui ont conduit à ne proposer Hyper-V que sur les versions x64 de Windows Server 2008. Effectivement, Hyper-V n'est pas disponible sur les versions 32 bits. Pour y répondre, voici un rappel des pré-requis pour l'installation d'Hyper-V :

Windows Server 2008 Standard, Enterprise ou Datacenter, édition x64. Hyper-V est un rôle de Windows Server 2008 et nécessite une version x64 (sur un processeur AMD64 ou Intel EM64T). Il n'est pas disponible sur les versions Itanium (IA-64), 32 bits (x86), ni sur aucune version de Vista. La raison première en est que la virtualisation aujourd'hui est principalement poussée par la consolidation de serveurs. La meilleure plate-forme pour la consolidation de serveurs est x64, ne serait-ce que parce que 3 ou 4 Go de RAM ne suffisent plus.
Support matériel de la virtualisation. Hyper-V nécessite le support matériel de la virtualisation : Intel VT ou AMD AMD-V. Ces technologies sont disponibles depuis plus de deux ans chez les principaux fournisseurs de serveurs et, comme pour le point précédent, le besoin principal étant de consolider des serveurs, il est fort peu probable que l'on cherche à consolider sur des matériels plus anciens. A noter si l'on active le support de cette fonction dans le BIOS, il est nécessaire d'éteindre la machine, puis de la rallumer.
La protection matérielle contre l'exécution de données (Data Execution Prevention, DEP) doit être activée. Hyper-V nécessite que DEP soit activé. DEP est une fonction des processeurs x64 que l'on active dans le BIOS : AMD NX (no execute bit) ou Intel XD (execute disable bit). Le principe est d'empêcher l'exécution de pages de données.