Les mises à jour des systèmes d’exploitation sont un élément essentiel à la sécurité et à la pérennité d’un système d’information. Elle permet de limiter l’exploitation de failles, mais aussi de bugs présents sur les systèmes d’exploitation et logiciels. Il convient donc d’apporter une attention particulière à la tâche de gestion des mises à jour de sécurité, notamment en faisant preuve de réactivité, mais aussi de rigueur. Afin d’être le plus efficace possible, il convient d’exploiter certains outils de gestion de mise à jour dont une présentation vous est faite.
XI.26.1 Solution Windows: Windows Server Update Services
WSUS (anciennement appelé SUS)est un service permettant de distribuer les mises à jour pour les systèmes Windows et autres applications Microsoft. WSUS est un serveur local qui se synchronise avec le site public Microsoft Update et permet de distribuer, mais aussi contrôler la diffusion des mises à jour dans un parc informatique.
Le serveur WSUS permet aux administrateurs de gérer et de distribuer de façon simple et efficace l’ensemble des mises à jour qu’ils auront sélectionnées depuis la console d'administration WSUS 3.0, mais a comme principal avantage d’optimiser l’utilisation de la bande passante vers Internet. En outre, un serveur WSUS peut servir de source de mise à jour pour d'autres serveurs WSUS au sein de l'entreprise. Une notion de reporting est intégrée au service, permettant ainsi à l’administrateur de suivre le déploiement des mises à jour sur l’ensemble des postes.
Les administrateurs peuvent choisir quelles mises à jour seront téléchargées sur un serveur WSUS pendant la synchronisation, sur la base des critères suivants :
Famille de produits ou produit (par exemple, Microsoft Windows Server 2003/2008, SQL Serveur ou Microsoft XP/Vista/Seven)
Classification des mises à jour (par exemple, les mises à jour critiques et les pilotes) Langue
Ces mises à jour doivent ensuite être approuvées afin qu’elles soient installées sur le parc informatique, mais peuvent aussi être refusées, voir supprimées suite à une approbation (cette action est possible uniquement si la mise à jour prend en charge la désinstallation)
Le ciblage permet aux administrateurs de déployer des mises à jour sur des ordinateurs et des groupes d'ordinateurs spécifiques. Elle est mise en place via la configuration de stratégie de groupe dans un environnement de réseau Active Directory.
Il est également possible de spécifier une planification pour que la synchronisation des mises à jour se lance automatiquement.
XI.26.2 Solution Linux : Serveur de dépôt
Le serveur de dépôt local sera mis en place pour votre environnement Linux. Son principe et ses objectifs restent similaires au serveur WSUS.
Il convient de rappeler que les systèmes d’exploitation Linux retenus sont Ubuntu 10.10 pour les postes de travail et Debian 5.0.7 pour les serveurs. Le gestionnaire de paquet propre à ces deux distributions est APT (Advanced Packaging Tool) qui gère l’installation de logiciels, mais aussi de mise à jour (correctif de sécurité ou amélioration).
Un des services permettant le dépôt de ses packages est apt-cacher qui est un service gratuit et nécessitant peu de ressources et permet, comme WSUS, de limiter la bande passante.
De plus, il est nécessaire de mettre en place un script programmé qui effectue les mises à jour de manière régulière sur l’ensemble des machines Linux, mais aussi de configurer les sources de mise à jour (fichier sources.list).
Annexes 139
XI.26.3 Informations complémentaires d’intégration dans le système d’information
XI.26.3.1 Tableaux des différentes sources de synchronisation à configurer pour chaque siteSite Serveur de
dépôt Postes Clients et
Serveurs Linux Serveur WSUS Postes Clients et Serveurs Figure 65 - Tableau des sources de synchronisation pour les systèmes de mise à jour
XI.26.3.2 Script Linux
Rendre le fichier exécutable :
Déclarer ensuite le script dans le cron des systèmes clients et de définir une date et heure de mise à jour :
Dans l’exemple, le script se lancera tous les dimanches à 5h00.
0 5 * * 0 /root/maj.sh
Le script se lancera tous les dimanches à 5h00.
crontab–e
chmod 750 /root/maj.sh
# !\bin\bash
# Script de mise à jour des clients Linux (pour une distribution Debian) : maj.sh
#Le script se situe dans /root
#Mise à jour des sources apt-get update
#Mise à jour des paquets apt-get upgrade
}
Annexes 140 XI.26.3.3 Les Pré-Requis Windows
Système d’exploitation Windows Server 2003/2008 IIS 6.0 ou versions ultérieures
Microsoft .NET Framework 2.0 ou versions ultérieures Une des bases de données suivantes :
Microsoft SQL Server 2008 Express, Standard ou Enterprise Edition
SQL Server 2005 SP2
Base de données interne de Windows Microsoft Management Console 3.0
La partition système et la partition sur laquelle WSUS sera installé doivent être formatées avec le système de fichiers NTFS
Minimum 1 Go d'espace libre sur la partition système
Minimum 2 Go d'espace libre sur le volume où les fichiers de base de données seront stockés
Au moins 20 Go d'espace libre sont nécessaires sur le volume où le contenu sera stocké et 30 Go sont recommandés
XI.26.3.4 Les Pré-Requis Linux
Apt-cacher ne requiert comme pré-requis que l’utilisation d’une distribution de type Debian afin que le service soit opérationnel
Il faudra, tout comme pour WSUS, prévoir une quantité d’espace disque disponible relativement suffisante. De ce fait, il sera conseillé de disposer d’une quantité de 30 Go pour stocker les mises à jour
XI.26.4 Flux générés par la solution proposée
Figure 66 - Schéma des flux générés par la solution proposée
Annexes 141
XI.27 Politique Antivirale (Rudy PROME) XI.27.1 Des virus de plus en plus menaçants
Le nombre de virus, logiciels malveillants, chevaux de Troie et autres vers ne cessent de progresser chaque jour. Internet est la première source de diffusion de ceux-ci. Mais même sans connexion Internet, il est tout autant facile de se faire infecter malencontreusement par une autre machine du réseau interne ou tout simplement par le branchement d’un support amovible ayant été lui-même infecté par un autre poste.
Il y a quelques années, les virus permettaient principalement de détruire simplement une machine ou ses données, ce qui risquait de nuire à la productivité de l’entreprise. Mais la cybercriminalité a évolué. Aujourd’hui, ils permettent de voler les informations personnelles des utilisateurs, ou confidentielles des entreprises, d’usurper des identités, ce qui est bien plus dangereux.
Tous ces logiciels malveillants se prolifèrent de plus en plus discrètement, à travers des pièces jointes de mails, des fichiers exécutables, ou parfois même grâce à quelques lignes de code cachées dans un simple document PDF, fichier musique ou image.
C’est pourquoi, pour se protéger efficacement des virus, il faut bien prendre en compte toutes les possibilités d’infection, installer un antivirus efficace et mis à jour constamment, ainsi que faire de la prévention aux utilisateurs.
XI.27.2 Un bundle « Total » qui regroupe toutes les fonctionnalités
On préfèrera la version « Total Space » du produit car c’est la seule parmi toutes celles proposées qui comprend la protection de la passerelle Internet. Celle-ci comprend dans le pack les trois autres niveaux de versions inférieures de Kaspersky qui sont Work Space, Business Space et Enterprise Space qui comprennent respectivement la protection des stations de travail, des serveurs de stockage et des serveurs de messagerie.
Voici parmi les nombreuses fonctions qu’il possède, une sélection de celles qui vont principalement nous intéresser : Protection contre les programmes malveillants, les logiciels espions
Utilisation optimale des ressources de l'ordinateur
Protection proactive élargie des postes de travail et des serveurs de fichiers contre les nouveaux programmes malveillants
Analyse du trafic Internet « à la volée » Protection contre l'hameçonnage
Protection des serveurs de fichiers sous Windows, Linux
Protection complète des serveurs de terminaux et des grappes de serveurs Répartition de la charge entre les processeurs du serveur
Prévention des épidémies de virus et des diffusions massives de messages Analyse centralisée du trafic Internet (HTTP/FTP) en temps réel
Compatibilité avec les serveurs proxy matériels Prise en charge complète des plateformes 64 bits
Annexes 142
XI.27.3 Une prévention des utilisateurs
Il est important afin d’améliorer la protection de son système d’information de mettre en garde les utilisateurs. Il y a plusieurs façons de procéder :
En organisant des séances d’informations sur les virus par l’intermédiaire de mails envoyés à tous les collaborateurs ou de projection de diaporama
En informant tout simplement les utilisateurs lorsqu’il y a contact avec eux En inscrivant une page d’informations sur le site Intranet de l’entreprise
Mais surtout, en leur faisant signer une chartre informatique (ce qui permettra par la même occasion de déresponsabiliser les administrateurs)
Sachant que le moyen le plus probable d’infecter le réseau interne est l’action de l’utilisateur lui-même, il est fortement recommandé de :
Interdire l’utilisation des clés USB personnelles ou disques durs externes personnels (Kaspersky permet tout de même de scanner les périphériques amovibles)
Interdire l’utilisation de CD ou DVD personnels
Interdire la consultation des boîtes mails privées dans l’enceinte du réseau d’Aristote (Kaspersky analyse toutefois les messages consultés, reçus et envoyés)
Interdire l’accès à des sites n’ayant pas d’intérêt professionnel (ils peuvent être filtrés grâce au Proxy et pare-feu de l’entreprise)
Annexes 143