Passer au contenu

Grandes man?”uvres pour sécuriser Windows

Microsoft annonce une vaste initiative visant à sécuriser les serveurs Windows NT 4.0 et 2000 de ses clients. Avec l’arrivée des services Web, l’installation du futur Microsoft IIS 6 sera locked down par défaut.

Après avoir récemment subi de nombreuses critiques sur la sécurité de ses produits, Microsoft lance une panoplie de services gratuits pour aider ses clients à sécuriser leurs systèmes. Baptisée Strategic Technology Protection Program (STTP), cette initiative concernera, dans un premier temps, les Etats-Unis et le Canada, avant de s’étendre à l’ensemble du globe.Le programme comporte deux phases : Get Secure et Stay Secure. Get Secure est un kit de sécurité gratuit et téléchargeable pour sécuriser les serveurs Windows NT 4.0 et Windows 2000 avant de les déployer sur un réseau. Il comporte, d’une part, tous les services pack émis jusqu’ici, et, d’autre, les principaux correctifs de sécurité disponibles pour Windows NT 4.0 et 2000, IIS 5 et Internet Explorer. Le kit Get Secure inclut également un logiciel de sécurité qui se connecte au site Microsoft Windows Update pour prévenir les administrateurs systèmes de l’arrivée de nouveaux correctifs de sécurité.Microsoft va aussi mettre en place un support téléphonique gratuit concernant les virus et accessible à tous les clients Microsoft : entreprises, développeurs, particuliers, etc.” Microsoft s’est toujours préoccupé de la sécurité des applications vendues à ses clients en proposant le plus rapidement possible les correctifs de sécurité sur ses sites Web. Avec l’apparition de nouveaux virus comme Code Red et Nimda, il nous est apparu indispensable d’aller plus loin dans cette démarche, explique Alexis Oger, chef de produit technique chez Microsoft France. Nous travaillons déjà pour déployer dans les prochaines semaines cette offre sur nos sites français. “

Des mises à jour de sécurité automatiques par Internet

La deuxième phase de STTP, Stay Secure, arrivera en décembre prochain avec l’apparition d’un outil d’analyse des serveurs Windows 2000. L’objectif de ce logiciel est de repérer les vulnérabilités et les erreurs de configuration d’un système Microsoft. En complément, l’éditeur prévoit un outil de déploiement automatisé de correctifs de sécurité sur un réseau de machines Windows. Ce dernier s’appuiera sur le logiciel de télédistribution SMS (System Management Server) fourni à ses grands comptes.Enfin, Microsoft distribuera en février 2002 un Service Pack 3 (SP3) pour Windows 2000 comprenant un outil de mise à jour automatique. Il permettra à Microsoft d’installer directement les correctifs de sécurité critiques sur les machines des clients adhérant à ce service, sans aucune opération de leur part. Une version plus évoluée de cet outil de mise à jour devrait apparaître courant 2002. Baptisé Federated Corporate Windows Update, ce service permettra aux administrateurs réseaux d’héberger leurs propres sites Windows Update et de choisir ainsi les correctifs de sécurité mis à la disposition de leurs utilisateurs.

Sécuriser IIS pour les futurs services Web

Il s’agit de la plus vaste initiative de sécurité jamais mise en place par Microsoft. Elle marque sans doute un changement de philosophie de l’éditeur sur ce sujet. Mis à mal par le cabinet d’études Gartner concernant la sécurité de son serveur Web IIS 5, Microsoft a décidé que la prochaine version de celui-ci serait locked down, par défaut.En clair, le serveur Web Microsoft IIS 6 ?” renommé .NET Server et attendu pour la fin du premier trimestre 2002 ?” s’installera par défaut avec un minimum de fonctions disponibles, l’administrateur devant lui-même ajouter les services complémentaires qui lui sont nécessaires. Les experts sécurité reprochaient fréquemment à Microsoft IIS 5 d’installer automatiquement la totalité des services disponibles, rendant le serveur Web plus vulnérable aux attaques des pirates.Le serveur Web .NET Server est une pierre angulaire de la stratégie Web .NET de Microsoft et des futurs services Web .NET My Services que l’éditeur lancera au cours de l’année 2002. Plus qu’une protection contre les virus, linitiative Strategic Technology Protection Program semble un moyen pour Microsoft de rassurer ses clients sur la sécurité des futurs services Web.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Antonin Billet