Archive for February, 2013

Microsoft Baseline Security Analyzer

Patmvp2012Bonsoir à tous,

Convivial, l’outil Microsoft Baseline Security Analyzer (MBSA) est conçu pour les informaticiens qui aident les petites et moyennes entreprises à déterminer et à optimiser leur état de sécurité selon les recommandations de Microsoft. Améliorez votre processus de gestion de la sécurité en utilisant MBSA pour détecter les erreurs de configuration de sécurité courantes et les mises à jour de sécurité manquantes sur vos ordinateurs.

MBSA est l’outil d’analyse et d’évaluation des failles et de la sécurité gratuit que Microsoft destine aux administrateurs, aux auditeurs de sécurité et aux professionnels de l’informatique.

Compatible avec Windows 7 et Windows Server 2008 R2, ainsi qu’avec les dernières versions de l’agent Windows Update (WUA) reposant sur la technologie Microsoft Update, MBSA présente une interface utilisateur mise à jour, gère les solutions 64 bits et améliore la prise en charge de Windows Embedded.
MBSA est également compatible avec Microsoft Update, Windows Server Update Services 2.0 et 3.0, l’outil d’inventaire SMS pour Microsoft Update (ITMU) et SCCM 2007.

Pour les clients dont les produits Microsoft hérités ne sont pas pris en charge par MBSA 2.1, Microsoft Update et WSUS, ainsi que pour ceux qui ont besoin de compatibilité avec les technologies MBSA 1.2.1 ou HFNetChk de Shavlik, l’entreprise Shavlik Technologies distribue gratuitement un outil d’accompagnement de MBSA 2.1 appelé Shavlik NetChk Limited.

Grâce à Shavlik NetChk Limited, les utilisateurs qui ont installé les produits suivants dans leur environnement pourront améliorer les performances de MBSA 2.0.1 en matière de détection des mises à jour de sécurité :

  • Office 2000
  • ISA Server 2000
  • Extensions serveur FrontPage 2000/2002
  • Visual Studio .Net 2002/2003
  • SQL Server 7.0/2000
  • Autres produits non inclus dans la liste des produits pris en charge par Microsoft Update

Nouvelles fonctionnalités et améliorations dans MBSA 2.2

  • Ajout de la possibilité de choisir le mode hors ligne depuis les interfaces graphique et de ligne de commande
  • Ajout de la prise en charge de catalogues de sécurité supplémentaires (pour utilisation ultérieure)
  • Ajout/cabpath de l’option de ligne de commande afin d’obtenir des catalogues depuis un répertoire sélectionné par l’utilisateur ou depuis un emplacement réseau
  • Correction du retour de secours automatique au mode hors ligne si les serveurs Microsoft Update ou WSUS ne sont pas disponibles
  • Suppression du lien de téléchargement dans les rapports d’analyse terminés puisqu’il n’est plus possible d’identifier de manière précise le bon package lors d’un téléchargement en présentant plusieurs
  • Suppression de la version du produit dans le chemin de répertoire cache lors de l’utilisation du fichier (CAB) du catalogue hors ligne
  • Mise à jour et révision des fichiers d’aide afin de décrire les fonctionnalités nouvelles et corrigées
  • Prise en charge de Windows 7et Windows Server 2008 R2
  • Mise à jour de l’interface graphique utilisateur
  • Prise en charge complète des plateformes 64 bits et des contrôles d’évaluation de vulnérabilité sur les composants et plateformes 64 bits.
  • Amélioration de la prise en charge de la plateforme Windows XP Embedded
  • Amélioration de la prise en charge des contrôles d’évaluation de vulnérabilité de SQL Server 2005
  • Inscription et mise à jour d’agent Microsoft Update automatiques (si sélectionné) à l’aide de l’interface graphique ou à partir d’un outil en ligne de commande à l’aide de la fonctionnalité /ia.
  • Nouvelle fonctionnalité permettant de générer des rapports d’analyse complets dans un répertoire sélectionné par l’utilisateur ou sur un partage réseau (fonctionnalité /rd sur la ligne de commande)
  • Compatibilité avec les Services WSUS (Windows Server Update Services) 2.0 et 3.0
Ressources supplémentaires
Webcast TechNet : Microsoft Baseline Security Analyzer (MBSA) 2.0 : Architecture et scénarios (Niveau 300)
Microsoft Office Visio 2007 Connector pour MBSA
Cet utilitaire vous permet d’afficher les résultats d’une analyse Microsoft Baseline Security Analyzer dans un diagramme réseau Microsoft Office Visio 2007 clair et complet.
Téléchargez les exemples de scripts MBSA à partir du Centre de téléchargement Microsoft.

Téléchargez MBSA 2.2

Bon weekend !
Patrice.

No Comments

Bulletins de sécurité Microsoft : Patch Tuesday de Février 2012

BONNEFOYP2012Bonjour à tous,

En ce mois de février, Microsoft a annoncé 12 mises à jour représentant pas moins de 57 vulnérabilités.

Loin d’être un record mais, synonyme d’intérêt pour ses clients, Microsoft présente un nombre conséquent de correctifs classés “Critique” avec des menaces d’Exécution de code à distance et “Important” avec des dénis de service ou des Élévations de privilèges.

Tout ce petit monde sera disponible dès demain mardi 13 février.

Les systèmes concernés sont :
Windows XP Services Pack 2 et 3 et Internet Explorer 6, 7 et 8,
Windows Server 2003 Service Pack 2 et Internet Explorer 6, 7 et 8,
Windows Vista Service Pack 2 et Internet Explorer 7, 8 et 9,
Windows Server 2008 Systems Service Pack 2 et Internet Explorer 7, 8 et 9,
Windows 7 Systems et Service Pack 1 et Internet Explorer 8 et 9,
Windows Server 2008 R2 Systems et Windows 7 Internet Explorer 8 et 9,
Windows 8 Systems et Windows 7 Internet Explorer 10,
Windows Server 2012 et Windows 7 Internet Explorer 10,
Windows 8 RT et Internet Explorer 10,
Server Core installation option : Windows 2008, 2008 R2 et 2012

Plus d’informations et conseils de déploiement : http://technet.microsoft.com/en-us/security/bulletin/ms13-feb

Bonne soirée.
Patrice.

No Comments

MDOP 2011 R2: App-V Mangement Server et Desktop Client

BONNEFOYP2012Bonjour à tous,

Au début de ce mois de janvier, j’ai publié un premier article sur MDOP plus particulièrement sur le séquencement d’une application non compatible. Je vous l’accorde, j’ai un peu mis la charrue avant les bœufs surtout si le lecteur recherche une vue globale de la publication lors d’une phase de déploiement d’un nouvel OS. Il s’agissait avant tout, de montrer les possibilités de MDOP 2011 R2 pour les entreprises et voir rapidement cette réalisation. Quoiqu’il en soit, le travail réalisé n’est pas perdu; nous pourrons nous servir de ce séquencement le moment venu Clignement d'œil. Il faut savoir que dès maintenant App-V 5.0 beta est disponible (la doc icile logiciel là…)

A présent, nous allons installer App-V Management Server puis, App-V Desktop Client sur une machine cliente évidemment et voir, pas-à-pas, les points à éclaircir tout au long de ces démonstrations. Allons-y Clignement d'œil !

Un petit rappel sur ce qu’est App-V Management Server : il publie et fournit à la demande les applications sollicitées par les machines clientes cela, par l’intermédiaire de App-V Desktop Client. Il authentifie les demandes en fournissant sécurité, surveillance en utilisant Active Directory pour gérer les utilisateurs et les applications.
Les administrateurs utilisent la console de gestion Microsoft App-V pour configurer l’environnement, ajouter, supprimer des applications, modifier les associations de type de fichiers ou assigner des autorisations d’accès.

Quant à App-V Desktop Client, celui-ci configure et gère automatiquement des environnements virtuels pour les applications séquencées et publie les demandes sur les bureaux de l’utilisateur.  App-V Desktop Client stocke les paramètres de l’application virtuelle spécifique à l’utilisateur dans chaque profil utilisateur.

Configuration requise pour App-V Management Server

  • Windows Server 2008 (32-bit or 64-bit) or Windows Server 2008 R2 (64-bit)
  • Les Services de certificats Active Directory ainsi que les fonctionnalités associées doivent être installés. Ces services de certificats doivent utiliser une infrastructure à clé publique (PKI)
  • IIS 7.0 ainsi que les outils de gestion. Si cela n’est pas fait, l’erreur 25120 apparaitra (Le programme d’installation n’a pas pu créer le répertoire virtuel IIS requis: Erreur 25120)
  • Microsoft .NET Framework 2.0 or higher
  • Microsoft SQL Server 2008 R2 Express Edition
    • Note: Using SQL Server 2008 R2 Express Edition is not a supported configuration for a production environment of Microsoft Application Virtualization. The Express Edition was chosen to facilitate the setup of this trial environment only.
    • Il faut préciser également pour cet environnement Serveur, un système “propre” dédié uniquement à cet usage.

Création_OUConfiguration requise pour App-V Desktop Client

  • Windows 7 Professional, Enterprise, or Ultimate (32-bit or 64-bit)
    • Note: It is recommended that at least 6GB free hard disk space is available for caching virtualized applications.

Avant de démarrer l’installation proprement dite, vous devez créer les objets suivants depuis “Utilisateurs et ordinateurs Active Directory” :

Créer une OU spécifique au groupe App-V, contenant les groupes de sécurité d’utilisateurs “Administrateurs”, ceux qui auront en gestion l’environnement de virtualisation et le groupe de sécurité d’utilisateurs “Utilisateurs” qui utiliseront, à la demande, les applications virtualisées.

Le groupe de sécurité AppV Administrators sera ajouté à la liste des Administrateurs autorisés à gérer la console App-V Management Server. Le groupe AppV Users contiendra les utilisateurs des applications virtualisées.

Démarrons maintenant l’installation

Insérez le CD-ROM puis, depuis l’interface MDOP 2012 Refresh, cliquez sur “Microsoft Application Virtualization for Desktops” et finalement sur “Installer Management Server 4.5 SP2”. L’installation démarre… Cliquez sur Suivant pour commencer.

Mgmnt1

Acceptez les conditions du contrat de licence puis, cliquez sur Suivant

Mgmnt2

Entrez vos informations d’inscription puis, cliquez sur Suivant pour poursuivre…

Mgmnt3

Sélectionnez maintenant l’option Personnalisée afin de choisir les paramètres convenant parfaitement à vos besoins. Cliquez ensuite sur Suivant

Mgmnt4

Choisissez d’installer tous les composants et sous-composants sur le disque dur local. Conservez le chemin d’installation par défaut. Cliquez ensuite sur Suivant

Mgmnt5

Sélectionnez le serveur sur lequel l’installation a lieu. S’il n’est pas dans la liste, inscrivez-le dans le champ plus bas en ayant coché la case Utilisez le nom d’hôte suivant… Cliquez ensuite sur Suivant pour continuer…

Mgmnt6

Sélectionnez maintenant une base de données existante ou bien créez-en une nouvelle. Cliquez sur Suivant

Mgmnt7

Utilisez la sécurité améliorée en cochant la case appropriée. Cliquez sur Suivant

Mgmnt8

Utilisez la configuration de port TCP par défaut puis cliquez sur Suivant

Mgmnt9

image

Si le port sélectionné est déjà en cours d’utilisation, choisissez-en un autre. Cliquez sur Suivant

Mgmnt12

Sélectionnez ensuite le groupe “AppV Administrators” créé précédemment, autorisé à gérer la console d’administration et à accéder aux applications App-V via le fournisseur d’applications.

Mgmnt13

Il est conseillé ici d’accepter le chemin par défaut proposé. Cliquer ensuite sur Suivant

Mgmnt14

La collecte des informations est terminée. L’Assistant est prêt à démarrer l’installation; cliquer sur Installer.

Mgmnt15

Chapitre Sécurité pour cette installation

Le dossier dans lequel s’exécute l’application : C:\Program Files\Microsoft System Center App Virt Management Server\App Virt Management Server\content doit être autorisé, pour les utilisateurs authentifiés :

  • A “lecture” pour le groupe AppV Users,
  • A “Contrôle total” pour le groupe AppV Administrators (images suivantes).
image

image

Si l’Administrateur qui gère App-V n’est pas un compte local de la machine, il faut donner, au groupe AppV Administrators l’autorisation d’exécuter le fichier de lien SftMgmt.udl au risque d’obtenir une erreur C800xxx à la connexion de gestion App-V.

  • Démarrez l’Explorateur Windows,
  • Ouvrez le dossier C:\Program Files (x86)\Microsoft System Center App Virt Management Server\App Virt Management Service
  • A ‘l’aide du clic droit de la souris sur le fichier SftMgmt.udl, sélectionnez le menu Propriétés,
  • Depuis l’onglet Sécurité, ajoutez le groupe AppV Administrators et donnez-lui l’autorisation “Lecture et Exécution”

Création d’une exception au pare-feu Windows

image

  1. Cliquer Démarrer, Outils d’Administration puis, sur Pare-feu Windows avec fonctions avancées de sécurité,
  2. Sélectionnez Règles de trafic entrant puis, depuis le menu Action, cliquez sur Nouvelle Règle
  3. Choisissez l’option Programme puis, cliquez sur Suivant
  4. Parcourez l’arborescence jusqu’au dossier C:\Program Files\Microsoft System Center App Virt Management Server\App Virt Management Server\bin et sélectionnez le programme sghwdsptr.exe puis, cliquez sur Suivant
  5. Sur la page Action à entreprendre, sélectionnez l’option Autoriser la connexion puis, cliquez de nouveau sur Suivant,
  6. Acceptez les profils par défaut pour cette règle puis, cliquez sur Suivant,
  7. Donnez un nom à cette règle puis, cliquez sur Terminer.
  8. Répéter cette création d’exception pour le fichier programme sghwsvr.exe.

Remarque : La création de ces exceptions est nécessaire pour permettre aux ordinateurs client de se connecter au serveur via RTSP(s).

Cette partie concernant l’installation de App-V Mangement Server est terminée. Nous pouvons maintenant passer à l’installation de la machine client.

Installation de App-V Desktop Client

L’installation s’opère sur une machine Windows 7.
Insérez le CD-ROM puis, depuis l’interface MDOP 2012 Refresh, cliquez sur “Microsoft Application Virtualization for Desktops” et finalement sur “Installer Desktop Client 4.6 SP1 (64 bits)”, s’il s’agit d’une plate-forme 64 bits. L’installation démarre par l’installation des packages Visual C++ 2005 et 2008 SP1 Redistribuable…

Install1

Cliquez ensuite sur Suivant pour démarrer cette installation.

Install2

Après avoir accepté les termes du contrat de licence, cliquer sur Suivant une nouvelle fois, sélectionnez l’option d’installation Personnalisée puis, cliquez sur Suivant

Install4

Conservez le dossier de destination par défaut puis, cliquez sur Suivant

Install5

Conservez l’emplacement par défaut des données App-V puis, cliquez sur Suivant

Install6

Conservez la taille maximale du cache par défaut puis, cliquez encore sur Suivant

Install7

Conservez les paramètres par défaut du package d’exécution puis, cliquez sur Suivant

Install8

Saisissez le nom FQDN du serveur de publication, celui, si c’est le cas, à sécurité renforcée avec le numéro de port, ici 554 puis, cliquez sur Suivant pour poursuivre l’installation…

Install9

Une fois les paramètres renseignés, l’installation peut démarrer. Vous venez de procéder à l’essentiel. L’Assistant d’installation va faire le reste. Cliquez sur Installer

Install10

L’installation est alors terminée. Cliquez sur Terminer pour quitter l’Assistant.

Install11

Les installations de Application Virtualization Mangement Server et Desktop Client sont terminées. Dans un prochaine article, nous apprendrons comment déployer les applications virtualisées.

Bon weekend.
Patrice.

Patrice A. BONNEFOY    facebook Linkedin Viadeo
Microsoft MVP Windows Expert IT-Pro
France, Vaucluse
Web : http://www.ruewindows.net
Blog : http://msmvps.com/blogs/vista/ (Actualité Windows)
============================================
"Ayez foi en vos intuitions et faites ce que vous pensez être juste."
Samuel TING (Carrefour de l’innovation 1995). Prix Nobel de Physique.

No Comments