.png){kind=avatar}
90% des postes de travail opèrent sous Windows. Logiciels malveillants et rançonneurs, chevaux de Troie... Toutes ces menaces pour la sécurité se servent de Windows pour perpétrer leurs forfaits. Voyons comment s’en protéger...
Windows en retard
Le deuxième mardi de chaque mois, Windows publie un ensemble de mises à jour qui corrigent des bugs ou vulnérabilités. Mais des centaines de vulnérabilités sont identifiées chaque jour. Malheureusement, sauf menace majeure comme Specter ou Meltdown, Windows attendra le deuxième mardi du mois pour publier un nouveau « patch » corrigeant les vulnérabilités apparues…
Nous n'y pouvons rien... Ce que nous pouvons faire, en revanche, c'est améliorer la gestion des correctifs pour réduire les risques de sécurité. Voici quelques « quick wins » pour conserver un bon niveau de sécurité sans trop d'efforts.
- WSUS (Windows Server Update Service) : Ce service permet de distribuer les mises à jour de Windows ou d'autres composants Microsoft dans tout votre environnement suivant les mêmes règles. Les mises à jour retenues sont configurées une seule fois et déployées dans tout l'environnement. Cela a pour effet de simplifier la gestion et d'augmenter la sécurité.
- SCCM (System Center Configuration Manager) : Avec ce puissant outil, vous gérez les mises à jour sur vos PC, serveurs et appareils mobiles à partir d'une console de gestion unique. Mais ce n'est pas tout, loin s'en faut !
- GPO (Group Policy Object) : À l'aide d'un GPO, vous pouvez empêcher les utilisateurs de postposer ou d'annuler les mises à jour. Il est également possible de programmer les mises à jour en fonction de vos disponibilités et d'éviter les plaintes des utilisateurs. Ceux-ci ne s'apercevront de rien et leurs systèmes seront protégés.
- Best Practices Planning (Dev, Test, Prod.): Sachant que Windows publie les mises à jour le deuxième mardi du mois, nous recommandons de les déployer dans l'environnement de développement ou de test le lendemain. Quant à l'environnement de production, attendez une semaine pour laisser les mises à jour faire leurs maladies de jeunesse. Nous en avons eu un exemple récent avec Windows 7/Windows Server 2008 R2.
Le déploiement des mises à jour suivant le bon calendrier réduit le temps d'exposition de votre infrastructure aux nouvelles vulnérabilités.
Utilisons judicieusement ces outils pour renforcer la sécurité de notre infrastructure.
