Windows XP SP 2
FAQ : Utilisation de Windows en entreprise

Lors du premier démarrage du PC après installation du SP2, l'écran suivant est apparu :

Si vous désirez changer ce réglage (ou l'affiner) :

1. Ouvrir le panneau de configuration, accessible via le menu ‘Démarrer’
2. Cliquer sur ‘Autres options du Panneau de configuration’, lien situé dans la partie gauche de la fenêtre
3. Cliquer sur ‘Mises à jour automatiques’
4. Si nécessaire, cliquez sur « Autres options » pour accéder à un paramétrage avancé

Plusieurs options vous sont proposées : Téléchargement et installation automatique (option recommandée) : vous pouvez paramétrer les mises à jour pour que celles-ci soient quotidiennes, ou un jour de semaine déterminé à une heure donnée. Télécharger les mises à jour, mais sans les installer : Cette option vous permet de télécharger les mises à jour et de sélectionner celles que vous souhaitez installer.  Avertir en cas de nouvelle mise à jour, mais sans les télécharger : Cette option vous permet d’afficher une alerte en cas de nouvelle mise à jour et de sélectionner manuellement les mises à jour que vous souhaitez télécharger et installer sur votre poste Windows XP. Désactiver les Mises à jour automatiques : Cette option n’est pas recommandée. Si vous cochez cette option votre ordinateur sera plus vulnérable, à moins que vous n’installiez les mises à jour régulièrement. Le centre des mises à jour de Windows XP vous propose également d’installer manuellement les mises à jour à partir du site web de Windows Update.

Il s’agit  dans un 1^er temps d’ajouter les nouveaux modèles fournis avec le Service Pack 2 sur le poste client Windows XP, disponibles dans le dossier %windir%\inf. Avant de passer à la configuration à proprement parler il faut installer le modèle adéquat dans la stratégie de groupe de Windows XP.

1.      Cliquer sur ‘Démarrer’, puis sur exécuter.

2.      Entrer ‘mmc’ puis cliquer sur OK

3.      Cliquer sur le menu ‘Fichier’, puis sur ‘Ajouter/Supprimer un composant logiciel enfichable’

4.      Cliquer sur ‘Ajouter’, puis dans la liste choisir ‘Stratégie de groupe’, cliquer sur ‘Ajouter’ ensuite sur ‘Parcourir’, choisir ‘Default Domain Policy’, valider votre choix en cliquant sur ‘OK’ puis sur ‘Terminer’, sur ‘Fermer’ et enfin sur ‘OK’

5.      Dérouler ‘Stratégie Default Domain Policy’ puis cliquer avec le bouton droit sur ‘Modèles d’administration’

6.      Sélectionner ‘Ajout/Suppression de modèles’

7.      Cliquer sur ‘Ajouter’, choisir wuau.adm, fichier se trouvant donc dans le dossier c:\WINDOWS\inf\, puis cliquer sur ‘Choisir’

8.      Enfin fermer la fenêtre d’ajout des modèles pour finir d’ajouter le modèle.

 Ceci fait, nous pouvons dès maintenant configurer la stratégie.

 Nous pouvons maintenant configurer les Mises à jour automatiques par stratégie de groupe (par exemple à minuit tous les jours) :

1.      Dérouler ‘Composants Windows’ puis sélectionner ‘Windows Update’

2.      Double-cliquer sur ‘Configuration du service Mises à jour automatiques’

3.      Sélectionner ‘Activé’

4.      Choisir le choix 4 pour ‘Configuration de la mise à jour automatique’

5.      Choisir le choix 0 pour le jour de l’installation planifiée (tous les jours)

6.      Choisir 00h00 pour l’heure de l’installation planifiée

Microsoft a publié une liste de programmes dont le fonctionnement peut avoir changé.

http://support.microsoft.com/default.aspx?kbid=884130

Cette tâche consiste à activer le Centre de sécurité grâce au paramétrage d’une stratégie de groupe (ceci requiert les privilèges d’administrateur).

Si aucune stratégie de groupe au niveau Active Directory ne positionne de réglage sur l’activation du Centre de sécurité, vous pouvez effectuer un réglage via la stratégie de l’ordinateur local:

Racine de la console\Stratégie de l’ordinateur local\Configuration Ordinateur\Modèles d’administration\Composants Windows\Centre de sécurité

Une fois cette étape réalisée, vous verrez apparaître le Centre de sécurité tel qu’il se présente sur un ordinateur autonome (n’appartenant pas à un domaine) après l’installation du Service Pack 2.

Pour ce faire : 1.      Cliquez sur “Démarrer”, puis “Exécuter” 2.      A l’invite de commandes tapez « mmc » et cliquez sur « OK » 3.      Une fenêtre de console s’ouvre comme suit : 4.      Allez sur “Fichier”, “Ajouter/supprimer un composant logiciel enfichable…”
5.      Une nouvelle fenêtre s’ouvre, cliquez sur « Ajouter » et sélectionnez « Stratégie de groupe » puis « Ajouter » :
6.      Une nouvelle fenêtre s’ouvre et vous indique “ordinateur local” pour l’objet de stratégie de groupe :    Cliquez successivement sur “Terminer”, « Fermer » puis « OK » pour revenir à la console d’administration de la stratégie locale.

 7.      Déroulez les sous menus en cliquant sur les « + » et allez à :

« Racine de la console\Stratégie de l’ordinateur local\Configuration Ordinateur\Modèles d’administration\Composants Windows\Centre de sécurité ».   Votre console devrait se présenter comme ci contre :

8.      Double cliquez sur « Activer le Centre de sécurité (ordinateurs appartenant à un domaine) »

9.      Sélectionnez « Activer » pour demander l’activation du Centre de sécurité, puis cliquez « Appliquer » puis « OK » (vous remarquerez par défaut : non configuré).

10.  Fermer la console (vous n’avez pas besoin d’enregistrer les paramètres de la console).

 Maintenant que la stratégie est correctement configurée, nous allons effectuer un rafraîchissement pour qu’elle s’applique immédiatement.

11.  Faites « Démarrer », « Exécuter », tapez « cmd » et « OK »

12.  A l’invite de commandes tapez « gpupdate » puis Entrée pour actualiser la stratégie de sécurité

Optionnel : Pour afficher la bonne mise à jour des paramètres vous pouvez taper « gpresult » et Entrée

13.  Pour sortir tapez exit et Entrée

14.  Cliquez sur « Démarrer », « Arrêter » et « redémarrer l’ordinateur ».

Le Centre de sécurité est un service de Windows dont le nom est « Security Center » (dans la version française ce sera « Centre de sécurité »). Par conséquent, vous pouvez l’arrêter ou le démarrer manuellement en tapant dans une invite de commandes :

·         net stop "Security Center" pour arrêter le service

·         net start "Security Center" pour démarrer le service

Il faut, avant de pouvoir les configurer, installer les nouveaux modèles d’administration liés au Service Pack 2. Voir Comment utiliser les stratégies du SP2

1.      Cliquer sur ‘Démarrer’ et exécuter ‘mmc.exe’

2.      Installer un nouveau composant logiciel enfichable, commande accessible dans le menu ‘Fichier’

3.      Dans l’onglet ‘Autonome’, cliquer sur ‘Ajouter’

4.      Choisir ‘Stratégie de groupe’ et cliquer sur ‘Ajouter’

5.      Cliquer sur ‘Parcourir’

6.      Sélectionner ‘Default Domain Policy’, cliquer sur ‘OK’, ‘Terminer’, ‘Fermer’ et sur ‘OK’ afin de revenir à l’écran de la console

7.      Dérouler ‘Stratégie Default Domain Policy’, ‘Configuration ordinateur’, ‘Modèles d’administration’, ‘Réseau’, ‘Connexions réseau’ et enfin ‘Pare-feu Windows’
Les nouveaux paramètres liés au pare-feu Windows sont maintenant mis à jour dans la stratégie de groupe du domaine que nous venons d’éditer. Nous pouvons dès lors les configurer (y compris depuis un poste qui ne serait pas en SP2).

9.      Sélectionner ‘Profil du domaine’

10.  Activer ‘Protéger toutes les connections réseau’, ce qui va appliquer les règles du firewall à l’ensemble des interfaces réseau disponibles

11.  Autoriser ‘l’Exception du Bureau à distance’ pour permettre aux connections de Terminal Server de transiter

12.  Sélectionner ‘Profil standard’, ce qui correspond à un profil sans contrôleur de domaine. Si vous ne configurez pas le profil standard, ses valeurs par défauts seront utilisées. Il est donc fortement conseillé de configurer chaque profil

13.  Activer ‘Protéger toutes les connections réseau’

14.  Activer ‘N’autoriser aucune exception’

Dans ce cas l’utilisation du pare-feu est imposée sur tous les postes du domaine, de paramétrer une exception pour le ‘Bureau à distance’ en profil entreprise mais de n’en autoriser aucune sur les réseaux inconnus (hors entreprise)

Cette option est surtout utile lorsque le poste à configurer ne se trouve pas dans un réseau d’entreprise, donc lorsque nous ne disposons pas d’Active Directory.

1.      Ouvrir l’Invite de commandes en cliquant sur ‘Démarrer’ puis en sélectionnant ‘Exécuter’ et la commande ‘cmd.exe’

2.      Créez un script netscript.txt, comme ci dessous :

3.      Exécuter ‘netsh –f c:\netscript.txt’

Dans ce cas l’utilisation du pare-feu est imposée sur tous les postes du domaine, de paramétrer une exception pour le ‘Bureau à distance’ en profil entreprise mais de n’en autoriser aucune sur les réseaux inconnus (hors entreprise)

Le Service Pack 2 de Windows XP intègre de nouvelles fonctionnalités tirant parti des capacités des nouveaux microprocesseurs AMD64 et Itanium visant à protéger la mémoire.

Le principe est simple, les zones mémoire peuvent grâce à ces nouveaux processeurs êtres marquées par un drapeau définissant leur nature, exécutable ou non.

L’idée est de limiter les attaques par débordement de tampon, qui exploitent la mauvaise gestion de la mémoire des programmes pour introduire plus de données que prévu initialement afin de re-écrire d’autres zones et d’exécuter le code de l’attaquant. Pour activer cette option cliquez avec le bouton droit sur le poste de travail de Windows XP et allez dans les propriétés. Choisissez l’onglet ‘Avancé’ et dans la rubrique ‘Performance’ cliquez sur ‘paramètres’. Un nouvel onglet a été ajouté par le Service Pack 2 : Prévention de l’exécution des données. Bien entendu il faut disposer d’un processeur compatible pour que cette option puisse être activée, ce qui n’est pas le cas de ma machine.

En outre le Service Pack 2 de Windows XP inclut une autre protection qui elle est disponible pour tous les processeurs. La gestion de la mémoire de Windows est modifiée pour utiliser un marquage de la mémoire, appelé ‘canari’. Lors de certains débordements de tampon le canari sera re-écrit et Windows le détectera. L’exploitation de ce type de vulnérabilité est donc rendue plus difficile. Cette option n’est bien sûr pas désactivable.

Il faut mettre à jour l'outil d'édition des GPO. Les nouveaux .ADM utilisent une nouvelle syntaxe qui provoque ces messages d'erreur intempestifs (mais non bloquants). Le problème est décrit ici : http://support.microsoft.com/default.aspx?kbid=842933. Un correctif est a télécharger pour XP SP1, Windows 2000 SP3 ou Windows Server 2003 / SBS 2003.

Afin d'installer immédiatement Windows XP et le Service Pack 2, vous pouvez intégrer le SP2 a Windows XP afin de procéder à des installation automatiques et a jour. Le site web suivant explique comment procéder :
http://www.generation-nt.com/dossiers-48.html

La liste se trouve sur le site de Microsoft : http://support.microsoft.com/default.aspx?scid=kb;en-us;811113&Product=winxp

   Retour accueil