A part la vulnérabilité Crypto, 2020 débute calmement. L’annonce la plus importante reste la publication du correctif public final pour Windows 7, Server 2008 et Server 2008 R2, selon Chris Goettl, Director, Product Management, Security chez Ivanti, qui livre ses conseils aux lecteurs de Solutions NUmériques.
Microsoft publie ce mois-ci des mises à jour pour Windows, Internet Explorer, Office, .Net et différents outils de développement, pour résoudre un total de 49 vulnérabilités CVE, dont la CVE-2020-0601, à savoir la vulnérabilité de cryptage Microsoft Crypto (lire l’article à ce sujet).
Windows 7, Server 2008 et Server 2008 R2 ont reçu leur tout dernier correctif public. Si vous continuez à utiliser ces systèmes dans votre environnement, veillez à vous préparer pour février et après. Voici une série de conseils si vous avez demandé à Microsoft de poursuivre son support.
• Votre contrat ESU est-il en place ?
• Avez-vous configuré tous les systèmes pour lesquels le support continue avec votre clé ESU ?
• Avez-vous appliqué la dernière mise à jour de pile de maintenance (SSU) à ces systèmes ? Microsoft vient de publier une SSU mise à jour pour ces plateformes avec ses publications de janvier. Ce doit être un prérequis pour la poursuite du support.
• Avez-vous appliqué la mise à jour du certificat SHA2 ? https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus
Si vous n’achetez pas de contrat ESU, pensez aux mesures palliatives :
• Mettez vos systèmes à niveau avec les correctifs de janvier 2020.
• Virtualisez les charges de traitement et réservez l’accès à ces systèmes uniquement aux personnes nécessaires.
• Interdisez l’accès direct à Internet depuis ces systèmes.
• Séparez ces systèmes, sur un segment réseau isolé des autres systèmes.
• Ajoutez à ces systèmes des couches supplémentaires de contrôles de sécurité. Verrouillez les stratégies de contrôle des applications pour autoriser uniquement l’exécution des applications critiques qui reposent sur un ancien OS, etc.