Alors que la sortie prochaine du bêta test du SP2 ( Anglais only, pour le moment :'( ) pour XP se précise, on en apprends un peu plus sur les principaux changements qui seront apportés (mes commentaires sont en italique) :
Ce résumé est basé sur un document qui est susceptible d'être modifié, mais donne une bonne idée des principales fonctionnalités qui seront apportées par le SP2. Je ne reprends pas ce qui avait déjà été dit dans ma précédente news et qui n'a pas été changé. (voir le lien "Archive" à la fin de ce texte)
Le pare-feu (ICF) :
Il sera activé par défaut sur toutes les interfaces réseau, que ce soit pour IPv4 ou IPv6. Lors du boot, une stratégie de filtrage réseau (non modifiable) sera activée, cette stratégie permettra des opérations minimales (DHCP, DNS, chargement des stratégies de domaine) entre le chargement du driver du pare-feu et l'activation de celui-ci. Il n'y a évidemment pas de filtrage "boot-time" si le pare-feu est désactivé. Il sera possible de configurer ICF globalement et/ou par interface (chaque "connectoïde" est une "interface"). La configuration "globale" s'appliquera automatiquement à chaque nouvelle connexion. Toutes les connexions sortantes seront autorisées :-(
Différenciation des connexions locales et distantes : ICF pourra ouvrir certains ports uniquement au réseau local (même sous-réseau. Ex : Le XP est en 192.168.0.1 masque 255.255.255.0, le pare-feu peut être ouvert port à port pour les adresses de 192.168.0.1 à 192.168.0.254) 4 ports sont spécifiquements visés par ce comportement : 137, 138, 139 et 445 (en gros, ce qui a trait aux partages réseau). On pourra donc combiner Pare-feu + partage en réseau local !
Options de ligne de commande : Il sera configurable en ligne de commande :
- Etat par défaut
- Configuration globale ou par interface des ports ouverts
- Ajout/suppr. de la liste blanche (on va y venir ;-) )
Mode "Shielded" : Bascule rapide permettant de fermer tous les ports habituellement ouverts dans ICF (sans perdre la configuration)
Liste "blanche" : Liste des applications pour lesquelles un port sera ouvert dynamiquement et automatiquement si nécessaire (Ex: Serveur FTP en mode Actif) Si il est nécessaire d'être "Administrateur" pour gérer cette liste, elle sera fonctionnelle même pour un utilisateur "limité".
Profils multiples : Deux stratégies de sécurité ICF différentes pourront être appliquées suivant la connexion utilisée : Réseau d'entreprise (Domaine) ou non.
Support RPC : Plusieurs niveaux d'autorisation différents seront configurables par le registre afin de permettre l'utilisation du service RPC (partage réseau, administration distante, etc...) à travers le pare-feu. En définissant la valeur DWORD de PrivilegedRpcServerPermission à 0 --> Permisson uniquement par la liste Blanche (valeur par défaut) // 1 --> RPC autorisé pour le sous-réseau // 2 --> RPC autorisé pour tout réseau.
Support Multicast et Broadcast amélioré : ICF autorisera la réponse aux Broadcasts pendant 3 secondes (ou 500 ms à un autre emplacement du document ?), afin de ne pas pénaliser l'utilisation de NetBios sur TCP/IP. (par exemple)
L'interface utilisateur sera améliorée pour offrir toutes les options nécessaires à ces changements.
Stratégies de groupe : ICF pourra être configuré par GPO (marche/arrêt, liste blanche, ports ouverts, ICMP, RPC)
Modification d'Internet Explorer :
Internet Explorer permettra de gèrer les "add-on" plus finement et de détecter si un crash d'I.E. est provoqué par ceux-ci. (Liste blanche/noire, autorisation/interdiction globale des add-on) Les add-on concernés sont :
- Les Browser Helper Objects (Yessss !)
- Les ActiveX
- Les barres d'outils
- Les extensions d'Internet Explorer
Seront visibles les add-on en cours d'utilisation par I.E. et les add-on installés.
Binary behaviors security : (keskecé ? c'est ça) En gros, une nouvelle sécurité de I.E.
Une foultitude de modifications de sécurité principalement basées sur le contrôle des ActiveX : Vérification et filtrage des appels d'objets initialisés par le tag "object" et les clics sur une URL.
La MS-JVM (machine virtuelle JAVA de MS) sera désactivable indépendamment. (ne pas confondre avec javascript !)
Sécurisation de la zone "Local Machine" (principalement : désactivation des ActiveX sur cette zone) : Celle ci sera employée lors du lancement de pages I.E. en local (au lieu d'être considérée comme sure et "hors zone", une page lancée depuis le disque dur sera dans cette zonne. Ceci afin d'éviter certaines vulnérabilités)
Analyse des types MIME : Un fichier téléchargé sera "sondé" afin de vérifier que le type MIME donné par le serveur est correct (Ex : impossibilité de faire passer un exécutable pour un fichier son). L'extension de ce fichier sera alors renommé pour correspondre au contenu analysé, mais sans toutefois permettre une élévation de privilèges (Ex : changer un .TXT en .EXE ne se fera pas)
Blocage des pop-up : Les nouvelles fenêtres générées par window.open() et showHelp() ne seront pas autorisées. Il ne sera pas activé par défaut (dommage !!!). Les fenêtres générées par un clic de l'utilisateur seront toujours permises. La position et la taille des fenêtre seront contrôlées. Un pop-up bloqué génèrera une alerte sonore et visuelle (dans la barre d'état de I.E.); un clic sur cette alerte donnera un menu avec des options liées (voir le pop-up bloqué, activer/désactiver les pop-up, autoriser les pop-up pour ce site, etc...)
Source : Microsoft
Archive : [SP2] des précisions sur son contenu