Download - Tournée TechNet 2006 sur la conception « Tournée sur l'infrastructure sécurisée bien gérée »
Tournée TechNet 2006 sur la Tournée TechNet 2006 sur la conceptionconception
« Tournée sur l'infrastructure sécurisée « Tournée sur l'infrastructure sécurisée bien gérée »bien gérée »
Gestion des ordinateurs de Gestion des ordinateurs de bureaubureau
Bruce CowperRick Claus
Conseillers professionnel en TI du CanadaMicrosoft Canada
Objectifs de la séanceObjectifs de la séance
• Introduction au blindage des ordinateurs de bureau
• Présentation de scénarios communs de verrouillage des ordinateurs de bureau
• Aperçu de certains des outils disponibles pour vous aider à prendre le contrôle
• Examen de scénarios communs de gestion efficace des ordinateurs de bureau
Les dix lois immuables de la Les dix lois immuables de la sécuritésécurité
1) Nous croyons tous que rien de mauvais ne peut nous arriver jusqu'à ce que cela se produise.
2) La sécurité ne fonctionne que si la façon sûre est aussi la plus simple.
3) Si vous n'appliquez pas les corrections de sécurité offertes, votre réseau ne vous appartiendra pas longtemps.
4) Il n'est pas très utile d'appliquer les corrections de sécurité sur un ordinateur qui n'a jamais été sécurisé au préalable.
5) La vigilance constante est le prix de la sécurité.
6) Il y a vraiment quelqu'un quelque part qui essaie de deviner vos mots de passe.
7) Le réseau le plus sûr est un réseau bien géré.
8) La difficulté à défendre un réseau est directement proportionnelle à sa complexité.
9) La sécurité ne consiste pas à éviter les risques, mais à les gérer.
10) La technologie n'est pas une panacée.
Que pouvez-vous faire?Que pouvez-vous faire?1) Vous concentrer sur les questions de sécurité.
2) Faciliter le déploiement d'ordinateurs et de serveurs sécurisés.
3) Mettre en place des méthodes de déploiement des mises à jour et des ensembles de service dès le début ainsi que des méthodes de maintenance de ces derniers.
4) Mettre l'accent sur la sécurisation des ordinateurs dès le début.
5) Former le personnel sur la nécessité d’exercer une vigilance constante.
6) Exiger des mots de passe complexes dès le début.
7) Mettre l'accent sur des ordinateurs et des serveurs standards et bien documentés.
8) Simplifier la création et la maintenance des ordinateurs et des serveurs.
9) Mettre en place l'évaluation des risques; vous concentrer sur la façon de peser et de considérer les risques pour la sécurité.
10) Intégrer des stratégies et des procédures de sécurité aux versions et à la maintenance.
Établissement d'une base Établissement d'une base renforcée pour les ordinateurs de renforcée pour les ordinateurs de
bureaubureau
Blindage des postes de travailBlindage des postes de travailRègles généralesRègles générales• Déployer des systèmes sécurisés, ne pas essayer de les
sécuriser après coup– Si l’on ne connaît pas les éléments dont on dispose, on ne peut
les protéger
• Simplifier les choses– Faciliter le déploiement (images, scripts)– Faciliter la maintenance (mises à jour automatiques, SMS)– Éliminer les applications et les services non nécessaires
• Établir des procédures de changement pour les versions d'images de PC; faire le suivi de toutes les modifications aux valeurs par défaut et les justifier
• Établir une base, évaluer les performances types et exercer une surveillance comparativement à ces dernières
Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée1. Déterminer les applications de base
– À l'échelle de l'entreprise : que doit contenir chaque poste de travail? Chaque serveur?
– Vérifier l'existence de problèmes de sécurité connus concernant ces applications
2. Déterminer les composants à inclure– Options Ajout/Suppression de programmes
Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée3. Déterminer les fonctions à activer
– Technologies autres que celles qui sont disponibles dans Ajout/Suppression de programmes (comme Windows Update)
4. Déterminer les paramètres de modèle de sécurité à inclure– Utiliser les guides de sécurité comme fondement– Ne pas oublier les paramètres personnalisés en sus
des paramètres initiaux (sceregvl.inf)
Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée5. Déterminer les verrouillages supplémentaires
– S'inspirer des recommandations du groupe de produits, des alertes de sécurité, des experts en sécurité, des méthodes éprouvées
– Établir une stratégie de groupe dépassant les modèles de sécurité (Internet Explorer, Outlook, etc.)
– Services (varient selon le rôle)– Listes de contrôle d'accès (ACL)– Le pare-feu de Windows peut être configuré dans le
cadre de la version (nouveau avec Windows XP SP2)
Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée6. Automatiser et documenter la totalité de la
version– même si le résultat final est formé d’images exactes– les scripts constituent une trace; il n'est pas aussi
facile d'interroger les gens (exemples :)• Fichier de réponse pour le système d'exploitation• Installations automatiques non interactives• Fichier INF de modèle de sécurité• Windows Scripting Host (WSH) et Windows Management
Instrumentation (WMI)• Assistant d'installation personnalisée pour Office• Trousse d'administration pour Internet Explorer
Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée7. Vérifier la connexion en tant qu'utilisateur ordinaire
(postes de travail)– Les défaillances d'application qui se produisent lors
d'une connexion en tant qu'utilisateur ordinaire sont de loin les plus nombreuses.
– Même les développeurs devraient travailler comme utilisateur ordinaire et utiliser un niveau supérieur de privilèges uniquement si c'est nécessaire
– Les incompatibilités doivent être réglées avant le déploiement
8. Restreindre l'accès des comptes d'administrateur et de service
Modèles de sécurité
Adoption d'une ligne directrice Adoption d'une ligne directrice en matière de sécuritéen matière de sécurité• Lignes directrices et guides de sécurité du groupe
Solutions de sécurité de Microsoft– Une norme– Appréciés des vérificateurs– Rigoureux, complets et acceptés– Des variantes de ces modèles de sécurité ont été
utilisées dans des environnements parmi les plus stricts en matière de sécurité.
– Ils ont été élaborés par des personnes dont le gagne-pain est de simuler des attaques sur les réseaux.
– Les modèles de sécurité du groupe Solutions de sécurité de Microsoft pour le gouvernement remplacent les modèles NSA.
Modèles de scénarios disponiblesModèles de scénarios disponibles
• « Mise en œuvre de scénarios communs de gestion des ordinateurs de bureau avec le module de gestion de stratégies de groupe GPMC »– Ordinateur de bureau à gestion allégée– Utilisateur nomade– Ordinateur de bureau multiutilisateur– Ordinateur de bureau hautement géré (AppStation )– Ordinateur à une seule application (TaskStation)– Borne informatique
• Utilisés avec le module GPMC
Une stratégie de groupe Une stratégie de groupe dépassant les modèles de dépassant les modèles de
sécuritésécurité
Stratégie de groupeStratégie de groupeModule GPMCModule GPMC• Les décisions en matière de sécurité ne doivent
pas s'arrêter aux modèles de sécurité – Windows Update– Services Terminal Server sécurisés– Préférences Office
• Avant le module GPMC, seules des options de tiers permettaient d'exporter les paramètres de stratégie de groupe à l'extérieur du fichier INF de modèle de sécurité
• Création de fichiers ADM personnalisés– Élargit les choix de la stratégie de groupe afin
d'inclure les modifications apportées au registre par le client
Stratégie de groupe – Scénarios communs pour ordinateurs de bureau
ServicesServices
Verrouillage des servicesVerrouillage des services
• Vidage des services en cours en fonction d'une base type– Net start > services.txt
• Examen des résultats en fonction des aspects suivants :– Quels sont les services qui ont besoin d'un compte pour
démarrer?• Un compte local suffira-t-il?• Définir de façon restreinte les permissions dont le compte a
besoin• Vérifier ultérieurement l'activité liée à ce compte
– Quels sont les services inutiles?• Commencer par la liste des services à désactiver contenue
dans les guides de sécurité
• Maintenance des paramètres du modèle de sécurité
Listes de contrôle d'accèsListes de contrôle d'accès
Listes de contrôle d'accès (ACL)
• De nombreuses retouches ont été apportées aux listes de contrôle d’accès dans le passé pour renforcer les systèmes– Particulièrement sur Windows NT et 2000– NSA a ouvert la voie– Permissions touchant le registre et les fichiers– Pas aussi nécessaires avec Windows 2003 (s'il ne doit pas prendre
en charge les éléments de confiance existants); le guide de sécurité recommande de ne pas retoucher les listes de contrôle d’accès avec Windows 2003
• Résumé des retouches types :– Remplacement du paramètre « Everyone » (Tous) par
« Authenticated Users » (utilisateurs authentifiés) (risque relatif à Anonymous SID)
– Retrait de toutes les listes de contrôle d’accès des groupes inutilisés ou plus exposés, comme les grands utilisateurs
– Retrait des listes de contrôle d’accès séquentielles ou interactives dans les exécutables particulièrement vulnérables
Restriction de l'accèsdes comptes
d'administrateur et de service
Restriction et contrôle de l'accèsRestriction et contrôle de l'accès• La meilleure protection au monde peut être mise en
échec à cause de piètres procédures de maintenance et de surveillance des comptes d'administrateur et de service.
• La majorité des attaques proviennent de l'intérieur.• La plupart des utilisateurs et même les administrateurs
n'ont PAS besoin des droits complets d'administrateur pour faire leur travail.– Exemple : les développeurs peuvent effectuer la plus grande
partie du développement en tant qu'utilisateur ordinaire, et ils devraient être incités à le faire.
• Utiliser « Exécuter en tant que » pour hausser les privilèges UNIQUEMENT lorsqu'une tâche précise l'exige
Restriction et contrôle de l'accèsRestriction et contrôle de l'accèsdes administrateursdes administrateurs• Former les administrateurs à utiliser des mots de passe de
plus de 15 caractères– Les phrases sont faciles à retenir (les espaces sont permis dans
Windows 2000 et 2003)
• Veiller à ce que tous les administrateurs aient au moins deux comptes– Un compte d'utilisateur ordinaire pour les tâches quotidiennes
(courriel, traitement de textes) – Un compte distinct avec privilèges d'administrateur (surveiller ce
compte de près)
• Penser à utiliser des groupes locaux sur des serveurs individuels pour limiter les personnes pouvant administrer
Restriction et contrôle de l'accèsdes comptes de service• Utiliser des mots de passe de plus de 15 caractères avec
des caractères étendus (Alt + chiffres)• Limiter les dommages si le compte est compromis.
– Envisager d'utiliser un compte local au lieu d'un compte de domaine• Ne fonctionne toutefois pas pour les comptes qui doivent
communiquer avec d'autres serveurs• Les agents SQL, par exemple, ont souvent besoin de la
connectivité à d'autres serveurs.– Restreindre les permissions du compte
• Surveiller ces comptes de près
Applications des postes de travailApplications des postes de travail
Comment choisir des applications sécurisées• Viser le plus petit dénominateur commun : qu'est-ce qui
doit être installé sur chaque poste de travail? Chaque serveur?
• Rechercher les infractions à la sécurité de tous les logiciels à installer (pas seulement du système d’exploitation)
• Obtenir les mises à jour et les corrections nécessaires– Catalogue Windows Update – Alertes de sécurité Microsoft– Sites des fournisseurs pour les applications de tiers– Forums et sites comme http://www.securityfocus.com et
http://Groups.google.com
Choix des composants
• Choisir le moins de composants possible• Régler à Non (ne pas installer) même si c'est la
valeur par défaut (à des fins de reddition de comptes ultérieure)
• Éviter d'installer IIS sur les postes de travail• Éviter les composants souvent sujets à des
attaques, tels que FTP, Simple TCP/IP et SNMP
Problèmes courantsProblèmes courants
Les applications ne fonctionnent Les applications ne fonctionnent paspas• Plus gros problème en ce qui concerne les postes
de travail• Habituellement des applications existantes non
sensibles aux contextes de sécurité– Symptôme : tournent avec un compte d'administrateur,
mais pas avec un compte d'utilisateur ordinaire– Ne comprennent pas les profils– Souvent à cause des permissions d'accès aux fichiers
et/ou au registre plus restreintes dans le nouveau SE– Parfois à cause d'appels figés aux API du système
d'exploitation précédent
Les applications ne fonctionnent Les applications ne fonctionnent pas (suite)pas (suite)
• Windows XP SP2 présente de nouvelles modifications sécurisées par défaut.– Les interfaces RPC ne permettent plus les connexions
à distance anonymes par défaut.– Par défaut, l'activation et le lancement à distance du
modèle DCOM sont limités aux administrateurs.– Le pare-feu Windows est activé par défaut.– L'accès aux services système à l'aide de RPC est
bloqué par défaut.
SolutionSolution aux applications qui ne aux applications qui ne fonctionnent pasfonctionnent pas
• Idéalement, les mettre à niveau ou les redévelopper, mais les coûts peuvent être très élevés
• Utiliser la trousse de compatibilité des applications pour Windows XP– Créer une correction SDB personnalisée– Utiliser les modes de compatibilité pour émuler d'autres systèmes
d'exploitation• Utiliser regmon.exe et filemon.exe de Sysinternal pour
isoler les permissions– Créer un fichier INF personnalisé pour élargir les paramètres
nécessaires• But : déterminer les réglages minimaux nécessaires pour
que l'application fonctionne
Filemon et Regmon
Gestion de la configuration des Gestion de la configuration des modèles de sécuritémodèles de sécurité
• Des modifications continues seront inévitables, particulièrement pour gérer les besoins relatifs aux applications des postes de travail.
• Les paramètres de sécurité doivent évoluer avec l'environnement.– Exemple : disparition des éléments de confiance NT
4.0
• La complexité et le nombre de paramètres constituent un défi.
Solution Solution Gestion de la configuration des modèles de sécuritéGestion de la configuration des modèles de sécurité
• Créer des couches pour les variantes des modèles de sécurité1. Commencer avec un modèle standard du groupe Solutions de
sécurité de Microsoft2. Y superposer la variante client de la norme de sécurité3. Y superposer les listes de contrôle d’accès assouplies propres
aux applications• Faire en sorte que les modifications propres à chaque
application soient claires• Le modèle peut être retiré si l'application est éliminée plus
tard.
• Fusionner le tout ensuite, mais conserver les fichiers originaux à des fins de reddition de comptes
• Les vérificateurs reçoivent les modifications avec des justifications, ce qui accélère la certification.
Défi : les fichiers INF ne capturent Défi : les fichiers INF ne capturent pas tous les paramètres de sécuritépas tous les paramètres de sécurité
• Les fichiers INF des modèles de sécurité ont une portée restreinte.
• Il est nécessaire d'élargir la stratégie de groupe à d'autres aspects tels que :– les paramètres de courriel sécurisés;– les paramètres Internet Explorer;– les paramètres de client Windows Update.
• Il est nécessaire de pouvoir transférer facilement ces paramètres à d'autres systèmes.
SolutionSolution aux fichiers INF qui ne capturent pas tous les aux fichiers INF qui ne capturent pas tous les paramètres de sécuritéparamètres de sécurité
• Élargir les choix à l'aide de fichiers ADM1. Exécuter la stratégie de groupe (gpedit.msc)
2. Faire un clic droit sur les modèles d’administration, choisir Ajout/Suppression de modèles, puis le fichier ADM (p. ex., le fichier ADM Outlook)
• Possibilité d’ajout dans le cadre de la version (localement) OU
• Distribution au moyen d'objets Stratégie de groupe et d'AD
• Possibilité d’ajout de paramètres personnalisés
Restauration des paramètres de Restauration des paramètres de sécuritésécurité
• Nécessité de pouvoir confirmer si un problème signalé est dû aux modèles de sécurité
• Si des retouches ont été apportées aux listes de contrôle d'accès, elles « marquent » le système de manière permanente, même si un objet Stratégie de groupe est utilisé.– Comment restaurer les permissions par défaut
initiales?
• Nécessité de pouvoir le faire sur un système autonome
SolutionSolution Restauration des paramètres de sécuritéRestauration des paramètres de sécurité
• Utiliser les fichiers INF appliqués dans le cadre de la configuration initiale du système d'exploitation :– Defltwk.inf– Defltdc.inf– Delftsv.inf
• Ces derniers peuvent être chargés comme tout autre modèle de sécurité : à l'aide de l'éditeur de configuration de sécurité MMC ou de secedit.exe
Outil d'analyse de la sécurité
Guides de sécurité duGuides de sécurité du groupe Solutions de sécurité de Microsoft• Windows 2000 Hardening Guide, guides de sécurité de
Windows XP et de Windows 2003 disponibles• Menaces et contremesures• Modèles de sécurité• Fichier sceregvl.inf personnalisé• Guides publiés pour tous les principaux systèmes
d'entreprise de Microsoft, comme Exchange 2003
• Meilleure source de bon sens, testée en clientèle, relative au verrouillage de sécurité
Ressources pour une configuration sécurisée : outils• Gestionnaire de configuration• Jeu de modèles de sécurité intégrable• Éditeur de configuration de sécurité intégrable• Secedit.exe • Module GPMC• Assistant de configuration de sécurité• Trousse de compatibilité des applications• Regmon et Filemon de Sysinternals
Questions et réponsesQuestions et réponses
blogs.technet.com/canitproblogs.technet.com/canitpro
© Microsoft Corporation, 2004. Tous droits réservés.Présentation réservée à des fins informatives. Microsoft n’offre aucune garantie, expresse ou implicite, dans ce document.
Votre potentiel. Notre passion.MC