La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France."— Transcription de la présentation:

1 La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France

2 Rappel de la complexité de la tâche Du périmètre réseau … Au poste utilisateur

3 Serveurs Siège Partenaire Agence Client distant Un environnement connecté

4 Base sur un environnement physique Contrôle daccès badgesCaméras Dispositifs de suivi (RFID / Wifi Tracker) Protection en cas de vol de matériel Limiter la durée de réattribution des ressources Se prévenir contre le vol d information Plan de redémarrage

5 Un périmètre a contrôler Pare-feu avec filtrage applicatif (ISA Server 2004) Mise en quarantaine des clients VPN (Windows Server 2003 ou ISA Server 2004) En connexions filaire (NAP) Publication de serveurs (reverse proxy), DMZ

6 Un réseau a segmenter et surveiller Segmentation (802.1x, VLAN) IPSec Isolation de machines Isolation de domaines Filtre actif sur Routeurs IDS

7 Un parc de machines a gérer Durcissement de chaque poste Déploiement par GPO Gestion des mises à jour de sécurité (WSUS) Déploiement des correctifs pilotage Authentification forte PKI + Carte a Puce

8 … Sur lesquels tournent des applications Revue de code Signature des applications Réduction de la surface dattaque Education … … SDL (Security Development Lifecycle)

9 Utilisant des données ACL Chiffrement (EFS / S/MIME) Gestion de droits numériques en entreprise (DRM)

10 Le tout sorganisant autour d une politique de sécurité Définition des grandes lignes de protection Éducation / formation des utilisateurs Principe du moindre privilège Principe du besoin de savoir

11 Bases du durcissement de Windows XP

12 Sécurité de base Windows XP Le minimum : Pare-feu personnel Application des mises à jour de sécurité Antivirus à jour Windows XP SP2 (Renforce la sécurité de composants comme IE) Logiciel de protection contre les SpyWare (Windows Defender) Anti Phishing (Navigateur ou protection au niveau proxy)

13 Guide de sécurité Windows XP D3E25BC-F434-4CC6-A5A7- 09A8A229F118&displaylang=en

14 Menaces et contre-mesures B6ACF93-147A F93A4081EEA8&displaylang=en

15 Durcissement XP Positionner/déployer les options de sécurité qui correspondent au type de poste. Principe du moindre privilège. Réduction de la surface dattaque ( USB Key ) Pas de mise en veille prolongée (hibernation)

16 Control des comportement de Logon Interactive Logon: Do not display last user name Interactive Logon: Number of previous logons to cache (in case domain controller is not available) Interactive Logon: Require Domain Controller authentication to unlock workstation Interactive Logon: Smart card removal behavior

17 Control des options de sécurité Réseau Network access: Do not allow anonymous enumeration of SAM accounts and shares Network access: Do not allow storage of credentials or.NET Passports for network authentication Network security: Do not store LAN Manager hash value on next password change Network security: LAN Manager authentication level ( Send NTLMv2 response only\refuse LM and NTLM ) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients / servers : ( Require message integrity - Require message confidentiality - Require NTLMv2 session security - Require 128-bit encryption )

18 System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing Détermine si on restreint la couche Transport socket sécurise (TL/SS) au support unique de la suite crypto TLS_RSA_WITH_3DES_EDE_CBC_SHA.

19 Paramètres de gestion des mots de passe (Au niveau domaine) ParamètresStratégies par défautPostes standardsEnvironnent Critique Enforce password history 24 passwords Maximum password age 42 Jours90 Jours Minimum password age 1 Jour Minimum password length 7 caractères8 caractères12 Caractères Password must meet complexity requirements Activé Store password using reversible encryption for all users in the domain Désactivé

20 Enforce password history Ce paramètre fixe le nombre de nouveau mots de passe unique qu un utilisateur doit fournir avant de pouvoir reprendre un ancien mot de passe. La valeur de ce paramètre est a fournir entre 0 et 24. La valeur par défaut sous XP est 0 mais elle est de 24 si la machine fait partie d un domaine. Pour être efficace ce paramètre est a combiner avec « Minimum password age ».

21 Minimum password age Ce paramètre fixe le nombre minimum de jours d utilisation d un mot de passe avant quil puisse être change. La valeur de ce paramètre est a fournir entre 1 and 998 jours. 0 signifie p quun changement immédiat est autorise. La valeur de Minimum password age doit être inferieure a celle de Maximum password age

22 Maximum password age Ce paramètre fixe combien de jours un utilisateur peu utiliser un mot de passe avant quil nexpire. La valeur de ce paramètre est a fournir entre 1 to 999 jours. 0 signifie que le mot de passe nexpire jamais. Un changement fréquent vous garantie une fenêtre d exposition réduite aux attaques de mots de passe mais peut augmenter vos incidents Help Desk.

23 Minimum password length Ce paramètre control le nombre minimum de caractères que doit comporter un mot de passe. L utilisation de Pass Phrase est a préférer lors du choix d un mot de passe. Il permet de se rappeler de long mots de passes et donc d augmenter leur force. Si vos utilisateurs nutilisent pas cette technique et que vous fixez une longueur de mot de passe trop importantes vous aller augmenter vos incidents help desk ou pire avoir des mots de passe écrits sur des penses bêtes.

24 Password must meet complexity requirements Ce paramètre détermine si vous imposez un certain niveau de complexité pour les mots de passe : Ne doit pas contenir des éléments du nom de compte Doit être long dau moins 6 caractères Doit contenir des caractères de 3 des 4 catégories ci- dessous Majuscule (A – Z) Minuscule (a – z) Chiffre (0 – 9) Caractères non alphabétiques (!, #, $, … ) Par default ce paramètre est désactivé sur XP mais activé si la machine fait partie d un domaine 2003.

25 Force des mots de passes Ce paramètre permet d augmenter la force de vos mots de passe exponentiellement. Par exemple un mot de passe de 7 caractères minuscules va générer 26 7 (8 milliards) combinaisons possibles. A 1,000,000 tentatives par secondes cela prendra 133 Minutes pour le trouver. L ajout des majuscules pour la même longueur donnera 52 7 combinaisons alors que lajout d un caractère en restant en minuscule ne vous donne que 26 8 combinaisons.

26 Store password using reversible encryption for all users in the domain Ce paramètre détermine si un chiffrement réversible est appliquée aux mots de passe dans l Active Directory. Cette option est présente pour supporter certain Protocoles applicatifs (Authentification en mode Digest par exemple). Il revient peu de chose près a stocker les mots de passe en clair et n est pas conseiller pour des raisons évidentes de sécurité. La valeur par défaut pour ce paramètre est Désactivé.

27 Paramètres de verrouillage ParametresStratégies par défautPostes standardsEnvironnent Critique Account lockout durationnon défini15 minutes Account lockout threshold0 tentative infructueuse50 tentatives infructueuses 10 tentatives infructueuses Reset account lockout counter after non défini15 minutes

28 Account lockout duration Ce paramètre fixe le temps quun utilisateur doit attendre avant que son compte soit débloqué. Si la valeur est 0, le compte restera bloque jusqua ce qu un administrateur le débloque. Les utilisateur devraient être mis au courant du choix effectue pour la valeur de ce paramètre afin quils optent pour une action adéquate concernant la correction du problème. Sils ont besoin de récupérer l accès a leur comptes avant la fin de la période fixée il peuvent appeler un Administrateur ou la procédure Help Desk prévue a cet effet.

29 Account lockout threshold Ce parametre fixe le nombre de tentative infructueuse de logon qu un utilisateur peu faire avant que son compte soit bloque. Si la valeur est 0, aucune verification n est effectuees sur les tentatives. Il est recommande de positioner ce parametre a une valeur tel quil ne va pas verouiller trop rapidement le compte d utilisateur lors d une frappe erronee de mot de passe. Notez aussi que plus le mot de passe est complexe plus les chance de faire des fautes de frappe grandissent. Parce que ce parametre peut etre source d attaque de type « deni de service » il est recomander de nactiver cette verification que pour repondre a une menace precise dans votre envirronment.

30 Reset account lockout counter after Ce paramètre permet de fixer la période de temps au bout de laquelle le compteurAccount lockout threshold est remis a zéro. Si défini ce paramètre doit être inferieur ou égal a la valeur de Account lockout duration. Ce paramètre va vous permettre de réduire votre exposition a des attaque de type déni de service si vous avez positionne le paramètre Account lockout threshold a une valeur non nulle.

31 Template administrative Pour contrôler et durcir Internet Explorer NetmeetingMessenger Media Player certain composants du system

32 … Par exemple IE: Disable Automatic Install of Internet Explorer components IE: Do not allow users to enable or disable add-ons IE: Allow software to run or install even if the signature is invalid TS: Set client connection encryption level OS: Turn off Autoplay OS: Restrictions for Unauthenticated RPC clients OS: Prompt for password on resume from hibernate / suspend

33 Setting additionnelles … Par modification de Sceregvl.inf et réenregistrement de Scecli.dll vous aller Controller de nouvelles options localement ou a déployer sur des cibles

34

35 … Mais aussi le Pare-feu Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 wset/default.mspx wset/default.mspx wset/default.mspx Appendix B: Netsh Command Syntax for the Netsh Firewall Context (Deploying Windows Firewall Settings Without Group Policy) Réglage des paramètres de Windows Firewall dans le Service Pack 2 Windows XP

36 Clés USB (PodPhreaking) HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control \StorageDevicePolicies\WriteProtect DWORD= 0 – Disabled 1 – Enabled Transforme les clés USB en lecture seule (attention, marche uniquement avec les clés USB qui utilisent le driver USB Microsoft) Dautres solutions existent (3ces parties)

37 Désactivation CD, disquette, USB Par désactivation de leurs pilotes (KB555324) HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers =kb;en-us;555324&sd=rss&spid=3198 =kb;en-us;555324&sd=rss&spid=3198 =kb;en-us;555324&sd=rss&spid=3198

38 Réduction de la surface d attaque Contrôler service par service ce que vous voulez démarrer sur le poste par GPO. Computer Configuration\Windows Settings\Security Settings\System Services N utilisez pas vos postes avec des droits administrateurs

39 Juste un rappel de ce quun compte Administrateur peut faire sil est compromis : Installer des rootkits en mode noyau Installer des keyloggers au niveau système (pour capture les mots de passe, y compris ceux saisis à louverture de session) Installer des contrôles ActiveX, y compris des extensions de lexplorateur ou dIE (activité courante pour les spywares) Installer et démarrer des services Arrêter des services existants (comme le pare-feu par exemple) Accéder à des données qui appartiennent à dautres utilisateurs Faire en sorte que du code sexécute lorsquun autre utilisateur ouvrira une session Remplacer des fichiers dapplications ou du système dexploitation par des chevaux de Troie Accéder aux secrets LSA (dont les mots de passe des comptes de service du domaine servant) Désactiver ou désinstaller lanti- virus Créer ou modifier des comptes utilisateurs Réinitialiser des mots de passe Modifier le fichier hosts et dautres paramètres de configuration du système Éliminer ses traces dans le journal des événements Rendre votre machine incapable de démarrer …

40 Protection de documents Confidentialité et préservation des informations personnelles : Chiffrement de document, Contrôle daccès au contenu (niveau objets), Suppression des métadonnées du document. ( milyID=144E54ED-D43E-42CA-BC7B-5446D34E5360 ) Signatures numériques de documents et de macros : Protection contre la modification du contenu dun document ou dune macro (intégrité), Authentification du créateur du document, de la macro ou de lexpéditeur dun message électronique.

41 Messagerie sécurisée S/MIME Implique un déploiement de PKI (génération et distribution des clés). Assure le chiffrement et la signature des échanges. IRM (RMS) Adresse les problématiques de droit d usage de l information. « Ne pas transférer » RPC over HTTPS Disponibilité étendue de la messagerie sans avoir a déployer des solutions de type VPN.

42 Protection des données PermissionsAudit EFS (Encrypting File System) Force liée à celle du mot de passe de session de lutilisateur Gestion de droits numériques IRM/RMS (présentation séparée)

43 Et finalement ne pas négliger le durcissement de lauthentification Associer un moyen que l on connaît a un moyen que l on possède pour prouver son identité. Carte à puce Doit faire partie des éléments nécessaires à la vie d entreprise (Ouverture des portes, Moyen de paiement) Authentification bi facteur (SecureID Token)

44 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France."

Présentations similaires


Annonces Google