Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.

Slides:



Advertisements
Présentations similaires
Module 3 : Création d'un domaine Windows 2000
Advertisements

AFPA CRETEIL 5-1 Windows NT Administration des utilisateurs Chapitre 5.
Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Généralités sur les réseaux Généralités sur les réseaux informatiques.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
Séminaire Novembre Outils de diagnostic réseau (O.D.R)
Mon stage à SAVIE Guillaume DOTT Développement d'un logiciel de vidéoconférence Enjeux 3.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Scribe Serveur pédagogique Séminaire octobre 2009.
Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.
Module 10 : Configuration de l'impression. Vue d'ensemble Présentation de l'impression à l'aide de Windows 2000 Ajout d'une imprimante Configuration d'une.
République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.
Windows NT/2000/XP Enjeux et contraintes techniques
Module S41 Chapitre 11  Configuration de Windows XP Professionnel pour l'informatique mobile.
Déploiement du service Pack Business Entreprises
Chapitre10 Prise en charge des utilisateurs distants
Mise en place d’un système de partage de fichiers
Qu’est-ce un serveur de messagerie?
ATS8500 Standalone Downloader.
Le réseau pédagogique de l’établissement
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Projet Euratechnologies
Présentation Scribe NG Serveur pédagogique.
Folders Access Manager Capacte
Wifi sécurisé et Windows
Sécurisation de l’accès Internet
Journée du 19/01/2001 Département Support Agence de Modernisation des
Séminaire EOLE Dijon Octobre 2010
Installation et Configuration Internet Information Server (IIS 5)
Mise en place d’un serveur DHCP
Centralisation de logs
Batterie TSE.
Chapitre 12 Surveillance des ressources et des performances
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
fonctionnalités iiS iis
Outils Statistiques pour la Sémantique Décembre 2013
Comment fonctionne RADIUS?
Gestion des sécurités sur les comptes User Access Control
Les Pare-Feu.
Présentation OCS-Inventory au LAPP
File Transfer Protocol Secure
Séminaire EOLE Beaune Septembre 2007
Chapitre 7 Configuration de l'environnement du bureau
Août 2009.
Windows Server 2012 Objectifs
Module 1 : Introduction à l'infrastructure Active Directory.
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Bureau distant sur Windows Vista /2008 Server
Prélude CS Mode client-serveur
SERVEUR MICROSOFT. Un serveur pour quoi faire ? Serveur de Fichiers Serveur d’impression Contrôleur de domaine Serveur web Serveur de base de données.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
La gestion des habilitations par le partenaire
Exposé de système / réseaux IR3
Prélude CS Mode client-serveur
Gestion des sécurités sur les comptes User Access Control
KoXo Développement Outils de gestion de réseaux
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
Business Intelligence en ACube OLAP et Reporting avec ACubeOLAP et GRaM.
FORMATION DANE NC RNE Le 05/09/2018
Transcription de la présentation:

Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Sécurité Windows NT ● La sécurité Windows est basée sur : – la notion d'ACL (« Access Control List »), – la notion de droits des utilisateurs, – la sécurité réseau, – la sécurité applicative. ● Sa gestion n'est pas centralisée ● Elle est complexe et désactivée par défaut ● Limitée sur les versions « familiales »

Notion d'Access Control List ● Les groupes et les utilisateurs sont identifiés par des « Security Identifier » (SID) ● Les objets systèmes ont un « Security Descriptor » ● Le Security Descriptor contient : – le SID de l'utilisateur propriétaire et le SID du groupe, – des « Access Control List » (ACL), constituées d'« Access Control Entry ».

Notion d'Access Control List ● L'utilisateur reçoit un « Access Token » à la connexion ● Cet Access Token contient ses SIDs ● Les droits sont déterminés par contrôle des SIDs de l'Access Token par rapport aux ACLs ● En l'absence de Security Descripteur explicite, les droits sont dérivés de l'Access Token

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Définition des utilisateurs et des groupes ● Création d'un utilisateur : – « Panneau de configuration », – « Utilisateurs et mots de passe ». ● Gestion des groupes : – « Panneau de configuration », – « Outils d'administration », – « Gestion de l'ordinateur ».

Groupes d'utilisateurs

Exemple : Droits sur les fichiers

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Droits systèmes ● Les droits globaux sur les fonctions du système sont définis séparément ● Ils sont attribués aux utilisateurs directement ● Les droits requis sont rarement indiqués dans la documentation de l'API ● Modifiables dans : – « Outils d'administration », – « Stratégie de sécurité locale », – « Attribution des droits utilisateur ».

Droits systèmes

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Sécurité réseau ● Un pare-feu simplifié est fourni en standard ● Améliorations du service Pack 2 de XP – pare-feu plus complet, – limites sur les droits DCOM, – corrections de nombreuses failles. ● Les droits DCOM peuvent être fixés : – dans DCOMCnfg, – globalement, au niveau des serveurs ou au niveau des classes.

Mise en place d'un pare-feu ● Panneau de configuration ● Connexion réseau et accès à distance ● Propriétés du protocole Internet

Mise en place d'un pare-feu ● Paramètre avancés de TCP/IP ● Onglet « Options » ● Filtrage TCP/IP

Pare-feu XP ● Pare-feu XP SP1 amélioré ● Permet de filtrer les applications ● Plus souple, donc utilisable, donc plus fiable

Pare-feu XP

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Comptes d'exécution ● Un serveur COM peut être lancé : – dans un compte fixe, – dans le compte interactif, – dans le compte de l'utilisateur exécutant. ● Un même serveur peut être lancé plusieurs fois ● Les interface graphiques non interactives sont lancées dans des WindowStation cachées

Configuration des droits ● Les droits peuvent être : – définis globalement ou non, – pour l'exécution ou pour l'accès au serveur, – limités globalement sur le système (XP SP2). ● Configuration du pare-feu : – les protocoles TCP/IP et UDP/IP sont utilisables, – les communications sont multiplexées, – port 139 côté serveur, – port assigné dynamiquement côté client.

DCOMCNFG

Utilisateurs COM/DCOM ● Les utilisateurs particuliers sont : – le « système » (obligatoire), – l'utilisateur « interactif » (requiert une session ouverte), – l'utilisateur « anonyme » (utilisateur des systèmes distants authentifiés), – « tout le monde ». ● En dehors d'un domaine : – comptes avec mots de passe identiques et non vides, – les utilisateurs systèmes sont invités ou anonymes selon la stratégie de sécurité locale utilisée.

Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

Les risques ● Typologie du risque : – il est maximum (cible de choix, économiquement intéressant), – jusqu'à présent, la gravité était limitée, – elle va empirer. ● Les problèmes : – configuration non centralisée, – par défaut, la sécurité est faible (sauf 2003/XP SP2), – il y a un grand nombre de trous de sécurité, – les utilisateurs ne sont pas avertis.

Protection minimum ● Activer la sécurité sur les systèmes ● Mettre à jour les systèmes (SP2, patches) ● Filtrer les mails par antivirus ● Bloquer les ports par des pare-feu ● Sensibiliser les utilisateurs ● Séparer physiquement les réseaux sensibles ● Suivre l'actualité

Conclusion ● Le risque est majeur ● La gravité l'est également ● La sécurité ne doit pas être laissée au hasard ● Prise en compte dès la conception / avant-vente ● Elle est difficilement maîtrisable sur un réseau Windows ● Elle peut toutefois être contraignante ● Possibilité d'agir au niveau structure du SI