Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des mots de passe 4.Pratiques administratives déficientes 5.Utilisateurs possédant trop de droits d'accès 6.Gestion des programmes de correction 7.Serveurs ou services non protégés 8.Équipements périphériques mal configurés 9.Pratiques déficientes en matière de vérification et de journalisation 10.Mauvais contrôle de l'accès aux données
Environnement de sécurité Équipe interne Hébergé par le service des TI Équipe externe Utilisateur anonyme
Accès anonyme Accès possible pour les utilisateurs sans comptes de serveur Possible sous IIS Impossible sous SharePoint 2007 Authentification Windows Authentification par module enfichable Identité indépendante Code personnalisé Authentification ASP.NET Authentification par module enfichable Identité indépendante Code personnalisé
Accès anonyme ou accès authentifié?
Administrateur Plein contrôle sur les données Plein contrôle sur les journaux Possibilité de restauration à partir des copies de sauvegarde Surchargé Propriétaire du contenu Plein contrôle sur les données Responsable des données Administrateur Plein contrôle sur les journaux Possibilité de restauration à partir des copies de sauvegarde Propriétaire du contenu Plein contrôle sur les données Responsable des données Possibilité de restauration à partir de la corbeille
Aucune restriction d'accès par défaut Administrateurs des collections de sites Blocage des correctifs Administrateurs centraux Corbeille de deuxième niveau Droits d'accès inaliénables S'octroient eux- mêmes des droits d'accès Journal des événements en ligne
Propriétaires Droits d'accès complets Visiteurs Accès en lecture seule Membres Listes et bibliothèques
Propriétaires Membres Visiteurs Niveaux d'autorisation Plein contrôle Conception Contribution Lecture Sélectivité
Création d'un groupe et affectation des utilisateurs Définition d'un niveau d'autorisation Ajout d'utilisateurs à une liste ou une bibliothèque Ajout d'un groupe à un dossier
– L'auteur fixe les droits d'accès au fichier. – SharePoint chiffre le fichier à l'aide d'une clé symétrique. – Le serveur RMS chiffre le fichier à l'aide d’une clé publique et l'associe à sa licence de publication. – L'auteur diffuse le fichier. – Le destinataire ouvre un fichier protégé. – Le serveur RMS vérifie les droits d'accès et émet une licence afin de permettre le décryptage du fichier. – Le fichier est ouvert. – Le destinataire ne peut effectuer que les tâches que ses droits d'accès lui permettent d'exécuter. Auteur Destinataire Windows Server 2003 avec RMS (Rights Management Services) Serveur de base de données Serveur Active Directory
L’utilisateur télécharge le document Les droits d’accès sont vérifiés dans la bibliothèque en fonction du rôle La licence permettant le décryptage est émise Les droits d’accès sont accordés
Mécanismes de sécurité de SQL Server 2005 ServeurWindows DomaineStratégies SQL Server Connexions Ouvertures de session Base de données SchémaCatalogue Surveillance Éléments déclencheurs Notification
Schéma Objet Droits d'accès
Serveur Schéma Objet Base de données REDÉFINITION DES SERVEURS LIÉS CRÉATION D'UNE TABLE REDÉFINITION SÉLECTION
Sécurité par défaut Configuration de la surface d'exposition ChiffrementPoints d'extrémité HTTP
Windows Server 2003 Services et fonctions désactivés par défaut Connexions locales seulement Activation des services et fonctions par les responsables de la sécurité des accès La mise à niveau permet de conserver les paramètres Autres services ou fonctions désactivés Activation des services et fonctions par les responsables de la sécurité des accès SQL Server 2005 Windows Server 2003 SQL Server 2000
Configuration de la surface d'exposition Protection des connexions
« Un point d’extrémité est un point d’entrée dans SQL Server » Mémoire partagée Canaux nommés TCP Carte d’interface virtuelle HTTP (Windows 2003 seulement) Transport HTTP non créé par défaut Les points d’extrémité HTTP reconnaissent quatre types d’authentification pour les méthodes Web Accès anonymes non autorisés Possibilité de sécurisation des communications à l’aide de SSL
Clé partagée unique Très rapide Ne convient pas pour la signature des modules Clé symétrique Clé asymétrique Certificat Clés individuelles Plus lent que par clé symétrique Permet la signature des modules Comprend une autorité de certification Valide les clés de chiffrement Permet la signature des modules
Le chiffrement des données
Ce qui a activé l’élément déclencheur Type, identifiant SPID, utilisateur, heure, code Envoie en retour des données XML Éléments déclencheurs sur ouverture de session ou DDL Fonction Eventdata Les premiers s'activent à l'ouverture de sessions Les éléments DDL s'activent en cas d'altération Niveau du serveur ou de la base de données Journalisation et vérification
Comment exercer une surveillance adéquate à l'aide d'éléments déclencheurs et d'alertes
Redéfinir qui est propriétaire du contenu et quels sont les droits d’accèsComprendre les changements apportés au niveau de l’accès aux données par SharePointFaire l’inventaire des applications qui utilisent une base de donnéesProtéger les connexions avec les serveursLes machines virtuelles réclament la même attention
Certification SQL Server Rabais de 50 % Jusqu'au 31 décembre 2007 Offre de certification Deuxième essai GRATUIT Valide jusqu'au 31 janvier 2008
Quotidien Bimensuel Mensuel 2. Le bulletin TechNet Flash microsoft.ca/technet/tnflash/default.aspx 3. Le bulletin TechNet sur la sécurité microsoft.ca/technet/securitynewsletter 1. Les blogues des professionnels en TI