La sécurité du poste de travail 3/26/2017 3:56 PM La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rappel de la complexité de la tâche Du périmètre réseau … Au poste utilisateur

Un environnement connecté 3/26/2017 3:56 PM Un environnement connecté Client distant Siège Serveurs Partenaire Agence © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Base sur un environnement physique Contrôle d’accès badges Caméras Dispositifs de suivi (RFID / Wifi Tracker) Protection en cas de vol de matériel Limiter la durée de réattribution des ressources Se prévenir contre le vol d information Plan de redémarrage

Un périmètre a contrôler Pare-feu avec filtrage applicatif (ISA Server 2004) Mise en quarantaine des clients VPN (Windows Server 2003 ou ISA Server 2004) En connexions filaire (NAP) Publication de serveurs (reverse proxy), DMZ

Un réseau a segmenter et surveiller Segmentation (802.1x, VLAN) IPSec Isolation de machines Isolation de domaines Filtre actif sur Routeurs IDS

Un parc de machines a gérer Durcissement de chaque poste Déploiement par GPO Gestion des mises à jour de sécurité (WSUS) Déploiement des correctifs pilotage Authentification forte PKI + Carte a Puce

… Sur lesquels tournent des applications Revue de code Signature des applications Réduction de la surface d’attaque Education … … SDL (Security Development Lifecycle)

Utilisant des données ACL Chiffrement (EFS / S/MIME) Gestion de droits numériques en entreprise (DRM)

Le tout s’organisant autour d une politique de sécurité Définition des grandes lignes de protection Éducation / formation des utilisateurs Principe du moindre privilège Principe du besoin de savoir

Bases du durcissement de Windows XP

Sécurité de base Windows XP Le minimum : Pare-feu personnel Application des mises à jour de sécurité Antivirus à jour Windows XP SP2 (Renforce la sécurité de composants comme IE) Logiciel de protection contre les SpyWare (Windows Defender) Anti Phishing (Navigateur ou protection au niveau proxy)

Guide de sécurité Windows XP 3/26/2017 3:56 PM Guide de sécurité Windows XP http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Menaces et contre-mesures 3/26/2017 3:56 PM Menaces et contre-mesures http://www.microsoft.com/downloads/details.aspx?FamilyId=1B6ACF93-147A-4481-9346-F93A4081EEA8&displaylang=en © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Durcissement XP Positionner/déployer les options de sécurité qui correspondent au type de poste. Principe du moindre privilège. Réduction de la surface d’attaque ( USB Key ) Pas de mise en veille prolongée (hibernation) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Control des comportement de Logon Interactive Logon: Do not display last user name Interactive Logon: Number of previous logons to cache (in case domain controller is not available) Interactive Logon: Require Domain Controller authentication to unlock workstation Interactive Logon: Smart card removal behavior

Control des options de sécurité Réseau Network access: Do not allow anonymous enumeration of SAM accounts and shares Network access: Do not allow storage of credentials or .NET Passports for network authentication Network security: Do not store LAN Manager hash value on next password change Network security: LAN Manager authentication level (Send NTLMv2 response only\refuse LM and NTLM) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients / servers : (Require message integrity - Require message confidentiality - Require NTLMv2 session security - Require 128-bit encryption)

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing Détermine si on restreint la couche Transport socket sécurise (TL/SS) au support unique de la suite crypto TLS_RSA_WITH_3DES_EDE_CBC_SHA.

Paramètres de gestion des mots de passe (Au niveau domaine) Stratégies par défaut Postes standards Environnent Critique Enforce password history 24 passwords Maximum password age 42 Jours 90 Jours Minimum password age 1 Jour Minimum password length 7 caractères 8 caractères 12 Caractères Password must meet complexity requirements Activé Store password using reversible encryption for all users in the domain Désactivé

Enforce password history Ce paramètre fixe le nombre de nouveau mots de passe unique qu un utilisateur doit fournir avant de pouvoir reprendre un ancien mot de passe. La valeur de ce paramètre est a fournir entre 0 et 24. La valeur par défaut sous XP est 0 mais elle est de 24 si la machine fait partie d un domaine. Pour être efficace ce paramètre est a combiner avec « Minimum password age ».

Minimum password age Ce paramètre fixe le nombre minimum de jours d utilisation d un mot de passe avant qu’il puisse être change. La valeur de ce paramètre est a fournir entre 1 and 998 jours. 0 signifie p qu’un changement immédiat est autorise. La valeur de “Minimum password age” doit être inferieure a celle de “Maximum password age”

Maximum password age Ce paramètre fixe combien de jours un utilisateur peu utiliser un mot de passe avant qu’il n’expire. La valeur de ce paramètre est a fournir entre 1 to 999 jours. 0 signifie que le mot de passe n’expire jamais. Un changement fréquent vous garantie une fenêtre d exposition réduite aux attaques de mots de passe mais peut augmenter vos incidents “Help Desk”.

Minimum password length Ce paramètre control le nombre minimum de caractères que doit comporter un mot de passe. L utilisation de “Pass Phrase” est a préférer lors du choix d un mot de passe. Il permet de se rappeler de long mots de passes et donc d augmenter leur force. Si vos utilisateurs n’utilisent pas cette technique et que vous fixez une longueur de mot de passe trop importantes vous aller augmenter vos incidents “help desk” ou pire avoir des mots de passe écrits sur des penses bêtes.

Password must meet complexity requirements Ce paramètre détermine si vous imposez un certain niveau de complexité pour les mots de passe : Ne doit pas contenir des éléments du nom de compte Doit être long d’au moins 6 caractères Doit contenir des caractères de 3 des 4 catégories ci-dessous Majuscule (A – Z) Minuscule (a – z) Chiffre (0 – 9) Caractères non alphabétiques (!, #, $, … ) Par default ce paramètre est désactivé sur XP mais activé si la machine fait partie d un domaine 2003.

Force des mots de passes Ce paramètre permet d augmenter la force de vos mots de passe exponentiellement. Par exemple un mot de passe de 7 caractères minuscules va générer 267 (8 milliards) combinaisons possibles. A 1,000,000 tentatives par secondes cela prendra 133 Minutes pour le trouver. L ajout des majuscules pour la même longueur donnera 527 combinaisons alors que l’ajout d un caractère en restant en minuscule ne vous donne que 268 combinaisons.

Store password using reversible encryption for all users in the domain Ce paramètre détermine si un chiffrement réversible est appliquée aux mots de passe dans l “Active Directory”. Cette option est présente pour supporter certain Protocoles applicatifs (Authentification en mode “Digest” par exemple). Il revient peu de chose près a stocker les mots de passe en clair et n est pas conseiller pour des raisons évidentes de sécurité. La valeur par défaut pour ce paramètre est Désactivé.

Paramètres de verrouillage Parametres Stratégies par défaut Postes standards Environnent Critique Account lockout duration non défini 15 minutes Account lockout threshold 0 tentative infructueuse 50 tentatives infructueuses 10 tentatives infructueuses Reset account lockout counter after

Account lockout duration Ce paramètre fixe le temps qu’un utilisateur doit attendre avant que son compte soit débloqué. Si la valeur est 0, le compte restera bloque jusqu’a ce qu un administrateur le débloque. Les utilisateur devraient être mis au courant du choix effectue pour la valeur de ce paramètre afin qu’ils optent pour une action adéquate concernant la correction du problème. S’ils ont besoin de récupérer l accès a leur comptes avant la fin de la période fixée il peuvent appeler un Administrateur ou la procédure “Help Desk” prévue a cet effet.

Account lockout threshold Ce parametre fixe le nombre de tentative infructueuse de logon qu un utilisateur peu faire avant que son compte soit bloque. Si la valeur est 0, aucune verification n est effectuees sur les tentatives. Il est recommande de positioner ce parametre a une valeur tel qu’il ne va pas verouiller trop rapidement le compte d utilisateur lors d une frappe erronee de mot de passe. Notez aussi que plus le mot de passe est complexe plus les chance de faire des fautes de frappe grandissent. Parce que ce parametre peut etre source d attaque de type « deni de service » il est recomander de n’activer cette verification que pour repondre a une menace precise dans votre envirronment.

Reset account lockout counter after Ce paramètre permet de fixer la période de temps au bout de laquelle le compteur “Account lockout threshold” est remis a zéro. Si défini ce paramètre doit être inferieur ou égal a la valeur de “Account lockout duration”. Ce paramètre va vous permettre de réduire votre exposition a des attaque de type “déni de service” si vous avez positionne le paramètre “Account lockout threshold” a une valeur non nulle.

Template administrative Pour contrôler et durcir Internet Explorer Netmeeting Messenger Media Player certain composants du system

… Par exemple IE: Disable Automatic Install of Internet Explorer components IE: Do not allow users to enable or disable add-ons IE: Allow software to run or install even if the signature is invalid TS: Set client connection encryption level OS: Turn off Autoplay OS: Restrictions for Unauthenticated RPC clients OS: Prompt for password on resume from hibernate / suspend

Setting additionnelles … Par modification de Sceregvl.inf et réenregistrement de Scecli.dll vous aller Controller de nouvelles options localement ou a déployer sur des cibles

3/26/2017 3:56 PM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

… Mais aussi le Pare-feu Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/default.mspx Appendix B: Netsh Command Syntax for the Netsh Firewall Context (Deploying Windows Firewall Settings Without Group Policy) Réglage des paramètres de Windows Firewall dans le Service Pack 2 Windows XP http://support.microsoft.com/default.aspx?kbid=875357

Clés USB (PodPhreaking) HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control \StorageDevicePolicies\WriteProtect DWORD= 0 – Disabled 1 – Enabled Transforme les clés USB en lecture seule (attention, marche uniquement avec les clés USB qui utilisent le driver USB Microsoft) D’autres solutions existent (3ces parties)

Désactivation CD, disquette, USB Par désactivation de leurs pilotes (KB555324) HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers http://support.microsoft.com/default.aspx?scid=kb;en-us;555324&sd=rss&spid=3198

Réduction de la surface d attaque Contrôler service par service ce que vous voulez démarrer sur le poste par GPO. Computer Configuration\Windows Settings\Security Settings\System Services N utilisez pas vos postes avec des droits administrateurs

3/26/2017 3:56 PM Juste un rappel de ce qu’un compte Administrateur peut faire s’il est compromis : Installer des rootkits en mode noyau Installer des keyloggers au niveau système (pour capture les mots de passe, y compris ceux saisis à l’ouverture de session) Installer des contrôles ActiveX, y compris des extensions de l’explorateur ou d’IE (activité courante pour les spywares) Installer et démarrer des services Arrêter des services existants (comme le pare-feu par exemple) Accéder à des données qui appartiennent à d’autres utilisateurs Faire en sorte que du code s’exécute lorsqu’un autre utilisateur ouvrira une session Remplacer des fichiers d’applications ou du système d’exploitation par des chevaux de Troie Accéder aux secrets LSA (dont les mots de passe des comptes de service du domaine servant) Désactiver ou désinstaller l’anti-virus Créer ou modifier des comptes utilisateurs Réinitialiser des mots de passe Modifier le fichier hosts et d’autres paramètres de configuration du système Éliminer ses traces dans le journal des événements Rendre votre machine incapable de démarrer … © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection de documents 3/26/2017 3:56 PM Confidentialité et préservation des informations personnelles : Chiffrement de document, Contrôle d’accès au contenu (niveau objets), Suppression des métadonnées du document. (http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360) Signatures numériques de documents et de macros : Protection contre la modification du contenu d’un document ou d’une macro (intégrité), Authentification du créateur du document, de la macro ou de l’expéditeur d’un message électronique. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Messagerie sécurisée S/MIME IRM (RMS) RPC over HTTPS Implique un déploiement de PKI (génération et distribution des clés). Assure le chiffrement et la signature des échanges. IRM (RMS) Adresse les problématiques de droit d usage de l information. « Ne pas transférer » RPC over HTTPS Disponibilité étendue de la messagerie sans avoir a déployer des solutions de type VPN.

Protection des données 3/26/2017 3:56 PM Protection des données Permissions Audit EFS (Encrypting File System) Force liée à celle du mot de passe de session de l’utilisateur Gestion de droits numériques IRM/RMS (présentation séparée) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Et finalement ne pas négliger le durcissement de l’authentification Associer un moyen que l on connaît a un moyen que l on possède pour prouver son identité. Carte à puce Doit faire partie des éléments nécessaires à la vie d entreprise (Ouverture des portes, Moyen de paiement) Authentification bi facteur (SecureID Token)

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:56 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.