Tournée TechNet 2006 sur la conception « Tournée sur l'infrastructure sécurisée bien gérée »
Gestion des ordinateurs de bureau Bruce Cowper Rick Claus Conseillers professionnel en TI du Canada Microsoft Canada
Objectifs de la séance Introduction au blindage des ordinateurs de bureau Présentation de scénarios communs de verrouillage des ordinateurs de bureau Aperçu de certains des outils disponibles pour vous aider à prendre le contrôle Examen de scénarios communs de gestion efficace des ordinateurs de bureau
Les dix lois immuables de la sécurité 1)Nous croyons tous que rien de mauvais ne peut nous arriver jusqu'à ce que cela se produise. 2)La sécurité ne fonctionne que si la façon sûre est aussi la plus simple. 3)Si vous n'appliquez pas les corrections de sécurité offertes, votre réseau ne vous appartiendra pas longtemps. 4)Il n'est pas très utile d'appliquer les corrections de sécurité sur un ordinateur qui n'a jamais été sécurisé au préalable. 5)La vigilance constante est le prix de la sécurité. 6)Il y a vraiment quelqu'un quelque part qui essaie de deviner vos mots de passe. 7)Le réseau le plus sûr est un réseau bien géré. 8)La difficulté à défendre un réseau est directement proportionnelle à sa complexité. 9)La sécurité ne consiste pas à éviter les risques, mais à les gérer. 10) La technologie n'est pas une panacée.
Que pouvez-vous faire? 1)Vous concentrer sur les questions de sécurité. 2)Faciliter le déploiement d'ordinateurs et de serveurs sécurisés. 3)Mettre en place des méthodes de déploiement des mises à jour et des ensembles de service dès le début ainsi que des méthodes de maintenance de ces derniers. 4)Mettre l'accent sur la sécurisation des ordinateurs dès le début. 5)Former le personnel sur la nécessité dexercer une vigilance constante. 6)Exiger des mots de passe complexes dès le début. 7)Mettre l'accent sur des ordinateurs et des serveurs standards et bien documentés. 8)Simplifier la création et la maintenance des ordinateurs et des serveurs. 9)Mettre en place l'évaluation des risques; vous concentrer sur la façon de peser et de considérer les risques pour la sécurité. 10)Intégrer des stratégies et des procédures de sécurité aux versions et à la maintenance.
Établissement d'une base renforcée pour les ordinateurs de bureau
Blindage des postes de travail Règles générales Déployer des systèmes sécurisés, ne pas essayer de les sécuriser après coup –Si lon ne connaît pas les éléments dont on dispose, on ne peut les protéger Simplifier les choses –Faciliter le déploiement (images, scripts) –Faciliter la maintenance (mises à jour automatiques, SMS) –Éliminer les applications et les services non nécessaires Établir des procédures de changement pour les versions d'images de PC; faire le suivi de toutes les modifications aux valeurs par défaut et les justifier Établir une base, évaluer les performances types et exercer une surveillance comparativement à ces dernières
Blindage des postes de travail 8 étapes élémentaires pour une base renforcée 1.Déterminer les applications de base –À l'échelle de l'entreprise : que doit contenir chaque poste de travail? Chaque serveur? –Vérifier l'existence de problèmes de sécurité connus concernant ces applications 2.Déterminer les composants à inclure –Options Ajout/Suppression de programmes
Blindage des postes de travail 8 étapes élémentaires pour une base renforcée 3.Déterminer les fonctions à activer –Technologies autres que celles qui sont disponibles dans Ajout/Suppression de programmes (comme Windows Update) 4.Déterminer les paramètres de modèle de sécurité à inclure –Utiliser les guides de sécurité comme fondement –Ne pas oublier les paramètres personnalisés en sus des paramètres initiaux (sceregvl.inf)
Blindage des postes de travail 8 étapes élémentaires pour une base renforcée 5.Déterminer les verrouillages supplémentaires –S'inspirer des recommandations du groupe de produits, des alertes de sécurité, des experts en sécurité, des méthodes éprouvées –Établir une stratégie de groupe dépassant les modèles de sécurité (Internet Explorer, Outlook, etc.) –Services (varient selon le rôle) –Listes de contrôle d'accès (ACL) –Le pare-feu de Windows peut être configuré dans le cadre de la version (nouveau avec Windows XP SP2)
Blindage des postes de travail 8 étapes élémentaires pour une base renforcée 6.Automatiser et documenter la totalité de la version –même si le résultat final est formé dimages exactes –les scripts constituent une trace; il n'est pas aussi facile d'interroger les gens (exemples :) Fichier de réponse pour le système d'exploitation Installations automatiques non interactives Fichier INF de modèle de sécurité Windows Scripting Host (WSH) et Windows Management Instrumentation (WMI) Assistant d'installation personnalisée pour Office Trousse d'administration pour Internet Explorer
Blindage des postes de travail 8 étapes élémentaires pour une base renforcée 7.Vérifier la connexion en tant qu'utilisateur ordinaire (postes de travail) –Les défaillances d'application qui se produisent lors d'une connexion en tant qu'utilisateur ordinaire sont de loin les plus nombreuses. –Même les développeurs devraient travailler comme utilisateur ordinaire et utiliser un niveau supérieur de privilèges uniquement si c'est nécessaire –Les incompatibilités doivent être réglées avant le déploiement 8.Restreindre l'accès des comptes d'administrateur et de service
Modèles de sécurité
Adoption d'une ligne directrice en matière de sécurité Lignes directrices et guides de sécurité du groupe Solutions de sécurité de Microsoft –Une norme –Appréciés des vérificateurs –Rigoureux, complets et acceptés –Des variantes de ces modèles de sécurité ont été utilisées dans des environnements parmi les plus stricts en matière de sécurité. –Ils ont été élaborés par des personnes dont le gagne- pain est de simuler des attaques sur les réseaux. –Les modèles de sécurité du groupe Solutions de sécurité de Microsoft pour le gouvernement remplacent les modèles NSA.
Modèles de scénarios disponibles « Mise en œuvre de scénarios communs de gestion des ordinateurs de bureau avec le module de gestion de stratégies de groupe GPMC » –Ordinateur de bureau à gestion allégée –Utilisateur nomade –Ordinateur de bureau multiutilisateur –Ordinateur de bureau hautement géré (AppStation ) –Ordinateur à une seule application (TaskStation) –Borne informatique Utilisés avec le module GPMC
Une stratégie de groupe dépassant les modèles de sécurité
Stratégie de groupe Module GPMC Les décisions en matière de sécurité ne doivent pas s'arrêter aux modèles de sécurité –Windows Update –Services Terminal Server sécurisés –Préférences Office Avant le module GPMC, seules des options de tiers permettaient d'exporter les paramètres de stratégie de groupe à l'extérieur du fichier INF de modèle de sécurité Création de fichiers ADM personnalisés –Élargit les choix de la stratégie de groupe afin d'inclure les modifications apportées au registre par le client
Stratégie de groupe – Scénarios communs pour ordinateurs de bureau
Services
Verrouillage des services Vidage des services en cours en fonction d'une base type –Net start > services.txt Examen des résultats en fonction des aspects suivants : –Quels sont les services qui ont besoin d'un compte pour démarrer? Un compte local suffira-t-il? Définir de façon restreinte les permissions dont le compte a besoin Vérifier ultérieurement l'activité liée à ce compte –Quels sont les services inutiles? Commencer par la liste des services à désactiver contenue dans les guides de sécurité Maintenance des paramètres du modèle de sécurité
Listes de contrôle d'accès
Listes de contrôle d'accès (ACL) De nombreuses retouches ont été apportées aux listes de contrôle daccès dans le passé pour renforcer les systèmes –Particulièrement sur Windows NT et 2000 –NSA a ouvert la voie –Permissions touchant le registre et les fichiers –Pas aussi nécessaires avec Windows 2003 (s'il ne doit pas prendre en charge les éléments de confiance existants); le guide de sécurité recommande de ne pas retoucher les listes de contrôle daccès avec Windows 2003 Résumé des retouches types : –Remplacement du paramètre « Everyone » (Tous) par « Authenticated Users » (utilisateurs authentifiés) (risque relatif à Anonymous SID) –Retrait de toutes les listes de contrôle daccès des groupes inutilisés ou plus exposés, comme les grands utilisateurs –Retrait des listes de contrôle daccès séquentielles ou interactives dans les exécutables particulièrement vulnérables
Restriction de l'accès des comptes d'administrateur et de service
Restriction et contrôle de l'accès La meilleure protection au monde peut être mise en échec à cause de piètres procédures de maintenance et de surveillance des comptes d'administrateur et de service. La majorité des attaques proviennent de l'intérieur. La plupart des utilisateurs et même les administrateurs n'ont PAS besoin des droits complets d'administrateur pour faire leur travail. –Exemple : les développeurs peuvent effectuer la plus grande partie du développement en tant qu'utilisateur ordinaire, et ils devraient être incités à le faire. Utiliser « Exécuter en tant que » pour hausser les privilèges UNIQUEMENT lorsqu'une tâche précise l'exige
Restriction et contrôle de l'accès des administrateurs Former les administrateurs à utiliser des mots de passe de plus de 15 caractères –Les phrases sont faciles à retenir (les espaces sont permis dans Windows 2000 et 2003) Veiller à ce que tous les administrateurs aient au moins deux comptes –Un compte d'utilisateur ordinaire pour les tâches quotidiennes (courriel, traitement de textes) –Un compte distinct avec privilèges d'administrateur (surveiller ce compte de près) Penser à utiliser des groupes locaux sur des serveurs individuels pour limiter les personnes pouvant administrer
Restriction et contrôle de l'accès des comptes de service Utiliser des mots de passe de plus de 15 caractères avec des caractères étendus (Alt + chiffres) Limiter les dommages si le compte est compromis. –Envisager d'utiliser un compte local au lieu d'un compte de domaine Ne fonctionne toutefois pas pour les comptes qui doivent communiquer avec d'autres serveurs Les agents SQL, par exemple, ont souvent besoin de la connectivité à d'autres serveurs. –Restreindre les permissions du compte Surveiller ces comptes de près
Applications des postes de travail
Comment choisir des applications sécurisées Viser le plus petit dénominateur commun : qu'est-ce qui doit être installé sur chaque poste de travail? Chaque serveur? Rechercher les infractions à la sécurité de tous les logiciels à installer (pas seulement du système dexploitation) Obtenir les mises à jour et les corrections nécessaires –Catalogue Windows Update –Alertes de sécurité Microsoft –Sites des fournisseurs pour les applications de tiers –Forums et sites comme et
Choix des composants Choisir le moins de composants possible Régler à Non (ne pas installer) même si c'est la valeur par défaut (à des fins de reddition de comptes ultérieure) Éviter d'installer IIS sur les postes de travail Éviter les composants souvent sujets à des attaques, tels que FTP, Simple TCP/IP et SNMP
Problèmes courants
Les applications ne fonctionnent pas Plus gros problème en ce qui concerne les postes de travail Habituellement des applications existantes non sensibles aux contextes de sécurité –Symptôme : tournent avec un compte d'administrateur, mais pas avec un compte d'utilisateur ordinaire –Ne comprennent pas les profils –Souvent à cause des permissions d'accès aux fichiers et/ou au registre plus restreintes dans le nouveau SE –Parfois à cause d'appels figés aux API du système d'exploitation précédent
Les applications ne fonctionnent pas (suite) Windows XP SP2 présente de nouvelles modifications sécurisées par défaut. –Les interfaces RPC ne permettent plus les connexions à distance anonymes par défaut. –Par défaut, l'activation et le lancement à distance du modèle DCOM sont limités aux administrateurs. –Le pare-feu Windows est activé par défaut. –L'accès aux services système à l'aide de RPC est bloqué par défaut.
Solution aux applications qui ne fonctionnent pas Idéalement, les mettre à niveau ou les redévelopper, mais les coûts peuvent être très élevés Utiliser la trousse de compatibilité des applications pour Windows XP –Créer une correction SDB personnalisée –Utiliser les modes de compatibilité pour émuler d'autres systèmes d'exploitation Utiliser regmon.exe et filemon.exe de Sysinternal pour isoler les permissions –Créer un fichier INF personnalisé pour élargir les paramètres nécessaires But : déterminer les réglages minimaux nécessaires pour que l'application fonctionne
Filemon et Regmon
Gestion de la configuration des modèles de sécurité Des modifications continues seront inévitables, particulièrement pour gérer les besoins relatifs aux applications des postes de travail. Les paramètres de sécurité doivent évoluer avec l'environnement. –Exemple : disparition des éléments de confiance NT 4.0 La complexité et le nombre de paramètres constituent un défi.
Solution Gestion de la configuration des modèles de sécurité Créer des couches pour les variantes des modèles de sécurité 1.Commencer avec un modèle standard du groupe Solutions de sécurité de Microsoft 2.Y superposer la variante client de la norme de sécurité 3.Y superposer les listes de contrôle daccès assouplies propres aux applications Faire en sorte que les modifications propres à chaque application soient claires Le modèle peut être retiré si l'application est éliminée plus tard. Fusionner le tout ensuite, mais conserver les fichiers originaux à des fins de reddition de comptes Les vérificateurs reçoivent les modifications avec des justifications, ce qui accélère la certification.
Défi : les fichiers INF ne capturent pas tous les paramètres de sécurité Les fichiers INF des modèles de sécurité ont une portée restreinte. Il est nécessaire d'élargir la stratégie de groupe à d'autres aspects tels que : –les paramètres de courriel sécurisés; –les paramètres Internet Explorer; –les paramètres de client Windows Update. Il est nécessaire de pouvoir transférer facilement ces paramètres à d'autres systèmes.
Solution aux fichiers INF qui ne capturent pas tous les paramètres de sécurité Élargir les choix à l'aide de fichiers ADM 1.Exécuter la stratégie de groupe (gpedit.msc) 2.Faire un clic droit sur les modèles dadministration, choisir Ajout/Suppression de modèles, puis le fichier ADM (p. ex., le fichier ADM Outlook) Possibilité dajout dans le cadre de la version (localement) OU Distribution au moyen d'objets Stratégie de groupe et d'AD Possibilité dajout de paramètres personnalisés
Restauration des paramètres de sécurité Nécessité de pouvoir confirmer si un problème signalé est dû aux modèles de sécurité Si des retouches ont été apportées aux listes de contrôle d'accès, elles « marquent » le système de manière permanente, même si un objet Stratégie de groupe est utilisé. –Comment restaurer les permissions par défaut initiales? Nécessité de pouvoir le faire sur un système autonome
Solution Restauration des paramètres de sécurité Utiliser les fichiers INF appliqués dans le cadre de la configuration initiale du système d'exploitation : –Defltwk.inf –Defltdc.inf –Delftsv.inf Ces derniers peuvent être chargés comme tout autre modèle de sécurité : à l'aide de l'éditeur de configuration de sécurité MMC ou de secedit.exe
Outil d'analyse de la sécurité
Guides de sécurité du Guides de sécurité du groupe Solutions de sécurité de Microsoft Windows 2000 Hardening Guide, guides de sécurité de Windows XP et de Windows 2003 disponibles Menaces et contremesures Modèles de sécurité Fichier sceregvl.inf personnalisé Guides publiés pour tous les principaux systèmes d'entreprise de Microsoft, comme Exchange 2003 Meilleure source de bon sens, testée en clientèle, relative au verrouillage de sécurité
Ressources pour une configuration sécurisée : outils Gestionnaire de configuration Jeu de modèles de sécurité intégrable Éditeur de configuration de sécurité intégrable Secedit.exe Module GPMC Assistant de configuration de sécurité Trousse de compatibilité des applications Regmon et Filemon de Sysinternals
Questions et réponses blogs.technet.com/canitpro
© Microsoft Corporation, Tous droits réservés. Présentation réservée à des fins informatives. Microsoft noffre aucune garantie, expresse ou implicite, dans ce document. Votre potentiel. Notre passion. MC