Conception de la sécurité pour un réseau Microsoft

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Active Directory Windows 2003 Server
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Hygiène de la messagerie chez Microsoft
Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur
Modélisation des menaces
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Sécurité du Réseau Informatique du Département de l’Équipement
La structure technique
DUDIN Aymeric MARINO Andrès
Guillaume CACHO Pierre-Louis BROUCHUD
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS
Module 5 : Résolution de noms d'hôtes à l'aide du système DNS
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Administration et Configuration
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Configuration de Windows Server 2008 Active Directory
Active Directory Windows 2003 Server
ManageEngine ADSelfService Plus
Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
SECURITE DU SYSTEME D’INFORMATION (SSI)
Gestion d’un réseau avec Windows Server 2008 R2
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Module 16 : Implémentation de serveurs Windows 2000
Domaine IT Heure-DIT L'heure-DIT
Analyse des protocoles de la couche application

Introduction Les solutions de sécurité
Les relations clients - serveurs
WINDOWS Les Versions Serveurs
Développement dapplications web Authentification, session.
Présentation de Windows 2000 Quest-ce que Windows 2000? 2 versions principales : 1.Windows 2000 Professionnel : Système dexploitation client (comme Windows.
Module 3 : Création d'un domaine Windows 2000
Vue d'ensemble Présentation du rôle du système DNS dans Active Directory Système DNS et Active Directory Résolution de noms DNS dans Active Directory.
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
Module 1 : Installation de Microsoft Windows XP Professionnel
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
DELCAMBRE – LEGRAND - VANTREPOTTE. L’annuaire ? Qu’est qu'un annuaire ? Pages Blanches, Pages Jaunes etc.… Yahoo, Voilà, Nomade etc.… Notre carnet d’adresse.
Les NAC Network Access Control
Dématérialisation & Téléprocédures
Dématérialisation & Téléprocédures
La sécurité dans les réseaux mobiles Ad hoc
Etude et mise en place d’un Serveur de messagerie Postfix
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Introduction à la Sécurité Informatique
Jean-Luc Archimbaud CNRS/UREC
GESTION DES UTILISATEURS ET DES GROUPES
Nicolas DEWEZ Cyrille JOSSELIN Tuteur: Thierry DELOT Conception d’une application de partage de fichiers Projet IUP3 GMI - Valenciennes Jeudi, 23 mars.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Module 3 : Création d'un domaine Windows 2000
Administration d'un serveur Windows 200x Partie 1
Création et gestion de comptes d'utilisateur
LE PARE-FEU AMON. MAI 2002.
3.3 Communication et réseaux informatiques
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
V- Identification des ordinateurs sur le réseau
Sécurité des Web Services
Sécurisation infrastructure Altibus Ajout d’un serveur pour le réseau Call Center.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre 3 Administration des accès aux ressources
Transcription de la présentation:

Conception de la sécurité pour un réseau Microsoft Pascal Manni

Sommaire Sécurité PKI Service: DNS Authentifications: Kerberos Données: NTFS Mot de passe Mise à jour Sauvegarde 15/12/2004 Pascal Manni

Les principes de la sécurité Séparations des fonctions Privilèges au minima Réduction de la surface d’attaque Diversifications des mécanismes Choisir la solution par défaut la moins risquée Choisir des solutions simples, connues et reconnues Médiation Acceptabilité Confiance par l’audit Mise à jour Défense en profondeur= plusieurs niveau ou composant à prendre en compte Choisir la solution par défaut la moins risquer (exp: par défaut rien ne passe sauf .. . dans le FW) Choisir des solutions simple (= maintenable) La médiation (je contrôle mon voisin qui me contrôle ensuite) Acceptabilité psychologique (ressentiment sur une techno) 15/12/2004 Pascal Manni

La sécurité d’information Authentification Autorisation Confidentialité Intégrité Non répudiation Authentification (très important) Non répudiation (le fait de ne pouvoir contredire un fait) Pour que la sécurité soit convenable, il faut que le tout forme un ensemble homogène. 15/12/2004 Pascal Manni

Les applications avec PKI Certificat Ordinateur (IPSec) Autorisations d’accès au fichier (Kerberos) Transactions inter-machines (Kerberos) Confidentialité (EFS) Réplication des AD (SMTP) Requêtes LDAP (AD) Utilisateurs (carte à puce) Permet Intégrité des données (Signature) Non répudiation des données (horodatage) Autorité de Certification Signature des listes de révocation 15/12/2004 Pascal Manni

Analyse de l’existant Pourquoi sécuriser les données? Catégorisations des données : But ? Intégrité? Degré de sensibilité? la schématisation des flux de données Existe-t-il un Mr Sécurité? Existe-t-il un Mr Sécurité dans la boite (différent du DSI) 15/12/2004 Pascal Manni

Un charte de sécurité Prévention, Détection, Isolation Général et réutilisable Modélisation des menaces Facteur humain Réponse aux incidents (ou aux attaques) Récupération sur incident Durée de vie limitée 15/12/2004 Pascal Manni

Vulnérabilités : facteur humain Partage involontaire de données Mot de passe trop faible Cheval de Troie Réduction de sécurité: productivité / performance Partage des comptes administrateurs Mauvaise assignation de pouvoir Vol de session Récupération de session distante Modification ou suppression de données Mise involontaire des données de l’entreprise aux utilisateurs non autorisés. Utilisation de mots de trop faible Introduction involontaire d’un cheval de Troie Réduction de la sécurité au profit de la productivité ou de la performance (comme la désactivation des audits) Partage des comptes administrateurs afin de limiter ses responsabilités Mauvaise assignation de pouvoir à un utilisateur Capture des droits de l’administrateur (par vol de session) Récupération de session distante (récupération d’écran virtuel avec des droits administrateurs) Modification ou suppression de données systèmes ou de l’entreprise 15/12/2004 Pascal Manni

DNS Nom machine vers adresse IP Contrôleurs de domaine Serveurs Web, Messagerie,… (paralysie des applications maison) 15/12/2004 Pascal Manni

Les attaques sur le DNS Inventaire Redirection Déni de Service (DoS) Modification de données / usurpation d’adresse IP Pollution du cache Inventaire : permet de connaître la nature, et le nombre machine dans votre réseaux. Redirection : Changer une adresse IP et ainsi déplacer les requêtes vers une machine compromise. Le Déni de Service (DoS) : Paralysie du service par une saturation du service Modification de données / usurpation d’adresse IP. faire croire qu machine que l’on provient bien d’une zone autorisé Pollution du cache, remplissage du cache avec de fausse information 15/12/2004 Pascal Manni

La sécurisation du DNS DNS Publique (extérieur) Vue différente Zone non visible de l’Internet local.mon-entreprise.fr Multiplications des serveurs DNS Restriction du transfert de zone (requête AXFR) Crypter les réplications Enregistrements sécurisés dynamiques 15/12/2004 Pascal Manni

Les échanges VPN (2 réseaux) IPSec (2 machines) 15/12/2004 . IPSec fait partie intégrante des OS depuis W2K. Cela permet à travers une stratégie de groupe (notion de filtre) de décider sur une machine quel flux doivent être encapsuler ou pas. Cela signifie qu’il y aura une phase de création de filtre, une phase de négociation entre les machines avec une de définition de la stratégie à utilisé (l’ordinateur doit être authentifié avant d’avoir accès au service, Certain type de donné vont nécessiter un cryptage par Kerberos, d’autre limiteront l’accès qu’aune liste de machine). 15/12/2004 Pascal Manni

Kerberos HASH Local Security Authority Kerberos Distribution Center 15/12/2004 Pascal Manni

Mot de passe Stratégie de mot de passe Comprendre et faire comprendre (charte, formation, …) Identifier les techniques de contrôle Facteur humain Plusieurs stratégies par population d’utilisateurs Stratégie de verrouillage des comptes? Des accès? Carte à puce, biométrie,.. Il est important pour l’entreprise d’avoir une stratégie de mot de passe claire. Cela passe par : Concevoir une stratégie basée sur les mots de passe forts, selon ses étapes : Comprendre et faire comprendre (charte, formation, …) les avantages d’une stratégie de mots de passe forte Identifier les techniques de contrôle présent notamment dans les stratégies de groupe et en connaître leurs limitations. Ce mettre dans l’idée d’une réalité applicable sur le terrain La technique c’est bien mais est-ce que les gents peuvent-il supporter un stratégie de mots de passe long et/ou complexe ? Est-ce que les données protégés en val la peine ? Réfléchir à la possibilité de créer plusieurs stratégies de mot de passe en fonction de population d’utilisateurs. Après réflexion passer à sa mise en application Décider à l’opportunité d’une stratégie de verrouillage des comptes, Si c’est envisagé réfléchir sur un verrouillage des accès aussi Réfléchir à une alternatif au mot de passe (carte a puce, biométrie,..) car une stratégie de mot de passe complexe à une limitation (la mémoire de l’home). Cette limitation n’est jamais bonne pour le système. 15/12/2004 Pascal Manni

NTFS Permissions (groupe) Refuser permission Quota Héritage Possession Audits Crypter les données (EFS) (ne jamais positionner des droits avec des utilisateurs) (cela demande une réflexion poussé ne pas le faire de manière systématique) (EFS) à utiliser avec beaucoup de prudence Ce que l’on vient de voir pour le système de fichier s’applique aussi dans une certaine mesure au objet (avec un principe de délégation de droit en plus) et à la base de registre 15/12/2004 Pascal Manni

Concevoir une mise à jour Identifier les changements Ou est l’information? Lister les manières de mettre à jour En choisir une Utiliser SUS ou WUS qu’elles sont les déclencheurs qui nécessite une mise à jours, comme : Identifier les changements qui demandent la mise à jour de sécurité et documenter la manière de trouver l’information Lister les manières de mettre à jours vos systèmes Choissez la meilleure façon de l’appliquer Utiliser les fonctionnalités apportées par SUS ou WUS 15/12/2004 Pascal Manni

Plan de sauvegarde Responsable Transport des données Support des données {SAN (Storage Area Networks)} Sécurisation des supports Lieu de stockage sur site et/ou hors site Quoi? (Système, données, …) Type de sauvegarde Planification Procédure de sauvegarde et restauration Audit et vérification Continuité opérationnelle Récupération après désastre Sauvegarde du catalogue de sauvegarde Transport des données. Certes il ne suffit de s’occuper des donnes, il faut aussi les vérifiés et les manipulé avec précaution. Support des données. Quelle support choisir le CD, la bande, le SAN. Utiliser différent type de sauvegarde afin délimiter les risque de pannes matériels. Ensuite il vous faudra sécuriser les supports en utilisant des zones climatisé pour les CD ou les bandes. Faire une rotation des supports et retirer ceux qui sont usagés Définir les personne habilité (et donc responsable) à manipuler les sauvegarde et à les restaurer Lieu de stockage sur site. Ce lieu doit être dans un endroit insensible qu feu. Il doit aussi y avoir une politique de rangement, de stockage, et de nommage des supports. Lieu de stockage hors site,.cela peut être une bonne idée et si possible le faire quotidiennement. Cela permet de ce prémunir contre les catastrophes naturels de grande ampleur. Il est aussi envisageable que ce deuxième lieu soit un site de secours Processus de sauvegarde. En règle général on planifie de manière sure la sauvegarde quand le serveur est le moins chargé. Dans ce cas il faudra bien vérifier que la tâche c’est exécuté correctement. L’autre manière consiste à lancer la sauvegarde à l’insertion du support et de rester jusqu’à la fin de la sauvegarde. Audit et vérification Grâce à l’audit, vérifiez si les sauvegardes ont été effectuées selon le planning prévu et que des supports valides ont bien été utilisés. Réseau SAN (Storage Area Networks), c’est simple, il faut faire attention par ou circule c’est flux de données Planification de la continuité opérationnelle. Cela passe par de la redondance afin de diminué au plus ce temps de reprise sur incident Récupération après désastre. Cela consiste éventuellement à prévoir un déménagement des serveurs, avec des plans manuels de reprise. Procédure de sauvegarde et de restauration. Les procédures doivent être testé et concluante. Aucune question ne doit être laissée de coté. (puis-je restauré mon Autorité de certification ? …) Sécurisation des supports, Il ne faut en aucun cas que l’on puisse vous voler ou endommager vos supports de sauvegarde Sélection du type de données à sauvegarder. Cela peut être l’état du système et/ou des données systèmes Sauvegarde du catalogue de sauvegarde. cela peut aider leur de la restauration de savoir quelle bande à sauvegarder quoi. Choix du type de sauvegarde. On peut opter pour des sauvegardes normales, incrémentielles, ou bien différentielles. Pour restaurer restauré une sauvegarde différentiel, il vous faut la dernière sauvegarde complète et la dernière bande différentiel. 15/12/2004 Pascal Manni

Conclusion Vaste Le rôle serveur Génère du travail 15/12/2004 Pascal Manni

Questions