La sécurité du poste de travail

La sécurité du poste de travail

Stephane SaunierTSP Sécurité

Microsoft France

Rappel de la complexité de la

tâche

Rappel de la complexité de la

tâche

Du périmètre réseau Du périmètre réseau … Au poste utilisateur… Au poste utilisateur

ServeursServeurs

SiègeSiège

PartenairePartenaire

AgenceAgence

Client distantClient distant

Un environnement connecté

Base sur un environnement physique

Contrôle d’accèsContrôle d’accèsbadgesbadges

CamérasCaméras

Dispositifs de suivi (RFID / Wifi Tracker)Dispositifs de suivi (RFID / Wifi Tracker)

Protection en cas de vol de matérielProtection en cas de vol de matérielLimiter la durée de réattribution des ressourcesLimiter la durée de réattribution des ressources

Se prévenir contre le vol d informationSe prévenir contre le vol d information

Plan de redémarragePlan de redémarrage

Un périmètre a contrôler

Pare-feu avec filtrage applicatif (ISA Server Pare-feu avec filtrage applicatif (ISA Server 2004)2004)

Mise en quarantaine des clients Mise en quarantaine des clients VPN (Windows Server 2003 ou ISA Server 2004)VPN (Windows Server 2003 ou ISA Server 2004)

En connexions filaire (NAP)En connexions filaire (NAP)

Publication de serveurs (reverse proxy), Publication de serveurs (reverse proxy), DMZDMZ

Un réseau a segmenter et surveiller

Segmentation (802.1x, VLAN)Segmentation (802.1x, VLAN)

IPSecIPSecIsolation de machinesIsolation de machines

Isolation de domainesIsolation de domaines

Filtre actif sur RouteursFiltre actif sur Routeurs

IDSIDS

Un parc de machines a gérer

Durcissement de chaque posteDurcissement de chaque posteDéploiement par GPO Déploiement par GPO

Gestion des mises à jour de sécurité Gestion des mises à jour de sécurité (WSUS)(WSUS)

Déploiement des correctifsDéploiement des correctifs

pilotagepilotage

Authentification forteAuthentification fortePKI + Carte a PucePKI + Carte a Puce

… Sur lesquels tournent des applications

Revue de codeRevue de code

Signature des applicationsSignature des applications

Réduction de la surface d’attaqueRéduction de la surface d’attaque

Education … Education …

… … SDL (SDL (Security Development LifecycleSecurity Development Lifecycle))

Utilisant des données

ACLACL

Chiffrement (EFS / S/MIME)Chiffrement (EFS / S/MIME)

Gestion de droits numériques en Gestion de droits numériques en entreprise (DRM)entreprise (DRM)

Le tout s’organisant autour d une politique de sécurité

Définition des grandes lignes de Définition des grandes lignes de protectionprotection

Éducation / formation des utilisateursÉducation / formation des utilisateursPrincipe du moindre privilègePrincipe du moindre privilège

Principe du besoin de savoirPrincipe du besoin de savoir

Bases du durcissement de

Windows XP

Bases du durcissement de

Windows XP

Sécurité de base Windows XP

Le minimum :Le minimum :Pare-feu personnelPare-feu personnel

Application des mises à jour de sécuritéApplication des mises à jour de sécurité

Antivirus à jourAntivirus à jour

Windows XP SP2 (Renforce la sécurité de Windows XP SP2 (Renforce la sécurité de composants comme IE)composants comme IE)

Logiciel de protection contre les SpyWare Logiciel de protection contre les SpyWare (Windows Defender)(Windows Defender)

Anti Phishing (Navigateur ou protection au Anti Phishing (Navigateur ou protection au niveau proxy)niveau proxy)

Guide de sécurité Windows XP

http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en

Menaces et contre-mesures

http://www.microsoft.com/downloads/details.aspx?FamilyId=1B6ACF93-147A-4481-9346-F93A4081EEA8&displaylang=en

Durcissement XP

Positionner/déployer les options de Positionner/déployer les options de sécurité qui correspondent au type sécurité qui correspondent au type de poste.de poste.

Principe du moindre privilège.Principe du moindre privilège.

Réduction de la surface d’attaque Réduction de la surface d’attaque ( USB Key )( USB Key )

Pas de mise en veille prolongée Pas de mise en veille prolongée (hibernation)(hibernation)

Control des comportement de Logon

Interactive Logon: Do not display Interactive Logon: Do not display last user namelast user name

Interactive Logon: Number of Interactive Logon: Number of previous logons to cache (in case previous logons to cache (in case domain controller is not available)domain controller is not available)

Interactive Logon: Require Domain Interactive Logon: Require Domain Controller authentication to unlock Controller authentication to unlock workstationworkstation

Interactive Logon: Smart card Interactive Logon: Smart card removal behaviorremoval behavior

Control des options de sécurité Réseau

Network access: Do not allow anonymous Network access: Do not allow anonymous enumeration of SAM accounts and sharesenumeration of SAM accounts and sharesNetwork access: Do not allow storage of Network access: Do not allow storage of credentials or .NET Passports for network credentials or .NET Passports for network authenticationauthenticationNetwork security: Do not store LAN Network security: Do not store LAN Manager hash value on next password Manager hash value on next password changechange Network security: LAN Manager Network security: LAN Manager authentication level (authentication level (Send NTLMv2 response only\Send NTLMv2 response only\refuse LM and NTLMrefuse LM and NTLM))Network security: Minimum session Network security: Minimum session security for NTLM SSP based (including security for NTLM SSP based (including secure RPC) clients / servers : (secure RPC) clients / servers : (Require message Require message integrity - Require message confidentiality - Require NTLMv2 integrity - Require message confidentiality - Require NTLMv2 session security - Require 128-bit encryptionsession security - Require 128-bit encryption))

System cryptography: Use FIPS System cryptography: Use FIPS compliant algorithms for compliant algorithms for encryption, hashing, and signingencryption, hashing, and signing

Détermine si on restreint la couche Détermine si on restreint la couche Transport socket sécurise (TL/SS) au Transport socket sécurise (TL/SS) au support unique de la suite crypto support unique de la suite crypto TLS_RSA_WITH_3DES_EDE_CBC_SHA.TLS_RSA_WITH_3DES_EDE_CBC_SHA.

Paramètres de gestion des mots de passe (Au niveau domaine)

Paramètres Stratégies par défaut

Postes standards

Environnent Critique

Enforce password history 24 passwords 24 passwords 24 passwords

Maximum password age 42 Jours 90 Jours 90 Jours

Minimum password age 1 Jour 1 Jour 1 Jour

Minimum password length 7 caractères 8 caractères 12 Caractères

Password must meet complexity requirements

Activé Activé Activé

Store password using reversible encryption for all users in the domain

Désactivé Désactivé Désactivé

Paramètres de verrouillage

Parametres Stratégies par défaut Postes standards Environnent Critique

Account lockout duration

non défini 15 minutes 15 minutes

Account lockout threshold

0 tentative infructueuse

50 tentatives infructueuses

10 tentatives infructueuses

Reset account lockout counter after

non défini 15 minutes 15 minutes

Template administrative

Pour contrôler et durcirPour contrôler et durcirInternet ExplorerInternet Explorer

NetmeetingNetmeeting

MessengerMessenger

Media PlayerMedia Player

certain composants du systemcertain composants du system

… Par exemple

IE: Disable Automatic Install of Internet IE: Disable Automatic Install of Internet Explorer componentsExplorer components IE: Do not allow users to enable or disable add-IE: Do not allow users to enable or disable add-onsons IE: Allow software to run or install even if the IE: Allow software to run or install even if the signature is invalidsignature is invalid TS: Set client connection encryption levelTS: Set client connection encryption level OS: Turn off AutoplayOS: Turn off AutoplayOS: Restrictions for Unauthenticated RPC OS: Restrictions for Unauthenticated RPC clientsclientsOS: Prompt for password on resume from OS: Prompt for password on resume from hibernate / suspendhibernate / suspend

Setting additionnelles

… … Par modification de Par modification de Sceregvl.inf Sceregvl.inf et et réenregistrement de réenregistrement de Scecli.dllScecli.dll vous vous aller Controller de nouvelles aller Controller de nouvelles options localement ou a déployer options localement ou a déployer sur des ciblessur des cibles

… Mais aussi le Pare-feu

Deploying Windows Firewall Settings for Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2Microsoft Windows XP with Service Pack 2http://www.microsoft.com/technet/prodtechnol/winxppro/dehttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/default.mspxploy/depfwset/default.mspx

Appendix B: Netsh Command Syntax for the Appendix B: Netsh Command Syntax for the Netsh Firewall ContextNetsh Firewall Context((Deploying Windows Firewall Settings Without Deploying Windows Firewall Settings Without Group Policy)Group Policy)

Réglage des paramètres de Windows Réglage des paramètres de Windows Firewall dans le Service Pack 2 Windows XPFirewall dans le Service Pack 2 Windows XPhttp://support.microsoft.com/default.aspx?kbid=875357http://support.microsoft.com/default.aspx?kbid=875357

Clés USB (PodPhreaking)

HKEY_LOCAL_MACHINE\System\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \CurrentControlSet\Control \StorageDevicePolicies\StorageDevicePolicies\WriteProtectWriteProtect

DWORD= DWORD= 0 – 0 – Disabled Disabled 1 –1 – Enabled EnabledTransforme les clés USB en lecture seule Transforme les clés USB en lecture seule (attention, marche uniquement avec les clés (attention, marche uniquement avec les clés USB qui utilisent le driver USB Microsoft)USB qui utilisent le driver USB Microsoft)

D’autres solutions existent (3ces D’autres solutions existent (3ces parties)parties)

Désactivation CD, disquette, USB

Par désactivation de leurs pilotes Par désactivation de leurs pilotes ((KB555324)KB555324)

HOWTO: Use Group Policy to disable USB, CD-HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 driversROM, Floppy Disk and LS-120 drivershttp://http://support.microsoft.com/default.aspx?scidsupport.microsoft.com/default.aspx?scid=kb;en-us;555324&sd==kb;en-us;555324&sd=rss&spidrss&spid=3198=3198

Réduction de la surface d attaque

Contrôler service par service ce que Contrôler service par service ce que vous voulez démarrer sur le poste par vous voulez démarrer sur le poste par GPO.GPO.

Computer Configuration\Windows Settings\Security Computer Configuration\Windows Settings\Security Settings\System Services Settings\System Services

N utilisez pas vos postes avec des N utilisez pas vos postes avec des droits administrateursdroits administrateurs

Juste un rappel de ce qu’un compte Administrateur peut faire s’il est compromis :

Installer des rootkits en mode Installer des rootkits en mode noyaunoyauInstaller des keyloggers au Installer des keyloggers au niveau système (pour capture les niveau système (pour capture les mots de passe, y compris ceux mots de passe, y compris ceux saisis à l’ouverture de session)saisis à l’ouverture de session)Installer des contrôles ActiveX, y Installer des contrôles ActiveX, y compris des extensions de compris des extensions de l’explorateur ou d’IE (activité l’explorateur ou d’IE (activité courante pour les spywares)courante pour les spywares)Installer et démarrer des servicesInstaller et démarrer des servicesArrêter des services existants Arrêter des services existants (comme le pare-feu par exemple) (comme le pare-feu par exemple) Accéder à des données qui Accéder à des données qui appartiennent à d’autres appartiennent à d’autres utilisateursutilisateursFaire en sorte que du code Faire en sorte que du code s’exécute lorsqu’un autre s’exécute lorsqu’un autre utilisateur ouvrira une sessionutilisateur ouvrira une session

Remplacer des fichiers Remplacer des fichiers d’applications ou du système d’applications ou du système d’exploitation par des d’exploitation par des chevaux de Troiechevaux de TroieAccéder aux secrets LSA Accéder aux secrets LSA (dont les mots de passe des (dont les mots de passe des comptes de service du comptes de service du domaine servant)domaine servant)Désactiver ou désinstaller Désactiver ou désinstaller l’anti-virusl’anti-virusCréer ou modifier des Créer ou modifier des comptes utilisateurscomptes utilisateursRéinitialiser des mots de Réinitialiser des mots de passepasseModifier le fichier hosts et Modifier le fichier hosts et d’autres paramètres de d’autres paramètres de configuration du systèmeconfiguration du systèmeÉliminer ses traces dans le Éliminer ses traces dans le journal des événementsjournal des événementsRendre votre machine Rendre votre machine incapable de démarrerincapable de démarrer……

Protection de documents

Confidentialité et préservation des informations personnelles :Confidentialité et préservation des informations personnelles :Chiffrement de document, Chiffrement de document,

Contrôle d’accès au contenu (niveau objets),Contrôle d’accès au contenu (niveau objets),

Suppression des métadonnées du document.Suppression des métadonnées du document.((http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360))

Signatures numériques de documents et de macros :Signatures numériques de documents et de macros :Protection contre la modification du contenu d’un document ou d’une Protection contre la modification du contenu d’un document ou d’une macro (intégrité),macro (intégrité),

Authentification du créateur du document, de la macro ou de Authentification du créateur du document, de la macro ou de l’expéditeur d’un message électronique.l’expéditeur d’un message électronique.

Messagerie sécurisée

S/MIMES/MIMEImplique un déploiement de PKI (génération et Implique un déploiement de PKI (génération et distribution des clés). Assure le chiffrement et la distribution des clés). Assure le chiffrement et la signature des échanges.signature des échanges.

IRM (RMS)IRM (RMS)Adresse les problématiques de droit d usage de l Adresse les problématiques de droit d usage de l information. « Ne pas transférer »information. « Ne pas transférer »

RPC over HTTPSRPC over HTTPSDisponibilité étendue de la messagerie sans avoir Disponibilité étendue de la messagerie sans avoir a déployer des solutions de type VPN.a déployer des solutions de type VPN.

Protection des données

PermissionsPermissions

AuditAudit

EFS (Encrypting File System)EFS (Encrypting File System)Force liée à celle du mot de passe de Force liée à celle du mot de passe de session de l’utilisateursession de l’utilisateur

Gestion de droits numériques Gestion de droits numériques IRM/RMS (présentation séparée)IRM/RMS (présentation séparée)

Et finalement ne pas négliger le durcissement de l’authentificationAssocier un moyen que l on connaît a un Associer un moyen que l on connaît a un

moyen que l on possède pour prouver moyen que l on possède pour prouver son identité.son identité.

Carte à puceCarte à puceDoit faire partie des éléments nécessaires à Doit faire partie des éléments nécessaires à la vie d entreprise (Ouverture des portes, la vie d entreprise (Ouverture des portes, Moyen de paiement)Moyen de paiement)

Authentification bi facteur (SecureID Authentification bi facteur (SecureID Token)Token)

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com