Tournée TechNet 2006 sur la Tournée TechNet 2006 sur la conceptionconception

« Tournée sur l'infrastructure sécurisée « Tournée sur l'infrastructure sécurisée bien gérée »bien gérée »

Gestion des ordinateurs de Gestion des ordinateurs de bureaubureau

Bruce CowperRick Claus

Conseillers professionnel en TI du CanadaMicrosoft Canada

Objectifs de la séanceObjectifs de la séance

• Introduction au blindage des ordinateurs de bureau

• Présentation de scénarios communs de verrouillage des ordinateurs de bureau

• Aperçu de certains des outils disponibles pour vous aider à prendre le contrôle

• Examen de scénarios communs de gestion efficace des ordinateurs de bureau

Les dix lois immuables de la Les dix lois immuables de la sécuritésécurité

1) Nous croyons tous que rien de mauvais ne peut nous arriver jusqu'à ce que cela se produise.

2) La sécurité ne fonctionne que si la façon sûre est aussi la plus simple.

3) Si vous n'appliquez pas les corrections de sécurité offertes, votre réseau ne vous appartiendra pas longtemps.

4) Il n'est pas très utile d'appliquer les corrections de sécurité sur un ordinateur qui n'a jamais été sécurisé au préalable.

5) La vigilance constante est le prix de la sécurité.

6) Il y a vraiment quelqu'un quelque part qui essaie de deviner vos mots de passe.

7) Le réseau le plus sûr est un réseau bien géré.

8) La difficulté à défendre un réseau est directement proportionnelle à sa complexité.

9) La sécurité ne consiste pas à éviter les risques, mais à les gérer.

10) La technologie n'est pas une panacée.

Que pouvez-vous faire?Que pouvez-vous faire?1) Vous concentrer sur les questions de sécurité.

2) Faciliter le déploiement d'ordinateurs et de serveurs sécurisés.

3) Mettre en place des méthodes de déploiement des mises à jour et des ensembles de service dès le début ainsi que des méthodes de maintenance de ces derniers.

4) Mettre l'accent sur la sécurisation des ordinateurs dès le début.

5) Former le personnel sur la nécessité d’exercer une vigilance constante.

6) Exiger des mots de passe complexes dès le début.

7) Mettre l'accent sur des ordinateurs et des serveurs standards et bien documentés.

8) Simplifier la création et la maintenance des ordinateurs et des serveurs.

9) Mettre en place l'évaluation des risques; vous concentrer sur la façon de peser et de considérer les risques pour la sécurité.

10) Intégrer des stratégies et des procédures de sécurité aux versions et à la maintenance.

Établissement d'une base Établissement d'une base renforcée pour les ordinateurs de renforcée pour les ordinateurs de

bureaubureau

Blindage des postes de travailBlindage des postes de travailRègles généralesRègles générales• Déployer des systèmes sécurisés, ne pas essayer de les

sécuriser après coup– Si l’on ne connaît pas les éléments dont on dispose, on ne peut

les protéger

• Simplifier les choses– Faciliter le déploiement (images, scripts)– Faciliter la maintenance (mises à jour automatiques, SMS)– Éliminer les applications et les services non nécessaires

• Établir des procédures de changement pour les versions d'images de PC; faire le suivi de toutes les modifications aux valeurs par défaut et les justifier

• Établir une base, évaluer les performances types et exercer une surveillance comparativement à ces dernières

Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée1. Déterminer les applications de base

– À l'échelle de l'entreprise : que doit contenir chaque poste de travail? Chaque serveur?

– Vérifier l'existence de problèmes de sécurité connus concernant ces applications

2. Déterminer les composants à inclure– Options Ajout/Suppression de programmes

Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée3. Déterminer les fonctions à activer

– Technologies autres que celles qui sont disponibles dans Ajout/Suppression de programmes (comme Windows Update)

4. Déterminer les paramètres de modèle de sécurité à inclure– Utiliser les guides de sécurité comme fondement– Ne pas oublier les paramètres personnalisés en sus

des paramètres initiaux (sceregvl.inf)

Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée5. Déterminer les verrouillages supplémentaires

– S'inspirer des recommandations du groupe de produits, des alertes de sécurité, des experts en sécurité, des méthodes éprouvées

– Établir une stratégie de groupe dépassant les modèles de sécurité (Internet Explorer, Outlook, etc.)

– Services (varient selon le rôle)– Listes de contrôle d'accès (ACL)– Le pare-feu de Windows peut être configuré dans le

cadre de la version (nouveau avec Windows XP SP2)

Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée6. Automatiser et documenter la totalité de la

version– même si le résultat final est formé d’images exactes– les scripts constituent une trace; il n'est pas aussi

facile d'interroger les gens (exemples :)• Fichier de réponse pour le système d'exploitation• Installations automatiques non interactives• Fichier INF de modèle de sécurité• Windows Scripting Host (WSH) et Windows Management

Instrumentation (WMI)• Assistant d'installation personnalisée pour Office• Trousse d'administration pour Internet Explorer

Blindage des postes de travailBlindage des postes de travail8 étapes élémentaires pour une base 8 étapes élémentaires pour une base renforcéerenforcée7. Vérifier la connexion en tant qu'utilisateur ordinaire

(postes de travail)– Les défaillances d'application qui se produisent lors

d'une connexion en tant qu'utilisateur ordinaire sont de loin les plus nombreuses.

– Même les développeurs devraient travailler comme utilisateur ordinaire et utiliser un niveau supérieur de privilèges uniquement si c'est nécessaire

– Les incompatibilités doivent être réglées avant le déploiement

8. Restreindre l'accès des comptes d'administrateur et de service

Modèles de sécurité

Adoption d'une ligne directrice Adoption d'une ligne directrice en matière de sécuritéen matière de sécurité• Lignes directrices et guides de sécurité du groupe

Solutions de sécurité de Microsoft– Une norme– Appréciés des vérificateurs– Rigoureux, complets et acceptés– Des variantes de ces modèles de sécurité ont été

utilisées dans des environnements parmi les plus stricts en matière de sécurité.

– Ils ont été élaborés par des personnes dont le gagne-pain est de simuler des attaques sur les réseaux.

– Les modèles de sécurité du groupe Solutions de sécurité de Microsoft pour le gouvernement remplacent les modèles NSA.

Modèles de scénarios disponiblesModèles de scénarios disponibles

• « Mise en œuvre de scénarios communs de gestion des ordinateurs de bureau avec le module de gestion de stratégies de groupe GPMC »– Ordinateur de bureau à gestion allégée– Utilisateur nomade– Ordinateur de bureau multiutilisateur– Ordinateur de bureau hautement géré (AppStation )– Ordinateur à une seule application (TaskStation)– Borne informatique

• Utilisés avec le module GPMC

Une stratégie de groupe Une stratégie de groupe dépassant les modèles de dépassant les modèles de

sécuritésécurité

Stratégie de groupeStratégie de groupeModule GPMCModule GPMC• Les décisions en matière de sécurité ne doivent

pas s'arrêter aux modèles de sécurité – Windows Update– Services Terminal Server sécurisés– Préférences Office

• Avant le module GPMC, seules des options de tiers permettaient d'exporter les paramètres de stratégie de groupe à l'extérieur du fichier INF de modèle de sécurité

• Création de fichiers ADM personnalisés– Élargit les choix de la stratégie de groupe afin

d'inclure les modifications apportées au registre par le client

Stratégie de groupe – Scénarios communs pour ordinateurs de bureau

ServicesServices

Verrouillage des servicesVerrouillage des services

• Vidage des services en cours en fonction d'une base type– Net start > services.txt

• Examen des résultats en fonction des aspects suivants :– Quels sont les services qui ont besoin d'un compte pour

démarrer?• Un compte local suffira-t-il?• Définir de façon restreinte les permissions dont le compte a

besoin• Vérifier ultérieurement l'activité liée à ce compte

– Quels sont les services inutiles?• Commencer par la liste des services à désactiver contenue

dans les guides de sécurité

• Maintenance des paramètres du modèle de sécurité

Listes de contrôle d'accèsListes de contrôle d'accès

Listes de contrôle d'accès (ACL)

• De nombreuses retouches ont été apportées aux listes de contrôle d’accès dans le passé pour renforcer les systèmes– Particulièrement sur Windows NT et 2000– NSA a ouvert la voie– Permissions touchant le registre et les fichiers– Pas aussi nécessaires avec Windows 2003 (s'il ne doit pas prendre

en charge les éléments de confiance existants); le guide de sécurité recommande de ne pas retoucher les listes de contrôle d’accès avec Windows 2003

• Résumé des retouches types :– Remplacement du paramètre « Everyone » (Tous) par

« Authenticated Users » (utilisateurs authentifiés) (risque relatif à Anonymous SID)

– Retrait de toutes les listes de contrôle d’accès des groupes inutilisés ou plus exposés, comme les grands utilisateurs

– Retrait des listes de contrôle d’accès séquentielles ou interactives dans les exécutables particulièrement vulnérables

Restriction de l'accèsdes comptes

d'administrateur et de service

Restriction et contrôle de l'accèsRestriction et contrôle de l'accès• La meilleure protection au monde peut être mise en

échec à cause de piètres procédures de maintenance et de surveillance des comptes d'administrateur et de service.

• La majorité des attaques proviennent de l'intérieur.• La plupart des utilisateurs et même les administrateurs

n'ont PAS besoin des droits complets d'administrateur pour faire leur travail.– Exemple : les développeurs peuvent effectuer la plus grande

partie du développement en tant qu'utilisateur ordinaire, et ils devraient être incités à le faire.

• Utiliser « Exécuter en tant que » pour hausser les privilèges UNIQUEMENT lorsqu'une tâche précise l'exige

Restriction et contrôle de l'accèsRestriction et contrôle de l'accèsdes administrateursdes administrateurs• Former les administrateurs à utiliser des mots de passe de

plus de 15 caractères– Les phrases sont faciles à retenir (les espaces sont permis dans

Windows 2000 et 2003)

• Veiller à ce que tous les administrateurs aient au moins deux comptes– Un compte d'utilisateur ordinaire pour les tâches quotidiennes

(courriel, traitement de textes) – Un compte distinct avec privilèges d'administrateur (surveiller ce

compte de près)

• Penser à utiliser des groupes locaux sur des serveurs individuels pour limiter les personnes pouvant administrer

Restriction et contrôle de l'accèsdes comptes de service• Utiliser des mots de passe de plus de 15 caractères avec

des caractères étendus (Alt + chiffres)• Limiter les dommages si le compte est compromis.

– Envisager d'utiliser un compte local au lieu d'un compte de domaine• Ne fonctionne toutefois pas pour les comptes qui doivent

communiquer avec d'autres serveurs• Les agents SQL, par exemple, ont souvent besoin de la

connectivité à d'autres serveurs.– Restreindre les permissions du compte

• Surveiller ces comptes de près

Applications des postes de travailApplications des postes de travail

Comment choisir des applications sécurisées• Viser le plus petit dénominateur commun : qu'est-ce qui

doit être installé sur chaque poste de travail? Chaque serveur?

• Rechercher les infractions à la sécurité de tous les logiciels à installer (pas seulement du système d’exploitation)

• Obtenir les mises à jour et les corrections nécessaires– Catalogue Windows Update – Alertes de sécurité Microsoft– Sites des fournisseurs pour les applications de tiers– Forums et sites comme http://www.securityfocus.com et

http://Groups.google.com

Choix des composants

• Choisir le moins de composants possible• Régler à Non (ne pas installer) même si c'est la

valeur par défaut (à des fins de reddition de comptes ultérieure)

• Éviter d'installer IIS sur les postes de travail• Éviter les composants souvent sujets à des

attaques, tels que FTP, Simple TCP/IP et SNMP

Problèmes courantsProblèmes courants

Les applications ne fonctionnent Les applications ne fonctionnent paspas• Plus gros problème en ce qui concerne les postes

de travail• Habituellement des applications existantes non

sensibles aux contextes de sécurité– Symptôme : tournent avec un compte d'administrateur,

mais pas avec un compte d'utilisateur ordinaire– Ne comprennent pas les profils– Souvent à cause des permissions d'accès aux fichiers

et/ou au registre plus restreintes dans le nouveau SE– Parfois à cause d'appels figés aux API du système

d'exploitation précédent

Les applications ne fonctionnent Les applications ne fonctionnent pas (suite)pas (suite)

• Windows XP SP2 présente de nouvelles modifications sécurisées par défaut.– Les interfaces RPC ne permettent plus les connexions

à distance anonymes par défaut.– Par défaut, l'activation et le lancement à distance du

modèle DCOM sont limités aux administrateurs.– Le pare-feu Windows est activé par défaut.– L'accès aux services système à l'aide de RPC est

bloqué par défaut.

SolutionSolution aux applications qui ne aux applications qui ne fonctionnent pasfonctionnent pas

• Idéalement, les mettre à niveau ou les redévelopper, mais les coûts peuvent être très élevés

• Utiliser la trousse de compatibilité des applications pour Windows XP– Créer une correction SDB personnalisée– Utiliser les modes de compatibilité pour émuler d'autres systèmes

d'exploitation• Utiliser regmon.exe et filemon.exe de Sysinternal pour

isoler les permissions– Créer un fichier INF personnalisé pour élargir les paramètres

nécessaires• But : déterminer les réglages minimaux nécessaires pour

que l'application fonctionne

Filemon et Regmon

Gestion de la configuration des Gestion de la configuration des modèles de sécuritémodèles de sécurité

• Des modifications continues seront inévitables, particulièrement pour gérer les besoins relatifs aux applications des postes de travail.

• Les paramètres de sécurité doivent évoluer avec l'environnement.– Exemple : disparition des éléments de confiance NT

4.0

• La complexité et le nombre de paramètres constituent un défi.

Solution Solution Gestion de la configuration des modèles de sécuritéGestion de la configuration des modèles de sécurité

• Créer des couches pour les variantes des modèles de sécurité1. Commencer avec un modèle standard du groupe Solutions de

sécurité de Microsoft2. Y superposer la variante client de la norme de sécurité3. Y superposer les listes de contrôle d’accès assouplies propres

aux applications• Faire en sorte que les modifications propres à chaque

application soient claires• Le modèle peut être retiré si l'application est éliminée plus

tard.

• Fusionner le tout ensuite, mais conserver les fichiers originaux à des fins de reddition de comptes

• Les vérificateurs reçoivent les modifications avec des justifications, ce qui accélère la certification.

Défi : les fichiers INF ne capturent Défi : les fichiers INF ne capturent pas tous les paramètres de sécuritépas tous les paramètres de sécurité

• Les fichiers INF des modèles de sécurité ont une portée restreinte.

• Il est nécessaire d'élargir la stratégie de groupe à d'autres aspects tels que :– les paramètres de courriel sécurisés;– les paramètres Internet Explorer;– les paramètres de client Windows Update.

• Il est nécessaire de pouvoir transférer facilement ces paramètres à d'autres systèmes.

SolutionSolution aux fichiers INF qui ne capturent pas tous les aux fichiers INF qui ne capturent pas tous les paramètres de sécuritéparamètres de sécurité

• Élargir les choix à l'aide de fichiers ADM1. Exécuter la stratégie de groupe (gpedit.msc)

2. Faire un clic droit sur les modèles d’administration, choisir Ajout/Suppression de modèles, puis le fichier ADM (p. ex., le fichier ADM Outlook)

• Possibilité d’ajout dans le cadre de la version (localement) OU

• Distribution au moyen d'objets Stratégie de groupe et d'AD

• Possibilité d’ajout de paramètres personnalisés

Restauration des paramètres de Restauration des paramètres de sécuritésécurité

• Nécessité de pouvoir confirmer si un problème signalé est dû aux modèles de sécurité

• Si des retouches ont été apportées aux listes de contrôle d'accès, elles « marquent » le système de manière permanente, même si un objet Stratégie de groupe est utilisé.– Comment restaurer les permissions par défaut

initiales?

• Nécessité de pouvoir le faire sur un système autonome

SolutionSolution Restauration des paramètres de sécuritéRestauration des paramètres de sécurité

• Utiliser les fichiers INF appliqués dans le cadre de la configuration initiale du système d'exploitation :– Defltwk.inf– Defltdc.inf– Delftsv.inf

• Ces derniers peuvent être chargés comme tout autre modèle de sécurité : à l'aide de l'éditeur de configuration de sécurité MMC ou de secedit.exe

Outil d'analyse de la sécurité

Guides de sécurité duGuides de sécurité du groupe Solutions de sécurité de Microsoft• Windows 2000 Hardening Guide, guides de sécurité de

Windows XP et de Windows 2003 disponibles• Menaces et contremesures• Modèles de sécurité• Fichier sceregvl.inf personnalisé• Guides publiés pour tous les principaux systèmes

d'entreprise de Microsoft, comme Exchange 2003

• Meilleure source de bon sens, testée en clientèle, relative au verrouillage de sécurité

Ressources pour une configuration sécurisée : outils• Gestionnaire de configuration• Jeu de modèles de sécurité intégrable• Éditeur de configuration de sécurité intégrable• Secedit.exe • Module GPMC• Assistant de configuration de sécurité• Trousse de compatibilité des applications• Regmon et Filemon de Sysinternals

Questions et réponsesQuestions et réponses

blogs.technet.com/canitproblogs.technet.com/canitpro

© Microsoft Corporation, 2004. Tous droits réservés.Présentation réservée à des fins informatives. Microsoft n’offre aucune garantie, expresse ou implicite, dans ce document.

Votre potentiel. Notre passion.MC