La sécurité du poste de travail
La sécurité du poste de travail
Stephane SaunierTSP Sécurité
Microsoft France
Rappel de la complexité de la
tâche
Rappel de la complexité de la
tâche
Du périmètre réseau Du périmètre réseau … Au poste utilisateur… Au poste utilisateur
ServeursServeurs
SiègeSiège
PartenairePartenaire
AgenceAgence
Client distantClient distant
Un environnement connecté
Base sur un environnement physique
Contrôle d’accèsContrôle d’accèsbadgesbadges
CamérasCaméras
Dispositifs de suivi (RFID / Wifi Tracker)Dispositifs de suivi (RFID / Wifi Tracker)
Protection en cas de vol de matérielProtection en cas de vol de matérielLimiter la durée de réattribution des ressourcesLimiter la durée de réattribution des ressources
Se prévenir contre le vol d informationSe prévenir contre le vol d information
Plan de redémarragePlan de redémarrage
Un périmètre a contrôler
Pare-feu avec filtrage applicatif (ISA Server Pare-feu avec filtrage applicatif (ISA Server 2004)2004)
Mise en quarantaine des clients Mise en quarantaine des clients VPN (Windows Server 2003 ou ISA Server 2004)VPN (Windows Server 2003 ou ISA Server 2004)
En connexions filaire (NAP)En connexions filaire (NAP)
Publication de serveurs (reverse proxy), Publication de serveurs (reverse proxy), DMZDMZ
Un réseau a segmenter et surveiller
Segmentation (802.1x, VLAN)Segmentation (802.1x, VLAN)
IPSecIPSecIsolation de machinesIsolation de machines
Isolation de domainesIsolation de domaines
Filtre actif sur RouteursFiltre actif sur Routeurs
IDSIDS
Un parc de machines a gérer
Durcissement de chaque posteDurcissement de chaque posteDéploiement par GPO Déploiement par GPO
Gestion des mises à jour de sécurité Gestion des mises à jour de sécurité (WSUS)(WSUS)
Déploiement des correctifsDéploiement des correctifs
pilotagepilotage
Authentification forteAuthentification fortePKI + Carte a PucePKI + Carte a Puce
… Sur lesquels tournent des applications
Revue de codeRevue de code
Signature des applicationsSignature des applications
Réduction de la surface d’attaqueRéduction de la surface d’attaque
Education … Education …
… … SDL (SDL (Security Development LifecycleSecurity Development Lifecycle))
Utilisant des données
ACLACL
Chiffrement (EFS / S/MIME)Chiffrement (EFS / S/MIME)
Gestion de droits numériques en Gestion de droits numériques en entreprise (DRM)entreprise (DRM)
Le tout s’organisant autour d une politique de sécurité
Définition des grandes lignes de Définition des grandes lignes de protectionprotection
Éducation / formation des utilisateursÉducation / formation des utilisateursPrincipe du moindre privilègePrincipe du moindre privilège
Principe du besoin de savoirPrincipe du besoin de savoir
Bases du durcissement de
Windows XP
Bases du durcissement de
Windows XP
Sécurité de base Windows XP
Le minimum :Le minimum :Pare-feu personnelPare-feu personnel
Application des mises à jour de sécuritéApplication des mises à jour de sécurité
Antivirus à jourAntivirus à jour
Windows XP SP2 (Renforce la sécurité de Windows XP SP2 (Renforce la sécurité de composants comme IE)composants comme IE)
Logiciel de protection contre les SpyWare Logiciel de protection contre les SpyWare (Windows Defender)(Windows Defender)
Anti Phishing (Navigateur ou protection au Anti Phishing (Navigateur ou protection au niveau proxy)niveau proxy)
Guide de sécurité Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en
Menaces et contre-mesures
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B6ACF93-147A-4481-9346-F93A4081EEA8&displaylang=en
Durcissement XP
Positionner/déployer les options de Positionner/déployer les options de sécurité qui correspondent au type sécurité qui correspondent au type de poste.de poste.
Principe du moindre privilège.Principe du moindre privilège.
Réduction de la surface d’attaque Réduction de la surface d’attaque ( USB Key )( USB Key )
Pas de mise en veille prolongée Pas de mise en veille prolongée (hibernation)(hibernation)
Control des comportement de Logon
Interactive Logon: Do not display Interactive Logon: Do not display last user namelast user name
Interactive Logon: Number of Interactive Logon: Number of previous logons to cache (in case previous logons to cache (in case domain controller is not available)domain controller is not available)
Interactive Logon: Require Domain Interactive Logon: Require Domain Controller authentication to unlock Controller authentication to unlock workstationworkstation
Interactive Logon: Smart card Interactive Logon: Smart card removal behaviorremoval behavior
Control des options de sécurité Réseau
Network access: Do not allow anonymous Network access: Do not allow anonymous enumeration of SAM accounts and sharesenumeration of SAM accounts and sharesNetwork access: Do not allow storage of Network access: Do not allow storage of credentials or .NET Passports for network credentials or .NET Passports for network authenticationauthenticationNetwork security: Do not store LAN Network security: Do not store LAN Manager hash value on next password Manager hash value on next password changechange Network security: LAN Manager Network security: LAN Manager authentication level (authentication level (Send NTLMv2 response only\Send NTLMv2 response only\refuse LM and NTLMrefuse LM and NTLM))Network security: Minimum session Network security: Minimum session security for NTLM SSP based (including security for NTLM SSP based (including secure RPC) clients / servers : (secure RPC) clients / servers : (Require message Require message integrity - Require message confidentiality - Require NTLMv2 integrity - Require message confidentiality - Require NTLMv2 session security - Require 128-bit encryptionsession security - Require 128-bit encryption))
System cryptography: Use FIPS System cryptography: Use FIPS compliant algorithms for compliant algorithms for encryption, hashing, and signingencryption, hashing, and signing
Détermine si on restreint la couche Détermine si on restreint la couche Transport socket sécurise (TL/SS) au Transport socket sécurise (TL/SS) au support unique de la suite crypto support unique de la suite crypto TLS_RSA_WITH_3DES_EDE_CBC_SHA.TLS_RSA_WITH_3DES_EDE_CBC_SHA.
Paramètres de gestion des mots de passe (Au niveau domaine)
Paramètres Stratégies par défaut
Postes standards
Environnent Critique
Enforce password history 24 passwords 24 passwords 24 passwords
Maximum password age 42 Jours 90 Jours 90 Jours
Minimum password age 1 Jour 1 Jour 1 Jour
Minimum password length 7 caractères 8 caractères 12 Caractères
Password must meet complexity requirements
Activé Activé Activé
Store password using reversible encryption for all users in the domain
Désactivé Désactivé Désactivé
Paramètres de verrouillage
Parametres Stratégies par défaut Postes standards Environnent Critique
Account lockout duration
non défini 15 minutes 15 minutes
Account lockout threshold
0 tentative infructueuse
50 tentatives infructueuses
10 tentatives infructueuses
Reset account lockout counter after
non défini 15 minutes 15 minutes
Template administrative
Pour contrôler et durcirPour contrôler et durcirInternet ExplorerInternet Explorer
NetmeetingNetmeeting
MessengerMessenger
Media PlayerMedia Player
certain composants du systemcertain composants du system
… Par exemple
IE: Disable Automatic Install of Internet IE: Disable Automatic Install of Internet Explorer componentsExplorer components IE: Do not allow users to enable or disable add-IE: Do not allow users to enable or disable add-onsons IE: Allow software to run or install even if the IE: Allow software to run or install even if the signature is invalidsignature is invalid TS: Set client connection encryption levelTS: Set client connection encryption level OS: Turn off AutoplayOS: Turn off AutoplayOS: Restrictions for Unauthenticated RPC OS: Restrictions for Unauthenticated RPC clientsclientsOS: Prompt for password on resume from OS: Prompt for password on resume from hibernate / suspendhibernate / suspend
Setting additionnelles
… … Par modification de Par modification de Sceregvl.inf Sceregvl.inf et et réenregistrement de réenregistrement de Scecli.dllScecli.dll vous vous aller Controller de nouvelles aller Controller de nouvelles options localement ou a déployer options localement ou a déployer sur des ciblessur des cibles
… Mais aussi le Pare-feu
Deploying Windows Firewall Settings for Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2Microsoft Windows XP with Service Pack 2http://www.microsoft.com/technet/prodtechnol/winxppro/dehttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/default.mspxploy/depfwset/default.mspx
Appendix B: Netsh Command Syntax for the Appendix B: Netsh Command Syntax for the Netsh Firewall ContextNetsh Firewall Context((Deploying Windows Firewall Settings Without Deploying Windows Firewall Settings Without Group Policy)Group Policy)
Réglage des paramètres de Windows Réglage des paramètres de Windows Firewall dans le Service Pack 2 Windows XPFirewall dans le Service Pack 2 Windows XPhttp://support.microsoft.com/default.aspx?kbid=875357http://support.microsoft.com/default.aspx?kbid=875357
Clés USB (PodPhreaking)
HKEY_LOCAL_MACHINE\System\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \CurrentControlSet\Control \StorageDevicePolicies\StorageDevicePolicies\WriteProtectWriteProtect
DWORD= DWORD= 0 – 0 – Disabled Disabled 1 –1 – Enabled EnabledTransforme les clés USB en lecture seule Transforme les clés USB en lecture seule (attention, marche uniquement avec les clés (attention, marche uniquement avec les clés USB qui utilisent le driver USB Microsoft)USB qui utilisent le driver USB Microsoft)
D’autres solutions existent (3ces D’autres solutions existent (3ces parties)parties)
Désactivation CD, disquette, USB
Par désactivation de leurs pilotes Par désactivation de leurs pilotes ((KB555324)KB555324)
HOWTO: Use Group Policy to disable USB, CD-HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 driversROM, Floppy Disk and LS-120 drivershttp://http://support.microsoft.com/default.aspx?scidsupport.microsoft.com/default.aspx?scid=kb;en-us;555324&sd==kb;en-us;555324&sd=rss&spidrss&spid=3198=3198
Réduction de la surface d attaque
Contrôler service par service ce que Contrôler service par service ce que vous voulez démarrer sur le poste par vous voulez démarrer sur le poste par GPO.GPO.
Computer Configuration\Windows Settings\Security Computer Configuration\Windows Settings\Security Settings\System Services Settings\System Services
N utilisez pas vos postes avec des N utilisez pas vos postes avec des droits administrateursdroits administrateurs
Juste un rappel de ce qu’un compte Administrateur peut faire s’il est compromis :
Installer des rootkits en mode Installer des rootkits en mode noyaunoyauInstaller des keyloggers au Installer des keyloggers au niveau système (pour capture les niveau système (pour capture les mots de passe, y compris ceux mots de passe, y compris ceux saisis à l’ouverture de session)saisis à l’ouverture de session)Installer des contrôles ActiveX, y Installer des contrôles ActiveX, y compris des extensions de compris des extensions de l’explorateur ou d’IE (activité l’explorateur ou d’IE (activité courante pour les spywares)courante pour les spywares)Installer et démarrer des servicesInstaller et démarrer des servicesArrêter des services existants Arrêter des services existants (comme le pare-feu par exemple) (comme le pare-feu par exemple) Accéder à des données qui Accéder à des données qui appartiennent à d’autres appartiennent à d’autres utilisateursutilisateursFaire en sorte que du code Faire en sorte que du code s’exécute lorsqu’un autre s’exécute lorsqu’un autre utilisateur ouvrira une sessionutilisateur ouvrira une session
Remplacer des fichiers Remplacer des fichiers d’applications ou du système d’applications ou du système d’exploitation par des d’exploitation par des chevaux de Troiechevaux de TroieAccéder aux secrets LSA Accéder aux secrets LSA (dont les mots de passe des (dont les mots de passe des comptes de service du comptes de service du domaine servant)domaine servant)Désactiver ou désinstaller Désactiver ou désinstaller l’anti-virusl’anti-virusCréer ou modifier des Créer ou modifier des comptes utilisateurscomptes utilisateursRéinitialiser des mots de Réinitialiser des mots de passepasseModifier le fichier hosts et Modifier le fichier hosts et d’autres paramètres de d’autres paramètres de configuration du systèmeconfiguration du systèmeÉliminer ses traces dans le Éliminer ses traces dans le journal des événementsjournal des événementsRendre votre machine Rendre votre machine incapable de démarrerincapable de démarrer……
Protection de documents
Confidentialité et préservation des informations personnelles :Confidentialité et préservation des informations personnelles :Chiffrement de document, Chiffrement de document,
Contrôle d’accès au contenu (niveau objets),Contrôle d’accès au contenu (niveau objets),
Suppression des métadonnées du document.Suppression des métadonnées du document.((http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360))
Signatures numériques de documents et de macros :Signatures numériques de documents et de macros :Protection contre la modification du contenu d’un document ou d’une Protection contre la modification du contenu d’un document ou d’une macro (intégrité),macro (intégrité),
Authentification du créateur du document, de la macro ou de Authentification du créateur du document, de la macro ou de l’expéditeur d’un message électronique.l’expéditeur d’un message électronique.
Messagerie sécurisée
S/MIMES/MIMEImplique un déploiement de PKI (génération et Implique un déploiement de PKI (génération et distribution des clés). Assure le chiffrement et la distribution des clés). Assure le chiffrement et la signature des échanges.signature des échanges.
IRM (RMS)IRM (RMS)Adresse les problématiques de droit d usage de l Adresse les problématiques de droit d usage de l information. « Ne pas transférer »information. « Ne pas transférer »
RPC over HTTPSRPC over HTTPSDisponibilité étendue de la messagerie sans avoir Disponibilité étendue de la messagerie sans avoir a déployer des solutions de type VPN.a déployer des solutions de type VPN.
Protection des données
PermissionsPermissions
AuditAudit
EFS (Encrypting File System)EFS (Encrypting File System)Force liée à celle du mot de passe de Force liée à celle du mot de passe de session de l’utilisateursession de l’utilisateur
Gestion de droits numériques Gestion de droits numériques IRM/RMS (présentation séparée)IRM/RMS (présentation séparée)
Et finalement ne pas négliger le durcissement de l’authentificationAssocier un moyen que l on connaît a un Associer un moyen que l on connaît a un
moyen que l on possède pour prouver moyen que l on possède pour prouver son identité.son identité.
Carte à puceCarte à puceDoit faire partie des éléments nécessaires à Doit faire partie des éléments nécessaires à la vie d entreprise (Ouverture des portes, la vie d entreprise (Ouverture des portes, Moyen de paiement)Moyen de paiement)
Authentification bi facteur (SecureID Authentification bi facteur (SecureID Token)Token)
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
Top Related