====== Différences ======
Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.
|
securisation:windows [2014/11/23 16:25] r.doiteau [V - Habilitations pour les membres du groupe opérateur] |
securisation:windows [2019/05/11 14:35] (Version actuelle) |
||
|---|---|---|---|
| Ligne 2: | Ligne 2: | ||
| - | ---- | ||
| ==== 1 - Lister les groupes crées nativement par l'AD, Expliquer les droits attribués à : Remote Desktop users ==== | ==== 1 - Lister les groupes crées nativement par l'AD, Expliquer les droits attribués à : Remote Desktop users ==== | ||
| Ligne 11: | Ligne 10: | ||
| <note tip>http://technet.microsoft.com/fr-fr/library/cc743161.aspx</note> | <note tip>http://technet.microsoft.com/fr-fr/library/cc743161.aspx</note> | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| ==== 2 - Après dcpromo, que devient le compte administrateur local du serveur dc ?==== | ==== 2 - Après dcpromo, que devient le compte administrateur local du serveur dc ?==== | ||
| | | ||
| Après le dcpromo le compte administrateur local du serveur est promu, et devient le compte **administrateur du domaine.** | Après le dcpromo le compte administrateur local du serveur est promu, et devient le compte **administrateur du domaine.** | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| ==== 3 - Quels sont les problèmes fonctionnels liés au verrouillage de compte ?==== | ==== 3 - Quels sont les problèmes fonctionnels liés au verrouillage de compte ?==== | ||
| - | |||
| Si le compte se verrouille, il faut une opération humaine d'un opérateur, afin de déverrouiller le compte. | Si le compte se verrouille, il faut une opération humaine d'un opérateur, afin de déverrouiller le compte. | ||
| Ligne 32: | Ligne 22: | ||
| **Une stratégie de déverrouillage de compte au bout de 15 minutes, peut être mit en place, afin de palier à se problème.** | **Une stratégie de déverrouillage de compte au bout de 15 minutes, peut être mit en place, afin de palier à se problème.** | ||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ==== 4 - Comment s'effectue cette opération, en cas de de verrouillage, hors plage horaire du service informatique ? Que fait la commande gpupdate ? Pourquoi l'utiliser ?==== | ==== 4 - Comment s'effectue cette opération, en cas de de verrouillage, hors plage horaire du service informatique ? Que fait la commande gpupdate ? Pourquoi l'utiliser ?==== | ||
| Ligne 44: | Ligne 30: | ||
| Dans tout les cas, toute les 90 minutes la stratégie s'actualise | Dans tout les cas, toute les 90 minutes la stratégie s'actualise | ||
| - | |||
| - | ---- | ||
| - | |||
| ==== 5 - A quoi sert la commande rsop?==== | ==== 5 - A quoi sert la commande rsop?==== | ||
| Ligne 63: | Ligne 46: | ||
| | | ||
| **/R : affiche les données résumé** | **/R : affiche les données résumé** | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ==== 6 - Qu'est qu'un SID ? A quoi sert-il ?==== | ==== 6 - Qu'est qu'un SID ? A quoi sert-il ?==== | ||
| Ligne 88: | Ligne 66: | ||
| <note important>Ainsi, deux sid identiques apportent des problèmes authentification, l'outil sysprep permet la réinitialisation du sid </note> | <note important>Ainsi, deux sid identiques apportent des problèmes authentification, l'outil sysprep permet la réinitialisation du sid </note> | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ==== 7 - Où sont stockés les mots de passes sur :==== | ==== 7 - Où sont stockés les mots de passes sur :==== | ||
| Ligne 104: | Ligne 77: | ||
| <note tip>http://www.bellamyjc.fr/howto/pwdnt - {{:securisation:le_site_de_jcb.pdf|}}</note> | <note tip>http://www.bellamyjc.fr/howto/pwdnt - {{:securisation:le_site_de_jcb.pdf|}}</note> | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ==== 8 - Qu'est qu'un HASH LM ?==== | ==== 8 - Qu'est qu'un HASH LM ?==== | ||
| Ligne 115: | Ligne 83: | ||
| Ce type de hash est l'unique type de chiffrement utilisé dans LAN Manager et les versions du système d'exploitation Windows jusqu'à Windows Millenium. Il est aussi supporté dans les versions de Windows plus récentes pour permettre une compatibilité descendante. | Ce type de hash est l'unique type de chiffrement utilisé dans LAN Manager et les versions du système d'exploitation Windows jusqu'à Windows Millenium. Il est aussi supporté dans les versions de Windows plus récentes pour permettre une compatibilité descendante. | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ===Explication du principe de fonctionnement=== | ===Explication du principe de fonctionnement=== | ||
| Ligne 131: | Ligne 94: | ||
| Sur les dernières versions de Windows (XP, 2003, Vista, 2008 et 7), il est recommandé d'utiliser le format NT Lan Manager, plus performant que le format LM en termes de sécurité. | Sur les dernières versions de Windows (XP, 2003, Vista, 2008 et 7), il est recommandé d'utiliser le format NT Lan Manager, plus performant que le format LM en termes de sécurité. | ||
| - | |||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ===Pourquoi Préférez le NTLM v2 au NTLM v1=== | ===Pourquoi Préférez le NTLM v2 au NTLM v1=== | ||
| - | |||
| - | Les protocoles "LanManager" et "NTLM v1" ne sont pas sûrs et sont aujourd'hui totalement obsolètes d'un point de vue sécurité. En particulier, en écoutant les échanges faits entre le serveur et le client lors d'une authentification, il est possible avec ces protocoles de capturer l'empreinte du mot de passe de l'utilisateur (voir la référence [3] donnée en fin d'article). Cette empreinte capturée existe sous deux formats dans le monde Windows : | ||
| - | |||
| - | Le format propre à "LanManager" : on parle alors d'empreinte "LM". | ||
| - | |||
| - | Le format "NT" : on désigne souvent cette empreinte sous le nom d'empreinte "NTLM", mais (pour éviter la confusion entre les formats d'empreinte et le protocole d'authentification) nous utiliserons la dénomination d'empreinte "NT". | ||
| Ces faiblesses des protocoles "LanManager" et "NTML" font que, quelque soit la politique de sécurité de l'entreprise (sauf dans le cas où cette politique impose un mot de passe d'au moins 15 caractères, ce qui force alors Windows à ne plus utiliser "LanManager"), les mots de passes des comptes Windows ne seront pas sûrs et pourront être volés. Hors, pour des raisons de compatibilités, ces protocoles obsolètes sont toujours supportés par défaut sur Windows NT4, 2000, XP et 2003. Par exemple, un serveur Windows 2003 installé par défaut : | Ces faiblesses des protocoles "LanManager" et "NTML" font que, quelque soit la politique de sécurité de l'entreprise (sauf dans le cas où cette politique impose un mot de passe d'au moins 15 caractères, ce qui force alors Windows à ne plus utiliser "LanManager"), les mots de passes des comptes Windows ne seront pas sûrs et pourront être volés. Hors, pour des raisons de compatibilités, ces protocoles obsolètes sont toujours supportés par défaut sur Windows NT4, 2000, XP et 2003. Par exemple, un serveur Windows 2003 installé par défaut : | ||
| - | accepte d'utiliser les protocoles d'authentifications "LanManager" et "NTMLv1" | + | * accepte d'utiliser les protocoles d'authentifications "LanManager" et "NTMLv1" et stocke dans sa base de compte (Active Directory ou SAM) les empreintes "LM" des comptes (en plus des empreintes "NT"). |
| - | et stocke dans sa base de compte (Active Directory ou SAM) les empreintes "LM" des comptes (en plus des empreintes "NT"). | + | |
| Pour se protéger contre ces faiblesses, il est impératif de configurer les postes clients et les postes serveurs pour : | Pour se protéger contre ces faiblesses, il est impératif de configurer les postes clients et les postes serveurs pour : | ||
| - | refuser d'utiliser une authentification plus ancienne que "NTLM-V2" | + | *refuser d'utiliser une authentification plus ancienne que "NTLM-V2" ne pas stocker les mots de passe chiffrés (dans la base SAM ou l'Active Directory) sous forme de hash "LM" |
| - | ne pas stocker les mots de passe chiffrés (dans la base SAM ou l'Active Directory) sous forme de hash "LM" | + | |
| - | Nota : Ces règles de configuration sont impossibles à mettre en œuvre sur des configurations antérieures à Windows 2000 SP2 (et donc en particulier rendent impossible l'interopérabilité avec d'éventuels postes Windows 98). Ces règles de configuration sont incluses dans les guides de sécurisation publiés par Microsoft depuis 1998 | + | En effet, les mots de passe ne sont pas stockés en clair, ils sont transformés, par une fonction à sens unique afin de ne garder qu’un condensat (hash), ainsi dans les environnements ayant respecté les règles de bonnes configurations décrites en première partie de cet article (suppression de l'empreinte "LM" et interdiction des protocoles antérieurs à "NTLMv2"), le vol des mots de passe Windows pour un compte de domaine est à priori impossible, si les recommandations suivantes sont appliquées : |
| - | <note tip>http://www.cert-ist.com/public/fr/SO_detail?code=password_windows - {{:securisation:computer_emergency_response_team_-_industrie_services_et_tertiaire.pdf|}}</note> | + | * Les mots de passe choisis par les utilisateurs sont complexes (pour résister à des attaques par dictionnaires- bruteforce) |
| + | * Ces mots de passe ne sont pas également utilisés dans des environnements moins protégés. Par exemple il n'est pas souhaitable d'utiliser pour son compte de domaine le même mot de passe que pour un compte local (un compte local est plus facile à voler car la compromission d'un poste utilisateur est très souvent beaucoup plus facile que la compromission d'un contrôleur de domaine) ou que le mot de passe de messagerie (qui est souvent enregistré sur le poste de travail). | ||
| - | + | <note tip>http://www.cert-ist.com/public/fr/SO_detail?code=password_windows - {{:securisation:computer_emergency_response_team_-_industrie_services_et_tertiaire.pdf|}}</note> | |
| - | ---- | + | |
| ===Que penser de l'option "Send unencrypted password third party":=== | ===Que penser de l'option "Send unencrypted password third party":=== | ||
| Ligne 169: | Ligne 118: | ||
| - | + | {{:securisation:sstic2007-article-secrets_d_authentification_sous_windows-bordes.pdf|}} | |
| - | ---- | + | |
| - | + | ||
| - | + | ||
| ==== 9 - Créer un répertoire sur le serveur ==== | ==== 9 - Créer un répertoire sur le serveur ==== | ||
| Ligne 214: | Ligne 159: | ||
| ce sont les permissions les plus restrictives qui | ce sont les permissions les plus restrictives qui | ||
| s ’appliquent. | s ’appliquent. | ||
| - | |||
| //Ex: Soit un répertoire partagé **Solaris** | //Ex: Soit un répertoire partagé **Solaris** | ||
| - | * Permissions au niveau du partage : | + | Permissions au niveau du partage : |
| Tout le monde : Contrôle total | Tout le monde : Contrôle total | ||
| - | * Permissions NTFS locales : | + | Permissions NTFS locales : |
| Olmèques : LIRE | Olmèques : LIRE | ||
| Olmèques ne peut pas créer un fichier, il ne dispose que des droits de lecture// | Olmèques ne peut pas créer un fichier, il ne dispose que des droits de lecture// | ||
| - | **TP** | + | ===TP=== |
| - | ntfs : | + | **ntfs :** |
| * tout refuser pour le groupe invités | * tout refuser pour le groupe invités | ||
| Ligne 236: | Ligne 180: | ||
| {{:securisation:ntfs.png?400|}} | {{:securisation:ntfs.png?400|}} | ||
| - | smb: | + | **smb:** |
| * tout refuser pour le groupe invité | * tout refuser pour le groupe invité | ||
| Ligne 253: | Ligne 197: | ||
| {{:securisation:fw.png?400|}} | {{:securisation:fw.png?400|}} | ||
| - | |||
| - | |||
| - | ---- | ||
| - | |||
| ==== 10 - Mise à jour ==== | ==== 10 - Mise à jour ==== | ||
| Ligne 269: | Ligne 209: | ||
| <note tip>http://www.adminreseau.net/2009/09/07/installation-et-configuration-de-wsus-3-0-sp2/</note> | <note tip>http://www.adminreseau.net/2009/09/07/installation-et-configuration-de-wsus-3-0-sp2/</note> | ||
| - | |||
| - | |||
| - | |||
| - | |||
| ==== I - Sécurisation du BIOS ==== | ==== I - Sécurisation du BIOS ==== | ||
| Ligne 301: | Ligne 237: | ||
| conservation : 3 | conservation : 3 | ||
| | | ||
| - | {{:securisation:gpo1.png?400|}} | + | {{:securisation:gpo1.png|}} |
| <note>Editions ENI: Windows serveur 2008 page 52</note> | <note>Editions ENI: Windows serveur 2008 page 52</note> | ||
| Ligne 330: | Ligne 266: | ||
| <note>http://www.ssi.gouv.fr/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf - page 12</note> | <note>http://www.ssi.gouv.fr/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf - page 12</note> | ||
| - | ==== IV - PO : serveurs ==== | + | ==== IV - GPO : serveurs ==== |
| ===Renommage des comptes administrateurs locaux=== | ===Renommage des comptes administrateurs locaux=== | ||
| - | |||
| {{:securisation:gpo5.png?400|}} | {{:securisation:gpo5.png?400|}} | ||
| Ligne 356: | Ligne 291: | ||
| windows update : permet de pas télécharger les mises a jours des serveurs individuellement, les mises à jours seront installées sur le serveur, par un serveur de mises à jours (WSUS) | windows update : permet de pas télécharger les mises a jours des serveurs individuellement, les mises à jours seront installées sur le serveur, par un serveur de mises à jours (WSUS) | ||
| - | {{:securisation:gpo7.png?400|}} | + | {{:securisation:gpo7.png?400|}} |
| ===Renforcer la sécurité réseaux :=== | ===Renforcer la sécurité réseaux :=== | ||
| Ligne 366: | Ligne 301: | ||
| Application : | Application : | ||
| - | {{:securisation:gpo8.png?400|}} | + | {{:securisation:gpo8.png|}} |
| {{:securisation:gpo9.png?400|}} | {{:securisation:gpo9.png?400|}} | ||
| Ligne 382: | Ligne 317: | ||
| {{:securisation:gpo14.png?400|}} | {{:securisation:gpo14.png?400|}} | ||
| - | ===Affichage d'un d'avertissement au logon=== | + | ===Affichage d'un d'avertissement au login=== |
| {{:securisation:gpo16.png?400|}} | {{:securisation:gpo16.png?400|}} | ||
| Ligne 406: | Ligne 341: | ||
| {{:securisation:arret1.png?200|}} | {{:securisation:arret1.png?200|}} | ||
| - | {{:securisation:arret2.png?400|}} | + | {{:securisation:arret2.png|}} |
| ===Autorisation l'ajout et la suppression des comptes et des des groupes présent dans l' OU UTILISATEURS=== | ===Autorisation l'ajout et la suppression des comptes et des des groupes présent dans l' OU UTILISATEURS=== | ||
| Ligne 412: | Ligne 347: | ||
| Création d'une délégation de contrôle sur l'OU UTILISATEURS | Création d'une délégation de contrôle sur l'OU UTILISATEURS | ||
| - | {{:securisation:deleg1.png?400|}} | + | {{:securisation:deleg1.png|}} |
| {{:securisation:deleg2.png?400|}} | {{:securisation:deleg2.png?400|}} | ||
| Ligne 440: | Ligne 375: | ||
| ===Désactivation du compte administrateur du domaine=== | ===Désactivation du compte administrateur du domaine=== | ||
| - | {{:securisation:admin1.png?400|}} | + | {{:securisation:admin1.png?200|}} |
| Une OU propre au compte administrateur peut être créé afin d'isoler les droits propres à l'OU UTILISATEURS, | Une OU propre au compte administrateur peut être créé afin d'isoler les droits propres à l'OU UTILISATEURS, | ||
| Ligne 476: | Ligne 411: | ||
| {{:securisation:util4.png?400|}} | {{:securisation:util4.png?400|}} | ||
| - | Forcer l'écran de veille au bout de 5 minutes d'inactivité. Demander un mot de passe de sortie de veille=== | + | ===Forcer l'écran de veille au bout de 5 minutes d'inactivité. Demander un mot de passe de sortie de veille=== |
| {{:securisation:util5.png?400|}} | {{:securisation:util5.png?400|}} | ||
| - | |||
| ==== VIII - Habilitations pour les membres du groupe "INVITES" ==== | ==== VIII - Habilitations pour les membres du groupe "INVITES" ==== | ||
| Ligne 492: | Ligne 425: | ||
| Création d'une règles gpo, pour plus de visibilité une règle sera créée par éléments a superviser | Création d'une règles gpo, pour plus de visibilité une règle sera créée par éléments a superviser | ||
| - | {{:securisation:proxy.png?400|}} | + | {{:securisation:proxy.png|}} |
| {{:securisation:proxy1.png?400|}} | {{:securisation:proxy1.png?400|}} | ||
| Ligne 509: | Ligne 441: | ||
| <note important>Exécuter le script en administrateur</note> | <note important>Exécuter le script en administrateur</note> | ||
| - | {{:securisation:hor3.png?400|}} | + | {{:securisation:hor3.png?200|}} |
| - | {{:securisation:hor2.png?400|}} | + | {{:securisation:hor2.png|}} |
| {{:securisation:hor1.png?400|}} | {{:securisation:hor1.png?400|}} | ||
| ===Proposer une configuration restrictive du bureau et du menu Démarrer=== | ===Proposer une configuration restrictive du bureau et du menu Démarrer=== | ||
| + | Cette solution n'est utilisable que pour les sessions invités, en effet elle est trop restrictive pour un utilisateurs dit "classique" | ||
| + | |||
| + | En Effet les gpos appliquées ne permettent une utilisation avancée du poste de tavail. | ||
| + | |||
| + | //Exemple de restrictions de postes de travail// | ||
| + | |||
| + | {{:securisation:menu.png?400|}} | ||
| + | |||
| + | Dans cette exemple, seul la calculatrice en autorisée | ||
| + | |||
| + | {{:securisation:menu3.png?400|}} | ||
| + | |||
| + | Le rapport ci-dessous décrit les différents actions apportés aux profils | ||
| + | |||
| + | {{:securisation:restriction.pdf|}} | ||
| ===Mise en place des restrictions applicatives=== | ===Mise en place des restrictions applicatives=== | ||
| + | |||
| + | |||
| + | **Applocker** | ||
| + | |||
| + | Fonctionnalité de verrouillage d’application implémentée par Stratégies de Groupe | ||
| + | |||
| + | **Création de la GPO :** | ||
| + | |||
| + | La configuration d’Applocker se découpe en 3 parties : | ||
| + | |||
| + | * Le verrouillage des exécutables | ||
| + | |||
| + | * Le verrouillage des installations basées sur Windows Installer | ||
| + | |||
| + | * Le verrouillage de l’exécution de scripts | ||
| + | |||
| + | Il est nécessaire de créer un jeu de règles par défaut qui autoriseront certaines exécution. | ||
| + | |||
| + | ** Ainsi tout ce qui n'est pas explicitement autorisé est refuser.** | ||
| + | |||
| + | {{:securisation:app.png|}} | ||
| + | |||
| + | |||
| ==== IX - Expliquer les 4 types de règles disponibles dans les restrictions logicielles==== | ==== IX - Expliquer les 4 types de règles disponibles dans les restrictions logicielles==== | ||
| Ligne 570: | Ligne 540: | ||
| Pour intégrer une granularité supplémentaire vous pouvez positionner ces règles de zone Internet et ensuite ajouter des règles de plus grande priorité (voir plus haut) pour calquer le plus possible aux spécificités de votre infrastructure. | Pour intégrer une granularité supplémentaire vous pouvez positionner ces règles de zone Internet et ensuite ajouter des règles de plus grande priorité (voir plus haut) pour calquer le plus possible aux spécificités de votre infrastructure. | ||
| - | {{:securisation:logi.png?400|}} | + | {{:securisation:logi.png|}} |
| <note tip>http://www.labo-microsoft.org/articles/win/strategie_restriction/1/</note> | <note tip>http://www.labo-microsoft.org/articles/win/strategie_restriction/1/</note> | ||
| Ligne 584: | Ligne 554: | ||
| Elles permettent au système de ne pas se fonctionner correctement et de ne pas bloquer les utilisateurs par rapport au système, en effet l'option ** Non restreint ** est positionné | Elles permettent au système de ne pas se fonctionner correctement et de ne pas bloquer les utilisateurs par rapport au système, en effet l'option ** Non restreint ** est positionné | ||
| - | |||
| <note tip>http://msdn.microsoft.com/fr-fr/library/cc785321%28v=ws.10%29.aspx</note> | <note tip>http://msdn.microsoft.com/fr-fr/library/cc785321%28v=ws.10%29.aspx</note> | ||
| Ligne 604: | Ligne 573: | ||
| * Sensibiliser sur les mauvaises pratiques (post-it sur écran ou sous le clavier) | * Sensibiliser sur les mauvaises pratiques (post-it sur écran ou sous le clavier) | ||
| - | * Elaborer un PSSI | + | * Élaborer un PSSI |
| + | |||
| + | La politique de sécurité des systèmes d'information est un plan d'actions définies pour maintenir un certain niveau de sécurité. | ||
| + | |||
| + | La PSSI constitue le principal document de référence en matière de sécurité des systèmes d'information ( de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir. | ||
| + | |||
| + | {{:securisation:pssi-v1.pdf|}} | ||
| + | |||
| + | * Création d'une Cellule de veille (sécurité, risques, technologique) | ||
| + | |||
| + | 10 sites à suivre pour maintenir une veille sur la sécurité informatique | ||
| + | |||
| + | [[http://www.cyber-securite.fr/2010/12/28/les-10-sites-a-suivre-pour-une-veille-infosec/]] | ||
| - | * Cellule de veille | ||
| - | * | ||
