OSSIR Groupe SWNT. Réunion du 2 avril Edelweb/Groupe ON-X Réunion OSSIR du 2 avril page 1

Transcription

1 OSSIR Groupe SWNT Réunion du 2 avril 2001 page 1

2 Ordre du jour Modalités 2001 (30 ) (30 ) Présentation de de la la sécurité Windows 2000 (1h) (1h) Présentation des des produits (2x45 ) Event Event Log Log Monitor (TNT (TNT Software) LogCaster (RippleTech) Revue des des vulnérabilités majeures de de Windows 2000 (30 ) (30 ) Point sur sur la la liste liste de de diffusion et et prochaine réunion page 2

3 1. Le groupe de travail Sécurité Windows page 3

4 1. Le groupe de travail Sécurité Windows Objectifs 2001 Calendrier 2001 Contenu des réunions // suggestions Choix des thèmes page 4

5 1. Le groupe de travail Sécurité Windows Objectifs 2001 Ce qui a changé :: Tous les les participants ont ont une une expérience NT4 NT4 NT4 NT4 est est voué à disparaître Proposition d objectifs pour 2001 :: Se Se former à Windows 2000 Nouvelles fonctionnalités de de sécurité Impact Impact des des outils outils tiers tiers sur sur la la sécurité Interopérabilité Windows et et autres autres Mutualiser les les expériences notamment concernant la la migration Répertorier les les vulnérabilités et et les les correctifs Changer le le nom du du groupe Relancer le le site site Web ( page 5

6 1. Le groupe de travail Sécurité Windows Calendrier 2001 Fréquence :: réunions mensuelles (à (à valider) Durée :: 3 h (à (à valider) Thèmes proposés :: Mai Mai :: EFS EFS et et produits de de chiffrement Juin Juin :: PCAnywhere Juillet :: Active Directory Intervenants Suggestions page 6

7 1. Le groupe de travail Sécurité Windows Contenu des réunions Proposition d ordre du du jour standard :: Retour d expérience (environ 1h) Présentation de de produits (environ 2h) Revue des nouvelles vulnérabilités Point sur la la liste de de diffusion (nt-securite) Volume :: environ messages par par semaine Exemple de de sujets abordés :: Sécurité SQL SQL Server Server 7 Interopérabilité Kerberos 5 Firewall sous sous NT NT Validation du du programme de de la la réunion suivante page 7

8 1. Le groupe de travail Sécurité Windows Proposition de thèmes (1/2) Accès RAS (*) (*) Active Directory (sécurité, interopérabilité) Administration Authentification (Kerberos, SmartCard, biométrie) Clustering et et haute disponibilité (*) (*) Conception d architectures (domaines, sites, DNS) Déploiement // migration PKI PKI (*) (*) Protection des des DLLs (WFP) Sauvegarde et et restauration Sécurité réseau et et protocoles (IPSec, NetBIOS) (*) (*) Stratégies et et groupes de de sécurité (GPO, SCTS) (*) (*) Système de de fichiers (EFS ;; éventuellement quotas, DFS, LDM) Terminal Server (*) (*) Thèmes pouvant être être traités traités par par EdelWeb page 8

9 1. Le groupe de travail Sécurité Windows Proposition de thèmes (2/2) Thèmes adjacents à Windows 2000 :: Exchange 2000 Exploitation du du kit kit de de ressources techniques (*) (*) IIS IIS (*) (*) ISA ISA Server (*) (*) Logiciels antivirus (Norton, McAfee) (*) (*) PCAnywhere Le Le service de de multidiffusion Windows Media Les Les améliorations de de Windows XP XP (ex-whistler) DLLs DLLs côte-à-côte Sessions persistantes Remote Desktop (Terminal Server ServerPersonal Edition) Intégration du du méta-annuaire VIA VIA (ZoomIt Corp.) Corp.) (*) (*) Thèmes pouvant être être traités traités par par EdelWeb page 9

10 2. Présentation de la sécurité Windows 2000 Par Nicolas RUFF (EdelWeb SA) page 10

11 2. Présentation de la sécurité W2K 2.1 Windows 2000 en en quelques mots 2.2 Revue des fonctions de de sécurité 2.3 Écueils 2.4 Journalisation page 11

12 2. Présentation de la sécurité W2K 2.1 L héritage de NT4 L identification des des objets (SID) L accès sécurisé aux aux fichiers (NTFS) = DACL, DACL, SACL SACL + Héritage des des permissions La La génération de de traces Toujours pas pas de de télécollecte La La base de de registre Apparition du du répertoire «Documents & Settings» Stocke Stocke les les profils profils utilisateurs, les les préférences, etc. etc. Le Le noyau de de sécurité Kerberos est est implémenté sous sous forme forme d authentication package supplémentaire La La GINA GINA doit doit être être modifiée pour pour chaque type type de de SmartCard (JavaCard, ISO-7816, ) ) Winlogon GINA LSA Authentication packages NetLogon CryptoAPI Security Account Manager page 12

13 2. Présentation de la sécurité W2K 2.1 Les nouveautés (1/3) Windows 2000 intègre les les Service Packs (jusqu au SP6a), les les hotfixes et et l Option Pack de de NT NT Outils Outils intégrés en en standard :: Terminal Terminal Server Server Moniteur Moniteur réseau réseau MMC MMC Un Un service d annuaire LDAP (Active Directory) Nouveaux objets système Groupes de de sécurité locaux locaux au au domaine et et universels Stratégies de de groupe regroupant toutes toutes les les stratégies de de sécurité Nouveaux outils d administration Gestionnaire d ordinateur (outil (outil d administration unique) SCTS SCTS (ex-sce) RunAs RunAs (permet d exécuter une une application dans dans le le contexte d un d un autre autre utilisateur) Interface MMC commune à tous les les outils page 13

14 2. Présentation de la sécurité W2K 2.1 Les nouveautés (2/3) Nouvelles propriétés du du système Droits Droits plus plus granulaires Existence Existence d un d un contrôle contrôle d accès d accès au au niveau niveau attribut attribut sur sur les les objets objets LDAP LDAP MAIS MAIS probablement probablement incompatible incompatible avec avec la la plupart plupart des des outils outils d administration d administration (d après (d après Microsoft) Microsoft) Délégation d administration Peu Peu exploitable exploitable en en pratique pratique car car non non tracé tracé et et absence absence de de fonction fonctioninverse inverse Nouveaux protocoles Mode Mode d authentification natif natif :: Kerberos v5 v5 (interopérabilité?)?) IPSEC IPSEC Pour Pour les les accès accès distants :: PPTP, PPTP, L2TP, L2TP, RADIUS Structure logique du du domaine décorrélée de de la la structure physique Unités Unités Organisationnelles (UO) (UO) NTFS v5 v5 Encrypted File File System (EFS) (EFS) Quotas, volumes dynamiques, points points de de montage page 14

15 2. Présentation de la sécurité W2K 2.1 Les nouveautés (3/3) Protection du du système améliorée Les Les DLL DLL système et et applications sont sont disjointes (WFP) (WFP) Gestion Gestion des des versions versions pas pas aussi aussi élaborée élaborée que que dans dans le le futur futur Windows Windows XP XP Permissions d accès par par défaut défaut renforcées PKI PKI Utilisateur Utilisateur NT4 NT4 = Utilisateur Utilisateur avec avec pouvoir pouvoir dans dans Windows Windows Les Les clés clés Run, Run, Debugger, Debugger, Uninstall Uninstall sont sont mieux mieux protégées protégées «Tout Tout le le monde monde» n a n a pas pas «contrôle contrôle total total» sur sur C:\WINNT C:\WINNT L utilisateur L utilisateur n a n a pas pas «contrôle contrôle total total» sur sur HKCU HKCU Intégrée de de manière native native au au système Requise par par IPSEC, IPSEC, Kerberos et et EFS EFS Attention Attention à la la mise mise en en œuvre œuvre des des agents agents de de recouvrement recouvrement EFS EFS qui qui requiert requiert l existence l existence d une d une autorité autorité racine racine d entreprise d entreprise Support SmartCard pour pour l authentification et et la la gestion des des certificats «Look & Feel Feel» Windows 9x 9x Interface plus plus intuitive (ex. (ex. ajout/suppression de de périphériques avec avec détection automatique des des nouveaux périphériques) Interface d administration unique unique et et personnalisable page 15

16 2. Présentation de la sécurité W2K 2.2 Structure des domaines Plusieurs niveaux de de structuration Structures logiques Les Les domaines domaines Les Les unités unités organisationnelles organisationnelles (UO) (UO) Les Les groupes groupes Structure physique Les Les sites sites Description Description de de la la topologie topologie du du réseau réseau et et des des coûts coûts de de transmission transmission Description Description manuelle, manuelle, indépendante indépendante des des tables tables de de routage routage Attention!! Par Par rapport à NT4, des des termes identiques peuvent parfois désigner des des concepts différents Les Les domaines Sont Sont basés basés sur sur la la hiérarchie hiérarchie DNS DNS Les Les groupes De De nouveaux nouveaux groupes groupes :: locaux locaux au au domaine, domaine, universels universels Un Un nouveau nouveau type type :: le le groupe groupe de de distribution distribution Contrôleurs de de domaine Plus Plus de de relation relation maître/esclave maître/esclave Réplication Réplicationmulti-maîtres page 16

17 2. Présentation de la sécurité W2K 2.2 Active Directory (1/3) Qu est-ce que Active Directory? Un Un annuaire des des objets système, accessible par par LDAP Disponible obligatoirement et et exclusivement sur sur les les contrôleurs de de domaine Un Un annuaire extensible Seuls Seuls ISA ISA Server Serveret et Exchange exploitent cette cette possibilité Sera probablement intégré au au méta-annuaire de de Windows XP XP A quoi sert Active Directory? Recense les les objets système Centralise de de la la gestion de de la la forêt (y (y compris la la sécurité) Participe à l authentification des des utilisateurs Remarque :: il il existe toujours une une base de de registre et et une une SAM sur sur toutes les les machines page 17

18 2. Présentation de la sécurité W2K 2.2 Active Directory (2/3) Que Que contient Active Directory? Les Les objets objets systèmes Stratégies Stratégies de de sécurité sécurité Unités Unités Organisationnelles Organisationnelles Groupes Groupes universels universels Profils Profils utilisateur utilisateur Certificats Certificats Les Les objets objets étendus (annuaire Exchange, etc.) etc.) Le Le schéma (( = description des des objets objets Active Active Directory) Comment fonctionne Active Directory? Basé Basé sur sur un un moteur Exchange (ESE) (ESE) Un Un fichier fichier NTDS.DIT sur sur chaque contrôleur de de domaine d environ à Mo Mo pour pour utilisateurs (estimation) Synchronisation des des données entre entre contrôleurs de de domaine Réplication Réplication différentielle différentielle dans dans un un domaine domaine ou ou complète complète entre entre domaines domaines Paramétrable Paramétrable (planning, (planning, périodicité, périodicité, mécanismes mécanismes :: IP, IP, RPC, RPC, SMTP) SMTP) Au Au moins moins un un serveur de de catalogue global global par par domaine, dont dont le le rôle rôle est est d indexer le le contenu des des autres autres catalogues de de domaine page 18

19 2. Présentation de la sécurité W2K 2.2 Active Directory (3/3) Sécurité d Active Directory ACLs au au niveau attribut sur sur les les objets Héritage des des ACLs Les Les ACLs sur sur les les objets ne ne sont pas pas les les ACLs sur sur leur leur représentation dans AD AD Les points faibles Volume de de réplication important Compter environ Mo Mo pour pour utilisateurs dans dans une une entreprise Réplication toutes toutes les les 3 minutes en en intra-site (par (par défaut) Réplication toutes toutes les les 3 heures heures en en inter-site (par (par défaut) défaut) Sécurité et et robustesse des des mécanismes de de réplication :: inconnu RPC, RPC, IP IP ou ou SMTP SMTP Le Le contrôle d accès au au niveau attribut peut engendrer des des problèmes avec les les services système et et les les outils d administration page 19

20 2. Présentation de la sécurité W2K 2.2 Stratégies de sécurité (1/2) Stratégies «classiques» Comptes Droits Droits Audit Audit Stratégies apparues avec Windows 2000 Options de de sécurité Personnalisables Personnalisables Permettent Permettent de de positionner positionner des des clés clés de de la la base base de de registre registre Paramètres du du journal journal des des évènements Groupes restreints Services système Registre Système de de fichiers Stratégies de de clé clé publique Stratégies de de sécurité IP IP Objets «Stratégies de de groupe» (Group Policy Objects) S appliquent à une une machine, un un utilisateur ou ou une une UO UO page 20

21 2. Présentation de la sécurité W2K 2.2 Stratégies de sécurité (2/2) Nouveautés Héritage des des stratégies Chargées au au moment du du boot boot // du du logon logon Rafraîchies périodiquement (toutes les les minutes par par défaut) défaut) Ordre d application des des stratégies Stratégies NT NT (NTConfig.pol) Stratégie locale locale Stratégies de de site site Stratégies de de domaine Stratégies d UO d UO Règles d application Les Les dernières stratégies écrasent les les premières Les Les stratégies les les plus plus restrictives sont sont appliquées lors lors de de l héritage Utiliser l outil l outil du du Kit Kit de de Ressources Techniques GPRESULT pour pour vérifier vérifier le le résultat de de l application des des stratégies page 21

22 2. Présentation de la sécurité W2K 2.3 Écueils Richesse fonctionnelle Active Active Directory et et méta-annuaires :: mise mise en en œuvre œuvre? Kerberos :: interopérabilité avec avec Unix Unix? EFS EFS :: quelle quelle stratégie de de recouvrement? PKI PKI :: exploitable dans dans des des outils outils tiers tiers? Migration de de l architecture Multi-domaines vs. vs. modèle «plat plat» avec avec UO UO Certains choix choix sont sont irréversibles Suppression Suppression de de domaines domaines Migration Mode Mode mixte mixte vs. vs. mode mode natif natif Migration des des applications Protection Protection renforcée renforcée des des clés clés de de la la base base de de registre registre Utiliser Utiliser l outil l outil du du Kit Kit de de Ressources Ressources Techniques Techniques :: APCOMPAT APCOMPAT Stabilité du du système Des Des améliorations notables par par rapport à NT4 NT4 Peu Peu de de retour retour d expérience page 22

23 2. Présentation de la sécurité W2K 2.4 Les différents journaux Journal sécurité Consigne les les messages issus des des stratégies d audit Par Par défaut, seuls les les processus système ont ont le le droit d écriture dans ce ce journal Journal système Consigne les les messages issus des des processus non non interactifs Tous les les processus ont ont le le droit d écrire dans ce ce journal Journal application Consigne les les messages issus des des applications Tous les les processus ont ont le le droit d écrire dans ce ce journal Journaux spécialisés «Directory Service» (activité du du moteur Active Directory) «DNS Server» Service de de réplication de de fichiers page 23

24 2. Présentation de la sécurité W2K 2.4 Les stratégies d audit Gestion des comptes Accès au service d annuaire Accès aux objets Suivi de processus Évènements de connexion Évènements de connexion aux comptes (Ouverture et fermeture de session) Évènements système Modifications de stratégie Utilisation des privilèges NT4 X X X X X X X 2000 X X X X X X X X X page 24

25 2. Présentation de la sécurité W2K 2.4 Exploitation des journaux (1/4) Une masse d information importante :: 6 journaux 9 stratégies d audit Les journaux doivent être :: Remontés Archivés Purgés Protégés Consolidés Analysés Déclencher des des alertes page 25

26 2. Présentation de la sécurité W2K 2.4 Exploitation des journaux (2/4) Remontée Chaque station et et chaque serveur d applications possède ses ses propres journaux Les Les contrôleurs de de domaine partagent des des entrées de de journalisation communes :: évènement «connexion à un un compte de de domaine» Les Les outils livrés avec Windows 2000 ne ne sont pas pas suffisants Archivage // Purge Stratégie de de rotation du du journal Effacer le le journal // arrêter arrêter la la journalisation :: risque risque de de perte perte d information Arrêter Arrêter le le système :: risque risque de de déni déni de de service Par Par défaut la la taille des des journaux se se situe autour de de Ko Ko Le Le journal de de sécurité a une une limite théorique de de 4 Go Go page 26

27 2. Présentation de la sécurité W2K 2.4 Exploitation des journaux (3/4) Protection Les Les actions d un d un administrateur malveillant sont sont difficilement traçables Utilitaire WinZapper permettant d effacer des des lignes lignes du du journal journal (Pas (Pas de de chaînage d intégrité) Les Les règles règles de de journalisation doivent elles elles aussi aussi être être protégées et et surveillées Consolidation des des journaux // Analyse Les Les outils outils livrés livrés avec avec Windows ne ne sont sont pas pas suffisants CyberSafe CyberSafeLog Log Analyst Analyst se se trouve trouve sur sur le le CD CD d installation d installation de de Windows Windows Resource Kit Kit Dumpel, Dumpel, Elogdmp Elogdmp Utilitaires gratuits ElDump, ElDump, ElSave, ElSave, ElFilter, ElFilter, etc. etc. Outils Outils commerciaux Event EventLog Log Monitor Monitor (TNT (TNT Software), Software), LogCaster LogCaster (RippleTech), (RippleTech), Centrax Centrax (CyberSafe), (CyberSafe), Event EventAdmin (Aelita), (Aelita), Syslog Syslog (Netal), (Netal), etc. etc. page 27

28 2. Présentation de la sécurité W2K 2.4 Exploitation des journaux (4/4) Déclenchement d alertes (exemples) Sessions non non fermées depuis une une date date donnée Évènements sans sans Peut Peut poser poser problème si si le le script script de de login login est est utilisé utilisé pour pour des des tâches tâches d administration (ex. (ex. mise mise à jour jour antivirus) Sessions multiples Comptes non non utilisés depuis une une date date donnée Penser à détruire ou ou verrouiller ces ces comptes Comptes verrouillés Tentative d attaque en en force force brute brute Altération des des fonctions d audit Changements de de stratégie Effacement du du journal journal page 28

29 3. Présentation de produits LogCaster (RippleTech) Contact : Richard SAMAMA (Amosdec) richard.samama@amosdec.fr page 29

30 4. Revue des vulnérabilités majeures de Windows 2000 page 30

31 4. Revue des vulnérabilités majeures (1/4) Installation et et droits par défaut L utilisateur a toujours contrôle total sur sur la la racine Exploits Autorun, Explorer, Les Les partages administratifs sont toujours présents IPC$, IPC$, ADMIN$, C$, C$, D$, D$, Les Les partages administratifs n ont pas pas de de mots de de passe jusqu au premier redémarrage Rebooter les les serveurs après après installation L installation automatique OEM laisse le le répertoire «All All Users» en en accès complet Vérifier les les permissions sur sur les les machines livrées livrées pré-installées Mots de de passe SYSKEY intégré en en standard Disparition de de PASSPROP Le Le compte administrateur ne ne peut plus plus être être verrouillé PWDUMP3 permet de de récupérer les les hashes des des mots de de passe page 31

32 4. Revue des vulnérabilités majeures (2/4) Services réseau Une Une majorité de de services réseau sont vulnérables à des des dénis de de service (Telnet, FTP, NetBIOS, DNS, Windows Media 7, 7, etc.) etc.) Désactiver les les services inutiles Partiellement corrigé avec avec le le SP1 SP1 Il Il est est possible de de récupérer le le hash du du mot mot de de passe utilisateur par par Telnet Patch Patch disponible (MS00-067) Le Le service DNS accepte des des réponses de de serveurs non non sollicités Positionner une une clé clé de de la la base base de de registre L agent IPSec utilise DES DES à la la place de de 3DES dans les les versions internationales Installer le le High High Encryption Pack Pack Exploits SYSTEM locaux «Named Pipes» (MS00-053) NetDDE (MS01-007) page 32

33 4. Revue des vulnérabilités majeures (3/4) Active Directory En En cas cas de de modifications concurrentes, seules seules les les modifications les les plus plus récentes sont sont prises prises en en compte Pas Pas de de correctif correctif prévu prévu avant avant Windows Windows XP XP L utilitaire «Configurer votre votre serveur» laisse laisse un un mot mot de de passe passe vide vide en en mode mode «Restauration des des services d annuaire» Patch Patch disponible disponible (MS00-099) (MS00-099) Attaques en en force force brute brute sur sur le le compte administrateur par par LDAP LDAP IIS IIS 5 Nombreuses vulnérabilités graves graves MS00-086, MS00-086, Les Les correctifs sont sont disponibles mais mais pas pas appliqués Tous Tous les les sites sites commerciaux «visités visités» récemment étaient étaient vulnérables FTP FTP Les Les restrictions d accès ne ne sont sont pas pas prises prises en en compte (Windows Pro Pro uniquement) page 33

34 4. Revue des vulnérabilités majeures (4/4) Audit Toujours pas pas de de séparation des des privilèges Utilitaire WinZapper permettant de de supprimer des des entrées du du journal de de sécurité Applications IE IE 5 Windows Media Index Server Office 2000 Compromission du du certificat Microsoft MS page 34

35 4. Revue des vulnérabilités majeures Vulnérabilités disparues Tous les SP et ethotfixes de de NT4 jusqu au SP6a ont été pris en en compte dans Windows 2000 Le Le compte Invité est verrouillé par défaut L accès «Invité» aux journaux système et et application peut être restreint Le Le déverrouillage d un poste suit la la stratégie de de verrouillage de de compte Les clés sensibles de de la la base de de registre sont mieux protégées par défaut Debugger Run, RunEx, RunOnce Uninstall page 35

36 5. Suites Point sur la la liste de de diffusion NT-SECURITE Prochaine réunion Date Lieu Lieu Thèmes Points divers page 36

37 Fin de la présentation page 37