Sécurité sous Windows 2000 Server

Transcription

1 Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN :

2 Table des matières Remerciements Les auteurs Préface V VII IX CHAPITRE 1 Introduction au dispositif de sécurité de Windows 2000 Server Bref aperçu de la sécurité sous Windows 2000 Server Livre blanc sur la sécurité sous Windows Pourquoi des changements en matière de sécurité? Nouveautés de Windows 2000 Server en matière de sécurité Problèmes et limitations Ce qui n a pas changé Considérations sur la mise à niveau/migration Plan de sécurité du réseau Test du plan de sécurité du réseau Procédure de mise à niveau/migration Analyse préliminaire Synthèse FAQ

3 XIV Table des matières CHAPITRE 2 Paramètres par défaut de contrôle des accès Introduction Le groupe Administrateurs Le groupe Utilisateurs Le groupe Utilisateurs avec pouvoir Configuration de la sécurité au cours de l installation de Windows Autorisations par défaut pour le système de fichiers et le Registre.. 17 Droits par défaut des utilisateurs Appartenance par défaut aux groupes Synthèse FAQ CHAPITRE 3 Authentification Kerberos Introduction Authentification sous Windows Avantages du système d authentification Kerberos Les normes Kerberos Modifications apportées par Microsoft au système Kerberos Le protocole Kerberos Concepts de base Sous-protocoles Tickets Kerberos et Windows Le Centre de distribution de clé, ou KDC (Key Distribution Center) Stratégie Kerberos Contenu d un ticket Microsoft Kerberos Délégation de l authentification Pré-authentification Fournisseurs de sécurité, ou SSP Mémoire cache d identification Résolution de noms DNS Ports UDP et TCP

4 Table des matières XV Données d autorisation KDC et données d autorisation Services et données d autorisation Synthèse FAQ CHAPITRE 4 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows Introduction La sécurité sous Windows NT La sécurité distribuée de Windows 2000 : tout un nouveau monde! Normes ouvertes Services de sécurité distribués de Windows Active Directory et la sécurité Avantages d une gestion des comptes via Active Directory Relation existant entre Active Directory et les services de sécurité Protocoles de sécurité de Windows Authentification NTLM Authentification Kerberos Paires de clés privées/publiques et certificats Autres protocoles pris en charge Ouverture de session unique (SSO) L interface SSPI (Security Support Provider Interface) Windows 2000 et la sécurité Internet Authentification de client via SSL Authentification d utilisateurs externes Services de certificats Microsoft CryptoAPI Accès inter-entreprises : partenaires distribués Synthèse FAQ

5 XVI Table des matières CHAPITRE 5 Jeu d outils de configuration de sécurité Introduction Vue d ensemble du Jeu d outils de configuration de sécurité Composants du Jeu d outils de configuration de sécurité Service de configuration et d analyse de la sécurité Configurations de sécurité Base de données de configuration et d analyse de la sécurité Zones de configuration et d analyse de la sécurité Interfaces utilisateur du Jeu d outils de configuration de sécurité Configuration de la sécurité Stratégies de comptes Stratégies locales Journal des événements Groupes restreints Sécurité du Registre Sécurité du système de fichiers Sécurité des services du système Analyse de la sécurité Stratégies de compte et locales Gestion des groupes restreints Sécurité du Registre Sécurité du système de fichiers Sécurité des services système Intégration des stratégies de groupe Configuration de la sécurité dans des objets de stratégie de groupe Autres stratégies de sécurité Utilisation des outils Utilisation du Service de configuration et d analyse de la sécurité Utilisation de l Extension Paramètres de sécurité de l Éditeur de stratégie de groupe Synthèse FAQ

6 Table des matières XVII CHAPITRE 6 Le système de fichiers cryptés (EFS) de Windows Introduction Utilisation d un système de cryptage des fichiers Principes fondamentaux du cryptage Principe du système de fichiers cryptés EFS Opérations utilisateur Cryptage de fichier Utilisation d un fichier crypté Copie d un fichier crypté Déplacement ou renommage d un fichier crypté Décryptage d un fichier L utilitaire Cipher Cryptage de dossier Opérations de récupération L architecture du système EFS Les composants du système EFS Le processus de cryptage Les informations de cryptage EFS Le processus de décryptage Synthèse FAQ CHAPITRE 7 Sécurité IP pour Microsoft Windows 2000 Server Introduction Méthodes d intrusion dans les réseaux Ecoute passive des données sur le réseau (snooping) Trucage de la source (spoofing) Vol de mots de passe Attaques par déni de services Ecoute par interposition non détectée Attaques dirigées contre des applications Compromission de clés Architecture IPSec Vue d ensemble des services cryptographiques de l architecture IPSec Services de sécurité IPSec Associations de sécurité et procédures IPSec de gestion de clés

7 XVIII Table des matières Déploiement de la sécurité IP Windows Evaluation des informations Identification de l «ennemi» Analyse des niveaux de sécurité requis Elaboration de stratégies de sécurité au moyen de consoles IPSec personnalisées Stratégies de sécurité flexibles Stratégies de négociation flexibles Filtres Création d une stratégie de sécurité Synthèse FAQ CHAPITRE 8 Cartes à puce Introduction Interopérabilité ISO 7816, EMV et GSM PC/SC Workgroup L approche Microsoft Smart Card Base Components (composants de base des cartes à puce) Fournisseurs de services Solutions avancées Authentification de clients Ouverture de session interactive par clé publique Courrier électronique sécurisé Synthèse FAQ CHAPITRE 9 Infrastructure à clé publique de Windows Introduction Concepts Techniques cryptographiques Cryptographie par clé publique : fonctionnalités Protection et certification des clés cryptographiques

8 Table des matières XIX Composants de l infrastructure à clé publique de Windows Autorités de certification Hiérarchies de certificats Déploiement des autorités de certification Approbation dans le cas de plusieurs hiérarchies de CA Activation des clients de domaines Génération de clés Récupération de clés Inscription de certificat Renouvellement de certificats Utilisation de clés et de certificats Itinérance Révocation Fiabilité Stratégie de sécurité pour l infrastructure à clé publique sous Windows Autorités de certification racine Inscription et révocation de certificats Ouverture de session par carte à puce Vue d ensemble des applications Sécurité Web Messagerie électronique sécurisée Signature numérique du code Système de fichiers cryptés, ou EFS (Encrypted File System) Ouverture de session par carte à puce Sécurité IP (IPSec) Préparation à la mise en œuvre d une infrastructure PKI avec Windows Synthèse FAQ CHAPITRE 10 La sécurité sous Windows 2000 Server en bref Introduction Que recouvre exactement la sécurité sous Windows 2000, et pourquoi faut-il le savoir? La sécurité informatique dans ses grandes lignes Les différents composants de la sécurité informatique

9 XX Table des matières Elaboration d une stratégie de sécurité Un peu d histoire : la sécurité sous Windows NT! Modifications importantes apportées à Windows NT Impact du dispositif de sécurité de Windows 2000 sur les industries et les entreprises Avantages et inconvénients du dispositif de sécurité de Windows Avantages de la sécurité sous Windows 2000 Server Inconvénients de la sécurité sous Windows 2000 Server Synthèse FAQ Index