L audit de sécurité des réseaux Windows avec WinReporter



Documents pareils
La gestion des correctifs de sécurité avec WinReporter et RemoteExec

Sécurité des réseaux Les attaques

Audits Sécurité. Des architectures complexes

Découvrir les vulnérabilités au sein des applications Web

UserLock Quoi de neuf dans UserLock? Version 8.5

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Concilier mobilité et sécurité pour les postes nomades

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Meilleures pratiques de l authentification:

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

IPS : Corrélation de vulnérabilités et Prévention des menaces

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

1 La visualisation des logs au CNES

Administration de systèmes

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

SECURIDAY 2013 Cyber War

Tutoriel sur Retina Network Security Scanner

Constat. Nicole DAUSQUE, CNRS/UREC

Projet Sécurité des SI

z Fiche d identité produit

Procédure d installation des logiciels EBP sous environnement MAGRET

Perdu dans la jungle des droits d accès?

Indicateur et tableau de bord

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

État Réalisé En cours Planifié

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Installation Windows 2000 Server

Formation en Sécurité Informatique


ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Bureau du vérificateur général. V.9. Sécurité des Active Directory

Sécurisation de Windows NT 4.0. et Windows 2000

LIVRE BLANC. Guide des fonctionnalités. Aperçu des avantages et des fonctions.

WinReporter Guide de démarrage rapide. Version 4

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Les menaces informatiques

AOLbox. Partage de disque dur Guide d utilisation. Partage de disque dur Guide d utilisation 1

Installation 1K-Serveur

Sécurité Informatique : Metasploit

Etat des lieux sur la sécurité de la VoIP

dans un contexte d infogérance J-François MAHE Gie GIPS

Créer et partager des fichiers

Les risques HERVE SCHAUER HSC

Gestion des incidents de sécurité. Une approche MSSP

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Sophos Computer Security Scan Guide de démarrage

Mise en place d une politique de sécurité

UserLock Guide de Démarrage rapide. Version 8.5

Guide d administration de Microsoft Exchange ActiveSync

Présentation du système MCAGED

Prise en main. Norton Ghost Pour trouver des informations supplémentaires. A propos de Norton Ghost

Guide de démarrage rapide

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Sécurisation du réseau

MSP Center Plus. Vue du Produit

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Gestion des Incidents SSI

NetCrunch 6. Superviser

La sécurité informatique

Procédure d'installation de SQL Server Express 2005

CAHIER DES CHARGES D IMPLANTATION

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

escan Entreprise Edititon Specialist Computer Distribution

Notions de sécurités en informatique

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Présentation Utilisation. VirtualBox. Firas Kraïem. 22 février 2014

Pilote KIP certifié pour AutoCAD. Guide de l utilisateur État de l imprimante KIP

Fiche Technique. Cisco Security Agent

Allocation de l adressage IP à l aide du protocole DHCP.doc

IBM Tivoli Compliance Insight Manager

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Sécurité. Tendance technologique

Trend Micro Deep Security

Présenté par : Mlle A.DIB

CHARTE INFORMATIQUE LGL

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Malveillances Téléphoniques

1. Aménagements technologiques 2. Installation de Microsoft SQL Server Microsoft SQL Server 2008 Service Pack 3

Virtualisation des postes de travail

BROCHURE TARIFAIRE Tarifs en vigueur à compter du 01 Septembre 2014

Auto réparation des postes de travail Comprendre et déployer les mises à jours de TSC avec OfficeScan Corporate 5.5

Détection d'intrusions et analyse forensique

Projet «Evolution» Référentiel d activités et de compétences : Administrer un parc informatique. Objectifs pédagogiques :

Dr.Web Les Fonctionnalités

Installation et mise en sécurité des postes de travail Windows

Procédure d installation des logiciels EBP sous environnement ESU4. Serveur SCRIBE ou Windows

Mise à jour de sécurité

Présentation du Serveur SME 6000

Transcription:

White Paper L audit de sécurité des réseaux Windows avec WinReporter Ce document présente comment les administrateurs réseaux et système peuvent tirer le meilleur parti de WinReporter, édité par IS Decisions, pour réaliser les contrôles de sécurité suivants : Détection de vulnérabilités Détection d intrusions système Recherche de preuves et analyses a posteriori TECHNOPÔLE IZARBEL - CRÉATICITÉ - BÂTIMENT A - BP 12-64210 BIDART (FRANCE) TEL. : +335.59.41.42.20 - FAX : +335.59.41.42.21 - info@isdecisions.com - www.isdecisions.com

WinReporter : un outil d audit polyvalent WinReporter est un logiciel permettant obtenir une vision globale et exhaustive d un réseau Windows. Il collecte l information relative aux serveurs et aux postes de travail du réseau, et propose 58 rapports prédéfinis concernant par exemple les matériels, les mises à jour logiciels, la gestion des licences, ou les contrôles de sécurité, L exploitation de ces rapports permet une administration rigoureuse des systèmes et du réseau. WinReporter va plus loin et offre la possibilité d exploiter plus finement toute information collectée au moyen de requêtes SQL personnalisées. Enfin, et bien que WinReporter soit un outil d administration généraliste, l étendue de ses possibilités lui permet de réaliser de véritables audits de sécurité. Ce document a pour objectif de mettre en évidence les fonctionnalités de WinReporter permettant mener à bien ces tâches bien particulières de sécurisation des systèmes et du réseau. Les principales menaces viennent de l intérieur Toutes les études disponibles prouvent que 80% des attaques réseaux sont perpétrées par des membres de l entreprise ou de l organisation victimes, agissant à partir d un poste de travail interne. Ceci est souvent la conséquence d une politique de sécurité interne laxiste ou inadaptée, voire inexistante : droits excessifs attribués aux utilisateurs, systèmes non «patchés», absence d audits de sécurité, etc. Cette situation rend les réseaux vulnérables à tout type d attaques, même les plus triviales. Un dicton fameux dans la communauté des hackers qualifie d ailleurs les réseaux d entreprise de durs à la périphérie et perméables à l intérieur. Afin de ramener ces risques à un niveau acceptable, des mesures particulières doivent être prises pour sécuriser le réseau. WinReporter peut aisément s acquitter de ces tâches. La valeur ajoutée de WinReporter La totalité de l information relative à la configuration des ordinateurs du réseau est collectée par WinReporter. Il donc possible de connaître dans les moindres détails la configuration matériel et logiciel de chaque ordinateur membre du réseau. De plus, WinReporter peut aussi rapatrier l ensemble des données des journaux d événements. L analyse des journaux d événements est la base de la surveillance du système, et cette procédure doit être clairement formalisée et régulièrement testée. Cependant la quantité d information à traiter est telle que peu d administrateurs consacre le temps nécessaire à une inspection minutieuse des journaux d événements. Si Windows produit une quantité impressionnante d informations sur le fonctionnement du système, il ne propose en revanche que très peu de moyens efficaces pour retrouver rapidement l information critique : Les informations pertinentes sont éparpillées sur l ensemble des machines du réseau. L information disponible n est pas suffisamment précise et explicite. En cas de perte d intégrité d une machine, l information propre à cette machine est perdue. Les possibilités de filtrage d événements et d édition de rapports sont insuffisantes. WinReporter comble ces lacunes, en offrant un moyen rapide et efficace pour consigner la totalité de l information dans une base de données centrale, l exploiter et éditer des rapports pertinents, et immédiatement exploitables. 2

WinReporter et l audit sécurité en fait un outil extrêmement puissant, capable de mener à bien les tâches sui- La grande polyvalence de WinReporter vantes : Détection de vulnérabilités Détection d intrusions système Recherche de preuves Gestion des vulnérabilités avec WinReporter La détection de vulnérabilités est le pilier central de la gestion du risque informatique. L administrateur doit évaluer de manière fiable et exhaustive les vulnérabilités de son réseau afin de les ramener à un niveau acceptable, ce qui est en général passablement complexe. Partant du principe qu un attaquant exploitera le maillon le plus faible dans la chaîne de la sécurité, l administrateur doit en effet considérer toutes les failles possibles, matérielles et logicielles, pouvant mettre en péril ses systèmes. L une des fonctionnalités cruciales de WinReporter est qu il récupère toutes les données de configuration des systèmes. Correctement interprétée, cette information permet ainsi de découvrir les failles exposant le système. Autrement dit, WinReporter donne une opportunité unique à l administrateur de prendre les mesures nécessaires avant qu un attaquant ne puisse exploiter les vulnérabilités de son réseau. WinReporter donne accès à toute l information sur la configuration des systèmes, en particulier dans les domaines suivants : Mises à jour manquantes : Service Packs et hotfixes installés Comment procéder : Reporter > Rapports > Windows > Versions & mise à jour > Versions & mise à jour de Windows Logiciels suspects : scanners, outils de chiffrement, logiciels d échange de fichiers Comment procéder : Reporter > Rapports > Logiciel > Politique Logicielle Comptes utilisateurs ou groupes suspects Comment procéder : Reporter > Rapports > Windows > Utilisateurs et groupes Reporter > Rapports > Windows > Analyse des comptes locaux Reporter > Rapports > Windows > Analyse des administrateurs locaux Découverte de périphériques non autorisés : modems, NIC, cartes sans fils, lecteurs de disquette Comment procéder : Reporter > Périphériques > Périphériques > carte réseau modem lecteur de disquette Répertoires partagés sans contrôle Comment procéder : Reporter > Rapports > Windows > Analyse des partages Reporter > Rapports > Windows > Permissions des partages Partitions de type FAT, pas de contrôle d accès Comment procéder : Reporter > Rapports > Général > Rapport Global > Partitions disques Services atypiques et/ou dangereux Comment procéder : Reporter > Rapports > Windows > Analyse des services 3

WinReporter permet aussi de contrôler le nombre de licences installées, et la présence de logiciels posant des problèmes potentiels de respect du copyright présents sur le réseau : Nombre de logiciels installés Comment procéder : Reporter > Rapports > Logiciel > Statistiques d installation Logiciels d échange de fichiers abusant des ressources réseau et important des fichiers illicites Comment procéder : Reporter > Rapports > Logiciel > Politique Logicielle Ces quelques exemples montrent bien que WinReporter de répondre au mieux à tous types d interrogations. a été conçu pour offrir une grande souplesse d utilisation afin Détection d intrusion système avec WinReporter Dans un système distribué, les journaux d événements sont répartis sur l ensemble des ordinateurs du réseau, ce qui rend leur analyse difficile et laborieuse. WinReporter comble également cette lacune, et tire le meilleur parti du système de journalisation d événements de Windows, en permettant d implémenter une efficace méthode de détection d intrusion système (HIDS). Il est nécessaire de rappeler qu un firewall ne constitue que la première ligne de défense d un réseau, et que, bien que nécessaire, celui-ci est à lui seul incapable d assurer totalement la sécurité du réseau. Une politique de sécurité sérieuse impose l utilisation de deux types de systèmes de détection d intrusion (réseaux et système), en plus du firewall. WinReporter peut efficacement implémenter la détection d intrusion système. Grâce à la souplesse de WinReporter, l administrateur peut aisément contrôler tous les événements survenus en local sur chaque ordinateur du réseau. De plus, ceci étant réalisé via l exploitation des mécanismes de journalisation standard de Windows, cette détection d intrusion n a pas d impact négatif sur les performances du système. WinReporter permet d avoir une vision globale et précise sur le fonctionnement du système, et des scans réguliers permettent de détecter tous types d événements sensibles tels que : Les événements de connexion et de déconnexion Comment procéder : Reporter > Rapports > Rapports d événement > Historique des sessions. Le suivi des processus Comment procéder : Reporter > Rapports > Rapports d événement > Suivi des processus Les événements d accès aux fichiers Comment procéder : Reporter > Rapports > Rapports d événement > Accès aux fichiers Les événements d arrêts et de démarrage Comment procéder : Reporter > Rapports > Rapports d événement > Arrêt et démarrages des machines Un suivi détaillé des événements de sécurité Comment procéder : Reporter > Rapports > Rapports d événement > Rapport générique Même les attaques les plus sophistiquées laissent des traces, et WinReporter est par conséquent l outil idéal pour rapidement détecter toutes intrusions ou tentatives d intrusions système. Il faut cependant souligner que les ordinateurs très sensibles exigent un contrôle en temps réel, et que WinReporter ne permet de détecter les événements suspects que lors des scans. EvenTrigger, autre logiciel édité par IS Decisions, répond spécifiquement à ce type de besoin, tous les événements suspects au niveau local est immédiatement notifiés au serveur central. 4

Recherche de preuves avec WinReporter Aucun réseau n est sécurisé à 100%. La sécurité des systèmes d information est un compromis délicat entre protection et facilité d usage, et tout système est donc susceptible d être tôt ou tard victime d une attaque. Une politique de sécurité efficace impose de prévoir des procédures à mettre en place après l occurrence d un problème de sécurité. Dans cette situation aussi WinReporter trouve sa place dans la trousse à outils de l administrateur, car il se révèle d une grande utilité pour analyser l attaque ayant déjà eu lieu. Scanner le réseau et sauvegarder l information régulièrement est indispensable pour identifier les responsabilités des utilisateurs, et obtenir des preuves recevables pour d éventuelles actions en justice. A titre d exemple, WinReporter permet à l administrateur de découvrir les détails des actions réalisées par un utilisateur donné : Quand et où il se connecta. Comment procéder: Reporter > Rapports > Rapport d événement > Historique des sessions Quels processus furent lancés Comment procéder: Reporter > Rapports > Rapport d événement > Suivi des processus Quels fichiers furent accédés, et de quelle manière Comment procéder: Reporter > Rapports > Rapport d événement > Accès aux fichiers L existence connue de ce type de contrôles responsabilise tous les utilisateurs, en particulier les membres du groupe administrateur. Recherche de preuves avec WinReporter Jusqu ici nous avons vu comment utiliser les rapports prédéfinis de WinReporter dans un contexte de sécurité informatique. Il faut cependant noter que les administrateurs avancés pourront réaliser des recherches beaucoup plus pointues. L administrateur a accès à la base de données non propriétaire de WinReporter : des requêtes SQL précises lui permettront à coup sûr de rapidement trouver l information critique dont il a besoin : Par exemple, un administrateur peut avoir besoin d identifier l utilisateur qui a exécuté le programme démarrant un service précis sur un ordinateur donné. Il s agit en effet d un moyen efficace de découvrir qui a installé une backdoor sur l ordinateur en question. WinReporter rend cette recherche triviale : Reporter > Tables > services et trouver le service suspect. La présence de fichiers ne respectant pas le copyright est un problème moins critique mais plus commun. Pour s assurer qu aucun fichier de type MP3 ne se trouve sur le réseau, l administrateur peut simplement exécuter la commande suivante : Reporter > Tables > Logiciel > realfiles, et chercher les fichiers de type *mp3. WinReporter peut étroitement collaborer avec des logiciels dédiés à la sécurité. La table netcards informe l administrateur de toutes les adresses MAC autorisées. Si un sniffer réseau détecte des paquets contenant des adresses MAC non conformes, il est très probable qu une attaque est en cours 5 Copyright 2008 IS Decisions. Tous droits réservés.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back