OSSIR Groupe Sécurité Windows Réunion du du 8 octobre 2001 page 1
Revue des dernières vulnérabilités de Windows 2000 Nicolas RUFF nicolas.ruff@edelweb.fr page 2
Dernières vulnérabilités Avis de de sécurité Microsoft depuis le le 10/09/2001 :: MS01-048 :: Déni Déni de de service RPC RPC (NT4 (NT4 uniquement) MS01-049 :: Déni Déni de de service sur sur OWA OWA par par une une requête malformée Code Blue // Code Green Vers Vers anti-«anti-«code Code Red Red» Virus W32/Nimda Nombreuses méthodes de de propagation Virus Virus de de messagerie messagerie Partages Partages réseau réseau Ver Ver IIS IIS Navigation Navigation sur sur site site Web Web compromis compromis Recherche Recherche les les backdoors backdoors Code Code Red Red Pas Pas de de charge charge destructive Virus W32/Vote page 3
Rédaction d un guide de sécurisation Windows 2000 Groupe Sécurité Windows page 4
Préambule (1/2) Validation de de l objectif et et de de la la démarche Calendrier Modalités de de travail page 5
Préambule (2/2) Guides de de référence «Hardening Windows 2000» NSA Présentation Risque(s) couvert(s) Action(s) à entreprendre Impact(s) Rôles Poste de de travail Serveur de de fichier // d impression Contrôleur de de domaine page 6
Plan du guide (1/2) Plan du du guide Recommandations générales Installation Sécurité physique Modes Modes dégradés Administration de de la la sécurité et et suivi suivi des des correctifs Base de de registre Gestion des des droits droits Clés Clés sensibles Système de de fichiers Gestion des des droits droits Audit Audit Fichiers et et commandes sensibles Sauvegarde et et restauration page 7
Plan du guide (2/2) Stratégies de de sécurité Comptes Droits Droits Audit Audit Services démarrés Accès réseau Authentification Accès Accès anonymes Configuration des des protocoles (NetBIOS, TCP/IP, Autres) Options diverses Verrouillage de de session Options de de sécurité Active Directory (DC (DC uniquement) Sécurité de de l annuaire Délégation d administration Stratégies de de groupe page 8
Annexes optionnelles Fonctions de de sécurité EFS EFS IPSEC Terminal Serveur (en (en mode administration) Serveurs particuliers DNS Accès distants DHCP WINS RIS RIS Certificate Server Applications courantes IIS IIS 5 Exchange 2000 page 9
Partie 1 : généralités (1/2) Installation Ne Ne pas pas faire de de mise à jour jour depuis Windows NT4 NT4 et/ou FAT FAT Sinon Sinon appliquer le le modèle «Setup Setup Security» (SCE) (SCE) Installer sur sur un un système de de fichiers NTFS Ne Ne pas pas faire de de multi-boot Isoler la la machine du du réseau lors lors de de l installation Risque(s) :: partages administratifs, intrusion avant avant application des des correctifs Sécurité physique Démarrer uniquement sur sur disque dur dur Désactiver les les fonctions APM (clavier // réseau) Protéger la la configuration du du BIOS par par mot mot de de passe Contrôler les les accès physiques (serveurs uniquement) page 10
Partie 1 : généralités (2/2) Modes dégradés Installer la la Recovery Console (serveurs uniquement) Protéger le le mode «Restauration des des services d annuaire» par par mot mot de de passe (serveurs uniquement) Administration de de la la sécurité S abonner à la la liste liste de de diffusion des des alertes Microsoft Évaluer le le besoin et et l impact des des correctifs (dans un un environnement hors production) Nommer au au moins deux administrateurs par par système Les Les administrateurs doivent disposer d un compte utilisateur non non privilégié et et utiliser au au maximum la la fonction RunAs Exploiter les les journaux d audit La La délégation d administration est est traitée dans le le chapitre «Active Directory» page 11
Questions / réponses Thèmes proposés pour la la prochaine réunion :: Suite de de la la présentation IP IP par par HSC Authentification forte (biométrie produit KeyWare) Date :: 12 12 novembre 2001 Questions // réponses page 12