Félicitations !
À présent que vous avez terminé la lecture de ce guide, vous avez une idée plus
précise des principes à respecter et des techniques nécessaires à l'évaluation
des risques susceptibles de porter atteinte à la sécurité des serveurs
Microsoft® Windows® 2000 de votre organisation. Vous avez appris à
élaborer un plan de sécurité et à intégrer à votre infrastructure les éléments
de conception de sécurité requis afin de conserver un environnement sécurisé.
Ce guide vous a proposé des conseils pratiques applicables à n'importe quelle
organisation. Et pour illustrer la mise en œuvre d'un projet de sécurité au
sein d'une entreprise, il s'est appuyé sur des exemples destinés à analyser les
besoins en termes de sécurité de la société fictive Contoso.
Par
ailleurs, afin que ce guide puisse proposer les meilleures pratiques
actuellement en vigueur pour la sécurisation d'un environnement
Windows 2000 Server, nous avons recueilli des informations auprès de
consultants et d'ingénieurs système travaillant dans ce domaine et responsables
de l'implémentation de solutions Windows 2000 Server dans un large
éventail de configurations d'entreprise. L'objectif des chapitres 2 et 3
était de vous familiariser avec les concepts et la terminologie relatifs à la
gestion des risques de sécurité, parmi lesquels les ressources, les menaces,
l'évaluation des vulnérabilités, les exploitations et les contre-mesures.
D'autres termes importants liés à la sécurité, tels que confidentialité,
intégrité et authentification, ont également été expliqués. Le chapitre 4
s'attachait à décrire dans un premier temps l'environnement de la société
Contoso et les tâches jugées indispensables par la société pour améliorer la
sécurité de ses serveurs Windows 2000 avant de proposer une évaluation des
ordinateurs Windows 2000 de Contoso et le plan détaillé mis au point pour
pallier les vulnérabilités détectées.
Les
chapitres 5, 6 et 7 présentaient, quant à eux, l'application pratique des
concepts introduits au cours des chapitres précédents, en utilisant le scénario
Contoso pour illustrer les compromis de sécurité auxquels la plupart des
organisations sont confrontées en environnement réel. Des unités
organisationnelles (OU, Organizational Unit) reposant sur le service
d'annuaire Microsoft® Active Directory® ont été utilisées pour regrouper des
serveurs d'après leur fonction principale. Ensuite, des objets Stratégie de
groupe (GPO) ont été créés et liés à ces unités d'organisation afin de pouvoir
appliquer simultanément plusieurs paramètres visant à renforcer la sécurité des
serveurs et de mieux protéger ces derniers contre les attaques et l'accès non
autorisé. Plusieurs autres outils, notamment l'outil IISLockdown et URLScan,
ont également été employés pour renforcer la sécurité des systèmes de Contoso.
Enfin, certaines procédures de renforcement de la sécurité des serveurs ont été
effectuées manuellement.
Quel
que soit l'environnement de votre organisation, la sécurité est un élément
primordial qui mérite toute votre attention. Hélas, nombreuses sont les
entreprises qui font peu de cas de la sécurité, la considérant à tort comme un
frein à leur adaptabilité et à leur flexibilité. Lorsqu'une conception de
sécurité efficace devient l'un des impératifs de gestion majeurs d'une
entreprise et que cet aspect est pris en compte lors de la phase de
planification initiale de tout projet informatique, une stratégie de sécurité
correctement implémentée peut contribuer à améliorer la disponibilité et les
performances de vos systèmes informatiques. En revanche, l'intégration tardive
de la sécurité à un projet en cours peut nuire à la simplicité d'utilisation
des systèmes, à leur stabilité et à leur souplesse d'administration, autant de
raisons pour toute organisation de considérer la sécurité comme prioritaire et
essentielle.
Le
chapitre 4 a identifié les vulnérabilités les plus sérieuses touchant les
serveurs de la société Contoso. Un outil d'analyse des vulnérabilités a été
exécuté sur le réseau de Contoso afin d'identifier les principaux problèmes
posés par sa configuration. L'outil a répertorié une longue liste de
vulnérabilités, classées par la suite en trois catégories de risque :
élevé, moyen ou faible. Vous trouverez ci-dessous une analyse succincte des
éléments de cette liste et des problèmes qui ont été résolus.
L'analyse
a montré qu'un certain nombre de serveurs de Contoso risquaient d'être
confrontés à des dépassements de capacité de mémoire tampon liés à Microsoft®
Internet Information Services (IIS). Un dépassement de capacité de mémoire
tampon est un type d'exploitation dont les pirates tirent parti pour accéder à
un système. Dans ce cas précis, l'outil d'analyse a permis de découvrir qu'aucun
correctif n'avait été appliqué pour pallier le dépassement de tampon lié aux
extensions ISAPI ida et idq exploité par le ver Code Red. Un ver est un
programme autonome qui se réplique automatiquement et consomme généralement de
plus en plus de mémoire, jusqu'à ce que l'ordinateur tombe en panne.
Des
vulnérabilités spécifiques liées au dépassement de capacité de mémoire tampon
ont été éliminées par l'installation de Service Packs et de correctifs
logiciels publiés par Microsoft et destinés à offrir des mesures de protection
contre des vulnérabilités de ce type dans ces applications. De plus, les
risques de voir un intrus exploiter ces vulnérabilités de dépassement de
mémoire tampon ont été considérablement réduits. Pour cela, un certain nombre
de contre-mesures ont été mises en place : citons notamment l'installation
et la configuration d'URLScan, le déplacement de données, d'applications et de
contenu Web vers un volume de stockage distinct de celui du système
d'exploitation ainsi que la désactivation de services et d'applications
inutiles.
L'analyse
a également fait apparaître la vulnérabilité de tous les serveurs de Contoso
face à une attaque par énumération NetBIOS (Network Basic Input/Output
System). NetBIOS utilise un partage par défaut pour IPC (InterProcess
Communications). Par défaut, n'importe qui peut se connecter à ce
partage : aucun nom d'utilisateur ou mot de passe ne doit être fourni. Si
la création d'une session nulle (null
session, connexion ne nécessitant ni nom d'utilisateur, ni mot de passe) au
partage IPC$ d'un ordinateur ne donne pas le droit d'afficher des fichiers ou
de contrôler des processus, elle permet de consulter une multitude
d'informations système. Des utilisateurs malveillants peuvent exploiter cette vulnérabilité
que représente la divulgation d'informations pour recueillir des données et les
utiliser dans le cadre d'attaques ultérieures.
Le
risque qu'un intrus exploite l'accès anonyme via NetBIOS a été réduit
par l'implémentation de diverses contre-mesures, et notamment par l'activation
d'une option de sécurité de la stratégie de groupe appelée Restrictions
supplémentaires pour les connexions anonymes. L'accès aux canaux et aux
partages de sessions nulles a été limité et le filtrage IPSec est désormais plus
restrictif.
Contoso
utilise les services SNMP (Simple Network Management Protocol) sur les
serveurs Windows 2000 pour la création de rapports sur les événements.
Elle a toujours employé la chaîne par défaut « public », et l'équipe
de sécurité a été surprise de découvrir qu'outre assurer la surveillance du
matériel générique, SNMP permet également de retourner des informations sur
d'autres aspects des ordinateurs d'une entreprise. Des intrus peuvent exploiter
cette possibilité de divulgation d'informations pour recueillir des données et
utiliser celles-ci dans le cadre d'agressions ultérieures.
SNMP
est, par nature, un protocole peu sûr puisque les paquets de données réseau
SNMP se présentent sous la forme de texte en clair, mais il n'en demeure pas
moins un protocole de gestion des réseaux d'entreprise fort pratique. SNMP est
une norme de l'industrie prise en charge par la plupart des systèmes
d'exploitation réseau et des systèmes de gestion d'entreprise modernes. Le
risque de voir ces informations sensibles divulguées par SNMP a été atténué par
la modification de la chaîne de communauté SNMP sur tous les serveurs de
Contoso. Une solution plus efficace pour protéger le trafic réseau SNMP
consiste à implémenter le chiffrement IPSec entre les serveurs ;
toutefois, ce chiffrement consomme une puissance de traitement considérable sur
des serveurs déjà largement sollicités. Contoso envisage de remplacer les
cartes réseau de ses serveurs par des cartes capables d'appliquer le
chiffrement IPSec sans accroître la charge imposée aux processeurs de ces
serveurs. Une fois ce nouveau matériel installé, la société Contoso
implémentera le chiffrement IPSec pour la plupart de ses communications entre
serveurs.
Les
serveurs DNS (Domain Name System) de Contoso n'imposaient pas de
restrictions aux transferts de zone. Si cette fonctionnalité de DNS n'est pas
sécurisée, un intrus peut facilement mettre sur pied une attaque visant à
obtenir des données d'un serveur DNS de l'organisation. Contoso utilise les
services DNS intégrés à Active Directory dans Microsoft® Windows® 2000.
DNS renferme une mine d'informations au sujet du domaine, y compris les noms
des serveurs et les adresses IP (Internet Protocol), les services en
cours d'exécution sur le réseau et les serveurs hébergeant des services
spécifiques, comme les serveurs de catalogue global ou les contrôleurs de
domaines.
Les
serveurs DNS ont été configurés pour autoriser les transferts de zone
uniquement vers une liste d'ordinateurs connus, de sorte qu'une attaque par
énumération DNS devient bien plus difficile à orchestrer. Toute demande de
transfert de zone à partir d'un serveur ne figurant pas dans la liste des
ordinateurs autorisés sera ignorée. Une solution alternative consisterait à interdire
purement et simplement les transferts de zone. Cette contre-mesure a toutefois
été rejetée compte tenu de l'ampleur du réseau de Contoso et de l'existence
d'une hiérarchie de serveurs DNS incluant des serveurs DNS secondaires situés
dans des sites distants.
L'outil
d'évaluation choisi par Contoso possède des fonctionnalités supplémentaires qui
lui permettent d'effectuer des attaques par dictionnaire assez simples contre
des comptes d'utilisateur et ce, afin d'identifier des mots de passe faiblement
sécurisés. En outre, il examine les hachages de mots de passe dans la base de
données du Gestionnaire de comptes de sécurité (SAM, Security Accounts
Manager) dans le but de déterminer si celle-ci comporte des mots de passe
vides ou en double. La présence d'un grand nombre de mots de passe identiques
permet à un intrus de savoir qu'il s'agit certainement du mot de passe attribué
par défaut aux nouveaux comptes créés dans l'organisation, information
précieuse qu'il est ensuite en mesure d'exploiter.
Les
informations de la base de données SAM sont chiffrées mais, même sans essayer
de craquer les mots de passe, il est facile d'identifier les mots de passe
vides ou en double d'après leur hachage. Contoso ne disposant d'aucune stratégie
de verrouillage des comptes, le nombre de tentatives possibles pour deviner les
mots de passe est illimité. L'outil d'analyse a détecté un certain nombre de
mots de passe correspondant simplement à des mots courants présents dans
n'importe quel dictionnaire et donc susceptibles d'être découverts en un
tournemain.
Dans
le réseau de Contoso, les risques de craquage de mots de passe ont été réduits
par l'implémentation de stratégies strictes de verrouillage des comptes et de
mots de passe. L'implémentation de cartes à puce pour l'authentification des
utilisateurs aurait constitué une solution plus efficace. Cependant, une
infrastructure de clés publiques (PKI, Public Key Infrastructure) n'a
pas encore été déployée dans l'environnement de Contoso, et la société ne
dispose pas des ressources requises pour concevoir et implémenter cette
infrastructure. Dans le futur, Contoso envisage de mettre en place une
infrastructure PKI robuste qui sera intégrée à Active Directory en vue du
déploiement progressif de cartes à puce.
Par
défaut, l'authentification par stimulation/réponse NTLM (Microsoft® Windows
NT® LAN Manager) ne transmet jamais les données d'authentification LM (LanManager)
ou de hachage NTLM sur le réseau. Toutefois, il existe des outils capables de
surveiller le trafic généré par ces échanges et de recourir à une technique de
« force brute » pour remonter jusqu'à la valeur de hachage LM
initiale. Une fois les hachages obtenus, différents utilitaires peuvent être
employés pour les craquer et révéler le mot de passe en texte clair.
Malheureusement,
les quatre contre-mesures suivantes de signature et de chiffrement SMB ont dû
être désactivées : Signer numériquement les communications client
(toujours), Signer numériquement les communications client (lorsque cela
est possible), Signer numériquement les communications serveur
(toujours) et Signer numériquement les communications client (lorsque
cela est possible).
La
désactivation de ces options était en effet nécessaire pour garantir la
compatibilité avec d'anciens systèmes d'exploitation et applications SMB.
Contoso envisage de minimiser les risques d'exploitation de cette vulnérabilité
en mettant à niveau tous ses systèmes vers Windows 2000, Microsoft®
Windows® XP et Microsoft® Windows® Server 2003 au cours des dix-huit
prochains mois. Une fois les mises à niveau terminées, l'équipe de sécurité de
la société pourra activer les quatre paramètres. Elle est cependant consciente
que ses serveurs les plus sollicités risquent de voir leurs performances
diminuer du fait de cette configuration.
Si
cette baisse de performances est excessive, elle désactivera les paramètres Signer
numériquement les communications client (toujours) et Signer
numériquement les communications serveur (toujours) sur tous les systèmes
de la société. Elle désactivera en outre l'ensemble des quatre paramètres sur
tous les serveurs présentant des problèmes de performances.
Une
solution alternative consisterait à implémenter le chiffrement IPSec entre tous
les ordinateurs, y compris les systèmes d'utilisateur final.
Parmi
les serveurs analysés, nombreux sont ceux sur lesquels les paramètres d'audit
définis n'étaient pas suffisants pour permettre l'identification des attaques
potentielles. Par exemple, l'option Auditer les événements de connexion aux
comptes n'était pas activée, alors qu’elle permet de déceler plus
facilement les attaques par force brute contre les mots de passe.
Des
paramètres d'audit appropriés ont été sélectionnés et appliqués aux serveurs de
Contoso de sorte que les événements de sécurité significatifs sont
effectivement enregistrés dans le journal des événements de sécurité tandis que
d'autres, de moindre importance, ne sont pas pris en compte. La taille des
journaux des événements a été accrue considérablement. Il est donc possible de
conserver des entrées datant de plusieurs semaines dans les journaux, y compris
ceux des serveurs aux niveaux d'activité les plus élevés.
Une
attaque de déni de service est une attaque qui empêche les utilisateurs
d'accéder aux ressources. Il en existe plusieurs variantes, mais les plus
courantes portent sur IIS ou sur les piles TCP/IP (Transmission Control
Protocol/Internet Protocol) d'ordinateurs individuels. Plusieurs
modifications ont été apportées aux ordinateurs de Contoso afin de minimiser
les risques d'attaques de déni de service basées sur TCP/IP.
La
pile réseau TCP/IP a également été renforcée par l'implémentation d'un certain
nombre de valeurs d'entrées de Registre. Dans la mesure où ces entrées requises
ne peuvent pas être configurées directement par l'intermédiaire de la stratégie
de groupe, elles ont été ajoutées aux modèles de sécurité avant l'importation
de ces derniers dans les objets Stratégie de groupe appropriés.
Une
analyse des serveurs IIS a mis en lumière la présence d'un problème courant lié
au parcours des répertoires. En exploitant cette vulnérabilité, un pirate
serait non seulement à même de consulter des informations telles que les
structures de répertoires et les contenus des fichiers de l'ordinateur pris
pour cible, mais il pourrait fort probablement écrire des fichiers et exécuter
des commandes sur les serveurs.
Des
vulnérabilités spécifiques liées au parcours de répertoires ont été éliminées
par l'installation de Service Packs et de correctifs logiciels Microsoft
recommandés. Les risques qu'un pirate puisse exploiter une nouvelle
vulnérabilité de ce type ont également été réduits de façon considérable. Pour
cela, URLScan a été configuré de façon à bloquer les demandes HTTP (HyperText
Transfer Protocol) contenant des chaînes de caractères couramment utilisées
lors d'attaques de ce genre. Parmi les autres contre-mesures prises pour
pallier de tels risques, il faut citer le déplacement des données, des
applications et du contenu Web vers un volume de stockage différent de celui du
système d'exploitation, ainsi que la désactivation des services et applications
superflus.
Ce
guide vous a présenté les procédures et techniques à mettre en œuvre en vue de
l'évaluation, du classement par ordre de priorité et de l'atténuation des
risques de sécurité dans un environnement Windows 2000 Server. Il décrit
des méthodes de planification et de conception visant à sécuriser
l'infrastructure réseau de votre organisation. En outre, il propose des
instructions détaillées sur la manière de pallier des vulnérabilités souvent
rencontrées sur les serveurs Windows 2000.
Comme
l'explique ce guide, les choix réalisés reposent souvent sur une logique
consistant à mettre en balance les avantages et les inconvénients de chacune
des contre-mesures implémentées sur les serveurs de Contoso. Les répercussions
des diverses contre-mesures appliquées ont également fait l'objet d'explications
détaillées en termes de fonctionnalités, de facilité d'administration, de
performances et de fiabilité des serveurs afin de vous aider à prendre des
décisions éclairées sur les contre-mesures à implémenter dans votre propre
environnement.
Enfin,
il est important de bien comprendre que la sécurisation de serveurs de votre
réseau n'est pas un projet ponctuel, mais un processus continu que les
organisations doivent intégrer dans leurs budgets et calendriers.
L'implémentation de toutes les contre-mesures décrites dans ce guide a pour
effet d'améliorer la sécurité de la majorité des organisations dotées de
serveurs Windows 2000. Cependant, ces environnements serveur ne sont pas à
l'abri d'attaques si une nouvelle vulnérabilité vient à être mise au jour. Dès
lors, il est essentiel de s'informer auprès de plusieurs sources d'informations
pour connaître les derniers problèmes de sécurité associés aux systèmes
d'exploitation, aux applications et aux périphériques présents dans votre
environnement.
Tous
les membres de l'équipe qui ont collaboré à l'élaboration de ce guide espèrent
que vous avez trouvé ces informations utiles, pertinentes et claires.