11. Conclusion

 

Félicitations ! À présent que vous avez terminé la lecture de ce guide, vous avez une idée plus précise des principes à respecter et des techniques nécessaires à l'évaluation des risques susceptibles de porter atteinte à la sécurité des serveurs Microsoft® Windows® 2000 de votre organisation. Vous avez appris à élaborer un plan de sécurité et à intégrer à votre infrastructure les éléments de conception de sécurité requis afin de conserver un environnement sécurisé. Ce guide vous a proposé des conseils pratiques applicables à n'importe quelle organisation. Et pour illustrer la mise en œuvre d'un projet de sécurité au sein d'une entreprise, il s'est appuyé sur des exemples destinés à analyser les besoins en termes de sécurité de la société fictive Contoso.

Par ailleurs, afin que ce guide puisse proposer les meilleures pratiques actuellement en vigueur pour la sécurisation d'un environnement Windows 2000 Server, nous avons recueilli des informations auprès de consultants et d'ingénieurs système travaillant dans ce domaine et responsables de l'implémentation de solutions Windows 2000 Server dans un large éventail de configurations d'entreprise. L'objectif des chapitres 2 et 3 était de vous familiariser avec les concepts et la terminologie relatifs à la gestion des risques de sécurité, parmi lesquels les ressources, les menaces, l'évaluation des vulnérabilités, les exploitations et les contre-mesures. D'autres termes importants liés à la sécurité, tels que confidentialité, intégrité et authentification, ont également été expliqués. Le chapitre 4 s'attachait à décrire dans un premier temps l'environnement de la société Contoso et les tâches jugées indispensables par la société pour améliorer la sécurité de ses serveurs Windows 2000 avant de proposer une évaluation des ordinateurs Windows 2000 de Contoso et le plan détaillé mis au point pour pallier les vulnérabilités détectées.

Les chapitres 5, 6 et 7 présentaient, quant à eux, l'application pratique des concepts introduits au cours des chapitres précédents, en utilisant le scénario Contoso pour illustrer les compromis de sécurité auxquels la plupart des organisations sont confrontées en environnement réel. Des unités organisationnelles (OU, Organizational Unit) reposant sur le service d'annuaire Microsoft® Active Directory® ont été utilisées pour regrouper des serveurs d'après leur fonction principale. Ensuite, des objets Stratégie de groupe (GPO) ont été créés et liés à ces unités d'organisation afin de pouvoir appliquer simultanément plusieurs paramètres visant à renforcer la sécurité des serveurs et de mieux protéger ces derniers contre les attaques et l'accès non autorisé. Plusieurs autres outils, notamment l'outil IISLockdown et URLScan, ont également été employés pour renforcer la sécurité des systèmes de Contoso. Enfin, certaines procédures de renforcement de la sécurité des serveurs ont été effectuées manuellement.

Quel que soit l'environnement de votre organisation, la sécurité est un élément primordial qui mérite toute votre attention. Hélas, nombreuses sont les entreprises qui font peu de cas de la sécurité, la considérant à tort comme un frein à leur adaptabilité et à leur flexibilité. Lorsqu'une conception de sécurité efficace devient l'un des impératifs de gestion majeurs d'une entreprise et que cet aspect est pris en compte lors de la phase de planification initiale de tout projet informatique, une stratégie de sécurité correctement implémentée peut contribuer à améliorer la disponibilité et les performances de vos systèmes informatiques. En revanche, l'intégration tardive de la sécurité à un projet en cours peut nuire à la simplicité d'utilisation des systèmes, à leur stabilité et à leur souplesse d'administration, autant de raisons pour toute organisation de considérer la sécurité comme prioritaire et essentielle.

 

Vulnérabilités identifiées dans l'environnement de Contoso

Le chapitre 4 a identifié les vulnérabilités les plus sérieuses touchant les serveurs de la société Contoso. Un outil d'analyse des vulnérabilités a été exécuté sur le réseau de Contoso afin d'identifier les principaux problèmes posés par sa configuration. L'outil a répertorié une longue liste de vulnérabilités, classées par la suite en trois catégories de risque : élevé, moyen ou faible. Vous trouverez ci-dessous une analyse succincte des éléments de cette liste et des problèmes qui ont été résolus.

Dépassement de capacité de mémoire tampon

L'analyse a montré qu'un certain nombre de serveurs de Contoso risquaient d'être confrontés à des dépassements de capacité de mémoire tampon liés à Microsoft® Internet Information Services (IIS). Un dépassement de capacité de mémoire tampon est un type d'exploitation dont les pirates tirent parti pour accéder à un système. Dans ce cas précis, l'outil d'analyse a permis de découvrir qu'aucun correctif n'avait été appliqué pour pallier le dépassement de tampon lié aux extensions ISAPI ida et idq exploité par le ver Code Red. Un ver est un programme autonome qui se réplique automatiquement et consomme généralement de plus en plus de mémoire, jusqu'à ce que l'ordinateur tombe en panne.

Des vulnérabilités spécifiques liées au dépassement de capacité de mémoire tampon ont été éliminées par l'installation de Service Packs et de correctifs logiciels publiés par Microsoft et destinés à offrir des mesures de protection contre des vulnérabilités de ce type dans ces applications. De plus, les risques de voir un intrus exploiter ces vulnérabilités de dépassement de mémoire tampon ont été considérablement réduits. Pour cela, un certain nombre de contre-mesures ont été mises en place : citons notamment l'installation et la configuration d'URLScan, le déplacement de données, d'applications et de contenu Web vers un volume de stockage distinct de celui du système d'exploitation ainsi que la désactivation de services et d'applications inutiles.

Énumération NetBIOS

L'analyse a également fait apparaître la vulnérabilité de tous les serveurs de Contoso face à une attaque par énumération NetBIOS (Network Basic Input/Output System). NetBIOS utilise un partage par défaut pour IPC (InterProcess Communications). Par défaut, n'importe qui peut se connecter à ce partage : aucun nom d'utilisateur ou mot de passe ne doit être fourni. Si la création d'une session nulle (null session, connexion ne nécessitant ni nom d'utilisateur, ni mot de passe) au partage IPC$ d'un ordinateur ne donne pas le droit d'afficher des fichiers ou de contrôler des processus, elle permet de consulter une multitude d'informations système. Des utilisateurs malveillants peuvent exploiter cette vulnérabilité que représente la divulgation d'informations pour recueillir des données et les utiliser dans le cadre d'attaques ultérieures.

Le risque qu'un intrus exploite l'accès anonyme via NetBIOS a été réduit par l'implémentation de diverses contre-mesures, et notamment par l'activation d'une option de sécurité de la stratégie de groupe appelée Restrictions supplémentaires pour les connexions anonymes. L'accès aux canaux et aux partages de sessions nulles a été limité et le filtrage IPSec est désormais plus restrictif.

Énumération SNMP

Contoso utilise les services SNMP (Simple Network Management Protocol) sur les serveurs Windows 2000 pour la création de rapports sur les événements. Elle a toujours employé la chaîne par défaut « public », et l'équipe de sécurité a été surprise de découvrir qu'outre assurer la surveillance du matériel générique, SNMP permet également de retourner des informations sur d'autres aspects des ordinateurs d'une entreprise. Des intrus peuvent exploiter cette possibilité de divulgation d'informations pour recueillir des données et utiliser celles-ci dans le cadre d'agressions ultérieures.

SNMP est, par nature, un protocole peu sûr puisque les paquets de données réseau SNMP se présentent sous la forme de texte en clair, mais il n'en demeure pas moins un protocole de gestion des réseaux d'entreprise fort pratique. SNMP est une norme de l'industrie prise en charge par la plupart des systèmes d'exploitation réseau et des systèmes de gestion d'entreprise modernes. Le risque de voir ces informations sensibles divulguées par SNMP a été atténué par la modification de la chaîne de communauté SNMP sur tous les serveurs de Contoso. Une solution plus efficace pour protéger le trafic réseau SNMP consiste à implémenter le chiffrement IPSec entre les serveurs ; toutefois, ce chiffrement consomme une puissance de traitement considérable sur des serveurs déjà largement sollicités. Contoso envisage de remplacer les cartes réseau de ses serveurs par des cartes capables d'appliquer le chiffrement IPSec sans accroître la charge imposée aux processeurs de ces serveurs. Une fois ce nouveau matériel installé, la société Contoso implémentera le chiffrement IPSec pour la plupart de ses communications entre serveurs.

Énumération DNS

Les serveurs DNS (Domain Name System) de Contoso n'imposaient pas de restrictions aux transferts de zone. Si cette fonctionnalité de DNS n'est pas sécurisée, un intrus peut facilement mettre sur pied une attaque visant à obtenir des données d'un serveur DNS de l'organisation. Contoso utilise les services DNS intégrés à Active Directory dans Microsoft® Windows® 2000. DNS renferme une mine d'informations au sujet du domaine, y compris les noms des serveurs et les adresses IP (Internet Protocol), les services en cours d'exécution sur le réseau et les serveurs hébergeant des services spécifiques, comme les serveurs de catalogue global ou les contrôleurs de domaines.

Les serveurs DNS ont été configurés pour autoriser les transferts de zone uniquement vers une liste d'ordinateurs connus, de sorte qu'une attaque par énumération DNS devient bien plus difficile à orchestrer. Toute demande de transfert de zone à partir d'un serveur ne figurant pas dans la liste des ordinateurs autorisés sera ignorée. Une solution alternative consisterait à interdire purement et simplement les transferts de zone. Cette contre-mesure a toutefois été rejetée compte tenu de l'ampleur du réseau de Contoso et de l'existence d'une hiérarchie de serveurs DNS incluant des serveurs DNS secondaires situés dans des sites distants.

Mots de passe faiblement sécurisés

L'outil d'évaluation choisi par Contoso possède des fonctionnalités supplémentaires qui lui permettent d'effectuer des attaques par dictionnaire assez simples contre des comptes d'utilisateur et ce, afin d'identifier des mots de passe faiblement sécurisés. En outre, il examine les hachages de mots de passe dans la base de données du Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager) dans le but de déterminer si celle-ci comporte des mots de passe vides ou en double. La présence d'un grand nombre de mots de passe identiques permet à un intrus de savoir qu'il s'agit certainement du mot de passe attribué par défaut aux nouveaux comptes créés dans l'organisation, information précieuse qu'il est ensuite en mesure d'exploiter.

Les informations de la base de données SAM sont chiffrées mais, même sans essayer de craquer les mots de passe, il est facile d'identifier les mots de passe vides ou en double d'après leur hachage. Contoso ne disposant d'aucune stratégie de verrouillage des comptes, le nombre de tentatives possibles pour deviner les mots de passe est illimité. L'outil d'analyse a détecté un certain nombre de mots de passe correspondant simplement à des mots courants présents dans n'importe quel dictionnaire et donc susceptibles d'être découverts en un tournemain.

Dans le réseau de Contoso, les risques de craquage de mots de passe ont été réduits par l'implémentation de stratégies strictes de verrouillage des comptes et de mots de passe. L'implémentation de cartes à puce pour l'authentification des utilisateurs aurait constitué une solution plus efficace. Cependant, une infrastructure de clés publiques (PKI, Public Key Infrastructure) n'a pas encore été déployée dans l'environnement de Contoso, et la société ne dispose pas des ressources requises pour concevoir et implémenter cette infrastructure. Dans le futur, Contoso envisage de mettre en place une infrastructure PKI robuste qui sera intégrée à Active Directory en vue du déploiement progressif de cartes à puce.

Trafic SMB non chiffré

Par défaut, l'authentification par stimulation/réponse NTLM (Microsoft® Windows NT® LAN Manager) ne transmet jamais les données d'authentification LM (LanManager) ou de hachage NTLM sur le réseau. Toutefois, il existe des outils capables de surveiller le trafic généré par ces échanges et de recourir à une technique de « force brute » pour remonter jusqu'à la valeur de hachage LM initiale. Une fois les hachages obtenus, différents utilitaires peuvent être employés pour les craquer et révéler le mot de passe en texte clair.

Malheureusement, les quatre contre-mesures suivantes de signature et de chiffrement SMB ont dû être désactivées : Signer numériquement les communications client (toujours), Signer numériquement les communications client (lorsque cela est possible), Signer numériquement les communications serveur (toujours) et Signer numériquement les communications client (lorsque cela est possible).

La désactivation de ces options était en effet nécessaire pour garantir la compatibilité avec d'anciens systèmes d'exploitation et applications SMB. Contoso envisage de minimiser les risques d'exploitation de cette vulnérabilité en mettant à niveau tous ses systèmes vers Windows 2000, Microsoft® Windows® XP et Microsoft® Windows® Server 2003 au cours des dix-huit prochains mois. Une fois les mises à niveau terminées, l'équipe de sécurité de la société pourra activer les quatre paramètres. Elle est cependant consciente que ses serveurs les plus sollicités risquent de voir leurs performances diminuer du fait de cette configuration.

Si cette baisse de performances est excessive, elle désactivera les paramètres Signer numériquement les communications client (toujours) et Signer numériquement les communications serveur (toujours) sur tous les systèmes de la société. Elle désactivera en outre l'ensemble des quatre paramètres sur tous les serveurs présentant des problèmes de performances.

Une solution alternative consisterait à implémenter le chiffrement IPSec entre tous les ordinateurs, y compris les systèmes d'utilisateur final.

Audit inefficace

Parmi les serveurs analysés, nombreux sont ceux sur lesquels les paramètres d'audit définis n'étaient pas suffisants pour permettre l'identification des attaques potentielles. Par exemple, l'option Auditer les événements de connexion aux comptes n'était pas activée, alors qu’elle permet de déceler plus facilement les attaques par force brute contre les mots de passe.

Des paramètres d'audit appropriés ont été sélectionnés et appliqués aux serveurs de Contoso de sorte que les événements de sécurité significatifs sont effectivement enregistrés dans le journal des événements de sécurité tandis que d'autres, de moindre importance, ne sont pas pris en compte. La taille des journaux des événements a été accrue considérablement. Il est donc possible de conserver des entrées datant de plusieurs semaines dans les journaux, y compris ceux des serveurs aux niveaux d'activité les plus élevés.

Attaques de dénis de services non contrôlées

Une attaque de déni de service est une attaque qui empêche les utilisateurs d'accéder aux ressources. Il en existe plusieurs variantes, mais les plus courantes portent sur IIS ou sur les piles TCP/IP (Transmission Control Protocol/Internet Protocol) d'ordinateurs individuels. Plusieurs modifications ont été apportées aux ordinateurs de Contoso afin de minimiser les risques d'attaques de déni de service basées sur TCP/IP.

La pile réseau TCP/IP a également été renforcée par l'implémentation d'un certain nombre de valeurs d'entrées de Registre. Dans la mesure où ces entrées requises ne peuvent pas être configurées directement par l'intermédiaire de la stratégie de groupe, elles ont été ajoutées aux modèles de sécurité avant l'importation de ces derniers dans les objets Stratégie de groupe appropriés.

Parcours des répertoires IIS

Une analyse des serveurs IIS a mis en lumière la présence d'un problème courant lié au parcours des répertoires. En exploitant cette vulnérabilité, un pirate serait non seulement à même de consulter des informations telles que les structures de répertoires et les contenus des fichiers de l'ordinateur pris pour cible, mais il pourrait fort probablement écrire des fichiers et exécuter des commandes sur les serveurs.

Des vulnérabilités spécifiques liées au parcours de répertoires ont été éliminées par l'installation de Service Packs et de correctifs logiciels Microsoft recommandés. Les risques qu'un pirate puisse exploiter une nouvelle vulnérabilité de ce type ont également été réduits de façon considérable. Pour cela, URLScan a été configuré de façon à bloquer les demandes HTTP (HyperText Transfer Protocol) contenant des chaînes de caractères couramment utilisées lors d'attaques de ce genre. Parmi les autres contre-mesures prises pour pallier de tels risques, il faut citer le déplacement des données, des applications et du contenu Web vers un volume de stockage différent de celui du système d'exploitation, ainsi que la désactivation des services et applications superflus.

Résumé

Ce guide vous a présenté les procédures et techniques à mettre en œuvre en vue de l'évaluation, du classement par ordre de priorité et de l'atténuation des risques de sécurité dans un environnement Windows 2000 Server. Il décrit des méthodes de planification et de conception visant à sécuriser l'infrastructure réseau de votre organisation. En outre, il propose des instructions détaillées sur la manière de pallier des vulnérabilités souvent rencontrées sur les serveurs Windows 2000.

Comme l'explique ce guide, les choix réalisés reposent souvent sur une logique consistant à mettre en balance les avantages et les inconvénients de chacune des contre-mesures implémentées sur les serveurs de Contoso. Les répercussions des diverses contre-mesures appliquées ont également fait l'objet d'explications détaillées en termes de fonctionnalités, de facilité d'administration, de performances et de fiabilité des serveurs afin de vous aider à prendre des décisions éclairées sur les contre-mesures à implémenter dans votre propre environnement.

Enfin, il est important de bien comprendre que la sécurisation de serveurs de votre réseau n'est pas un projet ponctuel, mais un processus continu que les organisations doivent intégrer dans leurs budgets et calendriers. L'implémentation de toutes les contre-mesures décrites dans ce guide a pour effet d'améliorer la sécurité de la majorité des organisations dotées de serveurs Windows 2000. Cependant, ces environnements serveur ne sont pas à l'abri d'attaques si une nouvelle vulnérabilité vient à être mise au jour. Dès lors, il est essentiel de s'informer auprès de plusieurs sources d'informations pour connaître les derniers problèmes de sécurité associés aux systèmes d'exploitation, aux applications et aux périphériques présents dans votre environnement.

Tous les membres de l'équipe qui ont collaboré à l'élaboration de ce guide espèrent que vous avez trouvé ces informations utiles, pertinentes et claires.