6. Renforcement de la sécurité du serveur Windows 2000 de base

 

Au cours de chapitres précédents, nous avons découvert des procédures de renforcement de la sécurité à appliquer à tous les serveurs de Contoso, la société fictive utilisée comme scénario dans ce guide pour illustrer les stratégies et les procédures nécessaires à la sécurisation des serveurs Microsoft® Windows® 2000 d'une entreprise.

Le présent chapitre explique les paramètres de base appliqués aux serveurs membres de Contoso. Les modifications requises pour des rôles de serveur spécifiques sont décrites en détail au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ». Ces rôles sont notamment les suivants : serveur de fichiers et d'impression, serveur Web et serveur d'infrastructure. La plupart des paramètres figurant dans la stratégie de base des serveurs membres (MSBP, Member Server Baseline Policy) sont également appliqués au rôle de serveur contrôleur de domaine. Les différences entre la stratégie de base des serveurs membres et la stratégie des contrôleurs de domaines sont expliquées au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ».

Le recours à une stratégie de groupe permet d'appliquer les modifications voulues à la configuration par défaut de Windows 2000 Server. Pour les serveurs membres de ce scénario, les paramètres de la stratégie de groupe sont stockés dans le modèle de sécurité Baseline.inf. Ce modèle est importé dans la stratégie de base des serveurs membres, laquelle est liée à l'unité d'organisation (OU, Organizational Unit) Serveur membre.

La stratégie de base des serveurs membres représente une partie de la stratégie de gestion du risque qui est principalement axée sur les paramètres communs à tous les serveurs membres, notamment ceux qui ont trait aux stratégies d'audit, à la configuration des services, aux stratégies qui limitent l'accès au Registre, au système de fichiers et d'autres paramètres de sécurité spécifiques.

L'emplacement des objets dans le service d'annuaire Microsoft® Active Directory® de Contoso est illustré par la figure ci-dessous.

Figure 6.1

Le modèle de sécurité Baseline.inf est importé dans la stratégie de base des serveurs membres, qui est ensuite liée à l'unité d'organisation (OU) Serveur membre.

 

Les paramètres du modèle de sécurité Baseline.inf sont décrits dans la section de ce chapitre consacrée à la stratégie de base des serveurs membres Windows 2000 Server. Ce modèle de sécurité a également servi de point de départ au modèle de sécurité Dcbaseline.inf.

Les différences entre Baseline.inf et Dcbaseline.inf sont décrites au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ». Ce modèle a été importé dans l'objet Stratégie de groupe (GPO, Group Policy Object) Contrôleurs de domaine et il a été lié à l'unité d'organisation Contrôleurs de domaine. Pour obtenir des instructions pas à pas sur la création d'unités organisationnelles (OU) et de stratégies de groupe ainsi que sur l'importation ultérieure du modèle de sécurité approprié dans chaque objet Stratégie de groupe, reportez-vous au chapitre 5, « Sécurisation de l'infrastructure du domaine ».

 

Remarque : Il est impossible d'automatiser certaines procédures de renforcement de la sécurité par l'intermédiaire d'une stratégie de groupe ; celles-ci sont décrites à la section de ce chapitre intitulée « Autres procédures de renforcement de la sécurité des serveurs membres ».


Stratégie de base Windows 2000 Server

Le processus de configuration des paramètres au niveau du domaine définit les paramètres communs à tous les serveurs membres. Il implique la création d'un objet Stratégie de groupe lié à l'unité d'organisation Serveur membre, qui porte le nom de stratégie de base. L'objet Stratégie de groupe automatise le processus de configuration des paramètres de sécurité sur chaque serveur membre.

Paramètres des journaux des événements et d'audit

Un journal d'audit enregistre une entrée chaque fois que les utilisateurs effectuent une des actions que vous avez spécifié. Par exemple, la modification d'un fichier ou d'une stratégie peut engendrer une entrée d'audit, qui renseigne sur l'action exécutée, sur le compte d'utilisateur associé ainsi que sur les dates et heures de réalisation de l'action. Pour toutes ces actions, vous pouvez procéder à l'audit des tentatives qui ont abouti ou échoué.

L'état du système d'exploitation et des applications d'un ordinateur est dynamique. Par exemple, s'il s'avère parfois nécessaire de modifier temporairement des niveaux de sécurité pour permettre la résolution immédiate d'un problème réseau ou d'administration, il arrive fréquemment que ces modifications ne soient pas annulées a posteriori. Il est donc possible qu'un ordinateur ne réponde plus aux exigences de l'entreprise en termes de sécurité.

Une analyse régulière permet à un administrateur d'assurer le suivi et de garantir un niveau de sécurité approprié sur chaque ordinateur dans le cadre du programme de gestion des risques de sécurité d'une entreprise. L'analyse se concentre essentiellement sur des informations relatives à tous les aspects du système spécifiquement liés à la sécurité. De cette façon, un administrateur peut ajuster les niveaux de sécurité et, plus important, détecter toute faille de sécurité susceptible d'apparaître dans le système avec le temps.

L'audit de la sécurité est essentiel pour n'importe quel système d'entreprise. En effet, les journaux d'audit contiennent parfois la seule indication d'une violation de sécurité. Si cette violation est découverte par l'intermédiaire d'une autre source, des paramètres d'audit adéquats permettent de générer un journal d'audit contenant des informations importantes à son sujet.

Les journaux des échecs recèlent souvent plus d'informations que les journaux des actions réussies, dans la mesure où des échecs indiquent plus fréquemment des erreurs. Si, par exemple, un utilisateur ouvre une session système, l'opération est jugée normale. En revanche, si l'utilisateur tente à plusieurs reprises, et sans succès, d'ouvrir une session système, cela peut indiquer une tentative d'intrusion utilisant l'ID utilisateur d'une autre personne.

Les journaux des événements enregistrent des événements se produisant dans le système. Le journal de sécurité enregistre quant à lui les événements d'audit. Le conteneur des journaux des événements de la stratégie de groupe sert à définir des attributs relatifs aux journaux des événements d'applications, de sécurité et système. Parmi ces attributs, citons la taille maximale des fichiers journaux, les droits d'accès de chaque journal ainsi que les méthodes et paramètres de conservation.. Les paramètres de ces différents journaux sont configurés dans la stratégie de base des serveurs membres et appliqués à tous les serveurs membres du domaine Ameriquenord. Le tableau suivant montre les paramètres définis dans la stratégie d'audit de base des serveurs membres.

Tableau 6.1. Paramètres relatifs aux journaux des événements et d'audit de la stratégie de base des serveurs membres de Contoso

Nom complet du paramètre de stratégie dans l'interface

Paramètre de l'ordinateur

Auditer les événements de connexion aux comptes

Succès, Échec

Auditer la gestion des comptes

Succès, Échec

Auditer l'accès au service d'annuaire

Succès, Échec

Auditer les événements de connexion

Succès, Échec

Auditer l'accès aux objets

Succès, Échec

Auditer les modifications de stratégie

Succès, Échec

Auditer l'utilisation des privilèges

Échec

Auditer le suivi des processus

Pas d'audit

Auditer les événements système

Succès, Échec

Taille maximale du journal des applications

10 240 Ko

Taille maximale du journal de sécurité

184 320 Ko

Taille maximale du journal système

10 240 Ko

Restreindre les accès Invités au journal d'applications

Activé

Restreindre les accès Invités au journal de sécurité

Activé

Restreindre les accès Invités au journal système

Activé

Durée de stockage du journal des applications

Non défini

Durée de stockage du journal de sécurité

Non défini

Durée de stockage du journal système

Non défini

Méthode de conservation du journal des applications

Lorsque c'est nécessaire

Méthode de conservation du journal de sécurité

Lorsque c'est nécessaire

Méthode de conservation du journal système

Lorsque c'est nécessaire

Arrêter l'ordinateur lorsque le journal d'audit de sécurité est plein

Désactivé

                                                                                               

Parmi les options de sécurité et d'audit de la stratégie de base des serveurs membres figurent des paramètres de journal des événements et d'audit particulièrement importants. Ceux-ci sont décrits en détail ci-dessous.

Paramètres d'audit

Vulnérabilité

Si aucun audit n'est configuré, il est difficile, voire impossible, de déterminer les circonstances exactes d'un incident de sécurité. À l'inverse, si vous configurez l'audit de telle sorte qu'un grand nombre d'activités autorisées génèrent des événements, le journal des événements de sécurité sera rempli de données inutiles.

Contre-mesure

Des stratégies d'audit rationnelles doivent être activées sur tous les ordinateurs de votre organisation afin que des utilisateurs légitimes soient responsables de leurs actes et que toute activité non autorisée puisse être détectée et retracée. Les options des paramètres de sécurité sont les suivantes :

·         Succès

·         Échec

·         Pas d'audit

Impact potentiel

Si les paramètres d'audit sont insuffisants et qu'un incident de sécurité se produit, l'analyse du réseau ne pourra fournir aucune preuve juridiquement reconnue. D'autre part, si l'audit porte sur un nombre excessif d'événements, le journal de sécurité comportera une multitude d'entrées non pertinentes.

Scénario Contoso

L'audit du réseau Contoso est idéalement configuré : les événements de sécurité significatifs sont enregistrés dans le journal des événements de sécurité, alors que d'autres, moins importants, ne sont pas pris en compte. Les paramètres d'audit choisis pour l'environnement Contoso sont répertoriés dans le tableau 6.1.

L'option Auditer le suivi des processus a été configurée avec la valeur Pas d'audit en raison du nombre excessif d'événements qui résulteraient de l’activation de la stratégie. L'audit des processus présente d'énormes avantages dans le cadre de la stratégie de réponse aux incidents puisqu'il génère un journal très détaillé sur les processus démarrés, l'heure à laquelle ils l'ont été et par quels utilisateurs.

Remarque : Dans Microsoft® Windows® 2000, l'activation de la fonctionnalité d'audit d'un objet, tel qu'un fichier, un dossier, une imprimante ou une clé de Registre, est un processus en deux étapes. Après l'activation de la stratégie d'audit de l'accès aux objets, vous devez déterminer les objets pour lesquels vous souhaitez surveiller l'accès avant de modifier leurs descripteurs de sécurité en conséquence.

Si, par exemple, vous souhaitez auditer toutes les tentatives d'accès à un fichier donné par des utilisateurs, vous pouvez définir un attribut Succès ou Échec directement sur le fichier à surveiller pour cet événement spécifique à l'aide de l'Explorateur Windows ou d'un outil de ligne de commande tel que Xcacls.exe.

Taille maximale des journaux d'applications, de sécurité et système

Vulnérabilité

Si vous augmentez sensiblement le nombre d'objets à auditer dans l'organisation, vous risquez à un moment donné d'être confronté à un dépassement de capacité du journal de sécurité, cela entraînant l'arrêt du système. Dans un tel cas, le journal de sécurité demeure inutilisable aussi longtemps qu'un administrateur n'en a pas effacé les entrées. Pour éviter cela, vous pouvez désactiver l'option d'arrêt indiquée dans le tableau 6.2 ci-dessous et/ou augmenter la taille du journal de sécurité. Ces deux mesures ont été appliquées dans le cadre du scénario Contoso.

Contre-mesure

Vous devez activer, pour tous les ordinateurs de votre organisation, des stratégies rationnelles en termes de taille des journaux. Ces stratégies doivent permettre que les utilisateurs légitimes puissent être tenus responsables de leurs actes, que toute activité non autorisée puisse être détectée et retracée et, enfin, qu'il soit possible de déceler et de diagnostiquer des problèmes système. Dans le cas des serveurs de Contoso, l'équipe de sécurité a estimé qu'il était nécessaire de conserver des données de plusieurs semaines dans les journaux des événements. De fait, les serveurs disposaient d'un espace libre suffisant sur leurs volumes système. Après quelques semaines de test, l'équipe a constaté, sur les serveurs les plus sollicités, jusqu'à 12 000 événements de sécurité enregistrés au cours d'une même journée. En multipliant ce chiffre par 21 jours et en déterminant une taille moyenne de 500 octets ou moins par événement, il a été décidé qu'une taille de journal d'environ 120 Mo devait suffire. Pour prévoir une marge de sécurité, la taille du journal a été augmentée de 50 % et s'établit donc à 180 Mo.

S'il n'existe aucune équation simple pour calculer la taille de journal la plus appropriée pour un serveur donné, il est possible toutefois de déterminer une taille raisonnable par tâtonnements successifs. Configurez la taille du fichier journal pour un échantillon représentatif de serveurs de production de l'entreprise. Après deux jours ouvrables, contrôlez la vitesse à laquelle les fichiers journaux se remplissent. Ensuite, selon les cas, augmentez ou diminuez la taille des fichiers journaux pour être certain qu'ils peuvent conserver les événements datant de plusieurs semaines. Après une nouvelle période de deux jours ouvrables, contrôlez à nouveau les journaux et ajustez la taille, le cas échéant. Vérifiez encore les serveurs à deux reprises au cours des quatre semaines suivantes pour vous assurer que les journaux conservent un nombre suffisant d'événements.

Impact potentiel

Lorsque la capacité des fichiers journaux est atteinte, les entrées ne peuvent plus y être inscrites, à moins que la méthode de conservation définie pour chacun d'eux soit le remplacement des entrées les plus anciennes par les plus récentes. C'est la méthode de conservation choisie dans le cadre du scénario Contoso. De cette façon, les risques de voir des entrées récentes ne pas figurer dans les fichiers journaux sont minimisés.

Le choix d'une telle méthode a pour conséquence de supprimer les événements plus anciens des journaux. Les pirates informatiques peuvent exploiter ce choix en générant un grand nombre d'événements sans rapport, afin de faire disparaître d'éventuelles preuves de leur attaque.

La solution idéale consiste à envoyer tous les événements étroitement surveillés à un serveur utilisant MOM (Microsoft® Operations Manager) ou un outil de surveillance automatisé. Ce point est capital dans la mesure où un pirate informatique qui parvient à compromettre un serveur peut effacer le journal des événements de sécurité. Si tous les événements sont envoyés à un serveur de surveillance, vous serez en mesure de réunir des preuves sur les activités de l'auteur de l'attaque.

Scénario Contoso

Une valeur de 184 320 Ko a été attribuée au paramètre Taille maximale du journal de sécurité dans une stratégie de groupe liée à l'unité d'organisation parente des serveurs de Contoso. Quant aux paramètres Taille maximale du journal des applications et Taille maximale du journal système, ils ont tous deux une valeur de 10 240 Ko. Le choix de telles valeurs résulte d'un compromis qui rationalise l'utilisation de l'espace disque sur le volume système tout en permettant d'examiner des événements plus anciens.

Contoso recourt à MOM pour la surveillance des événements de sécurité pour les rôles de serveurs décrits dans ce guide.

Méthode de conservation des journaux d'applications, de sécurité et système

Vulnérabilité

Si vous augmentez sensiblement le nombre d'objets à auditer dans l'organisation, vous risquez à un moment donné d'être confronté à un dépassement de capacité du journal de sécurité entraînant l'arrêt du système. Dans un tel cas, ce dernier est inutilisable tant qu'un administrateur n'a pas effacé les entrées du journal de sécurité. Pour éviter cela, vous pouvez désactiver l'option d'arrêt indiquée dans le tableau 6.2 et/ou augmenter la taille du journal de sécurité. Ces deux mesures ont été appliquées dans le cadre du scénario Contoso.

Si vous choisissez la valeur Manuellement ou Remplacer les événements par jours pour la méthode de conservation des journaux de sécurité, certains événements récents risquent de ne pas figurer dans le journal, ou vous pouvez être confronté à un refus de service (DoS, Denial of Service).

Contre-mesure

Attribuez au paramètre Méthode de conservation du journal système la valeur Remplacer les événements si nécessaire dans la stratégie de groupe associée à l'unité d'organisation parente de tous les serveurs de votre organisation.

Certaines sources recommandent de définir la valeur Manuel pour ce paramètre. Toutefois, la charge de travail administratif qu'implique un tel paramètre est trop élevée pour la plupart des organisations.

Une bonne solution consiste à transférer tous les événements significatifs vers un serveur de surveillance à l'aide de MOM ou d'un autre outil de surveillance automatisé. Les paramètres de la méthode de conservation sont les suivants :

·         Remplacer les événements par jours

·         Remplacer les événements si nécessaire

·         Ne pas remplacer les événements (nettoyage manuel du journal)

·         Non défini

Impact potentiel

Lorsque la capacité des fichiers journaux est atteinte, les entrées ne peuvent plus y être inscrites, à moins que la méthode de conservation définie pour chacun d'eux soit le remplacement des entrées les plus anciennes par les plus récentes.

Scénario Contoso

La méthode de conservation choisie dans le cadre du scénario Contoso est le remplacement des entrées les plus anciennes par les plus récentes. Ce choix permet d'atténuer les risques de voir des entrées récentes ne pas figurer dans les fichiers journaux. Il a pour conséquence de supprimer les événements plus anciens des journaux. Une bonne solution consiste à transférer tous les événements significatifs à un serveur de surveillance à l'aide de MOM ou d'un autre outil de surveillance automatisé. Par conséquent, dans l'environnement Contoso, la valeur définie comme méthode de conservation des journaux des événements dans la stratégie de groupe est Remplacer les événements si nécessaire. Pour de plus amples informations, le chapitre 9, « Audit et détection des intrusions », traite de certains événements significatifs à surveiller ainsi que des méthodes visant à évaluer les informations de ces journaux et à prendre les mesures adaptées.

Arrêt de l'ordinateur lorsque le journal d'audit de sécurité est plein

Vulnérabilité

Les journaux des événements de sécurité contiennent des informations critiques qui exigent généralement une réponse immédiate. En effet, ils enregistrent tous les échecs ou problèmes de sécurité potentiels survenant sur vos serveurs. En outre, ces événements peuvent avoir un effet en cascade sur tous les systèmes qui dépendent de ces serveurs. Dans le cadre des tâches d'exploitation normales, vous devez procéder à l'archivage régulier de vos journaux de sécurité et système pour prévenir la perte de ces informations importantes.

Dans certaines organisations, il suffit de conserver ces informations pendant un ou deux jours puisque la majorité des échecs de service seront détectés durant ce laps de temps. En revanche, certains serveurs génèrent une activité considérable dans la plupart des environnements audités. Par conséquent, il peut être nécessaire de conserver des enregistrements d'événements pendant de plus longues périodes, voire, dans certains cas, de façon permanente.

Un système de gestion des événements d'entreprise, tel que MOM, est un outil précieux permettant de centraliser, de gérer et d'archiver les enregistrements d'événements dans une base de données centrale. MOM est un logiciel Microsoft qui assure la gestion centralisée des performances et des événements pour les serveurs et applications Microsoft Windows 2000.

Contre-mesure

Attribuez la valeur Activé au paramètre Arrêter l'ordinateur lorsque le journal de sécurité est plein dans la stratégie de groupe liée à l'unité d'organisation parente de tous les serveurs de l'organisation.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Si vous activez cette option, les serveurs s'arrêtent immédiatement lorsque leurs journaux des événements sont pleins. Cela peut être intéressant si votre organisation enregistre toutes les données des journaux des événements dans MOM ou dans un autre système de gestion d'entreprise et que les journaux des événements sont configurés pour remplacer les entrées si nécessaires. Toutefois, pour de nombreuses organisations, l'activation de ce paramètre donne lieu à une charge de travail administratif impossible à gérer.

Scénario Contoso

Par défaut, le paramètre Arrêter l'ordinateur lorsque le journal d'audit de sécurité est plein a la valeur Non défini dans Windows 2000 Server. Dans le scénario Contoso, il a la valeur Désactivé. Certes, il est recommandé de conserver toutes les entrées du journal de sécurité afin d'assurer le suivi de toutes les tentatives d'attaque, réussies ou non. Toutefois, il est impossible d'empêcher un pirate informatique disposant de droits administratifs sur un système de supprimer tout ou partie des entrées du journal des événements de sécurité local.

Sachant cela, vous devez comprendre que l'option d'arrêt de l'ordinateur lorsque le journal de sécurité est plein permet uniquement d'éviter que le système remplace des entrées existantes. Elle n'empêche nullement des pirates de modifier ou de supprimer des entrées. Comme indiqué ci-dessus, la présence d'un système de gestion des événements d'entreprise est indispensable pour atténuer cette vulnérabilité, dans la mesure où les entrées de journal peuvent y être transférées à partir des ordinateurs avant d’être modifiées ou supprimées (par le pirate).


Configuration de l'attribution des droits utilisateur

Débogage de programmes

Vulnérabilité

Une personne malveillante peut exploiter le privilège de débogage pour capturer des informations système sensibles à partir de la mémoire du système. Certains outils d'attaque exploitent le droit d'utilisateur de débogage des programmes pour extraire des mots de passe hachés et d'autres informations de sécurité privées. Le risque de voir de pirates exploiter cette vulnérabilité est limité par le fait que ce droit n'est attribué par défaut qu'aux administrateurs.

Contre-mesure

Révoquez le droit d'utilisateur Déboguer les programmes des programmes pour tous les utilisateurs et groupes.

Impact potentiel

La révocation de ce privilège se traduit par l'impossibilité pour quiconque de déboguer des programmes. Toutefois, dans des circonstances normales, le débogage est rarement nécessaire sur des systèmes de production. En cas de problème nécessitant le débogage temporaire d'une application sur un serveur de production, déplacez le serveur vers une autre unité d'organisation ou attribuez le droit d'utilisateur Déboguer les programmes au compte approprié.

Scénario Contoso

Dans ce scénario, il est rare que les administrateurs aient à déboguer des applications. Par conséquent, une stratégie de groupe a été utilisée pour supprimer tous les groupes du droit d'utilisateur Déboguer les programmes.


Options de sécurité de la stratégie de base des serveurs membres (MSBP)

La section Options de sécurité de la stratégie de groupe permet d'activer ou de désactiver des paramètres de sécurité des ordinateurs, comme la signature numérique des données, les noms de comptes Administrateur et Invité, l'accès au lecteur de disquette et au lecteur de CD-ROM, le comportement d'installation des pilotes et les invites d'ouverture de session. Les options de sécurité suivantes sont configurées dans la stratégie de groupe de base.

Tableau 6.2. Paramètres des options de sécurité de la stratégie de base des serveurs membres

Nom complet de l'option de sécurité dans l'interface

Paramètre de l'ordinateur

Restrictions supplémentaires pour les connexions anonymes

N'autorise pas l'énumération des partages et des comptes SAM

Permet aux opérateurs de serveur de planifier des tâches (contrôleurs de domaines uniquement)

Désactivé

Permet au système d'être arrêté sans avoir à se connecter

Désactivé

Permet l'éjection des supports NTFS amovibles

Administrateurs

Durée d'inactivité avant la déconnexion d'une session

15 minutes

Auditer l'accès des objets système globaux

Désactivé

Auditer l'utilisation des privilèges de sauvegarde et de restauration

Désactivé

Fermer automatiquement la session des utilisateurs à l’expiration du délai de la durée de session

Non défini (voir remarque ci-dessous)

Fermer automatiquement la session des utilisateurs à l’expiration du délai de la durée de session (local)

Activé (voir remarque ci-dessous)

Arrêt : Effacer le fichier d’échange de mémoire virtuelle

Activé

Signer numériquement les communications client (toujours)

Désactivé

Signer numériquement les communications client (lorsque cela est possible)

Désactivé

Signer numériquement les communications serveur (toujours)

Désactivé

Signer numériquement les communications serveur (lorsque cela est possible)

Désactivé

Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session

Désactivé

Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session

Activé

Niveau d'authentification Lan Manager

Envoyer uniquement les réponses NTLMv2

Contenu du message pour les utilisateurs essayant de se connecter

L'accès au système est limité aux utilisateurs autorisés. Toute personne tentant d'y accéder sans y être autorisée est passible de poursuites. Si vous n'êtes pas un utilisateur autorisé, mettez immédiatement fin à la tentative d'accès ! Si vous cliquez sur OK, vous acceptez les informations indiquées ici.

Titre du message pour les utilisateurs essayant de se connecter

VOUS COMMETTEZ UNE INFRACTION SI VOUS POURSUIVEZ L'OPÉRATION SANS Y ÊTRE AUTORISÉ.

Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible)

10 ouvertures de sessions

Empêche la maintenance par le système du mot de passe du compte ordinateur

Désactivé

Empêcher les utilisateurs d'installer des pilotes d'imprimante

Activé

Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire

14 jours

Console de récupération : autoriser l'ouverture de session d'administration automatique

Désactivé

Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers

Activé

Renommer le compte Administrateur

Non défini

Renommer le compte Invité

Non défini

Ne permettre l'accès au lecteur de CD-ROM qu'aux utilisateurs connectés localement

Activé

Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement

Activé

Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés (toujours)

Désactivé

Canal sécurisé : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)

Activé

Canal sécurisé : signer numériquement les données des canaux sécurisés (lorsque cela est possible)

Activé

Canal sécurisé : nécessite une clé de session forte (Windows 2000 ou ultérieur)

Activé

Partition système sécurisée (pour plates-formes RISC seulement)

Non défini

Envoyer un mot de passe non crypté pour se connecter aux serveurs SMB tierce partie

Désactivé

Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité

Désactivé

Comportement lorsque la carte à puce est retirée

Verrouiller la station de travail

Renforcer les autorisations par défaut des objets système globaux (comme les liens de symboles)

Activé

Comportement d'installation d'un pilote non signé

Avertir, mais autoriser l'installation

Comportement d'installation d'un fichier non-pilote non signé

Réussite silencieuse

 

Remarque : Pour les comptes de domaine, il ne peut exister qu'une seule stratégie de compte. Elle doit être définie dans la stratégie de domaine par défaut, appliquée par les contrôleurs de domaines qui composent le domaine. Un contrôleur de domaine extrait toujours la stratégie de compte de l'objet GPO Stratégie de domaine par défaut, même si une stratégie de compte différente est appliquée à l'unité d'organisation qui contient le contrôleur de domaine.

Par défaut, les stations de travail et les serveurs joints à un domaine (ordinateurs membres) reçoivent également la même stratégie de compte pour leurs comptes locaux. Il est toutefois possible de définir au niveau des ordinateurs membres des stratégies de compte locales qui diffèrent de la stratégie de compte de domaine : pour cela, il faut créer une stratégie de compte pour l'unité d'organisation qui contient les ordinateurs membres.

La stratégie de domaine par défaut configure l'option Déconnecter automatiquement à la fin de la période de connexion autorisée avec le paramètre Désactivé.

Les options de sécurité répertoriées dans le tableau 6.2 méritent d'être approfondies. Le reste du chapitre expose de façon plus détaillée la logique sous-jacente à chaque option implémentée dans le scénario Contoso, ainsi que les autres valeurs disponibles pour chacune d'elles.

Restrictions supplémentaires pour les connexions anonymes

Vulnérabilité

Par défaut, Windows 2000 permet aux utilisateurs anonymes de réaliser certaines opérations comme l'énumération des comptes de domaine et des partages réseau. Cela donne au pirate la possibilité de visualiser des informations sur un serveur distant sans avoir à s'authentifier avec un compte d'utilisateur.

Même si cette vulnérabilité ne permet pas au pirate de compromettre votre serveur, elle peut lui procurer des informations qui lui seront utiles pour orchestrer une attaque. Pour mieux sécuriser l'accès anonyme, il est possible de modifier cette option via la stratégie de groupe ou le Registre.

Contre-mesure

La fonctionnalité d'utilisateur anonyme peut être modifiée en changeant la valeur de l'entrée RestrictAnonymous, figurant dans la clé de Registre HKLM\SYSTEM\CurrentControlSet\Control\LSA, par l'une des valeurs suivantes :

. 0 - Aucun. Utiliser les autorisations par défaut

. 1 - Ne pas permettre l'énumération des comptes et partages SAM

. 2 - Aucun accès sans autorisation explicite

La valeur par défaut de l'entrée réservée à l'autorité de sécurité locale (LSA, Local Security Authority) dans Windows 2000 est 0 - Utiliser les autorisations par défaut.

Il est possible d'obtenir les mêmes fonctionnalités en définissant l'option Restrictions supplémentaires pour les connexions anonymes par l'intermédiaire de la stratégie de groupe. Cette option peut avoir l'une des valeurs suivantes :

Aucun : Utiliser les autorisations par défaut

Le résultat est le même qu'avec RestrictAnonymous=0.

Ne pas permettre l'énumération des comptes et partages SAM

Le résultat est le même qu'avec RestrictAnonymous=1.

Aucun accès sans autorisation explicite

Le résultat est le même qu'avec RestrictAnonymous=2.

Impact potentiel

L'attribution de la valeur 1 à RestrictAnonymous ne bloque pas en réalité les connexions anonymes. En revanche, cela empêche la plupart des fuites d'informations possibles par l'intermédiaire des sessions nulles, et en particulier l'énumération des partages et des comptes d'utilisateur. Si vous n'attribuez pas la valeur 2, il est toujours possible d'obtenir certaines de ces informations.

L'attribution de la valeur 2 peut quant à elle provoquer plusieurs résultats indésirables selon l'environnement cible. Les applications et services suivants peuvent s'interrompre lorsque RestrictAnonymous a la valeur 2 :

·         Le paramètre RestrictAnonymous = 2 est recommandé pour Windows 2000 dans divers livres blancs et outils émanant de Microsoft (ainsi que par d'autres sources), notamment l'outil MBSA. Ce paramètre n'est toutefois pris en charge que par Microsoft® Windows® XP et Microsoft® Windows® .NET Server 2003. S'il pose des problèmes dans Windows 2000, le support assuré par les Services de support technique de Microsoft sera limité à l'« effort optimal ». En outre, l'effet du paramètre RestrictAnonymous Windows 2000 s'étend à plusieurs paramètres de stratégie de groupe dans les plates-formes ultérieures prises en charge. Si vous souhaitez utiliser RestrictAnonymous = 2 dans votre environnement, mesurez-en les risques et testez-le de façon approfondie sur une plate-forme de test pour identifier d'éventuelles incompatibilités au niveau des applications.

·         Les stations de travail ou serveurs membres de bas niveau ne peuvent établir de canal sécurisé vers le serveur.

·         Lorsque RestrictAnonymous = 2, les contrôleurs de domaines de bas niveau dans les domaines de confiance ne peuvent établir de canal sécurisé d'ouverture de session réseau vers les contrôleurs de domaines.

·         Les utilisateurs Microsoft® Windows NT® ne peuvent pas changer leur mot de passe après l'expiration de celui-ci. Les utilisateurs d'ordinateurs Macintosh, eux, ne peuvent pas modifier leur mot de passe depuis cette plateforme.

·         Le service Explorateur d'ordinateur ne peut pas extraire des listes de domaines ou des listes de serveurs à partir des explorateurs secondaires, des maîtres explorateurs ou des explorateurs principaux de domaine qui s'exécutent sur des ordinateurs où l'entrée de Registre RestrictAnonymous a la valeur 2. C'est la raison pour laquelle dans ce cas, aucun programme utilisant le service Explorateur d'ordinateur ne fonctionnera correctement.

·         Si vous utilisez un ordinateur client Microsoft® Outlook® qui se connecte à un serveur Microsoft® Exchange 2000 Server, vous ne serez pas en mesure d'effectuer des recherches dans la liste d'adresses globale ou de résoudre les noms qui y sont référencés. La liste d'adresses globale semble vide. Ce problème a été résolu dans le Service Pack 3 de Windows 2000.

·         Il est possible que vous ne puissiez pas ajouter une imprimante réseau à partir d'Active Directory sur les contrôleurs de domaines où l'entrée de Registre RestrictAnonymous a la valeur 2. En revanche, vous pouvez toujours en ajouter une en la sélectionnant à partir de l'arborescence.

En raison de ces différents problèmes connus, il n'est pas recommandé de définir la valeur 2 pour l'entrée RestrictAnonymous dans un environnement client mixte. Pour plus d'informations sur les répercussions d'une telle configuration dans votre environnement, consultez l'article F246261 de la Base de connaissances Microsoft, « Utilisation de la valeur de Registre RestrictAnonymous dans Windows 2000 ».

Scénario Contoso

En raison de son environnement client mixte, le scénario Contoso utilise une stratégie de groupe pour attribuer la valeur Ne pas permettre l'énumération des comptes et partages SAM à l'option Restrictions supplémentaires pour les connexions anonymes.

Permet au système d'être arrêté sans avoir à se connecter

Vulnérabilité

Les utilisateurs qui peuvent accéder à la console localement ou par l'intermédiaire des services Terminal Server peuvent arrêter le système. Un pirate informatique ou un utilisateur maladroit peuvent se connecter au serveur via les services Terminal Server et arrêter le système ou le redémarrer sans devoir s'identifier.

Cette opération est également possible si l'auteur de l'attaque peut accéder physiquement à la console locale. Le serveur est alors redémarré, ce qui entraîne une condition de refus de service (DoS) temporaire, ou arrêté, de sorte que tous ses services et applications deviennent inaccessibles.

Contre-mesure

Attribuez la valeur Désactivé au paramètre Permet au système d'être arrêté sans avoir à se connecter dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Les administrateurs devront ouvrir une session sur les serveurs avant de pouvoir les arrêter ou les redémarrer.

Scénario Contoso

Dans le scénario Contoso, il n'existe aucune raison de consentir aux utilisateurs qu’ils puissent arrêter un serveur à partir de la console sans devoir préalablement ouvrir une session. Par conséquent, une stratégie de groupe est utilisée pour paramétrer l'option Permet au système d'être arrêté sans avoir à se connecter sur Désactivé.

Permet l'éjection des supports NTFS amovibles

Vulnérabilité

Les utilisateurs sont parfois en mesure de déplacer des disques NTFS amovibles vers un ordinateur différent pour lequel ils disposent de privilèges d'administration. Si un disque amovible est déplacé vers un ordinateur pour lequel l'utilisateur possède des privilèges d'administration, celui-ci peut prendre possession de n'importe quel fichier, s'octroyer un contrôle total et afficher ou modifier celui-ci. Une telle situation peut se traduire par une exposition ou par la modification non détectable de certaines informations sensibles. Ce paramètre perd quelque peu de sa valeur dans la mesure où la majorité des périphériques de stockage amovibles éjectent les supports par la simple pression d'un bouton.

Contre-mesure

Attribuez au paramètre Permet l'éjection des supports NTFS amovibles la valeur Administrateurs dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

. Comptes de sécurité définis par l'utilisateur

. Non défini

Impact potentiel

Seuls les administrateurs seront en mesure d'éjecter des supports NTFS amovibles.

Scénario Contoso

Les seules personnes qui ont besoin de pouvoir retirer des supports NTFS amovibles sont les administrateurs. Dès lors, le scénario Contoso utilise une stratégie de groupe pour attribuer la valeur Administrateurs au paramètre Permet l'éjection des supports NTFS amovibles.

Durée d'inactivité avant la déconnexion d'une session

Vulnérabilité

Chaque session SMB (Server Message Block) consomme des ressources du serveur. Si un grand nombre de sessions nulles sont établies, on peut assister à un ralentissement, voire à une défaillance du serveur. Une attaque peut être mise au point de la sorte, en ouvrant un grand nombre de sessions SMB jusqu'à ce que le serveur cesse de répondre. Les services SMB fonctionnent dès lors au ralenti ou ne répondent plus.

Contre-mesure

Attribuez au paramètre Durée d'inactivité avant la déconnexion d'une session la valeur 15 minutes dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

. Durée définie par l'utilisateur, exprimée en minutes

. Non défini

Impact potentiel

L'impact est minime dans la mesure où les sessions SMB seront rétablies automatiquement si le client reprend son fonctionnement.

Scénario Contoso

Pour protéger les serveurs de Contoso contre les attaques de refus de service de type SMB, la stratégie de groupe a été utilisée pour affecter au paramètre Durée d'inactivité avant la déconnexion d'une session une valeur de 15 minutes.

Auditer l'accès des objets système globaux

Vulnérabilité

Si cette stratégie est activée, des objets système, tels que des mutex (exclusions mutuelles), des événements, des sémaphores et des périphériques DOS, sont créés avec une liste de contrôle d'accès système (SACL, System Access Control List) par défaut. Si la stratégie d'audit Auditer l'accès aux objets est également activée, l'accès à ces objets système est audité.

Contre-mesure

Attribuez au paramètre Auditer l'accès aux objets système globaux la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

L'activation de cette stratégie peut donner lieu à la génération d'un grand nombre d'événements de sécurité, surtout sur les contrôleurs de domaines et serveurs d'applications très sollicités. En conséquence, il est possible que les serveurs affichent des temps de réponse prolongés et que le journal de sécurité enregistre bon nombre d'événements peu pertinents.

Scénario Contoso

Pour éviter la présence d'un nombre excessif d'événements insignifiants dans les journaux de sécurité, le scénario utilise la stratégie de groupe pour attribuer la valeur Désactivé au paramètre Auditer l'accès aux objets système globaux.

Auditer l'utilisation des privilèges de sauvegarde et de restauration

Vulnérabilité

Ce paramètre détermine si les privilèges utilisateur de sauvegarde et de restauration sont audités lorsque la stratégie Auditer l'utilisation des privilèges est appliquée. L'activation conjointe de cette option et de la stratégie Auditer l'utilisation des privilèges provoque la génération d'un événement d'audit pour chaque fichier sauvegardé ou restauré. L'activation de ce paramètre peut vous aider à retrouver un administrateur qui, accidentellement ou intentionnellement, procède à des sauvegardes de données non autorisées.

Contre-mesure

Attribuez au paramètre Auditer l'utilisation des privilèges de sauvegarde et de restauration la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

L'activation de cette stratégie peut engendrer un grand nombre d'événements de sécurité, ce qui peut accroître les temps de réponse des serveurs et provoquer l'enregistrement d'une multitude d'événements de sécurité sans grande importance dans le journal de sécurité.

Scénario Contoso

Pour éviter la présence d'un nombre excessif d'événements insignifiants dans les journaux de sécurité, le scénario utilise une stratégie de groupe pour attribuer la valeur Désactivé au paramètre Auditer l'utilisation des privilèges de sauvegarde et de restauration.

Déconnecter automatiquement à la fin de la période de connexion autorisée (local)

Vulnérabilité

Ce paramètre détermine s'il faut fermer les connexions utilisateur à l'ordinateur local en dehors des heures valides d'ouverture de session pour leur compte d'utilisateur. Ce paramètre de stratégie affecte le composant SMB d'un serveur Windows 2000. S'il est activé, les sessions clientes avec le serveur SMB sont déconnectées de force à l'expiration des heures d'ouverture de session du client. S’il est désactivé, une session cliente établie peut être maintenue même après l'expiration des heures d'ouverture de session du client.

Contre-mesure

Attribuez au paramètre Déconnecter automatiquement à la fin de la période de connexion autorisée (local) la valeur Activé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Ce paramètre ne s'applique pas aux comptes d'administrateur.

Impact potentiel

Les sessions SMB sont fermées sur les serveurs membres à la fin de la période d'ouverture de session d'un utilisateur, et ce dernier ne peut se reconnecter au système qu'au début de la période d'accès planifiée suivante.

Scénario Contoso

Pour prémunir les serveurs contre les risques liés à la non-fermeture accidentelle de sessions de console ouvertes par des membres de l'équipe informatique, le scénario Contoso prévoit l'implémentation d'une stratégie de groupe qui attribue la valeur Activé au paramètre Déconnecter automatiquement les utilisateurs à la fin de la période de connexion autorisée (local).

Effacer le fichier d'échange de mémoire virtuelle lors de la fermeture du système

Vulnérabilité

Des informations importantes conservées dans la mémoire réelle peuvent être vidées périodiquement dans le fichier d'échange, ce qui facilite la gestion de fonctions multitâche dans Windows 2000. Un pirate informatique en mesure d'accéder physiquement à un serveur arrêté peut consulter le contenu du fichier d'échange. Il peut déplacer le volume système vers un autre ordinateur avant d'analyser le contenu du fichier d'échange. Ce processus, certes assez long, peut se traduire par l'exposition des données mises en cache de la mémoire vive (RAM) vers le fichier d'échange.

Contre-mesure

Attribuez au paramètre Créer un fichier d'échange de mémoire virtuelle lors de la fermeture du système la valeur Activé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Si ce paramètre est activé, Windows 2000 efface le fichier d'échange lors de la fermeture du système, supprimant ainsi toutes les informations contenues dans ce fichier. Selon la taille du fichier d'échange, le processus peut prendre quelques minutes avant l'arrêt complet du système. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

 

Remarque : Un pirate ayant physiquement accès au serveur peut contourner cette contre-mesure en se contentant de débrancher la prise d'alimentation du serveur.

Impact potentiel

L'arrêt et le redémarrage du serveur peuvent prendre plus de temps, surtout dans le cas de serveurs disposant de fichiers d'échange volumineux. Pour un serveur possédant 2 Go de RAM et un fichier d'échange de 2 Go, ce paramètre peut rallonger le processus de fermeture du système de 20 à 30 minutes, voire plus. Pour certaines organisations, une indisponibilité aussi longue est contraire aux accords de niveau de service internes. Par conséquent, soyez prudent si vous implémentez cette contre-mesure dans votre environnement.

Scénario Contoso

Bien que ses serveurs soient sécurisés physiquement, la société Contoso a décidé d'appliquer ce paramètre parce qu'il offre une sécurité renforcée et qu'il n'a aucun impact sur les systèmes d'exploitation et les applications hérités se connectant au serveur. Le scénario Contoso utilise la stratégie de groupe pour attribuer la valeur Activé au paramètre Créer un fichier d'échange de mémoire virtuelle lors de la fermeture du système.

Signer numériquement les communications client / serveur

Vulnérabilité

Il existe quatre paramètres distincts relatifs à la signature numérique des communications SMB : Signer numériquement les communications client (toujours), Signer numériquement les communications serveur (toujours), Signer numériquement les communications client (lorsque cela est possible) et Signer numériquement les communications serveur (lorsque cela est possible).

L'implémentation de signatures numériques dans les réseaux à haute sécurité contribue à éviter l'emprunt d'identité des clients et des serveurs. Ce type d'emprunt d'identité est connu sous le nom de piratage de session, un type d'exploit au cours duquel un pirate suspend, interrompt définitivement ou s'approprie une session en cours à l'aide d'outils de piratage de session. Il est possible pour le pirate d'intercepter et de modifier des paquets SMB non signés. Un pirate qui a accès au même réseau que le client ou le serveur peut intercepter le trafic SMB. Il peut ensuite modifier le trafic et le transférer de sorte que le serveur effectue des opérations non souhaitées. Il peut également se faire passer pour le client ou le serveur après une authentification légitime et accéder aux données de façon non autorisée.

Les signatures SMB permettent d'authentifier l'utilisateur et le serveur qui héberge les données. Si le processus d'authentification échoue pour l'un des deux, la transmission des données n'a pas lieu. Lorsque les signatures SMB sont implémentées, le délai nécessaire à la signature et à la vérification de chaque paquet entre les serveurs augmente le temps de réponse de 15 %. Pour plus d'informations à propos de l'impact sur les performances, consultez l'article 161372 de la Base de connaissances « How to Enable SMB Signing in Windows NT » (en anglais).

Remarque : Une autre contre-mesure permettant de protéger tout le trafic réseau consiste à implémenter des signatures numériques avec IPSec (Internet Protocol Security). Il existe pour le cryptage et les signatures IPSec des accélérateurs matériels qui peuvent être utilisés pour minimiser l'impact sur les performances au niveau du processeur des serveurs. En revanche, aucun accélérateur de ce type n’est disponible pour les signatures SMB.

Contre-mesure

Attribuez la valeur Désactivé aux paramètres Signer numériquement les communications client (toujours), Signer numériquement les communications serveur (toujours), Signer numériquement les communications client (lorsque cela est possible) et Signer numériquement les communications serveur (lorsque cela est possible) dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Certaines sources recommandent d'activer tous ces paramètres, ce qui peut toutefois se traduire par une dégradation des performances sur les ordinateurs clients et les empêcher de communiquer avec des systèmes d'exploitation et des applications SMB hérités. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Le protocole de partage de fichiers et d'impression SMB de Windows 2000 Server, de Windows 2000 Professionnel et de Windows XP Professionnel prend en charge l'authentification mutuelle, qui interrompt les attaques de piratage de session, ainsi que l'authentification des messages, empêchant par conséquent les attaques actives des messages. Les signatures SMB fournissent ce type d'authentification en plaçant une signature numérique dans chaque bloc SMB, ensuite soumis à une vérification par le serveur et par le client. Toutefois, la signature numérique de tout le trafic SMB peut entraîner une dégradation des performances considérable sur les serveurs fortement sollicités. En outre, lorsque des ordinateurs sont configurés pour ignorer toutes les communications SMB non signées, les systèmes d'exploitation et les applications hérités ne sont pas en mesure de se connecter. La désactivation complète de toutes les signatures SMB rend les ordinateurs vulnérables au piratage de session.

Scénario Contoso

Dans le scénario Contoso, les paramètres Signer numériquement… ont été désactivés pour tout le trafic SMB pour des raisons de performances. Une stratégie de groupe a été utilisée pour attribuer la valeur Désactivé à Signer numériquement les communications client (toujours), Signer numériquement les communications serveur (toujours), Signer numériquement les communications client (lorsque cela est possible) et Signer numériquement les communications serveur (lorsque cela est possible).

Désactiver la combinaison de touches ctrl + alt+ suppr lors de l'ouverture de session

Vulnérabilité

Microsoft a mis au point cette fonctionnalité pour faciliter l'ouverture de session d'utilisateurs souffrant de certains handicaps physiques sur les ordinateurs Windows. Toutefois, le fait de ne pas devoir appuyer sur la combinaison de touches ctrl + alt + suppr ouvre la porte à des attaques visant à intercepter des mots de passe. L'obligation d'appuyer sur ctrl + alt + suppr avant toute ouverture de session garantit que l'utilisateur communique via un chemin approuvé au moment de l'entrée de son mot de passe.

Un pirate pourrait installer un cheval de Troie (un programme nuisible) mimant la boîte de dialogue d'ouverture de session classique de Windows pour capturer le mot de passe de l'utilisateur. Il pourrait ensuite ouvrir une session au moyen du compte compromis avec le niveau de privilège dont bénéficie l'utilisateur légitime.

Contre-mesure

Attribuez au paramètre Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Les utilisateurs doivent appuyer simultanément sur trois touches pour faire apparaître la boîte de dialogue d'ouverture de session (à moins qu'ils n'utilisent une carte à puce pour l'ouverture de session).

Scénario Contoso

Dans le scénario Contoso, aucune raison valable ne justifie l'abandon de cette combinaison de touches pour l'ouverture de session des utilisateurs sur le serveur. Par conséquent, une stratégie de groupe a été utilisée afin d'attribuer la valeur Désactivé au paramètre Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session.

Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session

Vulnérabilité

Un pirate en mesure d'accéder physiquement à la console ou d'y accéder en se connectant au serveur via les services Terminal Server peut consulter le nom du dernier utilisateur qui a ouvert une session sur le serveur. S'il parvient à deviner le mot de passe de ce compte, que ce soit à l'aide d'un outil automatisé d'attaque par dictionnaire ou par une attaque de force brute, il pourra ensuite ouvrir une session sur le serveur.

Contre-mesure

Attribuez la valeur Activé au paramètre Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Les utilisateurs devront toujours taper leur nom d'utilisateur lorsqu'ils ouvrent une session sur un serveur.

Scénario Contoso

La société Contoso estime préoccupant qu'un pirate puisse consulter le nom d'utilisateur de la dernière personne à avoir ouvert une session sur un serveur. Par conséquent, elle a décidé d'utiliser une stratégie de groupe pour attribuer la valeur Activé au paramètre Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session.

Niveau d'authentification Lan Manager

LAN Manager (LM) est une famille regroupant les premiers logiciels client-serveur Microsoft qui permet aux utilisateurs de relier des systèmes informatiques personnels pour former un réseau unique. Elle propose notamment les fonctionnalités réseau suivantes : le partage transparent d'impression et de fichiers, des fonctions de sécurité utilisateur ainsi que des outils d'administration réseau.

L'authentification LM, et notamment les variantes LM, NTLM et NTLM version 2 (NTLMv2), correspond au protocole utilisé pour authentifier tous les clients Windows dans le cadre de certaines opérations, et notamment :

·         l'attachement à un domaine ;

·         l'authentification entre forêts Active Directory ;

·         l'authentification dans les domaines de bas niveau ;

·         l'authentification sur les serveurs de niveau inférieur (non-Windows 2000 ou non-Windows XP) ;

·         l'authentification vers des serveurs qui n'appartiennent pas au domaine.

Vulnérabilité

Tous les clients Windows (y compris Windows 2000 et Windows XP) sont configurés par défaut pour envoyer des réponses d'authentification LM et NTLM (à l'exception des clients Windows 9x, qui envoient uniquement des réponses LM). Le paramètre par défaut défini sur les serveurs autorise tous les clients à s'authentifier auprès des serveurs et à utiliser leurs ressources. Toutefois, cela signifie que les réponses LM (la forme la plus faible de réponse d'authentification) sont envoyées sur le réseau et sont donc plus facilement accessibles aux pirates informatiques qui espionnent ce trafic. Il est plus facile pour eux de tenter alors de reproduire le mot de passe de l'utilisateur.

Les systèmes d'exploitation Windows 9x et Windows NT ne peuvent pas utiliser le protocole Kerberos version 5 pour l'authentification. C'est la raison pour laquelle ces systèmes utilisent par défaut les protocoles LM et NTLM pour l'authentification réseau dans un domaine Windows 2000. Vous pouvez toutefois avoir recours à un protocole d'authentification plus sécurisé pour Windows 9x et Windows NT en utilisant NTLMv2. Pour le processus d'ouverture de session, NTLMv2 utilise un canal sécurisé pour protéger le processus d'authentification. Même si vous utilisez NTLMv2 pour les serveurs et les clients anciens, les clients et serveurs Windows 2000 membres du domaine s'authentifient auprès des contrôleurs de domaines Windows 2000 à l'aide du protocole Kerberos.

Pour plus d'informations sur l'activation de NTLMv2, consultez l'article 239869 de la Base de connaissances, intitulé « Procédure pour activer l'authentification NTLM 2 sous Windows 95/98/2000 et NT ». Pour Microsoft® Windows NT® 4.0, la prise en charge de NTLMv2 exige le Service Pack 4 (SP4) et, pour les plates-formes Windows 9x, elle nécessite l'installation du client Service d'annuaire.

Contre-mesure

Attribuez à Niveau d'authentification LAN Manager la valeur Envoyer uniquement les réponses NTLMv2 dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Ce niveau d'authentification est vivement recommandé par Microsoft et par d'autres organismes indépendants pour les environnements où tous les clients prennent en charge NTLMv2.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Envoyer les réponses LM et NTLM

·         Envoi LM et NTLM – utilise la session de session NTLMv2 si négociée

·         Envoyer uniquement les réponses NTLM

·         Envoyer uniquement les réponses NTLMv2

·         Envoyer uniquement les réponses NTLMv2\refuser LM

·         Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM

·         Non défini

 

Ces valeurs de paramètre correspondent aux niveaux suivants décrits dans d'autres documents publiés par Microsoft :

. Niveau 0 – Envoyer les réponses LM et NTLM ; ne jamais utiliser la sécurité de session NTLMv2. Les clients utilisent l'authentification LM et NTLM, et ils n'ont jamais recours à la sécurité de session NTLMv2. Les contrôleurs de domaines acceptent l'authentification LM, NTLM et NTLMv2.

. Niveau 1 – Utiliser la sécurité de session NTLMv2 si négociée. Les clients utilisent l'authentification LM et NTLM, et ils ont recours à la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaines acceptent l'authentification LM, NTLM et NTLMv2.

. Niveau 2 – Envoyer uniquement les réponses NTLM. Les clients utilisent uniquement l'authentification NTLM, et ils ont recours à la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaines acceptent l'authentification LM, NTLM et NTLMv2.

. Niveau 3 – Envoyer uniquement les réponses NTLMv2. Les clients utilisent l'authentification NTLMv2, et ils ont recours à la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaines acceptent l'authentification LM, NTLM et NTLMv2.

. Niveau 4 – Les contrôleurs de domaines refusent les réponses LM. Les clients utilisent l'authentification NTLM, et ils ont recours à la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaines refusent l'authentification LM ; ils acceptent NTLM et NTLMv2.

. Niveau 5 – Les contrôleurs de domaines refusent les réponses LM et NTLM (ils acceptent uniquement NTLMv2). Les clients utilisent l'authentification NTLMv2, et ils ont recours à la sécurité de session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaines refusent l'authentification LM et NTLM ; ils acceptent uniquement NTLMv2.

Impact potentiel

Les clients qui ne prennent pas en charge l'authentification NTLMv2 ne sont pas en mesure de s'authentifier dans le domaine et d'accéder à ses ressources à l'aide de LM et NTLM.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour attribuer au paramètre Niveau d'authentification LAN Manager la valeur Envoyer uniquement les réponses NTLMv2. Le choix de cette valeur permet aux clients Windows anciens non configurés pour utiliser la sécurité NTLMv2 de pouvoir néanmoins utiliser les ressources du domaine. En d'autres termes, le trafic d'authentification le moins sécurisé passera par le réseau. Un pirate en mesure d'espionner le trafic sur le réseau pourra s'emparer du trafic d'authentification NTLM pour déterminer les noms d'utilisateur et les mots de passe des membres du domaine.

Cette valeur permet également aux clients Windows 98 de continuer à utiliser l'authentification LM ou NTLM et d’être authentifiés par les contrôleurs de domaines. Ces ordinateurs peuvent être configurés pour utiliser uniquement NTLMv2 s’ils intègrent le client Service d'annuaire. En raison du travail considérable que représente l'installation du client Service d'annuaire sur tous les ordinateurs Windows 98, la société Contoso accepte l'existence de cette vulnérabilité jusqu'à la mise à niveau de ces stations de travail.

Titre/Contenu du message pour les utilisateurs essayant de se connecter

Vulnérabilité

Si vous n'utilisez pas ce message d'avertissement, votre organisation est juridiquement considérée comme vulnérable face aux intrus qui s'introduisent illégalement dans le réseau. La jurisprudence qui s’est établie au cours des deux dernières décennies est claire quant aux taux de réussite obtenus dans le cadre des poursuites entreprises contre ce type d'intrusion. Ils sont plus élevés dans les organisations où des avertissements s'affichent à l’attention des utilisateurs se connectant aux serveurs de leur réseau que dans les sociétés où cette pratique n'est pas mise en place.

Contre-mesure

Spécifiez le message suivant pour le paramètre Contenu du message pour les utilisateurs essayant de se connecter :

L'accès au système est limité aux utilisateurs autorisés. Toute personne tentant d'y accéder sans y être autorisée est passible de poursuites. Si vous n'êtes pas un utilisateur autorisé, mettez immédiatement fin à la tentative d'accès ! Si vous cliquez sur OK, vous acceptez les informations indiquées ici.

Spécifiez le texte suivant pour le paramètre Titre du message pour les utilisateurs essayant de se connecter :

VOUS COMMETTEZ UNE INFRACTION SI VOUS POURSUIVEZ L'OPÉRATION SANS Y ÊTRE AUTORISÉ.

Appliquez ces deux paramètres dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ces paramètres de stratégie de groupe sont les suivantes :

. Texte défini par l'utilisateur

. Non défini

Impact potentiel

Les utilisateurs voient s'afficher une boîte de dialogue avant de pouvoir ouvrir une session à la console du serveur.

Remarque : Pour pouvoir être affiché, tout avertissement doit avoir été approuvé au préalable par les représentants des départements juridiques et de gestion du personnel de votre organisation.

Scénario Contoso

Afin de faciliter les poursuites contre les auteurs d'attaques, une stratégie de groupe est utilisée pour associer les textes indiqués ci-dessus aux paramètres Contenu du message pour les utilisateurs essayant de se connecter et Titre du message pour les utilisateurs essayant de se connecter.

Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible)

Vulnérabilité

Le nombre attribué à ce paramètre précise le nombre d'utilisateurs dont les informations d'ouverture de session seront mises en cache localement. Si la valeur est 10, alors les informations d'ouverture de session de dix utilisateurs sont mises en cache. Lorsqu'un onzième utilisateur ouvre une session sur l'ordinateur, les informations sur la plus ancienne ouverture de session mise en cache sont écrasées.

Les informations d'identification d'ouverture de session des utilisateurs qui accèdent à la console du serveur sont mises en cache sur ce serveur. Un pirate qui parvient à accéder au système de fichiers du serveur peut localiser ces informations mises en cache et avoir recours à une attaque par force brute pour déterminer les mots de passe des utilisateurs.

L'impact de ce type d'attaque est atténué par la sécurisation de ces informations sensibles par Windows 2000. Les informations d'identification mises en cache sont conservées dans le Registre des systèmes, lequel est crypté et distribué en plusieurs emplacements physiques.

Contre-mesure

Attribuez la valeur 10 au paramètre Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible) dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Certaines sources recommandent l'emploi de la valeur 0.

Ce paramètre a été configuré afin que les utilisateurs puissent toujours ouvrir une session sur des ordinateurs dans l'éventualité où ils ne parviendraient pas à communiquer avec un contrôleur de domaine. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Nombre défini par l'utilisateur

·         Non défini

Impact potentiel

Les informations de session seront mises en cache localement sur les serveurs.

Scénario Contoso

Pour être certain que les utilisateurs autorisés puissent ouvrir une session sur les serveurs de Contoso même si les contrôleurs de domaines sont inaccessibles, la stratégie de groupe attribue la valeur 10 au paramètre Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible).

Empêcher la maintenance du mot de passe du compte ordinateur

Vulnérabilité

La configuration par défaut des ordinateurs Windows 2000 qui appartiennent à un domaine exige la modification des mots de passe de leurs comptes tous les sept jours. Lorsque cette fonctionnalité est désactivée, les ordinateurs Windows 2000 conservent les mêmes mots de passe pour leurs comptes d'ordinateur. Le risque de voir un pirate déterminer le mot de passe du compte de domaine du système est alors accru.

Contre-mesure

Vérifiez que l'option Empêche la maintenance par le système du mot de passe du compte ordinateur a la valeur Désactivé. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Aucun.

Scénario Contoso

La société Contoso souhaite minimiser le risque de voir un pirate déterminer le mot de passe d'un ordinateur pour son compte de domaine. En conséquence, la stratégie de groupe attribue à Empêche la maintenance par le système du mot de passe du compte ordinateur la valeur Désactivé.

Empêcher les utilisateurs d'installer des pilotes d'imprimante

Vulnérabilité

S'il est logique que les utilisateurs aient accès à l'impression sur leur propre station de travail, il en va autrement pour les serveurs. L'installation d'un pilote d'imprimante sur un serveur peut occasionner une instabilité du système. Seuls les administrateurs doivent normalement bénéficier de ce privilège.

De plus, un utilisateur malveillant peut délibérément tenter d'endommager le système de votre organisation en installant des pilotes d'imprimante inappropriés. Il peut s'agir de toute personne qui a accès à un système et représente une menace pour la sécurité de ce dernier, par exemple d'un utilisateur qui se rend coupable d'une élévation de privilèges pour accéder à des données non autorisées.

Contre-mesure

Attribuez au paramètre Empêcher les utilisateurs d'installer des pilotes d'imprimante la valeur Activé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Seuls les utilisateurs disposant des privilèges Administrateur, Utilisateur avec pouvoir et Opérateur de serveur doivent être en mesure d'installer des imprimantes sur les serveurs.

Scénario Contoso

Dans le scénario Contoso, seuls les administrateurs auront à installer les pilotes d'imprimante. Par conséquent, la stratégie de groupe a été utilisée pour attribuer au paramètre Empêcher les utilisateurs d'installer les pilotes d'imprimante la valeur Activé.

Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire

Vulnérabilité

Le scénario Contoso prévoit l'expiration périodique des mots de passe des utilisateurs. Si ces derniers ne sont pas avertis de l'expiration prochaine de leur mot de passe, ils peuvent s'en apercevoir alors qu'il est trop tard. Cela peut donner lieu à une certaine confusion chez les utilisateurs qui accèdent au réseau localement ou rendre toute ouverture de session réseau impossible pour les utilisateurs qui accèdent au réseau via des connexions d'accès à distance ou de réseau privé virtuel (VPN, Virtual Private Network).

Contre-mesure

Attribuez au paramètre Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire la valeur 14 jours dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Nombre de jours défini par l'utilisateur

·         Non défini

Impact potentiel

Les utilisateurs voient apparaître une boîte de dialogue chaque fois qu'ils ouvrent une session dans le domaine : celle-ci affiche le nombre de jours restant avant l'expiration de leur mot de passe.

Scénario Contoso

Dans le scénario Contoso, l'équipe de sécurité a voulu s'assurer que les utilisateurs modifient effectivement leurs mots de passe avant la date d'expiration.

Par conséquent, ils ont utilisé une stratégie de groupe pour attribuer la valeur 14 jours au paramètre Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire.

Console de récupération : autoriser l'ouverture de session d'administration automatique

Vulnérabilité

La console de récupération peut être très utile dans le cadre du dépannage et de la réparation de systèmes qu'il est impossible de redémarrer. Toutefois, l'activation du paramètre d'ouverture de session automatique à la console peut être dangereuse. N’importe qui peut en effet s'approcher du serveur, l'arrêter en débranchant son alimentation, le redémarrer, sélectionner l'option Console de récupération dans le menu Redémarrer et prendre le contrôle total du serveur.

Contre-mesure

Attribuez au paramètre Console de récupération : autoriser l'ouverture de session d'administration automatique la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

En cas d'utilisation de la console de récupération, l'utilisateur doit entrer un nom d'utilisateur et un mot de passe pour accéder au compte de cette console.

Scénario Contoso

Dans le scénario Contoso, chaque fois que la console de récupération doit être utilisée, un membre autorisé de l'équipe informatique est présent pour dépanner et réparer l'ordinateur. Par conséquent, la stratégie de groupe a été utilisée pour attribuer la valeur Désactivé au paramètre Console de récupération : autoriser l'ouverture de session d'administration automatique.

Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers

Vulnérabilité

Un administrateur autorisé pourrait oublier d'enlever du système un CD-ROM ou une disquette contenant des données ou des applications sensibles, lesquels pourraient ensuite être volés par un utilisateur malveillant. Autre exemple : il pourrait accidentellement laisser une disquette de démarrage dans l'ordinateur après avoir utilisé la console de récupération. Imaginons que le serveur doive redémarrer pour une raison quelconque. Si la configuration du BIOS (Basic Input/Output System) prescrit que le serveur doit d'abord tenter un démarrage à partir du lecteur de CD-ROM ou de la disquette, et ce, avant le disque dur, celui-ci redémarrera à partir du support amovible, et les services réseau du serveur ne seront pas disponibles.

Contre-mesure

Attribuez la valeur Activé au paramètre Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Certaines sources suggèrent de désactiver ce paramètre. Toutefois, son activation offre à l'administrateur une plus grande souplesse lors des tâches de réparation d'un serveur défaillant via la console de récupération. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Les utilisateurs qui démarrent un serveur via la console de récupération et se connectent avec le compte Administrateur prédéfini ne sont pas en mesure de copier des fichiers et des dossiers sur une disquette.

Scénario Contoso

Dans le scénario Contoso, l'équipe de sécurité a décidé qu'il fallait donner à qui de droit la possibilité de copier des fichiers à partir d'un CD-ROM ou d'une disquette dans le cadre de la réparation d'un serveur en panne via la console de récupération.

Par conséquent, la stratégie de groupe a été utilisée pour attribuer la valeur Activé au paramètre Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers.

Ne permettre l'accès aux disquettes/au CD-ROM qu'aux utilisateurs connectés localement

Vulnérabilité

Ce paramètre de stratégie détermine si un CD-ROM doit être simultanément accessible aux utilisateurs locaux et distants. S'il est activé, seuls les utilisateurs ayant ouvert une session interactive peuvent accéder au CD-ROM, et si personne n'a ouvert de session interactive, le CD-ROM demeure accessible via le réseau.

Contre-mesure

Activez les deux options, Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement et Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement, dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ces paramètres de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Les utilisateurs se connectant au serveur via le réseau ne pourront utiliser aucun lecteur de CD-ROM ou de disquette installé sur le serveur. Ce paramètre ne convient pas dans le cas d'un système de juke-box de CD pour des utilisateurs réseau.

Scénario Contoso

Le scénario Contoso ne prévoit pas l'utilisation de ce type de juke-box. Les seuls utilisateurs qui doivent être en mesure d'accéder aux CD-ROM et aux disquettes sont les administrateurs qui ont ouvert une session en local. Dans la stratégie de groupe, les paramètres Ne permettre l'accès au CD -ROM qu'aux utilisateurs connectés localement et Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement ont été définis avec la valeur Activé.

Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés

Vulnérabilité

Lorsqu'un système Windows 2000 se joint à un domaine, un compte d'ordinateur est créé. Ensuite, le système utilise le mot de passe de ce compte pour créer un canal sécurisé avec le contrôleur de son domaine chaque fois qu'il redémarre. Les demandes envoyées par le canal sécurisé sont authentifiées, et les informations sensibles (tels les mots de passe) sont cryptées. Toutefois, l'intégrité du canal n'est pas vérifiée, et le cryptage n'est pas appliqué à l'ensemble des informations.

Il existe plusieurs paramètres liés à cette contre-mesure. Il s'agit de Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés (toujours); Canal sécurisé : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)  Canal sécurisé : signer numériquement les données des canaux sécurisés (lorsque cela est possible). Si un système est configuré pour toujours crypter ou signer les données des canaux sécurisés, il est impossible d'établir un canal sécurisé entre celui-ci et un contrôleur de domaine qui n'est pas en mesure de signer ou de crypter tout le trafic des canaux sécurisés. Ce canal peut être établi si le système en question est configuré pour crypter ou signer les données des canaux sécurisés lorsque cela est possible, mais le niveau de cryptage et de signature est négocié.

Contre-mesure

Attribuez les valeurs suivantes aux différents paramètres dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Spécifiez Désactivé pour le paramètre Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés (toujours)) ; Activé pour le paramètre Canal sécurisé : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) et Activé pour le paramètre Canal sécurisé : signer numériquement les données des canaux sécurisés (lorsque cela est possible). Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Le cryptage et la signature numérique du « canal sécurisé » constituent une solution idéale lorsqu'ils sont pris en charge. Le canal sécurisé est le canal de communication de l'Accès réseau pour la protection des informations d'identification du domaine au moment où elles sont envoyées au contrôleur de domaine. Toutefois, le cryptage et la signature du canal sécurisé sont uniquement pris en charge par Windows NT 4.0 Service Pack 6a ou ultérieur, et non par les clients Windows 98 Deuxième Édition. Par conséquent, ce paramètre ne peut pas être activé sur les contrôleurs de domaines qui doivent prendre en charge des clients Windows 98 en tant que membres du domaine. À titre d'exemple d'impact potentiel, citons notamment l'impossibilité de créer ou de supprimer des relations d'approbation de niveau inférieur, la désactivation des ouvertures de session de clients de niveau inférieur et l'incapacité d'authentifier les utilisateurs d'autres domaines à partir d'un domaine approuvé de niveau inférieur.

Ce paramètre peut être activé à partir du moment où il n'existe plus aucun client Windows 9x dans le domaine et où tous les serveurs et contrôleurs de domaines Windows NT 4.0 (des domaines autorisés à approuver et approuvés) ont été mis à niveau avec le Service Pack 6a.

Il se peut que les données des canaux sécurisés transmises entre les clients de niveau inférieur et les serveurs de votre organisation ne soient pas cryptées ou protégées à l'aide de signatures numériques.

Scénario Contoso

Certaines sources recommandent l'activation de tous ces paramètres, mais pour garantir la compatibilité descendante, les serveurs de Contoso ont été configurés pour signer et crypter numériquement leurs données de canaux sécurisés lors des communications avec des ordinateurs qui prennent en charge la fonctionnalité.

Le scénario Contoso utilise une stratégie de groupe pour attribuer la valeur Désactivé au paramètre Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés (toujours), la valeur Activé au paramètre Canal sécurisé : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) et la valeur Activé au paramètre Canal sécurisé : signer numériquement les données des canaux sécurisés (lorsque cela est possible).

Canal sécurisé : nécessite une clé de session forte (Windows 2000 ou ultérieur)

Vulnérabilité

Les clés de session des anciennes versions du système d'exploitation Windows ne sont pas aussi sécurisées que celles de Windows 2000 Server. Les clés de session utilisées pour établir des communications par canal sécurisé entre contrôleurs de domaines et ordinateurs membres sont plus fortes dans Windows 2000 qu'elles ne l'étaient dans les précédentes versions de systèmes d'exploitation Microsoft.

Chaque fois que cela est possible, vous devez tirer parti de ces clés de session renforcées pour protéger vos communications par canal sécurisé contre les attaques du réseau par écoute électronique et par piratage de session. L'écoute électronique consiste à lire ou à altérer des données en transit, de façon à masquer ou modifier leur expéditeur ou à les rediriger, par exemple.

Contre-mesure

Attribuez la valeur Activé au paramètre Canal sécurisé : nécessite une clé de session forte (Windows 2000 ou ultérieur) dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

L'activation de ce paramètre de stratégie garantit la présence d'une clé de cryptage forte (Windows 2000 ou ultérieur) pour tout le trafic de canal sécurisé sortant. Si ce paramètre est désactivé, la force de la clé est négociée avec le serveur distant. Il doit être activé uniquement si les contrôleurs de tous les domaines approuvés prennent tous en charge les clés fortes. Par défaut, il a la valeur Désactivé.

Impact potentiel

Vous ne serez pas en mesure de joindre à un domaine Windows NT 4.0 les ordinateurs Windows 2000 sur lesquels ce paramètre est activé.

Scénario Contoso

Dans le scénario Contoso, il ne reste plus aucun domaine Windows NT 4.0. Par conséquent, une stratégie de groupe a été utilisée pour attribuer la valeur Activé au paramètre Canal sécurisé : nécessite une clé de session forte (Windows 2000 ou ultérieur).

Envoyer un mot de passe non crypté pour se connecter aux serveurs SMB tierce partie

Vulnérabilité

Si ce paramètre est activé, le serveur peut transmettre des mots de passe en texte clair sur le réseau à l'attention d'autres systèmes proposant des services SMB. Il est possible que ces autres systèmes n'utilisent aucun des mécanismes de sécurité SMB inclus avec Windows 2000. Le texte clair est utilisé dans un message qui n'est pas crypté. Les messages en texte clair sont également appelés messages en texte brut.

Contre-mesure

Attribuez la valeur Désactivé au paramètre Envoyer un mot de passe non crypté pour se connecter aux serveurs SMB tierce partie dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Activé

·         Désactivé

·         Non défini

Impact potentiel

Certains systèmes d'exploitation et applications très anciens ne seront peut-être pas en mesure de communiquer avec les serveurs de l'organisation via le protocole SMB.

Scénario Contoso

Il n'existe aucun serveur SMB tiers dans le scénario Contoso. Par conséquent, la stratégie de groupe est utilisée pour attribuer la valeur Désactivé au paramètre Envoyer un mot de passe non crypté pour se connecter aux serveurs SMB tierce partie.

Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité

Vulnérabilité

Ce paramètre est supprimé pour empêcher une attaque de refus de service (DoS) visant à multiplier les entrées d'audit jusqu'à provoquer un dépassement de capacité du journal de sécurité. La configuration de l'arrêt des ordinateurs lorsque le journal de sécurité est rempli peut induire une condition de refus de service.

Certaines sources recommandent d'attribuer la valeur Manuel à ce paramètre. Toutefois, la charge de travail administratif que représente cette configuration est trop élevée pour la plupart des organisations. La meilleure solution consiste à transférer tous les événements significatifs à un serveur de surveillance à l'aide de MOM ou d'un autre outil de surveillance automatisé.

Contre-mesure

Attribuez la valeur Désactivé au paramètre Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

. Activé

. Désactivé

. Non défini

Impact potentiel

Si la capacité maximale du journal de sécurité est atteinte, l'ordinateur continue de fonctionner, sans toutefois enregistrer d'autres événements. Le risque lié au non-enregistrement des événements de sécurité peut être atténué par l'attribution de la valeur Remplacer les événements si nécessaire au paramètre Méthode de conservation du journal de sécurité.

Scénario Contoso

L'équipe de sécurité de Contoso a jugé la charge de travail administratif liée à l'activation de ce paramètre trop élevée. Par conséquent, elle a utilisé une stratégie de groupe pour attribuer la valeur Désactivé au paramètre Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité.

Comportement lorsque la carte à puce est retirée

Vulnérabilité

Si l'authentification utilise des cartes à puce, l'ordinateur doit automatiquement se verrouiller lorsque vous enlevez la carte à puce. Si ce paramètre n'est pas activé, les utilisateurs peuvent oublier de verrouiller leurs stations de travail lorsqu'ils s'en éloignent. Pareille inattention donne à un utilisateur malveillant l'opportunité d'accéder à l'ordinateur d'un autre utilisateur pour obtenir des informations sensibles ou apporter des modifications non autorisées à l'ordinateur ou au réseau.

Contre-mesure

Attribuez au paramètre Comportement lorsque la carte à puce est retirée la valeur Verrouiller la station de travail dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Aucune action

·         Verrouiller la station de travail

·         Forcer la fermeture de session

·         Non défini

Impact potentiel

Les utilisateurs doivent réinsérer leur carte à puce et entrer à nouveau leur numéro d'identification personnel (PIN, Personal Identification Number) lorsqu'ils reviennent à leur poste.

Scénario Contoso

L'équipe de sécurité de Contoso veut s'assurer que la console des serveurs n'est pas accessible lorsque les administrateurs enlèvent leur carte à puce. Par conséquent, la stratégie de groupe a été utilisée pour attribuer la valeur Verrouiller la station de travail au paramètre Comportement lorsque la carte à puce est retirée.

Renforcer les autorisations par défaut des objets système globaux (comme les liens de symboles)

Vulnérabilité

Ce paramètre détermine la force de la liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List) par défaut des objets. Windows 2000 gère une liste globale des ressources système partagées, comme les noms de périphériques DOS, les mutex et les sémaphores.

De cette façon, les objets peuvent être localisés et partagés par différents processus. Chaque type d'objet est créé avec une liste DACL par défaut spécifiant qui peut y accéder et avec quelles autorisations. Si ce paramètre de stratégie est activé, la liste DACL par défaut est renforcée de sorte que les utilisateurs n'étant pas administrateurs puissent lire des objets partagés, mais sans qu’il leur soit possible de modifier des objets partagés qu'ils n'ont pas créés.

Contre-mesure

Attribuez la valeur Activé au paramètre Renforcer les autorisations par défaut des objets système globaux (comme les liens de symboles) dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

. Activé

. Désactivé

. Non défini

Impact potentiel

Aucun.

Scénario Contoso

Afin de renforcer la sécurité des serveurs de Contoso, une stratégie de groupe a été utilisée pour attribuer la valeur Activé au paramètre Renforcer les autorisations par défaut des objets système globaux (comme les liens de symboles).

Comportement d'installation d'un pilote non signé

Vulnérabilité

Cette option empêche l'installation de pilotes non signés ou avertit l'administrateur qu'un logiciel de pilote non signé est sur le point d'être installé. Elle peut empêcher que des pilotes non certifiés soient installés pour s'exécuter sur Windows 2000.

Contre-mesure

Attribuez la valeur Avertir, mais autoriser l'installation au paramètre Comportement d'installation d'un pilote non signé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Notez que la valeur par défaut dans Windows 2000 est Non défini. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Avertir, mais autoriser l'installation

·         Ne pas autoriser l'installation

·         Non défini

Impact potentiel

La société Contoso a prévu d'utiliser un paramètre moins contraignant afin d'offrir aux administrateurs une plus grande souplesse d'utilisation de pilotes non signés. Les utilisateurs bénéficiant de privilèges suffisants pour installer des pilotes de périphériques sont en mesure d'installer des pilotes non signés, ce qui risque toutefois de provoquer des problèmes d'instabilité des serveurs système. Sachez que si vous attribuez la valeur Avertir, mais autoriser l'installation, les scripts d'installation de pilotes non signés sans intervention humaine échoueront.

Scénario Contoso

La société Contoso prévoit d'accorder aux administrateurs la possibilité d'installer des pilotes non signés lorsqu'une telle décision est justifiée. Par conséquent, une stratégie de groupe a été utilisée pour attribuer la valeur Avertir, mais autoriser l'installation au paramètre Comportement d'installation d'un pilote non signé.

Comportement d'installation d'un fichier non-pilote non signé

Vulnérabilité

Cette option empêche l'installation d'applications non signées ou avertit l'administrateur qu'un logiciel non-pilote non signé est sur le point d'être installé. Elle peut empêcher l'installation de fichiers non-pilotes qui n'ont pas été certifiés pour s'exécuter sur Windows 2000.

Contre-mesure

Attribuez la valeur Réussite silencieuse au paramètre Comportement d'installation d'un fichier non-pilote non signé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. D'autres sources suggèrent d'appliquer à ce paramètre la valeur Avertir, mais autoriser l'installation. Ce paramètre a été sélectionné pour qu'Exchange 2000 Server et d'autres applications puissent être installés sans assistance, ainsi que pour empêcher la génération d'avertissements lors de l'installation d'autres applications non signées. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Réussite silencieuse

·         Avertir, mais autoriser l'installation

·         Ne pas autoriser l'installation

·         Non défini

Impact potentiel

La signature du code n'a pas encore été implémentée dans la plupart des services et applications. Ce paramètre de stratégie présente peu d'intérêt puisque, comparativement à la masse d'applications non signées, les applications signées existantes sont fort peu nombreuses. Toutefois, il peut empêcher ou compliquer l'installation de logiciels testés dans votre propre environnement de certification, en particulier dans le cas d'installations sans assistance qui peuvent même être bloquées par le paramètre Avertir, mais autoriser l'installation.

Les utilisateurs bénéficiant de privilèges suffisants pour installer des applications sont en mesure d'installer des programmes n'ayant pas été signés numériquement. Vous risquez alors d'être confronté à des problèmes de stabilité du serveur.

Scénario Contoso

Dans le scénario Contoso, le paramètre par défaut a été choisi pour que des logiciels non signés, comme Exchange 2000 Server, puissent être installés sans assistance, de même que d'autres applications non signées, et ce, sans que des centaines de messages d'erreur soient générés. Une stratégie de groupe a été utilisée pour attribuer la valeur Réussite silencieuse au paramètre Comportement d'installation d'un fichier non-pilote non signé.


Configuration des services

Lorsque Windows 2000 Server est installé pour la première fois, des services par défaut sont créés et configurés pour s'exécuter lorsque le système démarre. Bon nombre de ces services n'ont pas besoin de s'exécuter dans le réseau illustré par le scénario Contoso.

Tout service ou application est une cible potentielle d'attaque. Par conséquent, tous les services ou fichiers exécutables dont vous n'avez pas besoin doivent être désactivés ou supprimés de votre environnement système. Windows 2000 comporte des services facultatifs supplémentaires, comme les Services de certificats, qui sont absents de l'installation par défaut de Windows 2000 Server.

Vous pouvez ajouter ces services facultatifs à un système existant via la fonctionnalité Ajout/Suppression de programmes, à l'aide de l'assistant Configuration de votre serveur Windows 2000 ou encore en créant une installation automatisée personnalisée de Windows 2000. Dans la stratégie de base des serveurs membres, ces services facultatifs et d'autres services superflus sont désactivés.

La stratégie de base des serveurs membres active uniquement les services requis pour qu'un serveur membre Windows 2000 puisse faire partie d'un domaine Windows 2000 et fournir les services de gestion essentiels. Les services spécifiques requis pour chaque rôle de serveur sont activés par l'intermédiaire de stratégies de groupe spécifiques au rôle, comme l'explique le chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ».

Si le réseau Contoso avait eu besoin de types de serveur supplémentaires, il aurait été nécessaire d'activer d'autres services. Par exemple, les Services de certificats auraient dû être installés s'il avait été prévu d'utiliser un serveur de certificats pour distribuer des certificats SSL (Secure Socket Layer), du courrier électronique sécurisé et d'autres types de certificats aux utilisateurs finals. Une stratégie de groupe qui s'applique à ce nouveau rôle de serveur aurait également dû être créée afin d'attribuer la valeur Automatique au paramètre de démarrage des Services de certificats. Pour une description de la fonction que remplit chacun des services inclus dans Windows 2000 Server, consultez l'annexe A, « Fonctions des services Windows 2000 ».

Remarque : Si d'autres services sont activés, sachez qu’ils peuvent eux-mêmes présenter des dépendances qui nécessitent l'installation d'autres services. Tous les services requis pour un rôle de serveur spécifique doivent être ajoutés à la stratégie correspondant au rôle que ce serveur joue au sein de votre organisation. Le tableau ci-dessous recense les services configurés pour démarrer automatiquement dans la stratégie de base des serveurs membres.

Tableau 6.3. Services activés dans la stratégie de base des serveurs membres

Nom complet du service dans l'interface

Nom du service

Paramètre par défaut

Type de démarrage

Mises à jour automatiques

WUAUServ

Automatique

Automatique

Explorateur d'ordinateur

Browser

Automatique

Automatique

Client DHCP

DHCP

Automatique

Automatique

Client de suivi de lien distribué

TrkWks

Automatique

Automatique

Client DNS

DNSCache

Automatique

Automatique

Journal des événements

EventLog

Automatique

Automatique

Agent de stratégie IPSec (service IPSec)

PolicyAgent

Automatique

Automatique

Gestionnaire de disque logique

Dmserver

Automatique

Automatique

Ouverture de session réseau

Netlogon

Automatique

Automatique

Fournisseur de la prise en charge de sécurité LM NT

NtLmSsps

Manuel

Automatique

Plug and Play

PlugPlay

Automatique

Automatique

Emplacement protégé

ProtectedStorage

Automatique

Automatique

Appel de procédure distante (RPC)

RpcSs

Automatique

Automatique

Service d'accès à distance au Registre

RemoteRegistry

Automatique

Automatique

Gestionnaire de comptes de sécurité

SamSs

Automatique

Automatique

Serveur

Lanmanserver

Automatique

Automatique

Service SNMP

SNMP

Non installé

Automatique

Notification d'événement système

SENS

Automatique

Automatique

Service d'application d'assistance TCP/IP NetBIOS

LmHosts

Automatique

Automatique

Services Terminal Server

TermService

Désactivé

Automatique

Windows Installer

MSIServer

Manuel

Automatique

Infrastructure de gestion Windows (WMI)

WinMgmt

Manuel

Automatique

Horloge Windows

W32Time

Automatique (voir remarque ci-dessous)

Automatique

Station de travail

LanmanWorkstation

Automatique

Automatique

 

 

Remarque : Les paramètres par défaut sont Automatique pour un serveur du domaine et Manuel si ce serveur appartient à un groupe de travail.

Le tableau ci-dessous répertorie les services désactivés dans la stratégie de base des serveurs membres.

Tableau 6.4. Services désactivés dans la stratégie de base des serveurs membres

Nom complet du service dans l'interface

Nom du service

Paramètre par défaut

Type de démarrage

Avertissement

Alerter

Automatique

Désactivé

Gestion d'applications

AppMgmt

Manuel

Désactivé

Gestionnaire de l'Album

ClipSrv

Manuel

Désactivé

Distributed Transaction Coordinator

MSDTC

Automatique

Désactivé

Service de télécopie

Fax

Manuel

Désactivé

Service d'indexation

Cisvc

Manuel

Désactivé

Partage de connexion Internet

SharedAccess

Manuel

Désactivé

Service d'enregistrement de licences

LicenseService

Automatique

Désactivé

Affichage des messages

Messenger

Automatique

Désactivé

Partage de Bureau à distance NetMeeting

Mnmsrvc

Manuel

Désactivé

DDE réseau

NetDDE

Manuel

Désactivé

DSDM DDE réseau

NetDDEdsdm

Manuel

Désactivé

QoS RSVP

RSVP

Manuel

Désactivé

Gestionnaire de connexion automatique d'accès distant

RasAuto

Manuel

Désactivé

Gestionnaire de connexions d'accès distant

RasMan

Manuel

Désactivé

Médias amovibles

NtmsSvc

Automatique

Désactivé

Routage et accès distant

RemoteAccess

Désactivé

Désactivé

Service d'exécution par délégation

Seclogon

Automatique

Désactivé

Carte à puce

ScardSvr

Manuel

Désactivé

Prise en charge des cartes à puces

ScardDrv

Manuel

Désactivé

Planificateur de tâches

Schedule

Automatique

Désactivé

Téléphonie

TapiSrv

Manuel

Désactivé

Telnet

TlntSvr

Manuel

Désactivé

Onduleur

UPS

Manuel

Désactivé

Gestionnaire d'utilitaires

UtilMan

Manuel

Désactivé

 

Le tableau ci-dessous répertorie les services non installés par défaut qui sont désactivés dans la stratégie de base des serveurs membres.

 

Tableau 6.5. Services non installés par défaut, désactivés dans la stratégie de base des serveurs membres

Nom complet du service dans l'interface

Nom du service

Paramètre par défaut

Type de démarrage

Couche de négociation des informations de démarrage

BINLSVC

Non installé

Désactivé

Services de certificats

CertSvc

Non installé

Désactivé

Service de cluster

ClusSvc

Non installé

Désactivé

Serveur de fichiers pour Macintosh

MacFile

Non installé

Désactivé

Service de publication FTP

MSFTPSVC

Non installé

Désactivé

Service passerelle pour NetWare (voir remarque ci-dessous)

NWCWorkstation

Non installé

Désactivé

Service authentification Internet

IAS

Non installé

Désactivé

Message Queuing

MSMQ

Non installé

Désactivé

Network News Transport Protocol (NNTP)

NntpSvc

Non installé

Désactivé

Diffusion de présentation en ligne

NSLService

Non installé

Désactivé

Serveur d'impression pour Macintosh

MacPrint

Non installé

Désactivé

Contrôle d’admission QoS (RSVP)

RSVP

Non installé

Désactivé

Moteur de stockage étendu

Remote_Storage_Engine

Non installé

Désactivé

Fichier en stockage étendu

Remote_Storage_File_System_Agent

Non installé

Désactivé

Média de stockage étendu

Remote_Storage_Subsystem

Non installé

Désactivé

Notification de stockage étendu

Remote_Storage_User_Link

Non installé

Désactivé

Agent SAP

NwSapAgent

Non installé

Désactivé

Services TCP/IP simplifiés

SimpTcp

Non installé

Désactivé

Recherche du stockage d’instance simple

Groveler

Non installé

Désactivé

Service ILS Site Server

LDAPSVCX

Non installé

Désactivé

Simple Mail Transport Protocol (SMTP)

SMTPSVC

Automatique

Désactivé

Service de piège SNMP

SNMPTRAP

Non installé

Désactivé

Serveur d'impression TCP/IP

LPDSVC

Non installé

Désactivé

Gestionnaire de licences des services Terminal Server

TermServLicensing

Non installé

Désactivé

Service Trivial FTP

TFTPD

Non installé

Désactivé

Service d'analyse Windows Media

nsmonitor

Non installé

Désactivé

Service de programme Windows Media

nsprogram

Non installé

Désactivé

Service de stations Windows Media

nsstation

Non installé

Désactivé

Service de monodiffusion Windows Media

nsunicast

Non installé

Désactivé

 

Remarque : NetWare est un produit de gestion de réseau Novell. Il permet l'accès aux ressources réseau essentielles (fichiers, imprimantes, système de messagerie, bases de données, etc.) sur tous types de réseaux, de plates-formes de stockage et de stations de travail clientes.

Le tableau ci-dessous répertorie les services configurés pour être démarrés manuellement dans la stratégie de base des serveurs membres.

Tableau 6.6. Services configurés pour être démarrés manuellement dans la stratégie de base des serveurs membres

Nom complet du service dans l'interface

Nom du service

Paramètre par défaut

Type de démarrage

Service de transfert intelligent en arrière-plan

BITS

Manuel

Manuel

Systèmes d'événements de COM+

EventSystem

Manuel

Manuel

Service d'administration du Gestionnaire de disque logique

Dmadmin

Manuel

Manuel

Connexions réseau

Netman

Manuel

Manuel

Journaux et alertes de performance

SysmonLog

Manuel

Manuel

Extensions du pilote WMI

WMI

Manuel

Manuel

 

Le tableau ci-dessous répertorie les services configurés pour s'exécuter automatiquement pour des rôles de serveur spécifiques dans le scénario Contoso. Pour les autres rôles de serveur, ces services sont désactivés par l'affectation de la valeur Désactivé en guise de mode de démarrage dans la stratégie de base des serveurs membres. Le chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques », décrit en détail ces services et les raisons pour lesquelles ils sont indispensables pour certains rôles de serveur spécifiques.

 

Tableau 6.7. Services activés pour des rôles de serveur spécifiques dans la stratégie de base des serveurs membres

Nom complet du service dans l'interface

Nom du service

Paramètre par défaut

Type de démarrage

Serveur DHCP

DHCPServer

Non installé

Activé uniquement dans le rôle Serveur d'infrastructure.

Système de fichiers distribués (DFS)

Dfs

Automatique

Activé uniquement dans le rôle Contrôleur de domaine.

Serveur de suivi de lien distribué

TrkSrv

Automatique

Activé uniquement dans le rôle Contrôleur de domaine.

Serveur DNS

DNS

Non installé

Activé uniquement dans le rôle Contrôleur de domaine.

Réplication de fichiers

NtFrs

Manuel

Activé uniquement dans le rôle Contrôleur de domaine.

Service d'administration IIS

IISADMIN

Automatique

Activé dans le rôle Serveur IIS.

Messagerie inte-rsite

IsmServ

Désactivé

Activé dans le rôle Contrôleur de domaine.

Centre de distribution de clés Kerberos

Kdc

Désactivé

Activé uniquement dans le rôle Contrôleur de domaine.

Spouleur d'impression

Spooler

Automatique

Activé uniquement dans le rôle Serveur de fichiers et d'impression.

Localisateur d'appels de procédure distante (RPC)

Rpclocator

Manuel

Activé uniquement dans le rôle Contrôleur de domaine.

Sevice WINS (Windows Internet Name Service)

WINS

Non installé

Activé uniquement dans le rôle Serveur d'infrastructure.

Service de publication World Wide Web

W3svc

Automatique

Activé uniquement dans le rôle Serveur IIS.

 

Certains des services Windows 2000 Server présentés dans les tableaux ci-dessus méritent quelques explications complémentaires.

Explorateur d'ordinateur

Vulnérabilité

Le service Explorateur d'ordinateur gère la liste des ordinateurs du réseau et la fournit aux programmes qui la demandent. Il est utilisé par les ordinateurs Windows qui nécessitent l'affichage des ressources et des domaines du réseau.

Contre-mesure

Activez le service Explorateur d'ordinateur en définissant la valeur Automatique comme mode de démarrage. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

Les ordinateurs qui se connectent au même segment réseau physique que les serveurs de Contoso seront en mesure d'accéder à distance au service Explorateur d'ordinateur pour consulter la liste des domaines et des ressources.

Scénario Contoso

Le réseau décrit dans le scénario Contoso utilise le service Explorateur d'ordinateur pour énumérer les services fournis dans la forêt. Par conséquent, une stratégie de groupe est employée pour attribuer la valeur Automatique au mode de démarrage du service Explorateur d'ordinateur.

Fournisseur de la prise en charge de sécurité LM NT

Vulnérabilité

Ce service sécurise les programmes utilisant l'appel de procédure distante (RPC, Remote Procedure Call) et des transports autres que des canaux nommés. Il permet aux utilisateurs d'ouvrir une session à l'aide du protocole d'authentification NTLM.

Contre-mesure

Activez le service Fournisseur de la prise en charge de sécurité LM NT en attribuant la valeur Automatique à son mode de démarrage. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

Ce service est fourni avec Windows 2000 Server pour de simples raisons de compatibilité descendante avec des applications qui exigent son exécution. Cette fonctionnalité est à présent intégrée au système d'exploitation de base.

Scénario Contoso

Les serveurs décrits dans le scénario Contoso exécutent un agent tiers qui a besoin de ce service. Par conséquent, une stratégie de groupe est employée pour définir la valeur Automatique en guise de mode de démarrage du service Fournisseur de la prise en charge de sécurité LM NT.

Service SNMP

Vulnérabilité

Dans de nombreux cas, les applications de gestion exigent l'installation d'un agent sur chaque serveur. En règle générale, ces agents utilisent le protocole SNMP (Simple Network Management Protocol) pour retransmettre les alertes vers un serveur de gestion centralisée.

Contre-mesure

Activez le service SNMP en définissant la valeur Automatique comme mode de démarrage. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

L'activation du service SNMP crée un risque en soi dans la mesure où la chaîne de communauté par défaut utilisée pour les produits Microsoft est le mot « Public ». SNMP peut fournir les fonctionnalités nécessaires non seulement à la lecture de valeurs à partir d'un serveur, mais également à la modification de certaines informations. La chaîne de communauté est similaire à un mot de passe et doit être traitée avec le même niveau de sécurité. Il est possible d'atténuer le risque en modifiant manuellement la chaîne de communauté (voyez plus loin dans ce chapitre).

Un autre risque engendré par l'activation du service SNMP est l'envoi de tout le trafic sous la forme de texte en clair. Un pirate informatique capable d'espionner le trafic du réseau (tel que décrit dans le scénario Contoso) est en mesure de consulter les paquets SNMP.

Scénario Contoso

Les agents MOM installés sur les serveurs décrits dans le scénario Contoso dépendent de ce service. Par conséquent, une stratégie de groupe est utilisée pour attribuer la valeur Automatique au mode de démarrage du service SNMP.

Services Terminal Server

Vulnérabilité

L'administration à distance des serveurs permet de gagner du temps et de l'argent. L'équipe de support technique peut se connecter aux serveurs et effectuer des tâches administratives sans devoir se déplacer physiquement jusqu'à la console du serveur. Cette fonctionnalité est particulièrement importante dans les grands réseaux distribués.

Contre-mesure

Activez les services Terminal Server en choisissant la valeur Automatique comme mode de démarrage. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

Un pirate en mesure de se connecter au port TCP (Transmission Control Protocol) 3389 pourra établir une connexion RDP (Remote Desktop Protocol). Pour ouvrir une session sur le serveur, il doit néanmoins connaître le nom d'utilisateur et le mot de passe d'un compte doté de privilèges suffisamment élevés. En raison d'autres paramètres de sécurité implémentés sur les serveurs de Contoso, il serait extrêmement difficile et fastidieux pour un pirate de tenter une attaque par force brute via une connexion RDP et les services Terminal Server.

Scénario Contoso

Pour les raisons énumérées ci-dessus, les services Terminal Server sont installés et activés sur les serveurs de Contoso. Par conséquent, une stratégie de groupe a été utilisée pour attribuer la valeur Automatique au mode de démarrage des services Terminal Server.

Infrastructure de gestion Windows (WMI)

Vulnérabilité

Le service Infrastructure de gestion Windows (WMI, Windows Management Instrumentation) est indispensable à la gestion des disques logiques qui utilisent la gestion de l'ordinateur. Il permet également la gestion des alertes de performances, et est utilisé par de nombreuses autres applications et outils.

Contre-mesure

Activez le service Infrastructure de gestion Windows en paramétrant son mode de démarrage sur Automatique. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

Si les interfaces WMI sont activées, elles peuvent être exploitées par un pirate qui accède à un système afin de réunir des informations supplémentaires sur le matériel et les logiciels installés sur le serveur.

Scénario Contoso

Les serveurs du scénario Contoso doivent être gérés via WMI. Par conséquent, une stratégie de groupe est utilisée pour spécifier la valeur Automatique comme mode de démarrage du service Infrastructure de gestion Windows.

Service Affichage des messages et service Avertissement

Vulnérabilité

Bien qu'ils ne dépendent pas explicitement l'un de l'autre, ces services fonctionnent conjointement pour envoyer des alertes administratives. Le service Affichage des messages envoie des alertes déclenchées par le service Avertissement. Si vous utilisez des alertes et des journaux de performances pour déclencher des alertes, vous devez activer ces services sur les serveurs de votre organisation.

Contre-mesure

Désactivez les services Affichages des messages et Avertissement en paramétrant leur mode de démarrage sur Désactivé. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

·         Automatique

·         Manuel

·         Désactivé

·         Non défini

Impact potentiel

Les alertes administratives automatiques ne seront pas envoyées, et les notifications du service Affichage des messages ne pourront être ni envoyées, ni reçues par l'ordinateur ou les utilisateurs ayant une session en cours sur celui-ci. À titre d'exemple, les commandes NET SEND et NET NAME ne fonctionneront plus.

Scénario Contoso

Dans le scénario Contoso, ces services ne présentent aucune utilité. Par conséquent, une stratégie de groupe a été utilisée pour attribuer la valeur Désactivé au mode de démarrage des services Affichage des messages et Avertissement.

Listes de contrôle d'accès au Registre

Les autorisations par défaut, également appelées listes de contrôle d'accès (ACL, Access Control List), appliquées au Registre dans Windows 2000 Server sont nettement plus sécurisées que celles présentes dans Windows NT 4.0. Toutefois, il est possible de les renforcer davantage sans accroître de façon significative le risque de voir apparaître des problèmes de compatibilité. La stratégie de base des serveurs membres ne modifie pas les ACL d'accès au Registre définies dans le fichier Hisecws.inf. Ces ACL limitent le niveau d'accès au Registre dont bénéficient les utilisateurs non authentifiés, les utilisateurs standards et les utilisateurs avec pouvoir. Grâce à ces modifications, il est encore plus difficile pour les pirates informatiques d'apporter des changements indésirables au Registre, à moins de disposer de privilèges d'administration. La liste complète des modifications appliquées aux ACL est documentée dans l'annexe B, « Modifications du contrôle d'accès au Registre ».

Important : Avant d'apporter des modifications aux ACL existantes, testez soigneusement la procédure dans votre environnement.

Les ACL définies dans le fichier Hisecws.inf s'appliquent principalement au groupe Utilisateurs avec pouvoir, créé par défaut aux fins de compatibilité descendante avec les environnements Windows NT 4.0. Le modèle garantit que ce groupe dispose des mêmes autorisations que le groupe Utilisateurs dans Windows 2000.

Remarque : Le groupe Utilisateurs avec pouvoir n'est pas défini sur les contrôleurs de domaines.

Listes de contrôle d'accès aux fichiers

Les autorisations du système de fichiers dans le modèle de sécurité Hisecws.inf n'ont pas été implémentées dans le scénario Contoso. En effet, ces ACL sont si restrictives que seuls les administrateurs locaux peuvent accéder au système. Ce verrouillage force tous les administrateurs à être des administrateurs locaux, même si ce niveau d'autorité n'est pas exigé pour l'application qu'ils sont chargés de gérer. Certaines organisations souhaiteront autoriser uniquement les utilisateurs dotés de privilèges d'administration à se connecter aux consoles de leurs serveurs. Pour en savoir plus, consultez l'annexe C, « Autorisations optionnelles de système de fichiers » et examinez le modèle de sécurité Optional File System ACLs.inf.

Paramètres de Registre supplémentaires

Pour les serveurs décrits dans le scénario Contoso, des valeurs de Registre supplémentaires, qui ne sont pas définies dans le fichier de modèle d'administration (.ADM), sont ajoutées au fichier du modèle de sécurité de base. Le fichier .ADM détermine les restrictions et les stratégies système relatives au bureau, au shell et à la sécurité de Windows 2000 Server.

En d'autres termes, lorsque vous chargez le composant logiciel enfichable MMC Modèles de sécurité et que vous ouvrez le modèle Baseline.inf, les valeurs du Registre répertoriées dans les tableaux suivants ne sont pas représentées. En fait, ces paramètres ont été ajoutés au fichier .INF à l'aide du Bloc-notes, éditeur de texte de Windows, et sont appliqués au serveur lors du téléchargement de la stratégie.

Ces paramètres sont incorporés au modèle de sécurité Baseline.inf pour automatiser les modifications. En cas de suppression de la stratégie, ils ne sont pas automatiquement supprimés en même temps que celle-ci, et vous devez les modifier manuellement à l'aide d'un outil d'édition du Registre tel que Regedt32.exe.

Considérations de sécurité en matière d'attaques réseau

Vulnérabilité

La pile TCP/IP (Transmission Control Protocol/Internet Protocol) fait souvent l'objet de deux types d'attaques de refus de service (DoS) : celles qui utilisent un nombre excessif de ressources système, par exemple par l'ouverture d'un grand nombre de connexions TCP, et celles qui envoient des paquets spécialement conçus pour provoquer une défaillance de la pile réseau ou de l'ensemble du système d'exploitation. Ces paramètres du Registre contribuent à protéger un environnement des attaques dirigées contre la pile TCP/IP.

Contre-mesure

Reportez-vous aux tableaux 6.8 et 6.9 ci-dessous pour définir les valeurs de paramètres correspondantes dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Parmi les attaques de refus de service, citons celles qui inondent un serveur Web d'un flot de communications tel que le serveur est occupé en permanence, ou encore celles qui submergent un réseau distant d'un nombre démesuré de paquets de protocole. Les routeurs et les serveurs n'arrivent plus à gérer tous les paquets qu'ils doivent router ou traiter.

Il est parfois difficile de se défendre contre des attaques de refus de service. Parmi les mesures prises, citons le renforcement de la pile du protocole TCP/IP. Cette valeur du Registre a été ajoutée au modèle de sécurité de base, mais elle n'est pas définie dans le fichier de modèle d'administration (.ADM). Dès lors, quand vous chargez le composant logiciel enfichable MMC Modèles de sécurité et que vous consultez le modèle Baseline.inf, cette valeur du Registre n'est pas visible. Vous devez en réalité ajouter ces paramètres au fichier .INF à l'aide d'un éditeur de texte. Les paramètres sont ensuite appliqués au serveur au moment du téléchargement de la stratégie.

Impact potentiel

Les impacts potentiels de cette contre-mesure sont décrits dans le tableau 6.10 ci-dessous.

Scénario Contoso

Dans le scénario Contoso, une stratégie de groupe a été utilisée pour définir ces paramètres du Registre de façon à renforcer la résistance de la pile TCP/IP de Windows 2000 face aux attaques de refus de service classiques.

Les valeurs d'entrée de Registre suivantes ont été ajoutées au fichier de modèle sous la clé de Registre HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ :

Tableau 6.8. Paramètres TCP/IP ajoutés au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

EnableICMPRedirect

DWORD

0

SynAttackProtect

DWORD

2

EnableDeadGWDetect

DWORD

0

EnablePMTUDiscovery

DWORD

0

KeepAliveTime

DWORD

300 000

DisableIPSourceRouting

DWORD

2

TcpMaxConnectResponseRetransmissions

DWORD

2

TcpMaxDataRetransmissions

DWORD

3

PerformRouterDiscovery

DWORD

0

TCPMaxPortsExhausted

DWORD

5

 

Afd.sys gère les tentatives de connexion des applications Windows Sockets telles que les serveurs FTP et les serveurs Web. Ce fichier a été modifié pour qu'il puisse prendre en charge un nombre important de connexions dans l'état semi-ouvert sans refuser l'accès aux clients légitimes.

À cette fin, l'administrateur est autorisé à configurer un backlog dynamique. La nouvelle version du fichier Afd.sys prend en charge quatre nouveaux paramètres du Registre permettant de contrôler le comportement du backlog dynamique.

Les valeurs d'entrée de Registre suivantes ont été ajoutées au fichier de modèle sous la clé de Registre HKLM\System\CurrentControlSet\Services\AFD\Parameters\ :

Tableau 6.9. Paramètres d'Afd.sys ajoutés au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

DynamicBacklogGrowthDelta

DWORD

10

EnableDynamicBacklog

DWORD

1

MinimumDynamicBacklog

DWORD

20

MaximumDynamicBacklog

DWORD

20 000

.

Impact potentiel
Tableau 6.10. Impact des contre-mesures et des exploits potentiels

Entrée de Registre

Impact potentiel de la contre-mesure

Exploit potentiel

EnableICMPRedirect

Lorsque le service Routage et accès distant (RRAS) est configuré comme un routeur de limites de systèmes autonomes (ASBR, Autonomous System Boundary Router), il n'importe pas correctement les itinéraires des sous-réseaux connectés. À la place, ce routeur injecte les itinéraires hôtes dans les itinéraires OSPF (Open Shortest Path First). Dans la mesure où le routeur OSPF ne peut pas être utilisé comme un routeur ASBR, l'importation des itinéraires de sous-réseaux d'interface connectés engendre une confusion dans les tables de routage du fait de la présence d'itinéraires de routage incongrus.

Des redirections ICMP (Internet Control Message Protocol) entraînent le raccordement d'itinéraires hôtes par la pile. Ces itinéraires remplacent ceux générés par OSPF, ce qui, en soi, est le comportement escompté. Un problème se pose alors puisque le délai d'expiration de 10 minutes associé aux itinéraires connectés par les redirections ICMP crée un « trou noir » pour le réseau concerné.

SynAttackProtect

Cette valeur de Registre permet à TCP d'ajuster la retransmission des paquets SYN-ACK (synchronisation, accusé de réception). Lorsque vous configurez cette valeur, les réponses de connexion expirent plus rapidement en cas d'attaque SYN (inondation à l'aide de paquets SYN). Cette valeur ajoute des délais supplémentaires à des indications de connexion, et les demandes de connexion TCP expirent rapidement lorsqu'une attaque SYN est en cours. La définition de ce paramètre compromet le fonctionnement des options de socket ainsi que des fenêtres évolutives et des paramètres TCP configurés sur chaque carte, y compris la durée de boucle initiale (RTT, Round Trip Time) et la taille des fenêtres.

Au cours d'une attaque SYN, le pirate envoie un flux continu de paquets SYN à un serveur, ce dernier laissant ouvertes les connexions semi-ouvertes jusqu'à ce qu'il soit dépassé et ne parvienne plus à répondre aux demandes légitimes.

EnableDeadGWDetect

Lorsque la détection de passerelle inactive est activée, TCP peut demander à IP de se tourner vers une passerelle de secours si un certain nombre de connexions rencontrent des problèmes. Lorsque ce paramètre a la valeur 0, Windows ne détecte plus les passerelles inactives et bascule automatiquement vers une autre passerelle.

Un pirate peut forcer le serveur à changer de passerelle et donc à choisir éventuellement une passerelle qui n'est pas censée jouer ce rôle.

EnablePMTUDiscovery

Lorsque vous attribuez la valeur 1 à EnablePMTUDiscovery, TCP tente d'identifier l'unité de transmission maximale (MTU) ou la plus grande taille de paquet autorisée sur le chemin vers un hôte distant. TCP peut éliminer la fragmentation au niveau des routeurs situés le long du chemin qui relie des réseaux avec différentes tailles de transmission maximale, en identifiant la taille de transmission maximale du chemin et en limitant les segments TCP à cette taille. La fragmentation nuit au débit TCP. Lorsque ce paramètre a la valeur 0, une taille de transmission maximale de 576 octets est utilisée pour toutes les connexions n'émanant pas d'hôtes du sous-réseau local.

Si vous n'attribuez pas la valeur 0, un pirate peut forcer la taille de transmission maximale à une valeur très faible et surcharger la pile en contraignant le serveur à fragmenter un grand nombre de paquets.

KeepAliveTime

Cette valeur contrôle la fréquence à laquelle TCP vérifie qu'une connexion inactive est toujours intacte en envoyant un paquet Conserver actif (keep alive). Si l'ordinateur distant est toujours joignable, il accuse réception du paquet Conserver actif. Ces paquets ne sont pas envoyés par défaut. Vous pouvez utiliser un programme pour configurer cette valeur sur une connexion. Si vous réduisez la valeur par défaut de 2 heures à 5 minutes, les sessions inactives seront fermées plus rapidement.

Un pirate qui a pu se connecter à des applications réseau peut provoquer une condition de refus de service en établissant un grand nombre de connexions.

DisableIPSourceRouting

Le routage source IP est un mécanisme permettant à l'expéditeur de déterminer l'itinéraire IP que doit emprunter un datagramme sur le réseau. Si vous attribuez à cette entrée la valeur 2, tous les paquets entrants renvoyés à la source (source routed) sont ignorés.

Un pirate peut utiliser des paquets renvoyés à la source pour dissimuler son identité et son emplacement. Le routage source permet à un ordinateur envoyant un paquet de spécifier l'itinéraire que celui-ci doit emprunter.

TCPMaxConnectResponseRetransmissions

Ce paramètre contrôle le nombre de transmissions d'un SYN-ACK en réponse à une demande de connexion en l'absence d'un accusé de réception du paquet SYN. Si cette entrée a une valeur supérieure ou égale à 2, la pile emploie une protection SYN-ATTACK en interne. Si sa valeur est inférieure à 2, la pile ne lit pas du tout les valeurs du Registre relatives à la protection SYN-ATTACK. Ce paramètre raccourcit le délai par défaut nécessaire au nettoyage d'une connexion TCP semi-ouverte. Un site qui subit une attaque de grande envergure peut définir une valeur aussi basse que 1. 0 est également une valeur valide. Toutefois, si ce paramètre a la valeur 0, les SYN-ACK ne sont pas du tout retransmis et expirent après 3 secondes. Une telle valeur peut entraîner l'échec de tentatives de connexion légitimes en provenance de clients distants.

Au cours d'une attaque SYN, le pirate envoie un flux continu de paquets SYN à un serveur, ce dernier laissant ouvertes les connexions semi-ouvertes jusqu'à ce qu'il soit dépassé et ne parvienne plus à répondre aux demandes légitimes.

TCPMaxDataRetransmissions

TCP exécute un minuteur de retransmission chaque fois qu'un segment sortant est transmis à IP. Si aucun accusé de réception n'est obtenu avant l'expiration du minuteur pour les données d'un segment donné, le segment peut être retransmis, mais pas plus de trois fois.

Au cours d'une attaque SYN, le pirate envoie un flux continu de paquets SYN à un serveur, ce dernier laissant ouvertes les connexions semi-ouvertes jusqu'à ce qu'il soit dépassé et ne parvienne plus à répondre aux demandes légitimes.

PerformRouterDiscovery

Ce paramètre est activé pour empêcher Windows 2000, qui prend en charge le protocole IRDP (Internet Router Discovery Protocol), de détecter et de configurer automatiquement les adresses de passerelle par défaut sur l'ordinateur.

Un pirate qui prend le contrôle d'un système sur le même segment réseau peut configurer un ordinateur du réseau de telle sorte qu'il emprunte l'identité d'un routeur. D'autres ordinateurs IRDP peuvent alors tenter de router leur trafic via le système déjà compromis.

TCPMaxPortsExhausted

Ce paramètre contrôle le seuil d’activation de la protection SYN-ATTACK. La protection SYN-ATTACK est activée lorsque les demandes de connexion TCPMaxPortsExhausted ont été refusées par le système parce que le backlog disponible pour les connexions a été défini avec la valeur 0. Sur le serveur ou les systèmes tentant de l'utiliser de façon légitime, l'impact doit en principe être inexistant ou minime.

Au cours d'une attaque SYN, le pirate envoie un flux continu de paquets SYN à un serveur, ce dernier laissant ouvertes les connexions semi-ouvertes jusqu'à ce qu'il soit dépassé et ne parvienne plus à répondre aux demandes légitimes.

Paramètres AFD : DynamicBacklogGrowth Delta EnableDynamicBacklog MinimumDynamic Backlog MaximumDynamic Backlog

Afd.sys gère les tentatives de connexion des applications Windows Sockets telles que les serveurs FTP et les serveurs Web. Ce fichier a été modifié pour qu'il puisse prendre en charge un nombre important de connexions dans l'état semi-ouvert sans refuser l'accès aux clients légitimes. À cette fin, l'administrateur est autorisé à configurer un backlog dynamique. DynamicBacklogGrowthDelta contrôle le nombre de connexions libres à créer lorsque des connexions supplémentaires sont nécessaires. Soyez prudent lorsque vous manipulez ce paramètre dans la mesure où une valeur élevée peut entraîner des allocations de connexions libres excessives.

Au cours d'une attaque SYN, le pirate envoie un flux continu de paquets SYN à un serveur, ce dernier laissant ouvertes les connexions semi-ouvertes jusqu'à ce qu'il soit dépassé et ne parvienne plus à répondre aux demandes légitimes.

 

Configuration de la sécurité pour la libération de noms NetBIOS

NetBIOS (Network Basic Input/Output System) sur TCP/IP est un protocole réseau qui fournit, entre autres, un mécanisme de résolution des noms NetBIOS enregistrés sur des systèmes Windows en adresses IP configurées sur ces systèmes.

Vulnérabilité

Le protocole NetBT (NetBIOS sur TCP/IP) est conçu pour ne pas utiliser d'authentification. Il est par conséquent vulnérable aux tentatives d'usurpation d'identité. Un utilisateur malveillant pourrait exploiter cette absence d'authentification pour envoyer un datagramme de conflit de nom à un ordinateur cible, forçant celui-ci à abandonner son nom et à cesser de répondre aux requêtes.

Le résultat d'une telle attaque peut provoquer des problèmes de connectivité intermittents sur le système cible, voire empêcher l'utilisation du Voisinage réseau, des ouvertures de session de domaine, de la commande NET SEND ainsi que la résolution de noms NetBIOS.

Pour plus d'informations, consultez l'article de la Base de connaissances 269239, « MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts » (en anglais).

Contre-mesure

Testez et déployez les modifications du Registre recommandées dans l'article de la Base de connaissances Q269239. Si vous configurez l'entrée du Registre NoNameReleaseOnDemand avec la valeur 1, les serveurs ne peuvent plus répondre aux demandes de libération de noms émanant d'ordinateurs autres que les serveurs WINS configurés dans les paramètres réseau du serveur. Une autre solution consiste à désactiver le service WINS (Windows Internet Name Service) dans l'environnement et à s'assurer que toutes les applications utilisent DNS pour la résolution de noms. Si cette solution est recommandée dans le cadre d'une stratégie à long terme, elle s'avère peu pratique à court terme pour la majeure partie des organisations. Dans les organisations qui emploient encore WINS, il existe généralement des dépendances d'applications ne pouvant être résolues sans mises à niveau et déploiements de logiciels, lesquels exigent beaucoup de temps et une planification soigneuse.

Si vous ne pouvez pas mettre en œuvre cette contre-mesure et que vous souhaitez néanmoins garantir la résolution de noms NetBIOS, adoptez une mesure supplémentaire consistant à « précharger » les noms NetBIOS dans le fichier LMHOSTS sur certains ordinateurs. L'article 269239 de la Base de connaissances explique en détail la procédure de préchargement de noms NetBIOS dans le fichier LMHOSTS.

Remarque : Sachez que la mise à jour des fichiers LMHOSTS exige un travail de maintenance considérable dans la plupart des environnements. Microsoft préconise l'emploi de WINS plutôt que de LMHOSTS.

Impact potentiel

Un pirate peut envoyer à un ordinateur du réseau une demande de libération de son nom NetBIOS. Comme c'est le cas pour toutes les modifications susceptibles d'affecter des applications, Microsoft recommande de tester cette modification dans un environnement différent de l'environnement de production avant de l'implémenter réellement.

Scénario Contoso

Le scénario Contoso exige le maintien de la prise en charge des services de noms NetBIOS. Ce correctif est déployé sur tous les serveurs, et le Registre est mis à jour via la stratégie de serveur d'infrastructure incrémentielle.

La valeur d'entrée de Registre suivante a été ajoutée au fichier de modèle sous la clé de Registre HKLM\System\CurrentControlSet\Services\Netbt\Parameters\ :

Tableau 6.11. Paramètre ajouté au Registre pour configurer la sécurité de la libération de noms NetBIOS par la stratégie de base des serveurs membres

Clé de Registre

Format

Valeur (décimale)

NoNameReleaseOnDemand

DWORD

1

 

Désactivation de la génération automatique des noms de fichiers au format 8.3

Vulnérabilité

Windows 2000 prend en charge le format de noms de fichiers 8.3 afin d'assurer une compatibilité descendante avec les applications 16 bits. La convention de nom de fichier 8.3 établit un format qui autorise les noms de fichiers comptant 8 caractères au maximum.

Par conséquent, l'auteur d'une attaque n'a besoin que de 8 caractères pour faire référence à un fichier dont le nom en contient éventuellement 20. Par exemple, un fichier nommé Nomdefichierlong.doc peut être référencé par son nom au format 8.3, soit Nomdef~1.doc. Si vous n'utilisez pas d'applications 16 bits, vous pouvez désactiver cette fonctionnalité. En outre, la désactivation de la génération de noms courts sur une partition NTFS augmente les performances d'énumération des répertoires.

Les pirates peuvent utiliser les noms courts pour accéder à des applications et à des fichiers de données au format de nom long, normalement difficiles à localiser. Une fois qu'ils ont accédé au système de fichiers, ils peuvent avoir accès aux données ou exécuter des applications.

Contre-mesure

Attribuez la valeur 1 à NtfsDisable8dot3NameCreation dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Cette valeur d'entrée de Registre a été ajoutée au modèle de sécurité de base, mais elle n'est pas définie dans le fichier de modèle d'administration (.ADM). Dès lors, elle n'est pas visible quand vous chargez le composant logiciel enfichable MMC Modèles de sécurité et que vous consultez le modèle Baseline.inf. Vous devez en réalité ajouter ces paramètres au fichier .INF à l'aide d'un éditeur de texte. Les paramètres sont ensuite appliqués au serveur au moment du téléchargement de la stratégie.

Impact potentiel

Les applications 16 bits de votre organisation ne pourront pas accéder aux fichiers comportant plus de 8 caractères, qui est le nombre de caractères autorisé par le format 8.3.

Scénario Contoso

Le scénario Contoso a utilisé une stratégie de groupe pour paramétrer NtfsDisable8dot3NameCreation sur la valeur 1.

Les valeurs d'entrée de Registre suivantes ont été ajoutées au fichier de modèle sous la clé de Registre HKLM\System\CurrentControlSet\Control\FileSystem\ :

Tableau 6.12. Paramètre ajouté au Registre pour désactiver la création de noms au format 8.3 par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

NtfsDisable8dot3NameCreation

DWORD

1

 

Remarque : Si vous appliquez ce paramètre sur un serveur existant qui possède déjà des fichiers désignés par des noms au format 8.3 générés automatiquement, ceux-ci ne sont pas supprimés. Pour supprimer des noms de fichiers au format 8.3, vous devez copier ces fichiers ailleurs, les supprimer de leur emplacement d'origine avant de les recopier vers celui-ci.

Désactivation de l'exécution automatique

Vulnérabilité

L'exécution automatique commence par la lecture de données présentes sur un support dès que ce dernier est inséré dans un lecteur de l'ordinateur.

Par exemple, le fichier d'installation des programmes ou le son présent sur un supports audio sont immédiatement exécutés. Pour empêcher l'exécution d'un éventuel programme malveillant lors de l'insertion d'un support, la stratégie de groupe désactive l'exécution automatique pour tous les lecteurs.

Un pirate en mesure d'accéder physiquement au système peut insérer dans l'ordinateur un CD ou un DVD qui s'exécute automatiquement et initialise ensuite du code hostile. Ce programme hostile peut contenir n'importe quel code choisi par le pirate.

Contre-mesure

Attribuez à NoDriveTypeAutoRun la valeur hexadécimale 0xFF dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Cette valeur d'entrée de Registre a été ajoutée au modèle de sécurité de base, mais elle n'est pas définie dans le fichier de modèle d'administration (.ADM). Dès lors, elle n'est pas visible quand vous chargez le composant logiciel enfichable MMC Modèles de sécurité et que vous consultez le modèle Baseline.inf. Vous pouvez en fait ajouter ces paramètres au fichier .INF à l'aide d'un éditeur de texte. Ils sont ensuite appliqués au serveur lors du téléchargement de la stratégie.

Impact potentiel

L'exécution automatique ne fonctionne plus lorsque des disques à exécution automatique sont insérés dans un lecteur de l'ordinateur.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour ajouter la valeur d'entrée de Registre suivante au modèle sous la clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ :

Tableau 6.13. Paramètre de désactivation de l'exécution automatique pour tous les lecteurs ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (hexadécimale)

NoDriveTypeAutoRun

DWORD

0xFF

Suppression des sous-systèmes POSIX et OS/2

Vulnérabilité

La présence du sous-système OS/2 est nécessaire si le serveur doit interagir fréquemment avec des clients OS/2. OS/2 est une famille de systèmes d'exploitation multitâche, à mémoire virtuelle et en mode protégé de Microsoft, conçus pour les ordinateurs personnels basés sur les processeurs Intel 80286 et 80386. Quant à POSIX (Portable Operating System Interface for UNIX), il s'agit d'une norme de l'IEEE (Institute of Electrical and Electronic Engineers) qui définit un ensemble de services de système d'exploitation.

Le sous-système présente un risque de sécurité lié à la persistance potentielle de processus d'une connexion à une autre. En d'autres termes, si un utilisateur démarre un processus et qu'il ferme ensuite la session, il existe un risque que ce processus soit accessible à l'utilisateur qui se connectera au système juste après lui. Le processus exécuté par le premier utilisateur peut conserver les privilèges système de celui-ci.

Contre-mesure

Afin de désactiver les sous-systèmes OS/2, les clés de Registre Optional, OS/2 et POSIX ont été supprimées de la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les commandes de suppression de ces sous-clés de Registre ont été ajoutées au fichier du modèle de sécurité de base, mais elles ne sont pas définies dans le fichier .ADM.

Dès lors, quand vous chargez le composant logiciel enfichable MMC Modèles de sécurité et que vous consultez le modèle Baseline.inf, la modification n'est pas visible dans le Registre. Vous devez en réalité ajouter ces paramètres au fichier .INF à l'aide d'un éditeur de texte. Les paramètres sont ensuite appliqués au serveur au moment du téléchargement de la stratégie.

Impact potentiel

Les applications qui sont tributaires des sous-systèmes OS/2 ou POSIX ne fonctionneront plus. Par exemple, SFU 3.0, Microsoft Services for Unix, installe une version mise à jour du sous-système POSIX qui exige les deux sous-clés Optional et POSIX. Dès lors, vous devez retirer les lignes qui suppriment ces sous-clés du modèle de sécurité pour tous les serveurs employant SFU 3.0.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour supprimer les sous-clés suivantes de la clé de Registre HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems en ajoutant des entrées au modèle de sécurité :

·         Optional

·         OS/2

·         POSIX

Implémentation immédiate de la protection par mot de passe de l'écran de veille

Vulnérabilité

Le délai par défaut à l'issue duquel l'absence d'action de la part de l'utilisateur entraîne le verrouillage de l'écran de veille est de 5 secondes. Si vous conservez cette période de grâce par défaut, votre ordinateur est vulnérable à une éventuelle attaque pendant la période qui précède le verrouillage de la console. Une personne mal intentionnée peut en profiter pour tenter de se connecter au système avant son verrouillage. Il est possible de modifier une entrée du Registre pour ajuster ce délai.

Contre-mesure

Pour que la protection par mot de passe entre immédiatement en vigueur, attribuez à ScreenSaverGracePeriod la valeur 0. La valeur est le temps exprimé en secondes avant que la période de grâce de l'écran de veille expire.

Impact potentiel

Dès que l'écran de veille a été activé, les utilisateurs doivent entrer leur mot de passe pour que leur session de console puisse reprendre.

Scénario Contoso

Dans le scénario Contoso, la valeur de Registre suivante a été ajoutée au modèle pour la clé HKLM\SYSTEM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\ScreenSaverGracePeriod\ :

Tableau 6.14. Paramètre d'activation immédiate de la protection par mot de passe de l'écran de veille ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

ScreenSaverGracePeriod

Chaîne

0

 

Protection des attributs des objets du noyau

Vulnérabilité

Ce paramètre permet au gestionnaire d'objets de modifier les attributs d'un objet du noyau dans la table d'objets du processus en cours si, et seulement si, le mode précédent de l'appelant est le mode noyau.

Contre-mesure

Définissez le paramètre EnhancedSecurityLevel dans le Registre système avec la valeur 1.

Impact potentiel

Il n'existe aucun problème majeur connu, mais ce paramètre peut nuire aux performances ou à la stabilité d'applications plus anciennes qui tentent d'accéder directement au noyau.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour ajouter la valeur d'entrée de Registre suivante au modèle sous la clé HKLM\SYSTEM\CurrentControlSet\Control\Session Manager :

Tableau 6.15. Paramètre pour la protection des attributs des objets du noyau ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

EnhancedSecurityLevel

DWORD

1

Restriction de l'accès par session nulle

Vulnérabilité

Les sessions nulles constituent une faille qui peut être exploitée via les divers partages existant sur les ordinateurs de votre environnement.

Contre-mesure

Modifiez l'accès par session nulle aux partages de vos ordinateurs en ajoutant l'entrée de Registre RestrictNullSessAccess avec une valeur 1. Cette valeur active ou désactive l'accès par session nulle aux partages, déterminant ainsi si le service Serveur doit autoriser ou refuser l'accès aux clients ayant ouvert une session avec le compte système sans authentification du mot de passe et du nom d'utilisateur.

Impact potentiel

L'attribution de la valeur 1 à cette entrée de Registre limite l'accès par session nulle des utilisateurs non authentifiés à tous les partages et canaux serveur, à l'exception de ceux qui sont répertoriés dans les entrées NullSessionPipes et NullSessionShares.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour ajouter la clé de Registre suivante au modèle sous la clé HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\ :

Tableau 6.16. Paramètre pour la restriction de l'accès par session nulle ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

RestrictNullSessAccess

DWORD

1

Restriction de l'accès par session nulle via les canaux nommés et les partages

Vulnérabilité

La limitation de l'accès via les canaux nommés et les partages permet d'éviter l'accès non autorisé au réseau.

Contre-mesure

Supprimez les sous-clés de Registre NullSessionPipes et NullSessionShares figurant sous la clé HKLM\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters.

Impact potentiel

L'accès par session nulle via des canaux nommés sera désactivé, et les applications qui reposent sur cette fonctionnalité seront hors service. L'accès par session nulle aux partages sera désactivé, et les applications qui sont tributaires d'un accès non authentifié aux partages réseau ne fonctionneront plus. Par exemple, avec Microsoft® Commercial Internet System 1.0, le service Messagerie Internet s'exécute sous le processus Inetinfo, lequel démarre dans le contexte du compte système. Lorsque le service Messagerie Internet a besoin d'interroger la base de données Microsoft® SQL Server, il utilise le compte système. Ce dernier emploie des informations d'identification nulles (c'est-à-dire non spécifiées) pour accéder à un canal SQL sur l'ordinateur SQL Server.

Vous pouvez résoudre ce problème de deux façons. Vous pouvez soit configurer le service Publication sur le World Wide Web pour qu'il s'exécute avec un compte différent du compte système, autorisé à se connecter à la base de données SQL Server, soit activer des canaux de session nulle. Pour plus d'informations, consultez l'article 207671 de la Base de connaissances, « HOW TO: Access Network Files from IIS Applications » à l'adresse http://support.microsoft.com/default.aspx?scid=KB;en-us;207671 (en anglais).

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour supprimer les sous-clés suivantes de la clé de Registre HKLM\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters en ajoutant des entrées au modèle de sécurité :

. NullSessionPipes

. NullSessionShares

Avertissement sur la saturation imminente du journal de sécurité

Vulnérabilité

Le Service Pack 3 de Windows 2000 comprend une nouvelle fonctionnalité de génération d'un audit de sécurité dans le journal de sécurité lorsque la taille dudit journal atteint un seuil défini par l'utilisateur. Lorsque le journal atteint 90 % de sa capacité, il affiche une entrée d'événement avec l'ID d'événement 523, indiquant que le journal des événements de sécurité est rempli à 90 %.

Contre-mesure

Pour activer cette fonctionnalité, ajoutez au Registre une nouvelle entrée DWORD appelée WarningLevel sous la clé suivante, et attribuez-lui la valeur 90 :

HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security.

Impact potentiel

Ce paramètre génère un événement d'audit lorsque le journal d'audit atteint 90 % de sa capacité.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour ajouter la valeur d'entrée de Registre suivante au modèle sous la clé HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ :

Tableau 6.17. Paramètre d'activation de l'avertissement signalant la saturation imminente du journal de sécurité ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

WarningLevel

DWORD

90

Authentification par le contrôleur de domaine obligatoire pour le déverrouillage de la console

Vulnérabilité

L'ordinateur met en cache les informations d'identification de tous les utilisateurs authentifiés localement. L'ordinateur utilise ces informations d'identification pour authentifier quiconque tente de déverrouiller la console.

Lorsque les informations d'identification mises en cache sont utilisées, aucune modification récemment apportée au compte (au niveau de l'affectation des droits utilisateur, du verrouillage de compte ou de la désactivation du compte) n'est prise en considération ou appliquée après ce processus d'authentification. En conséquence, non seulement les privilèges utilisateur ne sont pas mis à jour, mais, plus important encore, les comptes désactivés sont toujours en mesure de déverrouiller la console du système.

Contre-mesure

Pour garantir l'application immédiate (lors du déverrouillage) de toute modification apportée au compte, vous devez forcer l'ordinateur à authentifier le compte à chaque tentative de déverrouillage de la console. Ainsi, vous empêchez qu'il ne se base sur les informations d’authentification mises en cache.

Pour activer cette fonctionnalité, ajoutez au Registre une nouvelle entrée de valeur DWORD appelée ForceUnlockLogon en lui attribuant la valeur 1 sous la clé suivante : HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\.

Impact potentiel

Lorsque la console d'un contrôleur de domaine est verrouillée, soit par un utilisateur, soit automatiquement à l'issue d'un délai d'expiration de l'écran de veille, elle doit être déverrouillée pour pouvoir accéder à l'ordinateur.

Scénario Contoso

Le scénario Contoso utilise une stratégie de groupe pour ajouter la valeur d'entrée de Registre suivante au modèle sous la clé HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\ :

Tableau 6.18. Paramètre forçant l'authentification par le contrôleur de domaine pour le déverrouillage de la console, ajouté au Registre par la stratégie de base des serveurs membres

Entrée de Registre

Format

Valeur (décimale)

ForceUnlockLogon

DWORD

1


Autres procédures de renforcement de la sécurité des serveurs membres

 

Même s'il a été possible d'appliquer la plupart des contre-mesures de renforcement de la sécurité des serveurs Contoso au moyen d'une stratégie de groupe, il existe d'autres paramètres pour lesquels il est difficile, voire impossible, d'utiliser une stratégie de groupe. Cette section explique comment certaines de ces contre-mesures supplémentaires, telle la sécurisation des comptes, ont été implémentées manuellement et comment d'autres, comme les filtres IPSec, ont été mises en place à l'aide de scripts de shell.

Procédures manuelles de renforcement de la sécurité

Les sous-sections suivantes décrivent les procédures manuelles utilisées pour appliquer des contre-mesures aux serveurs de Contoso.

Sécurisation des comptes

Vulnérabilité

Windows 2000 dispose d'une série de comptes d'utilisateur prédéfinis, qui ne peuvent pas être supprimés, mais qui peuvent être renommés. Deux des comptes prédéfinis les plus courants de Windows 2000 sont les comptes Invité et Administrateur.

Par défaut, le compte Invité est désactivé sur les serveurs membres et les contrôleurs de domaines. Vous ne devez pas modifier ce paramètre. Quant au compte prédéfini Administrateur, il doit être renommé et sa description modifiée, afin d'empêcher un intrus de compromettre un serveur distant au moyen d'un nom connu.

De nombreuses variantes de code malveillant utilisent le compte Administrateur prédéfini pour tenter de compromettre un serveur. Cette modification de configuration a perdu de son efficacité au cours des dernières années, depuis l'apparition d'outils d'attaque visant à s'introduire dans un système en spécifiant l'identificateur de sécurité (SID, Security Identifier) du compte Administrateur prédéfini. Un SID est une valeur qui identifie de façon unique chaque utilisateur, groupe, compte d'ordinateur et ouverture de session sur un réseau. Il n'est pas possible de modifier le SID de ce compte prédéfini.

Remarque : Le compte Administrateur prédéfini peut être renommé via la stratégie de groupe. Nous avons décidé de ne pas implémenter le paramètre dans les stratégies de base parce qu'il est indispensable de choisir un nom peu connu. En effet, nous souhaitons éviter que certaines organisations déployant nos modèles de sécurité omettent de modifier le paramètre qui y est défini et conservent ainsi le nom utilisé dans le scénario Contoso pour leur compte d'administrateur renommé. Nous vous recommandons d'utiliser le paramètre de stratégie de groupe Renommer le compte administrateur figurant sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Journal des événements\ dans votre environnement.

Contre-mesure

Renommez manuellement le compte d'administrateur et remplacez sur chaque serveur le mot de passe par défaut par un mot de passe long et complexe. En outre, veillez à utiliser des noms et mots de passe différents sur chacun des serveurs.

Prenez note de ces modifications et conservez ces informations en lieu sûr. Si les mêmes noms de compte et les mêmes mots de passe sont utilisés sur tous les serveurs, il suffira à un pirate de parvenir à accéder à un serveur membre pour avoir accès à tous les autres.

Impact potentiel

Les utilisateurs responsables de la gestion des serveurs doivent connaître le nom de compte utilisé pour chacun des serveurs. S'il est nécessaire de se connecter à un serveur donné avec le compte administrateur local, l'utilisateur devra se référer à ces informations sécurisées pour connaître le nom d'utilisateur et le mot de passe à employer.

Scénario Contoso

Dans le scénario Contoso, la console Gestion de l'ordinateur a été utilisée pour modifier le compte administrateur local et son mot de passe sur chaque serveur membre.

Sécurisation des comptes de service

Les services Windows 2000 s'exécutent généralement sous le compte système local, mais ils peuvent également utiliser un compte local ou un compte d'utilisateur de domaine. Dans la mesure du possible, vous devez plutôt utiliser des comptes locaux que des comptes d'utilisateur de domaine.

Étant donné qu'un service s'exécute dans le contexte de sécurité de son compte de service, si un intrus compromet un service sur un serveur membre, le compte de service peut être utilisé pour attaquer un contrôleur de domaine. Lorsque vous déterminez le compte à utiliser comme compte de service, vous devez vous assurer que les privilèges qui lui sont affectés sont limités aux seuls droits requis pour le bon fonctionnement du service. Le tableau ci-dessous présente les privilèges inhérents à chaque type de compte de service.

Tableau 6.19. Privilèges des comptes Windows 2000 dans divers environnements

Service d'authentification sur les serveurs Windows 2000

Intraforêt uniquement, tous les serveurs Windows 2000

Multiforêt avec approbations NTLM entre domaines

Compte de service d'utilisateur local

Aucune ressource réseau, accès local uniquement en fonction des privilèges affectés au compte.

Aucune ressource réseau, accès local uniquement en fonction des privilèges affectés au compte.

Compte de service d'utilisateur du domaine

Accès réseau en tant qu'utilisateur de domaine, accès local en fonction des privilèges d'utilisateur.

Accès réseau en tant qu'utilisateur de domaine, accès local en fonction des privilèges d'utilisateur.

LocalSystem

Accès réseau en tant qu'utilisateur authentifié par compte d'ordinateur, accès local sous LocalSystem.

Aucune ressource réseau fractionnée dans plusieurs forêts, accès local sous LocalSystem.

 

Important : Tous les services par défaut Windows 2000 sont exécutés sous LocalSystem, et vous ne devez pas modifier ce paramétrage. Tout service supplémentaire ajouté au système et nécessitant l'utilisation de comptes de domaine doit être minutieusement évalué avant d'être déployé.

Désactivation de la création du codage LMHash

Vulnérabilité

Les serveurs Windows 2000 peuvent authentifier les ordinateurs exécutant toutes les versions précédentes de Windows. Toutefois, comme les versions précédentes de Windows n'utilisent pas Kerberos pour l'authentification, Windows 2000 prend en charge LAN Manager (LM), Windows NT (NTLM) et NTLM version 2 (NTLMv2). Le codage LMHash est faible comparé au codage NTLMHash et, par conséquent, sensible aux attaques par force brute.

Des outils comme L0phtcrack, qui existent depuis plusieurs années, permettent de déterminer un mot de passe en fonction de son codage LMHash à l'aide d'attaques par dictionnaire et par force brute. Si vos clients ne nécessitent pas une authentification LM, vous devez désactiver le stockage de codage LMHash.

Contre-mesure

Pour désactiver la création de codage LMHash, vous devez ajouter manuellement une clé NoLMHash à la clé de Registre suivante : HKLM\SYSTEM\CurrentControlSet\Control\Lsa\

Remarque : Si vous souhaitez désactiver la création du codage LMHash, cette clé doit être ajoutée manuellement au Registre. Il est impossible d'utiliser une stratégie de groupe pour ajouter une clé au Registre ; seules des valeurs peuvent être ajoutées.

L'ajout de cette clé désactivera la création du codage LMHash pour les mots de passe récemment stockés. Aucun codage LMHash existant stocké dans la base de données SAM ou le fichier NTDS.dit ne sera supprimé. Dès lors, vous devez exiger de tous les utilisateurs qu'ils modifient leur mot de passe après l'application de ce paramètre.

Impact potentiel

Les comptes d'administrateur locaux et les clients exécutant des applications et des systèmes d'exploitation hérités qui ont besoin du codage LMHash pour l'authentification ne seront pas en mesure de se connecter aux serveurs de votre organisation.

Scénario Contoso

Dans le scénario Contoso, la création du codage LMHash a été désactivée par l'ajout manuel d'une clé NoLMHash à la clé de Registre suivante : HKLM\SYSTEM\CurrentControlSet\Control\Lsa\

Remarque : Pour désactiver le stockage de codage LMhash avec ce paramètre de Registre, vous devez exécuter Windows 2000 SP2 ou ultérieur.

NTFS

Vulnérabilité

Les partitions NTFS prennent en charge les listes ACL au niveau des fichiers et des dossiers. Cette prise en charge n'est pas disponible avec les systèmes de fichiers FAT (File Allocation Table), FAT32 ou FAT32x. FAT32 est une version du système de fichiers FAT qui a été mise à jour afin de prendre en charge des tailles de cluster par défaut plus petites et des disques durs d'une capacité allant jusqu'à deux téraoctets. Le système de fichiers FAT32 est fourni avec Windows 95 OSR2, Windows 98, Microsoft® Windows® Millennium Edition, Windows 2000 et Windows XP.

Contre-mesure

Formatez à l'aide de NTFS toutes les partitions de tous les serveurs. Pour les partitions de type FAT existantes convertissez au format NTFS les sans les détruire au moyen de l'utilitaire de conversion (convert.exe). Souvenez-vous que cet utilitaire définira les ACL du lecteur converti avec l'autorisation Tout le monde : Contrôle total. Pour les systèmes Windows 2000 Server, appliquez localement les modèles de sécurité suivants, de façon à configurer les ACL par défaut du système de fichiers, respectivement pour les stations de travail, les serveurs et les contrôleurs de domaines :

·         %windir%\inf\defltwk.inf

·         %windir%\inf\defltsv.inf

·         %windir%\inf\defltdc.inf

Remarque : Les paramètres de sécurité par défaut du contrôleur de domaine sont appliqués au moment de la promotion d'un serveur au rang de contrôleur de domaine.

Impact potentiel

Aucun impact négatif.

Scénario Contoso

Toutes les partitions des serveurs de Contoso ont été formatées avec le système de fichiers NTFS.

Segmentation des applications et des données

Vulnérabilité

Deux classes de vulnérabilités résultent de l'installation des applications, des données et de fichiers journaux sur le même volume de stockage que le système d'exploitation. La première menace potentielle est de voir un utilisateur provoquer la saturation du volume de stockage, de façon intentionnelle ou non. L’utilisateur peut faire en sorte que le fichier journal d'applications atteigne des dimensions telles ou charger des fichiers sur le serveur à tel point que la totalité de l'espace disque soit occupée. La seconde menace est posée par des exploits utilisant le « parcours de répertoire ». Dans un tel cas, un pirate peut exploiter un bogue d'un service accessible depuis le réseau pour naviguer dans l'arborescence de répertoires jusqu'à atteindre la racine du volume système. Il peut ensuite parcourir les répertoires du système d'exploitation pour, par exemple, exécuter un utilitaire à distance.

Il existe des milliers de variantes d'attaques de ce type, qui exploitent des failles présentes dans certains systèmes d'exploitation et applications. Ces dernières années, de nombreux incidents similaires ont permis de constater la vulnérabilité d'IIS à cet égard. Ainsi, les vers NIMDA et Code Red ont utilisé un exploit par dépassement de la capacité de la mémoire tampon pour parcourir des arborescences de répertoires de sites Web, avant d'exécuter à distance l'exécutable cmd.exe pour accéder à un shell distant et ainsi exécuter d'autres commandes.

Par conséquent, chaque fois que cela est possible, installez les journaux d'applications, les données utilisateur, les applications et le contenu Web ainsi que tout autre fichier non indispensable au système d'exploitation sur une partition de stockage distincte du volume système.

Contre-mesure

Déplacez le contenu Web, les applications et les données ainsi que les fichiers journaux d'applications sur une partition distincte du volume système.

Impact potentiel

Aucun impact négatif significatif.

Scénario Contoso

Les détails relatifs à la résolution de ces problèmes pour le scénario Contoso sont décrits au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ».

Configuration du nom de communauté SNMP

Vulnérabilité

Le protocole SNMP est par nature faiblement sécurisé. La plus grande vulnérabilité qu'il présente découle de la définition d'une chaîne de communauté par défaut par pratiquement tous les fournisseurs. Ces noms de communauté par défaut sont très connus ; Microsoft, par exemple, utilise le mot « Public ».

Il présente une seconde vulnérabilité, plus difficile à pallier. Dans la mesure où le trafic SNMP est toujours envoyé sous la forme de texte en clair, lorsqu'un périphérique de gestion SNMP se connecte à un client SNMP, la chaîne de communauté est transmise sur le réseau sans avoir été préalablement cryptée ou hachée. Vous pouvez prémunir l'environnement contre cette vulnérabilité en cryptant tout le trafic qui transite entre les serveurs.

Cette contre-mesure sort de l'objet de ce guide.

Contre-mesure

Configurez la chaîne de communauté SNMP sur tous les systèmes avec une valeur alphanumérique aléatoire. Pour ce faire, accédez à la console Services et double-cliquez sur Service SNMP. Puis, sélectionnez l'onglet Sécurité dans la boîte de dialogue des propriétés du service SNMP. Sélectionnez « Public » dans la liste des noms de communauté acceptés, cliquez sur le bouton Modifier, puis tapez le nouveau nom de communauté dans la boîte de dialogue Nom de la communauté du service SNMP lorsqu'elle apparaît. Cliquez sur OK pour fermer chacune de ces boîtes de dialogue.

Remarque : Le nom de communauté est stocké dans le Registre sous la forme d'une entrée possédant la valeur DWORD 4. Par conséquent, vous pouvez automatiser cette modification en créant un script ou en ajoutant une ligne au modèle de sécurité Baseline.inf avant de l'importer dans la stratégie de groupe des serveurs membres. La valeur est stockée sous :

HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities

Impact potentiel

La chaîne de communauté doit être également reconfigurée dans tous les outils de gestion qui utilisent le protocole SNMP.

Scénario Contoso

Dans le scénario Contoso, la chaîne de communauté SNMP prend pour nouvelle valeur mouse3pad.


Configuration des stratégies IPSec

IPSec (Internet Protocol Security) a été initialement conçu pour crypter les données échangées entre deux ordinateurs, empêchant qu'elles puissent être modifiées ou interprétées par quiconque les intercepterait sur le réseau. IPSec est un élément clé de la ligne de défense contre les attaques internes, externes ou de réseau privé.

Même si la plupart des stratégies de sécurité réseau se sont concentrées sur la prévention des attaques externes au réseau, des attaques internes visant à interpréter des données sur le réseau peuvent entraîner la perte d'une multitude d'informations sensibles. La majeure partie des données ne sont pas protégées lorsqu'elles sont transmises sur le réseau. Dès lors, des employés, du personnel auxiliaire ou des visiteurs peuvent connecter leur périphérique au réseau et copier des données à des fins d'utilisation ultérieure. Si IPSec peut être utilisé pour crypter les données sur le réseau, il peut également servir à sécuriser la couche réseau du modèle de défense en profondeur. Pour y parvenir, vous devez utiliser des stratégies IPSec pour verrouiller une interface réseau. Il existe un danger potentiel d'attaques internes au niveau du réseau contre d'autres ordinateurs. Les pare-feu situés entre le réseau interne et Internet n'offrent aucune protection contre ce type de menaces internes. Par conséquent, le blocage par IPSec des ports non indispensables offre un niveau de sécurité supérieur pour les ressources de l'entreprise.

Voici la définition de plusieurs termes qui seront utilisés dans le reste du document :

·         Liste de filtres. Inclut des ports, des protocoles et des directions. Une liste de filtres déclenche une action spécifiée lorsque le trafic correspond à un élément spécifié dans la liste. Elle peut contenir plusieurs filtres.

·         Action de filtrage. Réponse requise lorsque le trafic correspond à une liste de filtres. À titre d'actions, citons le blocage ou l'autorisation d'un trafic donné.

·         Règle. Corrélation d'une liste de filtres avec une action de filtrage.

·         Stratégie. Ensemble de règles. Il ne peut y avoir qu'une seule stratégie active à la fois.

Planification des stratégies IPSec à l'aide de cartes de trafic réseau

Le moyen le plus simple pour enregistrer ces informations consiste à utiliser une table appelée « carte de trafic réseau ». Cette carte contient des informations de base au sujet du rôle du serveur, de la direction du trafic réseau, de sa destination, de l'adresse IP de l'interface, du protocole IP ainsi que du port TCP et du port UDP (User Datagram Protocol) concernés. Un exemple de carte de trafic réseau est illustré ci-dessous.

Une carte de trafic réseau vous aide à mieux interpréter le trafic entrant et sortant de serveurs donnés. Avant de créer des stratégies IPSec, il est essentiel de bien appréhender le trafic nécessaire au bon fonctionnement du serveur. Sans cela, vous risquez de créer des filtres trop stricts, provoquant la défaillance d'applications.

L'équipe de sécurité de Contoso a déterminé les services réseau nécessaires pour chaque rôle de serveur. Ensuite, elle a identifié les ports requis par chaque service. Après cela, des filtres IPSec ont été créés afin de n'autoriser que les ports identifiés. De ce processus sont nés des filtres IPSec très restrictifs. Après l'implémentation des filtres, des tests ont été effectués afin de vérifier que tous les services réseau fonctionnaient correctement. Les quelques ports supplémentaires qui ont dû être activés sont décrits au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques », et ce, pour chaque rôle de serveur. En commençant par définir les filtres IPSec les plus restrictifs avant d'ouvrir les ports supplémentaires requis, le niveau de sécurité le plus élevé a pu être atteint pour ces paramètres.

Tableau 6.20. Carte du trafic réseau IPSec

Protocole du service

Port source

Port de destination

Source

Adresse

Adresse de destination

Action

Serveur HTTP

TCP

N'importe lequel

80

N'importe laquelle

Adresse IP de l'hôte

Autoriser

Serveur HTTPS

TCP

N'importe lequel

443

N'importe laquelle

Adresse IP de l'hôte

Autoriser

Client DNS

TCP

N'importe lequel

53

Adresse IP de l'hôte

N'importe laquelle

Autoriser

 

UDP

N'importe lequel

53

Adresse IP de l'hôte

N'importe laquelle

Autoriser

 

Répartir les services en services client et en services serveur simplifie considérablement le processus. Un service client correspond à tout service exécuté par l'ordinateur configuré avec ces stratégies à partir d'un autre hôte. Ainsi, dans l'exemple ci-dessus, le serveur peut avoir besoin des services Client DNS pour effectuer des recherches de noms pour l'une des applications Web.

Quant au service serveur, il s'agit de n'importe quel service fourni par l'ordinateur à d'autres hôtes. Pour reprendre l'exemple ci-dessus, le serveur Web fournit des services HTTP et HTTPS à d'autres ordinateurs afin de pouvoir autoriser le trafic adéquat. Un fichier exécutable auto-extractible du nom d'ipsecscripts.exe, fourni avec ce guide, contient des exemples de script qui implémentent les paramètres décrits au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ».

Les données de la carte de trafic réseau varient selon le rôle du serveur. Dès que ce tableau est complété, il est possible de générer des stratégies IPSec sur la base de ces informations. Vous pouvez distribuer les stratégies IPSec avec une stratégie de groupe. Toutefois, dans la mesure où la plupart d'entre elles sont spécialement adaptées à des ordinateurs spécifiques, il est souvent préférable d'utiliser des stratégies locales pour implémenter ces modifications.

Implémentation de stratégies IPSec

Il est possible d'implémenter des stratégies IPSec via la section Stratégie de sécurité IP du composant logiciel enfichable MMC Paramètres de sécurité locaux. Ce processus, simple à implémenter sur un seul serveur, peut se révéler plus difficile à appliquer sur plusieurs serveurs. C'est la raison pour laquelle cette section décrit la méthode de déploiement de stratégies IPSec au moyen de scripts.

Implémentation par script

Le Kit de Ressources Techniques Windows 2000 comprend IPSecPol.exe, un utilitaire de ligne de commande qui sert à créer, à affecter et à supprimer des stratégies IPSec. Extrêmement souple, IPSecPol.exe permet de créer des stratégies dynamiques et statiques dans Active Directory et dans les Registres locaux et distants. Pour plus d'informations, consultez la documentation du Kit de Ressources Techniques Windows 2000. Ce guide propose des instructions sur la création de stratégies statiques dans le Registre de l'ordinateur local.

IPSecPol.exe possède bon nombre de paramètres, et sa syntaxe peut paraître compliquée au premier abord. Toutefois, si vous suivez les exemples affichés ci-dessous, vous pouvez, avec trois commandes, reproduire  l'ensemble des paramètres de configuration décrits précédemment à l'aide des exemples utilisant l'interface utilisateur graphique (GUI). Vous pouvez ouvrir la console MMC et actualiser son affichage après chaque commande afin de vérifier que celle-ci a effectivement produit le résultat escompté.

Examinons à présent les commandes plus en détail. La première commande, indiquée ci-dessous, crée une nouvelle stratégie, y ajoute une règle, à laquelle elle ajoute deux listes de filtres ainsi qu'une action de filtrage :

ipsecpol -w REG -p "Packet Filter" -r "Inbound web protocols"

f *+192.168.0.201:80:TCP -f *+192.168.0.201:443:TCP -n PASS

La commande est affichée sur deux lignes pour faciliter sa lecture à l'impression. Entrez-la sur une seule ligne. Ses paramètres sont les suivants :

. -w REG. Écrit une stratégie statique dans le Registre (résultat identique à l'utilisation de la console MMC).

. -p "Packet Filter". Crée une stratégie appelée « Packet Filter » (filtre de paquets).

. -r "Inbound web protocols". Crée une règle appelée « Inbound Web protocols » (protocoles Web entrants).

. -f *+192.168.0.201:80:TCP. Ajoute un filtre. *. Spécifie une adresse source et un port quelconques, 192.168.0.201:80 précise l'adresse de destination (la propre adresse du serveur) et un port spécifique. TCP indique le protocole et +, qu'il s'agit d'un filtre miroir.

. -f *+192.168.0.201:443:TCP. Identique au paramètre précédent, à la seule différence que le port de destination est 443.

. -n PASS. Prescrit de laisser passer le trafic sans négocier la sécurité.

Remarque : Les valeurs des paramètres -w, -f et -n respectent la casse. Il est préférable d'utiliser uniquement des minuscules.

Vous pouvez créer autant de filtres que nécessaire. Si le serveur exécute plusieurs services, vous devez utiliser une commande IPSecPol.exe distincte pour chaque classe de filtres. Par exemple, en plus des services Web référencés ci-dessus, la commande suivante autorise des connexions entrantes sur le port 25 et des connexions sortantes vers toute destination via le port 25 :

ipsecpol -w REG -p "Packet Filter" -r "SMTP Protocol"

-f +192.168.0.201:25:TCP -f 192.168.0.201+:25:TCP -n PASS

Le dernier filtre, -f 192.168.0.201+:25:TCP, est quelque peu différent. Il autorise le trafic sortant à partir de la propre adresse du serveur, via n'importe quel port, à atteindre n'importe quel serveur via le port 25. Il permet au serveur d'établir des connexions SMTP sortantes vers Internet.

La commande suivante crée une règle générique qui correspond à tout le trafic entrant et le bloque :

ipsecpol -w REG -p "Packet Filter" -r "All inbound traffic"

f *+192.168.0.201 -n BLOCK

Les paramètres sont les suivants :

. -w REG. Écrit une stratégie statique dans le Registre (résultat identique à l'utilisation de la console MMC).

. -p "Packet Filter". Est ajouté à la stratégie existante appelée « Packet Filter ».

. -r "All inbound traffic". Crée une règle appelée « All inbound traffic » (tout le trafic entrant).

. -f *+192.168.0.201. Ajoute un filtre. *. Spécifie une adresse source et un port quelconque, 192.168.0.201 précise l'adresse de destination et un port quelconque, l'omission du paramètre de protocole signifie n'importe quel protocole et +, qu'il s'agit d'un filtre miroir.

. -n BLOCK. Bloque le trafic.

La dernière commande affecte la stratégie :

ipsecpol -w REG -p "Packet Filter" –x

Les paramètres sont les suivants :

. -w REG. Écrit une stratégie statique dans le Registre (résultat identique à l'utilisation de la console MMC).

. -p "Packet Filter". Est ajouté à la stratégie existante appelée « Packet Filter ».

. -x. Attribue la stratégie.

Lors de l'ajout de la prise en charge d'IPSecPol.exe aux scripts de génération du serveur, il est recommandé de n'affecter la stratégie qu'au terme de la construction complète du serveur. Le script ne doit inclure que les commandes -n PASS et -n BLOCK. Après l'installation de tous les serveurs, les stratégies peuvent être assignées à distance à l'aide de la syntaxe suivante :

ipsecpol \\nom_ordinateur -w REG -p "nom_stratégie" –x

Il est nécessaire de disposer de droits d'administration sur l'ordinateur spécifié dans la commande. Pour supprimer temporairement l'assignation d'une stratégie, remplacez -x par -y.

Une stratégie peut être supprimée dans son intégralité de la même façon, y compris toutes les listes de filtres et actions de filtrage associées. La commande visant à supprimer la stratégie est la suivante :

ipsecpol -w REG -p "nom_stratégie" –o

Rôles de serveur

En raison de la spécificité des différents rôles de serveur, des stratégies doivent être spécialement créées pour chaque rôle. Les procédures distinctes pour chaque rôle sont décrites en détail au chapitre 7, « Renforcement de la sécurité pour des rôles de serveurs spécifiques ».

 


Résumé

Ce chapitre vous a présenté les procédures de renforcement de la sécurité des serveurs initialement appliquées à tous les serveurs utilisés dans le scénario Contoso. La plupart de ces procédures ont impliqué la création d'un modèle de sécurité et son importation dans un objet Stratégie de groupe lié à l'unité d'organisation parente des serveurs membres.

Cependant, certaines procédures de renforcement n'ont pas pu être appliquées via la stratégie de groupe. Elles ont dû être configurées manuellement. D'autres mesures ont été implémentées pour des rôles de serveur spécifiques, afin que ces serveurs puissent assumer leur fonction de la façon la plus sécurisée possible. Les mesures spécifiques aux rôles incluent des procédures de renforcement de la sécurité supplémentaires, ainsi que des procédures visant à assouplir les paramètres de sécurité de la stratégie de sécurité de base. Ces modifications sont décrites en détail au chapitre 7, « Renforcement de la sécurité pour des rôles de serveurs spécifiques ».

Informations complémentaires

Informations sur la désactivation de NetBIOS :
Annexe D, « Désactivation de NetBIOS sur les serveurs de réseaux non approuvés »

Informations sur le modèle de menace STRIDE, acronyme de Spoofing (usurpation d'identité), Tampering (falsification des données), Repudiation (répudiation), Information disclosure (divulgation d'informations), Denial of service (refus de service) et Elevation of privilege (élévation de privilèges) :

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/csvr2002/htm/cs_se_securecode_zlsj.asp (en anglais)

 

Informations sur la sécurité des produits Microsoft :

http://www.microsoft.com/france/securite

Informations de conception en vue de la délégation de l'administration dans Active Directory : http://www.microsoft.com/technet/prodtechnol/ad/windows2000/plan/addeladm.asp (en anglais)

Informations sur les menaces de sécurité :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/secthret.asp  (en anglais)

Informations sur la relation qui unit les fichiers .INF et les fichiers .ADM :
Article 228460 de la Base de connaissances, intitulé « Location of ADM (Administrative Template) Files in Windows », disponible à l'adresse http://support.microsoft.com/default.aspx?scid=kb;en-us;228460 (en anglais)
 

Informations sur l'application du correctif de sécurité 299687 dans un environnement Exchange 2000 Server :
Article 309622 de la Base de connaissances, « Clients Cannot Browse the Global Address List After You Apply the 299687 Windows 2000 Security Hotfix », disponible à l'adresse http://support.microsoft.com/default.aspx?scid=kb;en-us;309622 (en anglais)
 

Informations sur le renforcement de la sécurité de la pile TCP/IP dans Windows 2000 :
Article 315669 de la Base de connaissances, « COMMENT FAIRE : Durcir la pile TCP/IP face aux attaques de refus d'accès aux services dans Windows 2000 », disponible à l'adresse http://support.microsoft.com/default.aspx?scid=kb;fr;315669

Informations sur le renforcement des paramètres des applications Windows Sockets :
Article 142641 de la Base de connaissances, « Internet Server Unavailable Because of Malicious SYN Attacks », disponible à l'adresse
http://support.microsoft.com/default.aspx?scid=kb;en-us;142641 (en anglais)

Informations sur l'authentification LMHash :
Article 147706 de la Base de connaissances, « Procédure pour désactiver l'authentification LanManager », disponible à l'adresse
http://support.microsoft.com/default.aspx?scid=kb;fr;147706 

Informations sur la désactivation de la création de codage LMHash :
Article Q299656 de la Base de connaissances, « New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager », disponible à l'adresse http://support.microsoft.com/default.aspx?scid=kb;en-us;299656 (en anglais)

Informations sur la résolution de problèmes d'authentification résultant de la désactivation des sessions nulles :
Article 207671 de la Base de connaissances, « HOW TO: Access Network Files from IIS Applications », disponible à l'adresse

http://support.microsoft.com/default.aspx?scid=KB;en-us;207671 (en anglais)