Serveur De Fichiers Et D'impression
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Serveur De Fichiers Et D'impression as PDF for free.
More details
- Words: 24,632
- Pages: 87
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE
GUIDE DE PARAMETRAGE Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression sous Windows NT 4.0 Server
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation préalable.
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
SUIVI DU DOCUMENT
VERSION
DATE
1
23/08/2000
MODIFICATIONS Validation du document
NOM LCL PHILIPPOT CEN BOURGES
SUIVI DU DOCUMENT
Le 30 août 2000
version 1.0
Page i
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
PAGES
DESCRIPTION DES MODIFICATIONS INTRODUITES
MODIFIÉES
DEPUIS LE DOCUMENT PRÉCÉDENT
Le 30 août 2000
version 1.0
Page ii
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sommaire 1. Introduction.....................................................................................................2 1.1 Objet...............................................................................................................................................................2 1.2 Objectifs recherchés.....................................................................................................................................2 1.3 Structure du document.................................................................................................................................2 1.4 Recommandations, symboles et conventions.............................................................................................3 1.4.1 Le niveau d’exigence...............................................................................................................................3 1.4.2 Le niveau de gêne....................................................................................................................................3 1.4.3 Conventions de signes et de polices........................................................................................................3 1.5 Considérations générales..............................................................................................................................4 1.5.1 Contexte de référence..............................................................................................................................4 1.5.2 Configuration matérielle et logicielle.....................................................................................................5 1.5.3 Plan d'adressage et plan de nommage.....................................................................................................5 1.5.4 Personnes concernées, rôles et responsabilités.......................................................................................6
2. Consignes de sécurité......................................................................................7 2.1 Protection matérielle du SFI.......................................................................................................................8 2.1.1 Protection du local du SFI.......................................................................................................................8 2.1.2 Protection physique du SFI.....................................................................................................................8 2.1.3 Protection de la configuration matérielle................................................................................................9 2.2 Protection de l’accès local du SFI.............................................................................................................11 2.2.1 Protection des ressources locales..........................................................................................................11 2.2.1.1 Protections informatiques...............................................................................................................11 2.2.1.2 Protections en l’absence du personnel...........................................................................................12 2.2.1.3 Plan de reprise................................................................................................................................13 2.2.2 Protection de l’accès à SFI....................................................................................................................14 2.2.2.1 Présentation de mises en garde......................................................................................................14 2.2.2.2 Protection contre les comptes avec pouvoirs.................................................................................15 2.2.2.3 Protection contre les dépassements d’espace disque.....................................................................15 2.3 Protection du SFI vis-à-vis des accès distants..........................................................................................16 2.3.1 Protection vis-à-vis des accès hors réseau local (modem)...................................................................16 2.3.1.1 Protection des ports........................................................................................................................16 2.3.1.2 Protection contre certains services.................................................................................................16 2.3.2 Protection vis-à-vis des accès réseau....................................................................................................17 2.3.2.1 Partage réseau des répertoires et des fichiers................................................................................17 2.3.2.2 Échange dynamique de données entre applications......................................................................18 2.3.2.3 Accès distant pour les utilisateurs..................................................................................................18 2.3.2.4 Protection des échanges sur le réseau............................................................................................18 2.4 Protéger la configuration système............................................................................................................20 2.4.1 Protéger les paramètres systèmes..........................................................................................................20 2.4.2 Restriction des modifications des pilotes..............................................................................................23 2.4.3 Protection de l'intégrité des données et des applications.....................................................................23 2.5 Protection des comptes...............................................................................................................................24 2.5.1 Protection des comptes ouverts sur le domaine....................................................................................25 2.5.2 Protection des comptes locaux..............................................................................................................29 2.5.2.1 Protection du compte "Invité"........................................................................................................30 2.5.2.2 Protection des comptes "administrateur".......................................................................................30 2.6 Points divers................................................................................................................................................31 2.6.1 Points divers pour tous les administrateurs...........................................................................................31 2.6.2 Points divers pour l’administrateur système.........................................................................................32 2.7 Audit.............................................................................................................................................................32 2.7.1 Date et heure..........................................................................................................................................32 2.7.2 Protection de l’audit..............................................................................................................................33 2.7.3 Événements de sécurité des audits........................................................................................................35
3. Mise en œuvre................................................................................................37 3.1 Protection matérielle du SFI.....................................................................................................................37 3.1.1 Protection physique du poste.................................................................................................................37
Le 30 août 2000
version 1.0
Page iii
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.1.2 Configuration du SETUP du BIOS.......................................................................................................38 3.1.3 Configuration des disques durs.............................................................................................................39 3.1.3.1 Création de la partition principale "Système"...............................................................................40 3.1.3.2 Création de la partition étendue "Administrateurs".......................................................................40 3.1.3.3 Création de la partition étendue "Privée"......................................................................................41 3.1.3.4 Création de la partition étendue "Public"......................................................................................41 3.1.3.5 Remarques......................................................................................................................................42 3.1.3.6 Le disque miroir.............................................................................................................................42 3.1.4 Reprise après une défaillance d’exploitation........................................................................................43 3.2 Configuration de Windows NT 4.0 Server...............................................................................................44 3.2.1 Les Service Packs..................................................................................................................................44 3.2.2 Les ports.................................................................................................................................................44 3.2.3 Les services............................................................................................................................................47 3.2.4 Les modifications du comportement de Windows NT.........................................................................53 3.2.4.1 Message de mise en garde à l’ouverture d’une session.................................................................53 3.2.4.2 Verrouillage du SFI pour inactivité...............................................................................................54 3.2.4.3 Fermeture de la session après ¼ heure de verrouillage.................................................................56 3.2.4.4 Interdire l’arrêt du système sans ouverture de session..................................................................57 3.3 Protections du système d’exploitation......................................................................................................58 3.3.1 Les antivirus...........................................................................................................................................58 3.3.2 Disquette de réparation..........................................................................................................................58 3.3.3 Remarques sur le gestionnaire des tâches.............................................................................................58 3.3.4 Protection des ressources locales..........................................................................................................59 3.4 Protections relative à la sécurité sur le domaine.....................................................................................60 3.4.1 Protection des communications sur le domaine....................................................................................60 3.4.2 Verrouillage du compte administrateur sur le domaine.......................................................................62 3.4.3 Gestion des absences des administrateurs.............................................................................................62 3.5 Les comptes.................................................................................................................................................63 3.5.1 Les comptes du domaine.......................................................................................................................63 3.5.1.1 Création des comptes sur le domaine............................................................................................64 3.5.1.2 Les comptes administrateurs du domaine......................................................................................65 3.5.1.3 Le profil des utilisateurs.................................................................................................................66 3.5.1.4 Le répertoire de base des utilisateurs.............................................................................................66 3.5.1.5 Les scripts de démarrage................................................................................................................67 3.5.2 Les comptes locaux...............................................................................................................................68 3.5.2.1 Le compte local Invité....................................................................................................................68 3.5.2.2 Les comptes locaux prédéfinis.......................................................................................................69 3.5.2.3 Le compte local Administrateur.....................................................................................................69 3.6 Protection des registres..............................................................................................................................70 3.6.1 Modifications des registres....................................................................................................................70 3.6.2 Sécurisation des fichiers de registres....................................................................................................71 3.7 Audit.............................................................................................................................................................72 3.7.1 Événements de sécurité des audits........................................................................................................73 3.7.1.1 Audit sur les sessions......................................................................................................................73 3.7.1.2 Audit sur les registres.....................................................................................................................73 3.7.2 La gestion des journaux d’audits...........................................................................................................74 3.7.2.1 Tailles des journaux d’événements................................................................................................74 3.7.2.2 Sauvegarde des journaux d’événements........................................................................................74
A. Schéma d’un réseau Windows NT 4.0..........................................................2 B. Les profils........................................................................................................5
Le 30 août 2000
version 1.0
Page iv
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le 30 août 2000
version 1.0
Page 1
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.
INTRODUCTION
1.1
Objet Ce document présente les directives de sécurisation d'un serveur de fichiers et d’impression sous Windows NT. Les caractéristiques spécifiques des autres serveurs et des stations de travail sont traitées dans d'autres documents. Cependant, nous serons obligés de parler de certains autres serveurs. Certains points de sécurité, impliquant le serveur de fichiers et d’impression, sont mis en œuvre au niveau du Contrôleur Principal de Domaine. Citons pour exemple le chemin d’accès aux répertoires de base des utilisateurs (localisés sur le Serveur de Fichiers et définis sur le Contrôleur Principal de Domaine). Ces points de sécurité seront traités dans ce document en précisant le nom du serveur (en caractères gras et soulignés : CPD).
1.2
Objectifs recherchés L'objectif est de fournir les directives standardisées de configuration des paramètres de sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels supplémentaires. Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la bureautique de l'Armée de Terre. Ce document ne concerne que le paramétrage de la sécurité d’un SFI (Serveur de Fichiers et d’Impression).
1.3
Structure du document Ce document comprend deux parties et une annexe. La première partie rassemble l'ensemble des consignes de sécurité (actions et valeur des paramètres) qui doivent être pris en compte. La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes définies précédemment. La correspondance entre les consignes de sécurité (cs) et les fiches de mise en œuvre est réalisée par un référencement croisé. La dernière partie contient une annexe décrivant le cheminement des fichiers lors de l’ouverture d’une session.
Le 30 août 2000
version 1.0
Page 2
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.4
Recommandations, symboles et conventions Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et par le niveau de gêne sur l'utilisation du serveur de fichiers et d’impression ainsi que sur l’accès depuis une station.
1.4.1 Le niveau d’exigence Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité.
Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire Obligatoire de le positionner à la valeur recommandée afin de garantir la sécurité du système. Le paramètre affecté devrait être réglé à la valeur recommandée, mais Obligatoire ce réglage peut rendre inopérants certains services déjà existants. C'est au RSSI (Responsable Sécurité du Système d’Information) de juger si les sauf contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non technique par d'autres moyens. Dès disparition des logiciels/matériels générant le conflit, le paramètre doit être réglé conformément aux préconisations de ce guide. Niveau le plus faible correspondant à une préconisation. Le paramètre peut dépendre de la politique de sécurité locale mise en place. On Préconisé indiquera simplement une valeur minimale à respecter pour garantir un niveau de sécurité satisfaisant.
!
i
1.4.2 Le niveau de gêne Le niveau de gêne occasionnée se décline en trois niveaux :
Le paramétrage n'introduit pas de gêne à l'exploitation du serveur. Le paramétrage est susceptible de gêner faiblement l'administrateur du serveur lors d'opérations particulières identifiées mais peu fréquentes. Le paramétrage est susceptible de gêner l'administrateur du serveur lors d'opérations courantes identifiées ou non.
1.4.3 Conventions de signes et de polices
Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs
Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème consigne du 10ème groupe de consignes de ce manuel.
Gras
Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une mise en œuvre.
Souligné
Indique une mise en garde ou une restriction importante.
Le 30 août 2000
version 1.0
Page 3
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.5
Considérations générales Les hypothèses suivantes sont faites sur la configuration matérielle et sur les responsabilités.
1.5.1 Contexte de référence L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure suivante.
Serveur NT 4.0 Contrôleur Principal de Domaine et serveur DNS (primaire)
Locaux à accès contrôlé Serveur de fichiers et d ’impressions (NT 4.0 Server)
Serveur NT 4.0 Contrôleur Secondaire de Domaine et serveur DNS (secondaire)
Réseau TCP/IP sur ETHERNET
Section 1
Section 2
Imprimante partagée
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Imprimante partagée
Impriman dédiée
Figure 1 Architecture de référence pour un site
Poste Client NT 4.0 Hypothèses retenues pour un site donné : Workstation
Le réseau local est un réseau ethernet.
Poste Client NT 4.0 Workstation
Les protocoles réseau sont IP V4 et IPX.
Poste Client NT 4.0 Workstation
Les postes individuels de travail sont des machines récentes à base de processeur Intel avec le système d'exploitation "Windows NT 4.0 Workstation". Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0). Ce serveur assure également la fonction de serveur de noms IP (DNS).
Le 30 août 2000
version 1.0
Page 4
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Il y a un serveur de fichiers et d'impression. Ce serveur est : •
soit un serveur NT 4.0 (SP 5),
•
soit un serveur Netware 4.11 (SP 7),
•
soit un serveur SAMBA mis en œuvre sous UNIX.
Les imprimantes partagées sont directement raccordées au réseau. Certaines imprimantes (dédiées) sont directement rattachées au poste de travail et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du réseau. Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur Principal de Domaine, la configuration de ce serveur est hors du champ de l'étude).
1.5.2 Configuration matérielle et logicielle Le serveur Contrôleur Principal de Domaine à sécuriser est supposé être dans l'état suivant : Windows NT 4.0 Server est installé sur SFI. Windows NT 4.0 Workstation est installé sur les stations de travail. Le système d'exploitation Windows NT 4.0 (Server et Workstation) a été installé et mis à jour avec le SP 5. Les composants réseau ont été installés lors de l'installation de Windows NT. L’antivirus de l’armée de terre en réseau est installé sur toutes les machines.
1.5.3 Plan d'adressage et plan de nommage Le plan d'adressage doit être conforme au plan « IP Défense ». Les règles de nommage retenues sont les suivantes : Structure retenue pour les identifiants des utilisateurs (20 caractères au plus) : Par principe et pour faciliter l’administration des comptes, l’identifiant désigne la fonction remplie au sein de l’organisation.- Utilisateur : "F-S" Structure retenue pour les noms de domaine NT (15 caractères au plus) : Domaine NT : "SITE" Structure retenue pour les équipements communs à un site (15 caractères au plus) : Nom du Contrôleur Principal de Domaine: "CPD" Nom du serveur de fichiers et d'impression : "SFI"
Structure retenue pour les équipements associés à une section (15 caractères au plus) : <nom de la section>- Nom des imprimantes : S-IMPi
Le 30 août 2000
version 1.0
Page 5
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Nom des postes de travail : S-ORDi
Nom du domaine IP "SITE.DCTEI"
Noms des hôtes IP : CDP.SITE.DCTEI SFI.SITE.DCTEI S-IMPi.SITE.DCTEI S-ORDi.SITE.DCTEI
1.5.4 Personnes concernées, rôles et responsabilités On retient 3 rôles (plus un rôle explicatif) : L’administrateur de comptes du domaine (2 fonctions) L’administrateur de comptes est responsable de l’ouverture et de la gestion des comptes des utilisateurs et des groupes d’utilisateurs pour le domaine. De plus, il prend en charge l’exploitation des événements de sécurité apparus sur le réseau (fonction d’administrateur de la sécurité).
L'administrateur système du domaine L'administrateur système est responsable de la configuration initiale du serveur Contrôleur Principal de Domaine et de son évolution.
Le RSSI Responsable de la politique SSI, de son application et de son contrôle.
Un utilisateur d’un poste de travail Il n’a pas d’accès physique au Serveur de Fichiers et d’Impression, mais doit figurer dans ce manuel afin de présenter les points de sécurité associés à la création de son répertoire de base sur le Serveur de Fichiers et d’Impression.
Le 30 août 2000
version 1.0
Page 6
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.
CONSIGNES DE SÉCURITÉ Les consignes de sécurité sont rassemblées par thèmes : 1. Protection de la configuration matérielle : Il s’agit des consignes relatives au SETUP du BIOS et aux équipements physiques. 2. Protection de l’accès local au Serveur de Fichiers et d’Impression : Il s’agit de la protection des comptes présents sur le Serveur de Fichiers et d’Impression. 3. Protection du Serveur de Fichiers et d’Impression vis-à-vis des accès distants : Regroupe les consignes de sécurité pour les accès au Serveur de Fichiers et d’impression (modem et réseau). 4. Protéger la configuration système : Il s’agit des consignes de protection de la configuration du système vis-à-vis d’un utilisateur (un administrateur dans notre cas). 5. Administration des comptes : Il s’agit d’un rappel des consignes relatives à la gestion des comptes et des groupes des utilisateurs du domaine et des administrateurs (locaux et sur le domaine). 6. Protection des ressources locales : Il s’agit des consignes relatives à la gestion locale des ressources du Serveur de Fichiers et d’Impression. 7. Points divers : Regroupe des consignes de sécurité supplémentaires. 8. Audit : Concerne les événements à inscrire dans les audits et les consignes d’utilisation des journaux.
NB :
pour ne pas alourdir le texte de ce manuel, nous remplaçons l’expression ‘Serveur de Fichiers et d’impression’ par ‘SFI’.
Le 30 août 2000
version 1.0
Page 7
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.1
Protection matérielle du SFI
2.1.1 Protection du local du SFI Groupe de consignes : 1 cs 1-1 : Restriction accrue de l'accès au local du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Parer au manque administrateurs.
Remarque :
Le SFI est utilisé exclusivement par les administrateurs ou par le RSSI. Un utilisateur (et a fortiori une tierce personne) n’a pas la possibilité physique de pénétrer ou de rester seul dans le local du SFI.
Mise en œuvre :
de
surveillance
pendant
les
absences
des
3.1.1 Protection physique du poste
2.1.2 Protection physique du SFI Groupe de consignes : 2 cs 2-1 : Protéger l’intégrité physique du SFI.
Niveau d'exigence :
i
Niveau de gêne :
Objectif :
Rendre impossibles le remplacement et le vol. Protéger la configuration matérielle du SFI en empêchant l'installation de composants physiques (disque, carte réseau, carte modem, carte d'entrées/sorties, etc.).
Remarque :
L’ordinateur hébergeant le SFI doit être équipé d’un antivol (un câble par exemple). Il doit relier le support de l’ordinateur à l’unité centrale ainsi qu’au capot de l’ordinateur. Il empêchera le déplacement de l’ordinateur et l’accès à ses composants internes (cartes, disques durs, etc.). Les clés de ces antivols seront sous la responsabilité de l’administrateur système. Il sera le seul à pouvoir déplacer un ordinateur et à modifier sa configuration physique interne. Cet antivol limite toutes les tentatives de piratage par vol, par ajout d’un disque dur, par raccordement du SFI à un réseau externe via un modem et par effacement des données présentes en mémoire non volatile (mot de passe BIOS en particulier).
Mise en œuvre :
3.1.1 Protection physique du poste
cs 2-2 : Audit de l’intégrité physique du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Alerter visuellement l’administrateur de la sécurité, d’une tentative d’attaque de la configuration matérielle du SFI ou de sa mémoire non volatile.
Remarque :
Le SFI doit impérativement posséder des étiquettes d’inviolabilité. Elles seront apposées à cheval sur les jonctions du capot et du boîtier (imposant leur déchirure lors de l’ouverture de l’unité centrale). Deux
Le 30 août 2000
version 1.0
Page 8
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
étiquettes seront collées au minimum. L’une sur la façade et l’autre à l’arrière du boîtier. Les deux étiquettes seront contrôlées lors de la vérification visuelle hebdomadaire des stations de travail. Certains ordinateurs peuvent imposer l’utilisation d’un plus grand nombre d’étiquettes (les tours géantes). Il faudra veiller à ce qu’une étiquette au moins soit déchirée lors de l’ouverture du capot (Attention : le panneau peut être tordu, l’étiquette est collée sur le capot et une pièce détachable du boîtier, etc.). Mise en œuvre :
3.1.1 Protection physique du poste
2.1.3 Protection de la configuration matérielle Groupe de consignes : 3 cs 3-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Protéger la configuration des paramètres de bas niveau.
Remarque :
Le mot de passe doit être modifié lors du changement d’un des administrateurs et périodiquement (une fois tous les 6 mois). A priori, il n’est pas nécessaire de fixer un « mot de passe utilisateur » car ce dernier serait demandé de façon systématique à l’administrateur lors du démarrage de la machine avant le chargement du système d’exploitation. Il serait redondant avec le mot de passe Administrateur. Le fait que le BIOS soit présent en mémoire flash permet de le mettre à jour, voire de charger un nouveau BIOS à partir d’un fichier. Selon le type de carte mère, le flashage du BIOS se fait avec ou sans positionnement de cavaliers sur la carte. Par ailleurs, il existe un mot de passe « universel » par fournisseur de BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ». Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué quand la vérification de la somme de contrôle des paramètres du BIOS est erronée (erreur sur checkSum). En conséquence, les protections envisageables par l’intermédiaire des options du BIOS doivent être considérées comme des mesures contournables qui sont seulement destinées à empêcher des maladresses de la part d’utilisateurs peu expérimentés ou de pirates occasionnels.
Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 3-2 : N’autoriser que le périphérique C:\ dans la séquence de Boot.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Cette consigne interdit de démarrer le SFI en contournant les protections de Windows NT par l’installation d’un autre système d’exploitation présent sur une autre partition ou un support amovible (disquette ou CDROM, etc.).
Remarque :
Le disque dur de l’ordinateur contenant le système doit être déclaré comme maître et connecté sur le port IDE 0 (premier port IDE de la carte mère) afin d’éviter l’implantation d’un système multi-boots sur un second disque dur.
Le 30 août 2000
version 1.0
Page 9
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.1.2 Configuration du SETUP du BIOS
version 1.0
Page 10
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 3-3 : Interdire l’utilisation des ports série.
!
Niveau d'exigence :
Niveau de gêne :
Objectif :
Cette interdiction empêchera l’utilisation d’un modem (raccordé sur le port série) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’une intrusion à distance).
Remarque :
Cette consigne suppose que la souris est raccordée via un port spécifique (port souris).
Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 3-4 : Inhiber les ports USB.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB) qui serait susceptible de servir pour une intrusion à distance.
Remarque :
Cependant, la future généralisation des claviers et des souris USB, et la disparition progressive des ports spécifiques (clavier et souris) rendront impossible cette restriction.
Mise en œuvre :
2.2
!
3.1.2 Configuration du SETUP du BIOS
Protection de l’accès local du SFI
2.2.1 Protection des ressources locales 2.2.1.1
Protections informatiques
Groupe de consignes : 4 cs 4-1 : Mise en œuvre du système de fichiers NTFS.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis en œuvre par NTFS.
Remarques :
La partition devra être formatée avec le système de fichiers NTFS afin de mettre en œuvre les contrôles d'accès aux répertoires et aux fichiers natifs du système de fichiers NTFS.
Mise en œuvre : 3.1.3.1 Création de la partition principale "Système", 3.1.3.5 Remarques
Le 30 août 2000
version 1.0
Page 11
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 4-2 : Protection antivirale.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter la perte de données ou les dénis de services.
Remarque :
Plus un site est sensible, plus il est nécessaire de se prémunir contre les attaques de virus, virus de macros et vers. Il est impératif d’installer l’antivirus de l’Armée de Terre sur le SFI et d’effectuer une mise à jour mensuelle au minimum. Il est fortement recommandé d’effectuer cette mise à jour tout les15 jours. Rappelons qu’il est fortement conseillé de mettre en place une station de test dite station blanche avec un antivirus différent sur un ordinateur non sensible. Elle est choisie parmi les ordinateurs souvent utilisés par un grand nombre de personnes afin de tester un maximum de fichiers et de provenances.
Mise en œuvre :
2.2.1.2
3.3.1 Les antivirus
Protections en l’absence du personnel
Groupe de consignes : 5 cs 5-1 : Arrêter le SFI pendant les périodes de congés.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter qu’une période prolongée (vacances et fin de semaine) soit mise à profit par un pirate pour attaquer le SFI.
Remarque :
Seul un administrateur peut arrêter le SFI. Cette consigne implique la présence d’un administrateur : après le départ du dernier utilisateur le vendredi soir, avant l’arrivée du premier utilisateur le lundi matin. Il est possible de remédier à cette contrainte, en branchant le SFI sur le secteur via un programmateur hebdomadaire. Windows NT assurera la reprise des services après la coupure brutale du courant par le programmateur. Cette solution est dangereuse et sera mise en œuvre uniquement en l’absence d’un onduleur. Ce programmateur sera dans la pièce du SFI et sera protégé par les restrictions d’accès au local. Cette programmation est à corréler avec celle du CPD. Le CPD doit être en fonction avant le SFI. De plus, cette méthode impose l’absence de mot de passe du BIOS verrouillant de l’ordinateur.
Mise en œuvre :
Le 30 août 2000
3.4.3 Gestion des absences des administrateurs
version 1.0
Page 12
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.2.1.3
Plan de reprise
Groupe de consignes : 6 cs 6-1 : Créer une disquette de réparation d’urgence pour le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Assurer la pérennité du service en cas de panne du SFI.
Remarque :
Windows NT permet de créer une disquette de réparation d’urgence par la commande rdisk du répertoire C:\WINNT\System32. Le programme rdisk copie la ruche et certains fichiers sur une disquette. Il est impératif de mettre à jour ou de recréer cette disquette à chaque modification de la configuration matérielle ou logicielle du SFI. Pour se garantir contre tout problème, un jeu de deux disquettes au minimum, est utilisé pour la création de la disquette de réparation d’urgence. Elles sont utilisées à tour de rôle, afin de conserver une copie de la version précédente de la ruche. L’administrateur système conservera ces disquettes dans un meuble fermant à clé (il suffirait de copier une configuration personnelle sur cette disquette, pour prendre possession du SFI lors de sa restauration).
Mise en œuvre :
3.3.2 Disquette de réparation
cs 6-2 : Prévoir un plan de reprise en cas de panne du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter la perte des informations et minimiser le temps de remplacement du SFI en cas de panne.
Remarque :
En cas de panne du SFI, les utilisateurs pourront sauver leurs documents sur le disque dur local de la station. Les seules gênes éprouvées par les utilisateurs seront : Ils utiliseront le profil par défaut de la station. Ils ne pourront pas importer et exporter des fichiers. Tous les transferts entre utilisateurs seront impossibles. Le plan de reprise doit prévoir la copie des informations contenues sur le disque dur et la promotion d’un nouveau SFI.
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.4.3 Gestion des absences des administrateurs
Le 30 août 2000
version 1.0
Page 13
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.2.2 Protection de l’accès à SFI 2.2.2.1
Présentation de mises en garde
Groupe de consignes : 7 cs 7-1 : Présentation permanente d’un message de mise en garde sur le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Une étiquette est collée sur le SFI, de manière très ostensible (sur le cadre de l’écran en général). Elle informe l’utilisateur du niveau de sensibilité de cette machine et de son niveau de confidentialité.
Mise en œuvre :
3.1.1 Protection physique du poste
cs 7-2 : Présentation d’un message de mise en garde à l’ouverture d’une session.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Permet de présenter un message de mise en garde à l’écran juste après l’ouverture d’une session (protection minimale contre une erreur de configuration des sécurités). Deux clés de registre réalisent cette option et devront être protégées ainsi que les fichiers de ces registres.
Paramètres :
le registre, les clés et les valeurs sont les suivants : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon Écrire la valeur : « Titre de la fenêtre du message de l’Armée de Terre » à la rubrique LegalNoticeCaption. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon Écrire la valeur : « Message de mise en garde de l’Armée de Terre » à la rubrique LegalNoticeText.
Mise en œuvre :
3.2.4.1 Message de mise en garde à l’ouverture d’une session ,
3.6.1 Modifications des registres
cs 7-3 : Présentation d’un message de mise en garde pendant la veille du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Ce message de mise en garde est visible à l’écran lorsque l’ordinateur est en veille. Ce message fournit une protection minimale contre une erreur de la sécurisation physique du serveur. Lors de l’éveil de la station,
Le 30 août 2000
version 1.0
Page 14
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
l’administrateur devra s’authentifier en entrant son mot de passe. Ce message sert uniquement à éviter qu’une personne non habilitée utilise le SFI et prétende ignorer son caractère sensible. Paramètres :
Démarrer Paramètres Panneau de configuration Affichage Écran de veille Sous la rubrique écran de veille : Message Paramètres « Message de l’Armée de Terre » Choisir la vitesse la plus lente, un fond et une police de caractères adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran). Protéger en écriture les clés, le programme et les fichiers des registres correspondants.
Mise en œuvre :
2.2.2.2
3.2.4.2 Verrouillage du SFI pour inactivité
Protection contre les comptes avec pouvoirs
Groupe de consignes : 8 cs 8-1 : Création d’un compte avec pouvoirs minimums et d’un compte avec pleins pouvoirs pour l’administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur utilisera un compte avec des pouvoirs restreints pour son travail usuel sur le SFI. L’utilisation ponctuelle du véritable compte administrateur le protégera d’autant mieux contre le vol de mot de passe.
Remarque :
Ces deux comptes administrateur sont très différents. Le premier (le véritable compte administrateur) possédera tous les pouvoirs et permissions. Le second sera très similaire à un compte utilisateur. Ces deux comptes permettront à l’administrateur d’effectuer l’administration du SFI (compte avec pleins pouvoirs) et des travaux ne nécessitant pas les droits étendus d’Administrateur du domaine (compte avec pouvoirs minimums). Ces comptes seront banalisés.
Mise en œuvre :
2.2.2.3
3.5.1.2 Les comptes administrateurs du domaine (CPD)
Protection contre les dépassements d’espace disque
Groupe de consignes : 9 cs 9-1 : Limiter l’espace disque disponible par la création de partitions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Garantir la pérennité des services offert par SFI, malgré la saturation d’une partition (des répertoires utilisateurs, des profiles ou des répertoires communs).
Remarque :
La saturation d’une des partitions entraînera la perte du service associé à cette partition. Par exemple, la saturation de l’espace disque attribué aux répertoires communs (partition Public) empêchera les échanges entre tous les utilisateurs, mais autorisera les modifications des profiles (partition Administrateur) et l’enregistrement des travaux personnels (partition Privé). De plus la partition contenant le système (partition
Le 30 août 2000
version 1.0
Page 15
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Système) sera protégée contre une saturation des répertoires employés par les utilisateurs. Mise en œuvre :
2.3
3.1.3 Configuration des disques durs
Protection du SFI vis-à-vis des accès distants
2.3.1 Protection vis-à-vis des accès hors réseau local (modem) 2.3.1.1
Protection des ports
Groupe de consignes : 10 cs 10-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter un accès à risque sur le SFI.
Remarque :
Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une nouvelle fois sous Windows NT server. En effet, NTDETECT.COM est exécuté au chargement du système d’exploitation. Ce programme explore tous les périphériques présents pour dresser une liste des matériels installés sur l’ordinateur. Windows NT utilise cette liste et non celle du BIOS pour son fonctionnement. La liste obtenue lors de l’exécution du BIOS sera utilisée par des applications particulières (après un redémarrage sous DOS, etc.).
Mise en œuvre :
3.5.1.1 Création des comptes sur le domaine (CPD)
cs 10-2 : Inhiber le port USB.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Empêchera l’utilisation d’un modem raccordé sur le port USB.
Remarque :
Même remarque que précédemment. Cette interdiction déjà traitée (cs 24) doit être effectuée une nouvelle fois sous Windows NT server.
Mise en œuvre :
2.3.1.2
3.5.1.1 Création des comptes sur le domaine (CPD)
Protection contre certains services
Groupe de consignes : 11 cs 11-1 : Inhiber le service Remote Access Server et certains protocoles.
Niveau d'exigence : Objectif :
Le 30 août 2000
!
Niveau de gêne :
Éviter la prise de contrôle du SFI au travers du réseau.
version 1.0
Page 16
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Remarque :
La méthode des Nœuds Distants est utilisée par le service d’accès distant « Remote Access Server » de Windows NT. Ce service permet d’accéder à des ordinateurs (dont le SFI dans notre cas) par le réseau. Beaucoup d’attaques utilisent ce service. L’association d’un modem sur le réseau et de ce service constitue une faille très importante de la sécurité. Il est donc impératif de désactiver le service RAS.
Mise en œuvre :
3.2.3 Les services
cs 11-2 : Inhiber les services et les ports TCP/IP inutiles.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter de programmer le lancement de services aux effets incontrôlables.
Remarque :
Plusieurs services assurent des tâches inutiles et parfois dangereuses pour la sécurité. Citons pour l’exemple le service Planning. Lorsqu’il est associé à la commande "at", il permet d’exécuter des scripts à des moments prédéfinis. Il convient donc de supprimer ce service si aucune application (de sauvegarde automatique, de contrôles de disques durs, etc.), n’est mise en œuvre via le service planning. Il en est de même pour certains autres services. Une liste des principaux services associés au sein de l’environnement système Windows NT est disponible dans le fichier Services (du répertoire %SystemRoot%\system32\drivers\etc). Le service TCP/IP installé par défaut n’effectue aucun filtrage de paquet. Tous les protocoles sont permis et tous les ports sont ouverts. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT et définis par le RFC 1060 sont rassemblés dans le fichier Protocol (situé dans le même répertoire).
Mise en œuvre : , 3.2.2 Les ports , 3.2.3 Les services
2.3.2 Protection vis-à-vis des accès réseau 2.3.2.1
Partage réseau des répertoires et des fichiers
Groupe de consignes : 12 cs 12-1 : Interdire le partage réseau sur le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher qu’un utilisateur crée un partage de fichiers ou de répertoires sur le disque dur local. Les échanges entre utilisateurs se feront en copiant les documents dans des répertoires particuliers.
Remarque :
L’ordinateur assurant la fonction de SFI est dédié à la gestion de répertoires spécifiques à un utilisateur ou à un groupe. Les partages de répertoires entre différents utilisateurs sont à proscrire. Les seules partages autorisés sont ceux mis en place par l’administrateur pour chaque section ou ensemble de sections.
Mise en œuvre :
Le 30 août 2000
3.5.1 Les comptes du domaine
version 1.0
Page 17
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.3.2.2
Échange dynamique de données entre applications
Groupe de consignes : 13 cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire les Échanges Dynamiques de Données sur le réseau. Cet échange est autorisé uniquement entre des documents présents sur le SFI et utilisés par un seul administrateur.
Remarque :
Il est préférable d’interdire le service DDE sur le réseau afin d’éviter qu’un fichier (appartenant à un administrateur), lié à un autre par un DDE, soit transmis à un utilisateur. Dans ce cas de figure, il est difficile de prévoir, de manière précise, les transactions de mise à jour automatique (par DDE) des données.
Mise en œuvre :
2.3.2.3
3.2.3 Les services
Accès distant pour les utilisateurs
Groupe de consignes : 14 cs 14-1 : Contrôler les accès réseau au SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Les utilisateurs n’accèdent qu’à certains répertoires du SFI.
Remarque :
Seuls les administrateurs peuvent ouvrir une session sur SFI. Les utilisateurs accéderont au SFI par le réseau. Ils disposeront d’un répertoire personnel, d’un répertoire de groupe et d’un répertoire de site. Ces deux derniers répertoires seront partagés respectivement par le Groupe et par les Utilisateurs du domaine.
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.5.1 Les comptes du domaine
2.3.2.4
Protection des échanges sur le réseau
Groupe de consignes : 15 cs 15-1 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire l’utilisation d’un mot de passe compatible Lan-Manager de bas niveau en tant que requête.
Remarques :
Windows NT prend en charge deux protocoles d’authentification par un processus de challenge : Windows NT Challenge Response et LanManager Challenge Response. Le protocole de chiffrement Lan-Manager est plus simple que celui de Windows. Un pirate peut renifler le réseau pour intercepter et casser le hachage du mot de passe de Lan-Manager.
Le 30 août 2000
version 1.0
Page 18
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sans l’interdiction explicite de ce protocole, Windows NT tentera l’établissement d’une connexion via les deux protocoles. Ce protocole sera interdit par défaut. Notons que le protocole Lan-Manager apportera une sécurité minimale lorsqu’un serveur, utilisant Netware, est connecté au réseau. Une clé de registre autorise ou interdit l’emploi des 2 protocoles simultanément et une seconde clé indique le protocole utilisé (cas des 2 protocoles interdits simultanément). La sécurisation des échanges par Lan-Manager est désactivée sauf nécessité absolue. Si un serveur sous Netware est connecté au réseau, vous trouverez les modifications des clés pour les stations dans le manuel consacré à Netware. Mise en œuvre :
3.4.1 Protection des communications sur le domaine
cs 15-2 : Contrôler et protéger les communications client/serveur.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Sécuriser les échanges avec une station en signant et en chiffrant.
Remarque :
La structure de base des réseaux Microsoft en environnement Windows NT s’appuie sur le protocole SMB (Server Message Block). Les services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire) sont implémentés par les services Serveur et Station de travail de Windows NT. Les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX), est connecté au réseau. Une version plus performante des services offerts par SMB appelée protocole CIFS (Common Internet File Sharing) est disponible sur Internet et dans le SP 3. Ce SP 3 fournit aussi le protocole de signature SMB-S (Server Message Block Signing) pour authentifier les paquets et empêcher les attaques du type Men-inthe-Middle. SMB-S (services Serveur et Station de travail) doit être activé sur le SFI pour bénéficier des sécurités de signature. L’activation de ce service (Station de travail) est effectué en modifiant la valeur des clés de registre correspondante.
Paramètres :
Créer et modifier la valeur de la clé du registre HKLM : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanm anServer\Parameters EnableSecuritySignature valeur 1 (type REG_DWORD) (active le protocole SMB-S) RequireSecuritySignature valeur 1 (type REG_DWORD) (seules les stations sur lesquelles le protocole SMB-S est activé seront autorisées à établir une connexion avec le SFI. Il faut une conformité globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se reporter à la mise en œuvre pour plus d’informations)
Mise en œuvre :
Le 30 août 2000
3.4.1 Protection des communications sur le domaine
version 1.0
Page 19
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.4
Protéger la configuration système
2.4.1 Protéger les paramètres systèmes Groupe de consignes : 16 cs 16-1 : Seul l’administrateur système peut modifier les registres.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter que les registres soient modifiés par l’administrateur de comptes.
Remarque :
Il est nécessaire de découpler les rôles de l’administrateur système et de l’administrateur de comptes pour éviter tout chevauchement des attributions. La modification des registres sera uniquement accessible à l’administrateur système. Notons qu’il n’est pas suffisant d’effacer les deux éditeurs de registres (REGEDIT.EXE et REGEDT32.EXE) pour interdire l’accès aux registres de l’ordinateur. La copie d’un de ces deux exécutables sur le disque dur, permet de les utiliser et de modifier les registres. Il est impératif de protéger les registres par des permissions NTFS.
Mise en œuvre :
3.6.2 Sécurisation des fichiers de registres
cs 16-2 : Seul l’administrateur système peut modifier les paramètres du fichier d’échange de la mémoire virtuelle.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque :
En environnement Windows NT, la mémoire virtuelle locale utilise un fichier d’échange (fichier C:\pagefile.sys). Seul l’administrateur système peut posséder le droit de créer un fichier d’échange statique. Un mauvais choix des paramètres de ce fichier risque de saturer le système d’exploitation et de le bloquer. La taille de ce fichier fait 120 % environ de la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM). Son minimum doit être supérieur à 64 Mo et à la taille recommandée (champ affiché dans la fenêtre). Ces réglages sont généralement effectués une seule fois, à l’installation de Windows NT. Les valeurs usuelles de la taille minimale et de la taille maximale sont identiques.
Paramètres :
Les réglages sont effectués par le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo), entrer les valeurs Fixer la valeur). Ce menu permet de régler la taille maximum du fichier des registres (120 % environ de la Taille actuelle du registre). La clé correspondante devra être protégée en écriture : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale. Par exemple : C:\pagefile.sys 75 75 (Type REG_MULTI_SZ)
Le 30 août 2000
version 1.0
Page 20
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.6.2 Sécurisation des fichiers de registres
version 1.0
Page 21
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 16-3 : Seul l’administrateur système peut modifier les priorités de planification.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Ce paramétrage est uniquement de l’attribution de l’administrateur système. Une modification malheureuse de cette priorité peut provoquer un déni de service.
Remarque :
Si une priorité trop importante est accordée à un processus par rapport à un autre, le système peut refuser d’exécuter le processus de faible priorité par manque de temps système. Si une priorité est trop importante, le système peut allouer la totalité des ressources de la machine pour ce processus et se bloquer.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Augmenter la priorité de planification est sélectionné uniquement pour l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-4 : Seul l’administrateur système peut modifier les performances système.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Réserver l’emploi des outils d’analyse de performances aux seuls administrateurs concernés.
Remarques :
Les performances système sont optimisées par plusieurs outils dont dispose l’administrateur système. Ces outils peuvent donner des indications très utiles pour connaître le moment approprié à une attaque : « pourcentage du temps total de l’utilisateur », « nombre de sessions fermées pour inactivité », etc.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système est accordé uniquement pour l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-5 : Seul l’administrateur système peut optimiser les processus.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter des conflits système sur le CPD après un paramétrage incorrect de l’optimisation des processus.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-6 : Seul l’administrateur système peut modifier les valeurs d’environnement de microprogrammation.
Niveau d'exigence :
Le 30 août 2000
Niveau de gêne :
version 1.0
Page 22
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Objectif :
Éviter de compromettre le bon fonctionnement de certaines applications du SFI.
Remarques :
Les valeurs d’environnement de microprogrammation sont des variables prédéfinies pour des programmes qui permettent à l’ordinateur de s’initialiser lors de certaines actions. Donnons comme exemple la variable ComSpec de la boîte de dialogue Propriété du Système. Elle pointe par défaut sur CMD.EXE qui permet d’exécuter des commandes DOS. Cette variable pourrait être modifiée pour pointer sur un programme créant un nouveau compte avec les droits de l’administrateur de comptes. Ce droit est réservé à l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.4.2 Restriction des modifications des pilotes Groupe de consignes : 17 cs 17-1 : Seul l’administrateur système peut installer un pilote de périphériques.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Maîtriser la configuration du SFI et découpler d’administrateur système et administrateur de compte.
Remarques :
Le SFI est un ordinateur dédié. Pour éviter une indisponibilité momentanée de l’ordinateur, nous recommandons fortement de limiter les périphériques aux besoins du SFI (graveur et lecteur de CD-ROM, sauvegarde sur bandes, etc.). Afin de séparer les fonctions des administrateurs système et de celles de l’administrateur de comptes, la gestion des pilotes est du ressort de l’administrateur système. De plus, si l’accès physique au SFI ne présente pas toutes les garanties de sécurité suffisantes, il sera judicieux de désactiver le lecteur de disquette ainsi que l’autorun du CD-ROM.
Mise en œuvre :
les
fonctions
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.4.3 Protection de l'intégrité des données et des applications Groupe de consignes : 18 cs 18-1 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Gérer les accès à certains répertoires (dont les répertoires de base et de groupes) et fichiers susceptibles de présenter une faille de sécurité importante.
Remarques :
L’accès en écriture à certains fichiers (par exemple : le fichier de la ruche) permet de contourner les sécurités mises en place par l’administrateur système. Il est très important de protéger ces fichiers ou leurs répertoires pour éviter le piratage de l’ordinateur par une personne (possédant l’accès au compte administrateur avec pouvoirs minimums par exemple).
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.1.3.5 Remarques
Le 30 août 2000
version 1.0
Page 23
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.5
Protection des comptes Groupe de consignes : 19 cs 19-1 : Ne pas afficher le nom du dernier utilisateur dans l’écran d’ouverture de session.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite qu’une personne puisse lire le nom du compte administrateur.
Remarque :
Seul les administrateurs sont autorisés à ouvrir une session sur le SFI. Leurs comptes sont protégés et banalisés afin de rendre difficile la tâche des pirates. Ces précautions seraient inefficaces, si le SFI affichait le nom du dernier utilisateur (l’administrateur) dans la fenêtre de déverrouillage.
Mise en œuvre :
3.6.1 Modifications des registres
cs 19-2 : Interdire l’ouverture d’une session automatique.
Niveau d'exigence : Objectif :
Niveau de gêne :
S’assurer qu’un administrateur est bien présent lors de l’ouverture d’une session.
Mise en œuvre :
3.6.1 Modifications des registres
cs 19-3 : Vider la corbeille entre l’ouverture de deux sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher la consultation des fichiers supprimés par l’administrateur lors de l’ouverture d’une session par une autre personne.
Remarque :
Cette consigne de sécurité évite aussi de conserver des corbeilles trop volumineuses sur le SFI. Il est possible d’écrire un script (voir le CPD) qui sera exécuté à l’ouverture de session des administrateurs. Il effacera le contenu de la corbeille et des fichiers temporaires.
Mise en œuvre :
3.5.1.5 Les scripts de démarrage
cs 19-4 : Vider le fichier paginé de mémoire temporaire entre les sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite de conserver un fichier inutile sur le disque dur du SFI.
Remarque :
Le fichier paginé de mémoire temporaire ou d’échange de Windows NT se comporte comme une mémoire virtuelle. Ce fichier peut contenir des informations sensibles de la session précédente (celle d’un second administrateur). Il doit être effacé du disque dur lors de la fermeture de la session pour éviter qu’une personne possédant un accès même limité (le
Le 30 août 2000
version 1.0
Page 24
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
compte avec pouvoirs minimums de l’administrateur par exemple), consulte ce fichier. Paramètres :
Modifier la valeur de la rubrique de la clé du registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management (avec un espace devant le mot Management) Attribuer la valeur 1 (Type REG_DWORD) à la rubrique ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la fermeture de la session.
Mise en œuvre :
3.6.1 Modifications des registres
2.5.1 Protection des comptes ouverts sur le domaine Groupe de consignes : 20 cs 20-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l’appropriation l’administrateur.
Remarque :
L’administrateur règle fréquemment des problèmes, en consultant l’écran de l’ordinateur. Le SFI reste souvent inactif pendant que l’administrateur annote sur un papier ses remarques. Cette constatation nous amène à ne pas pénaliser l’administrateur en réduisant le temps d’inactivité avant verrouillage.
Mise en œuvre :
d’une
session
lors
de
l’absence
de
3.2.4.2 Verrouillage du SFI pour inactivité
cs 20-2 : Fermeture de la session après un délai d’inactivité de 30 minutes
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire l’appropriation d’une session laissée ouverte sans surveillance par l’administrateur.
Remarque :
Ce second niveau de sécurité a pour objectif de ne pas laisser une session verrouillée, sans surveillance. Il suffirait qu’un pirate active l’ordinateur (++<Suppr>) pour que la fenêtre de déverrouillage dévoile le nom du compte administrateur. Une session ouverte sur le SFI (par un administrateur), sera fermée automatiquement après 30 minutes d’inactivité. La chronologie des évènements est verrouillage de la station après 15 minutes, suivit de la fermeture de la session 15 minutes après.
Mise en œuvre : 3.2.4.3 Fermeture de la session après ¼ heure de verrouillage (CPD)
cs 20-3 : Cloisonner les utilisateurs par l’intermédiaire des groupes.
Niveau d'exigence :
Le 30 août 2000
Niveau de gêne :
version 1.0
Page 25
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Objectif :
Éviter que des utilisateurs cumulent les permissions d’accès à des répertoires sur le SFI. La gestion de ces utilisateurs deviendrait impossible à surveiller.
Remarque :
L’administrateur devra élaborer un schéma des utilisateurs du réseau afin de classer tous les utilisateurs dans des groupes disjoints. Chaque groupe comprendra la liste des utilisateurs, le profil type et les stations d’une seule section. Un groupe particulier sera créé pour les administrateurs (ce groupe est créé par défaut). L’administrateur de comptes s’abstiendra de créer des utilisateurs en dehors d’un groupe. Il évitera de créer des groupes spéciaux pour des utilisateurs particuliers. Lorsque cette consigne est parfaitement respectée, la gestion des utilisateurs est fortement facilitée, apportant ainsi un cloisonnement des sections et une meilleure sécurité des informations détenues.
Mise en œuvre :
3.5.1 Les comptes du domaine (CPD)
cs 20-4 : Respecter le cloisonnement des groupes pour la gestion des répertoires de base.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter une incohérence des permissions d’accès à des répertoires partagés du SFI.
Mise en œuvre :
3.5.1 Les comptes du domaine
cs 20-5 : Utiliser des profils errants pour tous les utilisateurs.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite qu’une personne puisse lire des informations confidentielles sur un compte en consultant un profil.
Remarque :
Les profils résidents sur le disque dur du SFI seront le profil administrateur local, All Users et le profil de l’utilisateur qui a ouvert une session. Un répertoire nommé Profils du disque dur du SFI contiendra tous les profils des utilisateurs. Lors de l’ouverture d’une session par un utilisateur, son profil sera transféré du SFI vers la station. À la fermeture de la session, son profil sera recopié sur le SFI et détruit du disque dur de la station. Ces profils (délocalisés sur le réseau) sont appelés Profils errants. L’administrateur de compte créera un profil type par groupe. Ils suffira de recopier le profil d’un groupe, en changeant le nom du répertoire par celui de l’utilisateur pour créer le profil de cet utilisateur. L’administrateur de comptes disposera de tous les profils regroupés sur un seul ordinateur : SFI.
Mise en œuvre :
3.5.1 Les comptes du domaine
cs 20-6 : Respecter le cloisonnement des groupes pour la gestion des profils.
Niveau d'exigence : Objectif :
Le 30 août 2000
Niveau de gêne :
Éviter une incohérence de la définition des profils sur le SFI.
version 1.0
Page 26
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.5.1 Les comptes du domaine
version 1.0
Page 27
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 20-7 : Appliquer les consignes concernant les comptes des administrateurs dans le document du Contrôleur Principal de Domaine.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter une incohérence des profils, des droits des utilisateurs et des permissions d’accès à des répertoires partagés du serveur de fichiers et d’impression (\\SFI).
Remarque :
Rappelons ces consignes de sécurité : durée maximale du mot de passe à 60 jours, durée minimale de validité du mot de passe à 5 jours, interdiction de réutiliser les 6 derniers mots de passe, longueur minimale du mot de passe à 8 caractères (au minimum pour les administrateurs), verrouillage du compte après 5 tentatives échouées, attente de 60 minutes après 4 tentatives échouées, limitation des heures d’utilisation du réseau, limitation des droits, limitation des stations utilisables, limitation des applications du menu Démarrer.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 20-8 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les travaux usuels.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Limiter l’utilisation des véritables comptes administrateurs.
Remarque :
Tous les administrateurs disposent de deux comptes (l’un avec des pouvoirs, l’autre similaire aux utilisateurs). Ces seconds comptes ont pour fonction de dissimuler le plus possible les véritables comptes administrateurs (compte administrateur avec pleins pouvoirs). Si un administrateur utilise uniquement son compte avec pleins pouvoirs sur le SFI, le nom du compte serait affiché dans la fenêtre d’ouverture de session la fois suivante (avant l’ouverture de la session et l’enregistrement dans le journal des événements). Il ne servirait à rien de le banaliser puisqu’il suffirait d’éveiller le SFI (en bougeant la souris par exemple) après l’administrateur pour connaître le nom de ce compte. Nous recommandons aux administrateurs de se connecter sous le compte avec pouvoirs restreints puis de fermer la session après l’utilisation du compte administrateur avec pleins pouvoirs. Seul le nom de l’administrateur avec pouvoirs restreints sera affiché. Les administrateurs doivent impérativement utiliser les comptes avec pouvoirs minimums pour les travaux usuels sur le SFI. Le compte avec les pleins pouvoirs de l’administrateur du domaine est le compte administrateur du domaine.
Mise en œuvre :
Le 30 août 2000
3.5.1.2 Les comptes administrateurs du domaine (CPD)
version 1.0
Page 28
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.5.2 Protection des comptes locaux Groupe de consignes : 21 cs 21-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l’appropriation l’administrateur.
Remarque :
Cette consigne est identique à la consigne cs 20-1.
Mise en œuvre :
d’une
session
lors
de
l’absence
de
3.2.4.1 Verrouillage du SFI pour inactivité
cs 21-2 : Appliquer les consignes concernant les comptes des administrateurs dans le document du Contrôleur Principal de Domaine.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter une incohérence des profils, des droits des utilisateurs et des permissions d’accès à des répertoires partagés du serveur de fichiers et d’impression (\\SFI).
Remarque :
Les consignes de sécurité pour un administrateur local (identiques à celles d’un administrateur du domaine) sont : durée maximale du mot de passe à 60 jours, durée minimale de validité du mot de passe à 5 jours, interdiction de réutiliser les 6 derniers mots de passe, longueur minimale du mot de passe à 8 caractères au minimum, verrouillage du compte après 5 tentatives échouées, attente de 60 minutes après 4 tentatives échouées, limitation des heures d’utilisation du réseau, limitation des droits, limitation des stations utilisables, limitation des applications du menu Démarrer.
Mise en œuvre :
3.5.2.3 Les comptes locaux Administrateurs
cs 21-3 : N’autoriser que les administrateurs à ouvrir une session locale sur SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Seuls les administrateurs peuvent utiliser SFI.
Remarque :
Le SFI est un serveur dédié. Aucun utilisateur (sauf les administrateurs) peut ouvrir une session sur SFI. Il en est de même pour les sessions locales. Rappelons que tous les administrateurs disposent de deux comptes (l’un avec des pouvoirs, l’autre similaire à un utilisateur). Ces seconds comptes ont pour fonction de dissimuler le plus possible les véritables comptes administrateurs (compte administrateur avec pleins pouvoirs).
Le 30 août 2000
version 1.0
Page 29
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les administrateurs doivent impérativement utiliser les comptes avec pouvoirs minimums pour les travaux usuels sur le SFI. Le compte avec les pleins pouvoirs de l’administrateur du domaine est le compte administrateur du domaine. Mise en œuvre :
2.5.2.1
3.5.2.3 Les comptes locaux Administrateurs
Protection du compte "Invité"
Groupe de consignes : 22 cs 22-1 : Inhiber le compte "Invité".
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque :
Ce compte est créé par défaut par Windows NT, et ne peut pas être supprimé. Il possède un mot de passe et des droits prédéfinis qui peuvent être utilisés pour pénétrer le SFI en se déclarant "Invité".
Paramètres :
Changer le nom du compte, changer le mot de passe (14 caractères), retirer le compte du groupe invité, verrouiller ce compte.
Mise en œuvre : 3.5.2.1 Le compte local Invité, 3.5.2.2 Les comptes locaux prédéfinis
2.5.2.2
Protection des comptes "administrateur"
Groupe de consignes : 23 cs 23-1 : Changer les noms des comptes administrateurs.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter que le nom de ce compte soit trop facilement reconnaissable. Le compte administrateur serait la cible évidente de toutes les attaques (le mot de passe serait la seule inconnue de ce compte).
Mise en œuvre :
3.5.2.3 Les comptes locaux Administrateurs
cs 23-2 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les travaux usuels.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Limiter l’utilisation des véritables comptes administrateurs.
Remarque :
Les administrateurs disposent de trois comptes pour ouvrir une session sur SFI : •
Le 30 août 2000
Compte Administrateur local.
version 1.0
Page 30
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
•
Compte administrateur du domaine.
•
Compte administrateur avec pouvoirs restreints.
Ces comptes ont chaqu’un une fonction particulière. Les comptes des administrateurs du domaine permettent la gestion du réseau. Les comptes des administrateurs locaux permettent l’administration locale du SFI. Les comptes des administrateurs avec pouvoirs restreints servent à effectuer les travaux usuels et à cacher les noms des autres comptes des administrateurs. Afin de dissimuler les comptes administrateurs locaux et avec pouvoirs, l’administrateur qui a ouvert une session sur SFI avec l’un de ces deux comptes, doit se reloguer sous le compte avec pouvoirs restreints, une fois son travail terminé, puis fermer cette session. C’est le nom de l’administrateur avec pouvoirs restreints qui apparaîtra à l’écran. Mise en œuvre :
2.6
3.5.2.3 Les comptes locaux Administrateurs
Points divers
2.6.1 Points divers pour tous les administrateurs Groupe de consignes : 24 cs 24-1 : Seuls les administrateurs peuvent sauvegarder des fichiers et des répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Seuls les administrateurs auront une copie des répertoires ou fichiers du disque dur de SFI.
Remarques :
Ce sont généralement les Opérateurs de Sauvegarde (si cette fonction est créée) qui gèrent les sauvegardes et restaurations.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 24-2 : Seuls les administrateurs peuvent restaurer des fichiers et des répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Permettre de restaurer des fichiers d’anciennes versions (notamment ceux concernant les registres et la sécurité du SFI).
Remarques :
Les droits de Restaurer des fichiers et Restaurer des répertoires sont généralement attribués aux Opérateurs de Sauvegarde (si cette fonction est créée). Ils leurs permettent d’ajouter et de remplacer des fichiers détruits par inadvertance. Ces droits sont exécutés en passant outre la consultation des Listes de Contrôles d’Accès (les ACL). Ces administrateurs ont donc des droits qui échappent aux contrôles de sécurité de Windows NT. Le groupe des utilisateurs possédant ce droit est restreint au groupe administrateur.
Mise en œuvre :
Le 30 août 2000
3.5.1.2 Les comptes administrateurs du domaine (CPD)
version 1.0
Page 31
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.6.2 Points divers pour l’administrateur système Groupe de consignes : 25 cs 25-1 : Seul l’administrateur système peut modifier l’heure système.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Assurer la cohérence temporelle de la datation des événements de sécurité et des macros instructions (date et heure automatiques de mise à jour ou d’impression de Word, etc.).
Remarques :
Choisir le fuseau horaire Paris, afin d'assurer la cohérence des dates et des heures dans les journaux.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 25-2 : Seul l’administrateur système peut prendre possession de fichiers ou d’objets.
Niveau d'exigence :
Objectif :
Séparer les fonctions administrateur système et de la sécurite, afin d’assurer une surveillance mutuelle.
Remarques :
Ce droit est l’un des plus dangereux pour la sécurité des informations stockées sur le SFI et pour la configuration du système d’exploitation. Il permet de s’approprier des fichiers (les tables SAM par exemple). L’administrateur système peut éventuellement s’approprier et cumuler tous les droits. Cette prise de pouvoir laissera une trace dans les journaux d’événements. L’administrateur de la sécurité détectera immédiatement cette prise de contrôle en consultant les journaux.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Prendre possession des fichiers ou d’autres objets est accordé uniquement à l’administrateur système.
Mise en œuvre :
2.7
Niveau de gêne :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
Audit
2.7.1 Date et heure Groupe de consignes : 26 cs 26-1 : Assurer la cohérence de datation des événements de sécurité.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Garantir que le journal des événements présente les messages d’audit dans un ordre chronologique.
Remarque :
L’Administrateur de la sécurité aura la certitude qu’aucun événement récent ne soit dissimulé parmi les événements consultés auparavant. Il est primordial de suivre la chronologie des alertes pour comprendre et
Le 30 août 2000
version 1.0
Page 32
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
réagir correctement vis à vis d’une attaque. C’est en accordant des droits complémentaires à l’administrateur système (modification de l’heure) et à l’administrateur de la sécurité (consultation des journaux), qu’un contrôle croisé permet d’assurer la sécurité globale du réseau. Paramètres :
Ne pas accorder l’option Modifier l’heure système dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.7.2 Protection de l’audit Groupe de consignes : 27 cs 27-1 : Écraser les événements les plus anciens en cas de débordement de la taille des journaux.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter que des journaux saturés n’enregistrent pas les événements récents.
Remarques :
Des cas particuliers peuvent provoquer un accroissement considérable des événements enregistrés dans les journaux. Il est nécessaire de prévoir le traitement des nouveaux événements lorsque la taille maximale de ces journaux est atteinte. L’option retenue consiste à écraser les événements les plus anciens, chaque journal se comporte comme un buffer tournant.
Paramètres :
Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Bouclage du journal des événements , cliquer sur Écraser les événements si nécessaire.
Mise en œuvre :
3.7.2.1 Tailles des journaux d’événements
cs 27-2 : Éviter les journaux trop volumineux.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur de la sécurité doit s’astreindre à dépouiller les journaux avant que les fichiers ne deviennent trop importants.
Remarques :
Pour des raisons particulières, les tailles allouées à chaque journal risquent d’être trop faibles. Il convient d’adapter les tailles respectives de chaque journal (par multiple de 64 ko) aux besoins. Les dimensions retenues dans la mise en œuvre correspondent à 50 machines environ et pour une durée de 2 semaines.
Paramètres :
Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Taille Maximale du journal
Le 30 août 2000
Le journal de sécurité :
2 à 4 Mo.
Le journal des applications :
1 à 2 Mo.
version 1.0
Page 33
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le journal système : Mise en œuvre :
Le 30 août 2000
1 à 2 Mo.
3.7.2.1 Tailles des journaux d’événements
version 1.0
Page 34
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 27-3 : Sauvegarde des journaux de l’audit.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour assurer une bonne réactivité contre une attaque éventuelle du SFI.
Remarques :
Tous les journaux du réseau sont sauvegardés chaque mois sur le serveur de fichiers (sauf cas d’une sauvegarde sur un ordinateur non connecté au réseau). Ils sont enregistrés dans un sous-répertoire appelé <Jounaux>\. Les noms des fichiers de sauvegardes sont : aammjj. Ces lettres signifient : 2 chiffres pour l’année (aa), 2 chiffres pour le mois (mm) et 2 chiffres pour le jour (jj). Cette dénomination permet d’obtenir un classement chronologique des journaux. Après chaque sauvegarde, les journaux sont effacés et de nouveaux journaux des événements vierges sont exploités.
Mise en œuvre :
3.7.2.2 Sauvegarde des journaux d’événements
cs 27-4 : Gérer l’archivage des sauvegardes des journaux d’événements.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’archivage permet de garder et de comparer les journaux avec ceux des mois ou années précédentes.
Remarque :
Les journaux des administrateurs sont gravés sur CD-ROM (ou enregistrés sur disquettes) tous les 6 mois ou tous les ans suivant le volume des fichiers. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque ou à des problèmes épisodiques du réseau.
Mise en œuvre :
3.7.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits Groupe de consignes : 28 cs 28-1 : Auditer l’accès aux objets système internes.
Niveau d'exigence : Objectif :
L’administrateur de la sécurité est informé des erreurs de configuration ou des attaques du système.
Mise en œuvre :
Le 30 août 2000
Niveau de gêne :
3.7.1 Événements de sécurité des audits
version 1.0
Page 35
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 28-2 : Messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur de la sécurité doit être en mesure de tracer tous les événements inhabituels ou à risques, survenant pendant l’utilisation d’un compte ou de droits spécifiques.
Remarque :
L’audit de sécurité doit fournir à l’Administrateur de la sécurité les informations suivantes : les événements d’ouvertures de sessions, l’accès à certains objets (les profils par exemple), les événements de connexion, l’utilisation de privilège, la modification des registres.
Mise en œuvre :
Le 30 août 2000
3.7.1 Événements de sécurité des audits
version 1.0
Page 36
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.
MISE EN ŒUVRE La mise en œuvre décrit les actions concrètes qui doivent être réalisées. Elle présente les différents panneaux de configuration et les actions associées qui permettent aux administrateurs d'appliquer les consignes définies précédemment. Les actions sont présentées dans un ordre chronologique, afin de donner une vision simple des éléments abordés à chaque étape Le schéma suivant permet de définir la portée des comptes créés sur le domaine et localement. Il apporte une meilleure compréhension des consignes et de leurs rôles.
Réseau : le domaine
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
CPD
Section 1 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 1
Poste Client NT 4.0 Workstation
3.1
Protection matérielle du SFI Poste Client NT 4.0 Workstation
SFI
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
Section 2 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la sectio
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
3.1.1 Protection physique du poste Consignes associées : cs 1-1, cs 2-1, cs 2-2, cs 7-1 Le SFI est l’un des principaux serveurs du réseau, les administrateurs veilleront à le protéger de la même manière que le CPD. Ils devront respecter les règles suivantes : il est utilisé exclusivement par les administrateurs ou par le RSSI, la porte du local est toujours fermée à clé en l’absence des administrateurs, les fenêtres du local sont condamnées,
Le 30 août 2000
version 1.0
Page 37
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
si une personne (autre que les administrateurs) doit pénétrer dans le local (électricien, etc.), elle ne pourra entrer qu’avec la permission et la surveillance d’un administrateur. Une étiquette collée ostensiblement sur le cadre de l’écran du SFI indiquera son degré de sensibilité et son niveau de confidentialité. Les fonctions des personnes autorisées à ouvrir une session sur cette machine (appelées : Administrateur, sans préciser les noms) et les risques encourus de son utilisation frauduleuse peuvent figurer sur cette étiquette. Le SFI devra posséder un verrou condamnant l’ouverture physique de l’ordinateur et empêchant son déplacement (câble et cadenas reliant le capot, le boîtier et le bureau). Cependant, les verrous offrent une résistance peu fiable. Le verrou peut être ouvert (en forçant la serrure sans l’endommager), puis refermé après ouverture du capot de l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un poste. La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certains ordinateurs peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS Consignes associées : cs 3-1, cs 3-2, cs 3-3, cs 3-4_Hlk472138476 Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel (possédant un système d’exploitation compatible NTFS) afin de lire le disque installé par l’administrateur. Il est nécessaire que le disque dur, installé par l’Administrateur, soit déclaré maître (par le cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la carte mère. Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par le BIOS dépendent du constructeur. En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche ou [ et <ESC>] au démarrage. Option d’amorçage : n’autoriser l’amorçage qu’à partir du disque dur C:\ et uniquement sur ce périphérique (lorsque cette option existe). Paramètres avancés ou Configuration des périphériques : désactiver les ports série et le port USB. Paramètres de sécurité : définir un mot de passe administrateur pour les machines. Il répond aux critères suivants : 7 caractères au minimum. Il est changé à chaque changement d’administrateur. Il est changé une fois tous les 6 mois (généralement au début des vacances d’été pour garder une marge temporelle en cas de problèmes). Un second mot de passe permet de verrouiller l’ordinateur à la fin de l’exécution du BIOS. Aux vues des consignes de sécurité concernant la pérennité du service (arrêt et démarrage automatique pendant les congés), cette option ne sera pas mise en œuvre.
Le 30 août 2000
version 1.0
Page 38
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.1.3 Configuration des disques durs Consignes associées : cs 6-2, cs 9-1, cs 14-1, cs 18-1 Le schéma suivant présente la solution adoptée pour le plan de reprise après incident des disques durs du SFI :
Disque Partition G:\ des administrateurs (Administrateurs)
Partition F:\ des sections (Public)
Partition E:\ des utilisateurs (Privé)
Partition C:\ Windows NT 4 (Système) 1 à 1.5 Go
Mise en miroir des partitions
Disque m Partition G:\ des administrateurs (Administrateurs) Ce schéma permet
Partition F:\ des sections (Public) de mieux comprendre
Partition E:\ des utilisateurs suivi (Privé) pour la mise
le but disques durs de SFI. Le premier disque dur contiendra :
en œuvre
Partition C:\ Windows NT 4 des 2 (Système) 1 à 1.5 Go
La partition Système, contenant le système d’exploitation. La partition Administrateurs, contenant les profils des utilisateurs, les profils types, les scripts de démarrage et éventuellement les applications en libre service. La partition Public, contenant un répertoire partagé par tous les utilisateurs d’une même section. Elle contient aussi un répertoire commun à tous les utilisateurs du domaine. La partition Privé, contenant les répertoires de base de tous les utilisateurs. Le second disque dur contiendra les mêmes partitions que le disque objet. Cette configuration permet de simplifier le plan de reprise et de sécuriser les fichiers liés à chaque utilisateur (documents et profils). En cas de problème d’un disque dur, il suffira de briser le miroir et d’utiliser le second disque (ancien disque miroir) pour rétablir le SFI. Les partitions occuperont : 1 à 1.5 Go pour la partition système et les applications. Compter 25 Mo en moyenne pour chaque profil. Compter 100 Mo environ par répertoire de base. Compter 100 Mo environ par répertoire commun à chaque section. Compter 100 Mo environ pour le répertoire commun au site. L’espace réservé aux applications en libre service (partition Administrateurs) sera estimée par l’administrateur système.
Le 30 août 2000
version 1.0
Page 39
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Pour un site de 100 utilisateurs, répartis en 10 sections et 1 Go réservé aux applications. Les partitions occuperont 16.6 Go : Partition Système : 1.5 Go. Partition Administrateurs : 3 Go (100 profils plus 500 Mo pour les applications). Partition Public : 2.1 Go (10 sections plus une section pour le site). Partition Utilisateurs : 10 Go (100 répertoires de base). L’administrateur créera 4 partitions (commande Fdisk du DOS) : La partition Système. La partition Administrateurs. La partition Public. La partition Privé. Ces partitions ont pour but : D’éviter la fragmentation de la partition système. De garantir la disponibilité de l'espace disque nécessaire. De conserver un espace disque "propre" où se trouve le système. De garantir une zone propre pour l’antivirus de l’Armée de Terre. D’associer une partition à la gestion des profils. D’associer une partition à la gestion des répertoires de base. D’éviter l’écrasement du système par des répertoires de base trop volumineux. D’éviter l’écrasement des profils par des répertoires de base trop volumineux.
3.1.3.1
Création de la partition principale "Système"
Consignes associées : cs 4-1 La partition C:\ (appelée Système) sera déclarée primaire. Elle accueillera l’OS (Operating System : système d’exploitation) Windows NT. Cette partition du disque dur devra être suffisante (1 à 1.5 Go) pour accueillir l’OS et ses applications serveur. SFI étant un poste dédié, la taille de la partition système ne tiendra pas compte des possibilités d’implantation de nouvelles applications. Installer l’OS sur cette partition avant de créer les autres partitions. Elle sera définie et formatée NTFS au cours de l'installation de Windows NT 4.0 Server (voir 3.1.3.4 Remarque de ce chapitre). Elle contient toutes les ressources système (boot, informations de configuration matérielle, pilotes de périphériques, utilitaires système divers, etc.). Les partitions suivantes seront créées étendues pour interdire le multi-boot (une partition primaire pourrait accueillir un nouveau système capable de lire les fichiers des autres partitions).
3.1.3.2
Création de la partition étendue "Administrateurs"
Il s'agit de créer une partition (G:\, "Administrateurs") dans laquelle, l’administrateur de comptes créera les profils des utilisateurs. Cette partition est créée par le Gestionnaire de disques du windows NT. Elle est créée étendue et NTFS. Les profils seront regroupés suivant les sections : Un répertoire par section.
Le 30 août 2000
version 1.0
Page 40
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Tous les profils des utilisateurs d’une section sont dans le répertoire de la section. Chaque section contiendra un profil standard, qui sera utilisé à la création de chaque nouvel utilisateur de la section. Un répertoire spécifique pour les administrateurs contiendra les profils de tous les administrateurs. Un profil par défaut (créé dans le répertoire des administrateurs) sera attribué à tous les utilisateurs d’une section, lors de sa création. Les actions à mener pour la création de cette partition sont : Redémarrer l’ordinateur pour terminer l’installation .de Windows NT 4.0. Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Sélectionner l’espace disque restant. Créer une partition "étendue" (Menu Partitions étendue).
créer
une
partition
Créer un lecteur logique (D:\) dans la partition "étendue" en lui attribuant 13 % environ de l'espace disponible (Menu : Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Administrateurs au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.3
Création de la partition étendue "Privée"
Il s'agit de créer une partition (E:\, "Privée") dans laquelle chaque utilisateur du domaine possédera un répertoire personnel (appelé répertoire de base). Cette partition logique occupera la majeure partie du disque dur. Les répertoires partagés seront regroupés suivant les sections : Un répertoire par section. Un répertoire par utilisateur dans le répertoire de sa section. Un répertoire spécifique pour les administrateurs. Un répertoire par administrateur dans le répertoire des administrateurs. Les actions à mener pour la création de cette partition sont : Sélectionner la partition non formatée. Créer une partition logique (F:\) en lui attribuant le restant de l’espace disque disponible (Menu Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Privée au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.4
Le 30 août 2000
Création de la partition étendue "Public"
version 1.0
Page 41
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Il s'agit de créer une partition (F:\, "Public") dans laquelle dans laquelle chaque section du domaine possédera un répertoire partagé. Les répertoires partagés seront regroupés suivant les sections : Un répertoire par section. Un répertoire partagé par toutes les sections sera créé. Un répertoire spécifique pour les administrateurs. Les actions à mener pour la création de cette partition sont : Sélectionner la partition non formatée. Créer une partition logique (E:\) en lui attribuant le restant de l’espace disque disponible (Menu Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Public au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.5
Remarques
Consignes associées : cs 4-1, cs 18-1 Pendant l’installation de Windows NT, certains choix sont proposés. Notamment le choix entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT Files System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des contrôles d’accès aux fichiers et aux répertoires. Ces contrôles d’accès sont natifs au système de fichiers NTFS. Ils prennent en charge : La protection des fichiers et des répertoires. La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises après un arrêt brutal de l’ordinateur (coupure de courant). La compression des fichiers. L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation. Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers NTFS par d’autres OS : Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98 échoueront. Par un accès réseau, les tentatives d’accès aux fichiers NTFS par les systèmes d’exploitation MS-DOS, UNIX ou Macintosh seront possibles. Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont : Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de OS/2 par des commandes du systèmes d’exploitation NTFS échoueront. Il sera donc nécessaire de formater le disque en NTFS pour chaque partition, afin d’éviter le risque qu’un utilisateur crée un disque multi-boot (option prise en charge par Windows NT) sur l’une des partitions et accède aux fichiers.
3.1.3.6
Le disque miroir
Windows NT permet de créer simplement un disque miroir :
Le 30 août 2000
version 1.0
Page 42
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Créer 4 partitions de tailles identiques aux partitions Système, Administrateurs, Privé et Public du premier disque. Sélectionner la partition à dupliquer Système du premier disque. Garder appuyer la touche CTRL et cliquer sur la partition correspondante du second disque dur (elles seront dénommées par la même lettre). Sélectionner Mettre en miroir dans le menu Tolérance de pannes. Suivre la même procédure pour les partitions Administrateurs, Privé et Public. Windows NT dupliquera toutes les écritures de chaque partition sur les partitions mises en miroir. Le disque miroir remplacera le disque principal en cas de panne de ce dernier.
3.1.4 Reprise après une défaillance d’exploitation Le schéma suivant présente la connexion des disques objet et miroir sur la carte mère :
Carte mère Premier contrôleur IDE
Second contrôleur IDE
Seconde nappe
Première nappe
Cette technique dite de partition en miroir permet de résoudre efficacement les pannes dues à l’électronique (d’un contrôleur IDE ou du disque dur). Elle évite de multiplier par 2 les temps d’accès disque (miroir sur un même disque dur).
Disque objet
Disque miroir
En cas de panne de l’un des deux disques : Avant d’enlever le disque en panne, vous devez briser le miroir. Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Sélectionner Briser le miroir dans le menu Tolérance de pannes. Recréer le disque en panne (avec ou sans la partition système). Remplacer le disque défaillant. Créer une nouvelle relation de miroir du disque opérationnel vers le nouveau disque. Redémarrer l’ordinateur.
Le 30 août 2000
version 1.0
Page 43
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2
Configuration de Windows NT 4.0 Server Nous considérons que l’ordinateur est dans l’état suivant : Les disques durs sont formatés et mis en miroir. Le système d'exploitation Windows NT 4.0 Server est chargé. Les composants réseaux ont été installés. L’étape suivante consiste à mettre à niveau le système d’exploitation.
3.2.1 Les Service Packs Les Service Packs (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils sont presque cumulatifs (le SP 5 ne contiendrait pas toutes les mises à jour du SP 4). Ils contiennent _Hlk472138476des correctifs aux protocoles, des modifications des logiciels et des applications spécifiques. Notamment des applications à destination des administrateurs. Pour éviter un travail fastidieux aux administrateurs système qui devraient, en toute rigueur, appliquer ces SP les uns après les autres, il est fortement recommandé de faire une image disque sur un CD-ROM. Cette image servira en cas de panne grave des disque durs.
3.2.2 Les ports Consignes associées : cs 11-2_Hlk472138476 _Hlk472138476 Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le réseau. Ces attaques provoquent un ralentissement du temps de réponse du SFI (allant jusqu’au déni de service). Les SP 2 et 3 permettent de se protéger contre les attaques les plus connues : Nom de l’attaque
Remède
Telnet vers des ports inconnus Ping of death Ping of death 2 SYN Flood Out-of-Band Attaque sur port RPC de TCP/IP Land Teardrop, Teardrop 2, Bonk et Boink
Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer
le le le le le le le le
SP SP SP SP SP SP SP SP
2 2 3 2 3 3 3 3
Pour améliorer la sécurité face à une attaque réseau, il est recommandé de restreindre les ports ouverts. Par défaut Windows NT n’effectue aucun filtrage de paquets. Tous les ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT (définis par le RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire %SystemRoot%\system32\drivers\etc). La liste des ports utilisés par les applications est très difficile à établir. Cette liste dépend des options d’installation des applications. Si vous connaissez les ports utilisés pour la configuration particulière de votre domaine, vous pouvez effectuer un filtrage de paquets par la méthode suivante : Accéder au menu : Sécurité TCP/IP (Panneau de configuration Réseau Protocoles). Sélectionner le protocole TCP/IP. Cliquer sur le bouton Propriétés….
Le 30 août 2000
version 1.0
Page 44
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir le menu Adresse IP en Cliquant sur le bouton Avancé.
Cocher Activer la sécurité Configurer... Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à la place du choix par défaut (Autoriser tous).
Le 30 août 2000
version 1.0
Page 45
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Entrer les numéros de ports actifs suivant les protocoles. Valider. Le tableau suivant donne les numéros des ports et protocoles (détectés expérimentalement) utilisés dans l’environnement Windows NT 4.0. L’utilisation de certains ports est mal connue (exemple : les ports RPC 530 et 111 en tcp , ainsi que 111 en udp).
Ports TCP 7 9 13 17 19 20 21 53 101 102 103 104
Port Echo (utilisé à l’allumage de l’ordinateur). Port Discard (utilisé à l’allumage de l’ordinateur). Port Daytime (utilisé à l’allumage de l’ordinateur). Port QOTD (utilisé à l’allumage de l’ordinateur). Port Chargen (utilisé à l’allumage de l’ordinateur). Port FTP-data (utilisé pour le transfert de fichiers). Port FTP (utilisé pour les contrôles d’un transfert de fichier). Port Domain (utilisé pour le service DNS). Port HOSTNAME (si le protocole Lan-Manager est utilisé). Port ISO-TSAP (utilisé pour la messagerie X and Mail). Port X400 (utilisé pour les messageries). Port X400-SND (utilisé
Le 30 août 2000
Ports UDP 7 9 13 17 19 53 161 162
Port Echo (utilisé à l’allumage de l’ordinateur). Port Discard (utilisé à l’allumage de l’ordinateur). Port Daytime (utilisé à l’allumage de l’ordinateur). Port QOTD (utilisé à l’allumage de l’ordinateur). Port Chargen (utilisé à l’allumage de l’ordinateur). Port Domain (utilisé pour le service DNS). Port snmp (utilisé pour des commandes d’administration). Port snmp-trap (utilisé pour des commandes d’administration).
version 1.0
Protocoles IP 5 6 17 23 24 80
Protocole Stream (si une machine UNIX est connectée au réseau). Protocole TCP. Protocole UDP. Protocole TRUNK-1 pour les messageries. Protocole TRUNK-2 pour les messageries. Protocole ISO IP pour toutes les machines (Imprimantes-Serveur, etc.) connectées au réseau.
Page 46
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
137 138 139 170
515
pour les messageries). Port NetBIOS Name Service. Port NetBIOS DataGraM service. Port NetBIOS SesSioN service. Port Print-SRV (utilisé pour les impressions PostScript via UNIX sur le réseau). Port Printer (utilisé pour les impressions PostScript sur le réseau via UNIX). Chaque application nécessite l’ouverture de certain ports IP dans certaines conditions (transfert de fichiers, avertissement pour un fichier déjà ouvert, synchronisation, etc.). Les administrateurs seront amenés à compléter ou modifier la liste ci-dessus.
3.2.3 Les services Consignes associées : cs 11-1, cs 11-2, cs 13-1 Par défaut, Windows installe un nombre important de services sur le SFI. Certains de ces services peuvent être dangereux pour l’intégrité du réseau ou du SFI. La liste des services et leur état est consultable par le Panneau de configuration en double cliquant sur Services : Double cliquez sur Services. La liste des services (nom, état et type de démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt (vide). La colonne Démarrage indique son mode de lancement :
Le 30 août 2000
Automatique :
ce service démarre à l’allumage de l’ordinateur.
Manuel :
ce service démarre lorsqu’il est sollicité.
version 1.0
Page 47
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Désactivé : station.
ce service est arrêté même après le redémarrage de la
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante présente la dépendance des services sur une station de travail :
Le 30 août 2000
version 1.0
Page 48
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
DSDM DDE réseau
Station de travail
Serveur
Duplicateur de répertoires
Aide TCP/IP NetBIOS
Explorateur d’ordinateurs
DDE réseau
Messagerie
Avertissement Accès réseau
Album
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour modifier les services qui suivent : Service réseau Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une session sur le domaine. Il assure également la synchronisation des tables de sécurité du domaine entre le SFI et les Contrôleurs Secondaires de Domaine. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Agent du moniteur réseau Ce service écoute le réseau. Il permet de capturer toutes les trames. Il peut être activé uniquement sur le Contrôleur Principal de Domaine. Seul l’administrateur système peut l’utiliser. Il l’activera à sa convenance. Fichier exécutable : “nmagent.exe” Configuration : Désactivé. Aide TCP/IP NetBIOS Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un ensemble de commandes permettant de demander les services de niveau inférieur requis pour établir des sessions entre des nœuds de réseau, pour transmettre des informations). Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique.
Le 30 août 2000
version 1.0
Page 49
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Album Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge le gestionnaire d’album pour le transporter sur le réseau. Il permet aux albums distants d’accéder et de visualiser des pages. Il peut également être démarré grâce à la commande net start album. Fichier exécutable : “clipsrv.exe” Configuration : Désactivé. Avertissement Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se produit sur un ordinateur. Il peut également être démarré grâce à la commande net start avertissement. Les messages d'alerte signalent les problèmes de sécurité et d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce service n’est pas mis en œuvre par l’administrateur, il peut être désactivé. Fichier exécutable : module de “services.exe” Configuration : Activer uniquement si des stations doivent recevoir des alertes. COM+ Event System Service supplémentaire (absents sur les stations) pour la gestion des événements. Fichier exécutable : “Sens.exe” Configuration : Ne pas modifier. DDE réseau Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les échanges dynamiques de données (mise à jour automatique entre différents documents) peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la confidentialité des documents, ce service ne doit pas être activé. Fichier exécutable : module de “netdde.exe” Configuration : Désactivé. Détecteur d’appel RPC Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge le service Détecteur d'appel RPC pour trouver les applications serveur compatibles actuellement disponibles. Fichier exécutable : “locator.exe” Configuration : Ne pas modifier. DSDM-DDE réseau Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau) est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit pas être désactivé. Fichier exécutable : module de “netdde.exe” Configuration : Désactivé. Duplicateur de répertoires Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre. Ce service peut également être démarré grâce à la commande net start "duplicateur
Le 30 août 2000
version 1.0
Page 50
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
de répertoires". Ce service est mis en œuvre pour sauvegarder des données. Pour éviter tous risques de duplication entre des stations (contraire aux règles de sécurité), ce service n’est pas mis en œuvre. Fichier exécutable : “lmrepl.exe” Configuration : Désactivé. Enregistrement d'événements Enregistre les événements dans les journaux système, sécurité et application. Ce service peut également être démarré grâce à la commande net start "enregistrement d'événements", mais ce service doit être activé avant de vous servir de l'Observateur d'événements pour afficher les événements enregistrés. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Explorateur d'ordinateurs Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste aux applications qui la demandent. Ce service peut également être démarré grâce à la commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Fichier exécutable : module de “services.exe” Configuration : Désactivé. Fournisseur de support de sécurité NT Lan-Manager Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC (Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de fichier LMHOST compatible NT Lan-Manager). Les services DNS et WINS (service de noms Internet Windows) utilise ce service. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Licence Logging Service Permet l’enregistrement, la vérification et la gestion des licences d’exploitation des applications présentes localement. L’activation de ce service dépend des consignes du RSSI. Fichier exécutable : “llssrv.exe” Configuration : Suivant les circonstances. Messagerie Ce service prend en charge l’émission et la réception des messages envoyés par les administrateurs ou par le service Avertissement. Fichier exécutable : module de “services.exe” Configuration : Uniquement si le service Avertissement est activé. Service Planning Ce service permet de programmer l'exécution de commandes et de programmes sur un ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être démarré grâce à la commande net start planning. Le service Planning est configuré initialement dans le compte système de la station locale qui dispose d’un accès intégral à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte système local.
Le 30 août 2000
version 1.0
Page 51
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les tâches assurées par ce service ont un accès réseau limité, du fait que le compte système local du SFI est inconnu des autres ordinateurs. Cependant, il peut être configuré afin qu'il exécute sa tâche via un compte utilisateur (un administrateur pour le SFI). Les tâches exécutées par le service Planning sont alors gérées par l'accès réseau du compte ce qui présente un risque très important. Ce service est désactivé pour éviter que des tâches soient effectuées sans l’accord de l’administrateur concerné (généralement l’administrateur système ou l’administrateur de sauvegarde si la fonction est créée). Fichier exécutable : “atsvr.exe” Configuration : Non démarré et Désactiver Plug and Play Ce service prend en charge la reconnaissance et le chargement des pilotes des périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit installé à l’insu de l’administrateur, il convient de désactiver ce service. Fichier exécutable : module de “services.exe” Configuration : Non démarré et Désactiver Serveur Le service Serveur est le complément du service Station de travail pour les serveurs. Fichier exécutable : module de “services.exe” Configuration : Démarré et Automatique. Service d'appel RPC Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft Windows NT. Il comprend notamment le service de mappage de la base de données des points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient la correspondance des noms/numéros des mappages réseau). Le service d'appel RPC autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie serveur de l'application distribuée enregistre un point de sortie avec le service d'appel rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer si une application distribuée utilise le service de mappage de point de sortie, consultez la documentation de cette application. Ce service peut également être démarré grâce à la commande net start "service d'appel RPC". Fichier exécutable : “RpcSs.exe” Configuration : Ne pas modifier. Service Téléphonique Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il est important qu’il apparaisse désactivé. Fichier exécutable : “tapisrv.exe” Configuration : Non démarré et Désactiver. Spooler Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est nécessaire si une imprimante est connectée à l’ordinateur. Fichier exécutable : “spool.exe” Configuration : Suivant les circonstances. Station de travail Le service Station de travail permet à un ordinateur de se connecter aux ressources réseau et à les utiliser.
Le 30 août 2000
version 1.0
Page 52
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Fichier exécutable : module de “services.exe” Configuration : Ne pas modifier. Tasks cheduler Service de planificateur de tâche. Il est contrôlé par le dossier tâches planifiées. Fichier exécutable : “mstask.exe” Configuration : Ne pas modifier. UPS Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré uniquement si une alimentation de secours est installée. Il ne sera pas autorisé dans tous les autres cas. Configuration : Suivant les circonstances.
3.2.4 Les modifications du comportement de Windows NT 3.2.4.1
Message de mise en garde à l’ouverture d’une session
Consignes associées : cs 7-2_Hlk472138476 _Hlk472138476 Pour informer des risques encourus par une personne accédant à l’ordinateur, Windows NT propose de créer une fenêtre juste avant la demande du mot de passe. La création de cette fenêtre est obtenue en modifiant deux valeurs d’une clé du registre HKEY_LOCAL_MACHINE : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Créer le titre de la fenêtre en exécutant : Double cliquer sur : LegalNoticeCaption, écrire la valeur : « Titre de l’Armée de Terre » Créer le texte apparaissant dans la fenêtre : Double cliquer sur : LegalNoticeText, écrire la valeur : « Message de l’Armée de Terre »
Le 30 août 2000
version 1.0
Page 53
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2.4.2
Verrouillage du SFI pour inactivité
Consignes associées : cs 7-3, cs 20-1, cs 21-1_Hlk472138476 _Hlk472138476 Si la session d’un administrateur reste ouverte sans surveillance, un pirate peut tenter de s’approprier le compte et de piéger l’ordinateur. Si un cheval de Troie, copiant le mot de passe sur le disque dur d’une station distante, est installé, la sécurité globale du réseau est compromise. Il est impératif de : prévenir que seuls les administrateurs peuvent utiliser le SFI. empêcher qu’un pirate s’approprie la session d’un administrateur. Il faut donc afficher un message de mise en garde et verrouiller la station quand un administrateur s’absente. La méthodologie est : Démarrer Paramètres Panneau de configuration double cliquer sur Affichage Écran de veille.
Le 30 août 2000
version 1.0
Page 54
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Cochez la case Protégé par un mot de passe. Écrire 15 minutes dans le champ Attente. Choisir : Message dans la fenêtre déroulante. Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
Cochez : Centré de l’option Position. Choisir : Lente de l’option Vitesse. Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond : noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran). Écrire la phrase : « Message de l’Armée de Terre » dans la plage Texte. La couleur et la police sont définissables en cliquant sur la touche Format texte… (choisissez une couleur voyante par rapport à la couleur du fond d’écran afin d’attirer l’œil).
Le 30 août 2000
version 1.0
Page 55
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sortir en validant par OK à chaque fois. Protéger les rubriques de la clé (voir 3.6 Protection des registres ) correspondant au choix de cet écran de veille : HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent les rubriques associées à cette clé :
Activation de l’économiseur d’écran : Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ)
Programme exécuté par l’écran de veille : Valeur de la rubrique SCRNSAVE : « C:\WINNT\System32\ssmarque.scr » (Type REG_SZ)
Activation de la protection par un mot de passe : Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ)
Temps d’attente avant l’activation de l’écran de veille : Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type REG_SZ)
Protéger la clé (voir 3.6 Protection des registres ) correspondant à ce programme : HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee Protéger en écriture C:\WINNT\System32\ssmarque.scr
3.2.4.3
le
programme
correspondant :
Fermeture de la session après ¼ heure de verrouillage
Consignes associées : cs 20-2_Hlk472138476 _Hlk472138476 Le verrouillage de l’ordinateur implique que l’utilisateur (l’administrateur ici) ne s’absentera pas longtemps et qu’il reviendra pour ouvrir ou clore sa session. L’absence prolongée d’un administrateur ne doit pas provoquer un verrouillage indéfini du SFI. Une session ouverte sur SFI et inactive, doit être fermée après 30 minutes (¼ après le verrouillage). La durée de temps est choisie lors de la définition des stratégies de comptes sur le CPD (Démarrer Programmes Outils d’administration Éditeur de stratégie système).
Créer les stations, les serveurs (dont le SFI), les groupes et les utilisateurs. Double cliquer sur le SFI pour afficher le menu Propriétés de « nom de l’ordinateur ». Cocher la case correspondante et entrer le temps en minutes.
Le 30 août 2000
version 1.0
Page 56
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2.4.4
Interdire l’arrêt du système sans ouverture de session
Le dernier point de cette liste de mesures de sécurité contrôlant l’accès au SFI, décrit la méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être authentifié. Ainsi, seuls les administrateurs pourront éteindre le SFI. Cette mesure évite un déni de service, causé par l’arrêt du SFI pendant les heures ouvrables. Un administrateur devra être présent après le départ de tous les utilisateurs pour éteindre le SFI. Dans la pratique, beaucoup d’administrateurs profitent des fonctionnalités du système de fichiers NTFS. Ils éteignent l’ordinateur avec le bouton d’arrêt du secteur, sans sortir proprement. À l’allumage, Windows NT contrôle le disque dur et utilise le journal de l’ordinateur pour revenir à son état précédant. Toutefois, cette solution est fortement déconseillée car elle risque d’entraîner des pertes d’informations de configuration ou de données. Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé suivante : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/ Winlogon Double cliquer sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type : REG_SZ).
Le 30 août 2000
version 1.0
Page 57
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.3
Protections du système d’exploitation
3.3.1 Les antivirus Consignes associées : cs 4-2_Hlk472138476 _Hlk472138476 Le SFI est impérativement protégé par l’antivirus de l’Armée de Terre. L’administrateur de la sécurité veillera impérativement à : mettre à jour mensuellement les logiciels antivirus. se tenir au courant de l’apparition des virus (presse, site Web, etc.). L’administrateur de la sécurité devra mettre en place : une station dite Station blanche avec un antivirus différent servira de station témoin. Cette station (autre que le SFI) sera choisie pour son caractère non sensible, sa fréquence d’utilisation et la diversité des provenances des fichiers lus. effectuer une rotation de la Station blanche parmi les stations.
3.3.2 Disquette de réparation Consignes associées : cs 6-1_Hlk472138476 _Hlk472138476 Windows NT propose la création d’une disquette ERD, de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cet exécutable copie la ruche dans un format compressé ainsi que certains fichiers. Il impératif de créer une disquette de réparation d’urgence pour le SFI. À chaque modification de la configuration matérielle ou logicielle, la disquette sera mise à jour ou recréée par le programme rdisk. Les administrateurs utiliseront à tour de rôle deux disquettes. La première contiendra la configuration de SFI et la seconde la configuration précédente. Ainsi les administrateurs possèderont une disquette de la configuration actuelle du SFI et une autre de sa configuration antérieure. Ces disquettes sont conservées par l’administrateur système, dans un meuble fermant à clé. Il suffit de copier une configuration particulière sur les disquettes, pour prendre possession du SFI lors de sa restauration.
3.3.3 Remarques sur le gestionnaire des tâches Windows NT permet de lancer des services sans pour autant les rendre visibles dans le menu Services (Panneau de configuration, double cliquer sur Services). Il suffit d’ouvrir une fenêtre DOS et d’exécuter le programme correspondant au service. Ils sont activés en tâche de fond. Cette manière de procéder serait inoffensive, si ces services étaient parfaitement contrôlés. L’une des principales causes d’attaques réussies est l’exécution d’un cheval de Troie en arrière tâche. Ce programme écoute le travail et se réveille dans certaines conditions. Généralement, il duplique le mot de passe lors de son changement et envoie une copie vers une station espion. Le pirate récupère ainsi les mots de passe des Administrateurs. Il prend possession du réseau sans être découvert. Windows NT ne permet pas de contrôler facilement les processus exécutés sur le SFI. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés ( <SUPP> Gestionnaire des tâches, onglet Processus), on peut découvrir la présence d’un processus pirate. Toutefois si le processus est lancé au niveau noyau ou par intermittence, il peut très bien être invisible dans la liste des processus Le nom des programmes associés aux services est disponible dans le chapitre 3.2.3 Services.
Le 30 août 2000
version 1.0
Page 58
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Certains chevaux de Troie remplacent un programme associé à un service. Ils assument les fonctions de ce service en même temps qu’ils piratent l’ordinateur. Ce type d’attaque est rendue presque impossible si les fichiers associés aux services sont protégés en écriture (bouton droit de la souris Propriétés Sécurité).
3.3.4 Protection des ressources locales Chaque partition correspond à la fonction d’un administrateur : La partition Système (C:\) est gérée par l’administrateur système. La partition Privé (E:\) est gérée par l’administrateur de comptes. La partition Public (F:\) est gérée par l’administrateur de compte. La partition Administrateurs (G:\) est gérée par l’administrateur de comptes. Les partitions possèdent par défaut des partages pour des raisons administratives (utilisés pour l’administration et le système). Notamment pour les répertoires racines de chaque disque dur, ainsi que pour le répertoire principal du système Windows NT Server (C:\WINNT). Ces partages sont cachés (le nom est suivi d’un $, exemple C$ pour le répertoire racine de C:\). Ce $ permet de ne pas le laisser apparaître dans la liste des répertoires disponibles sur une station. Ils correspondent à des besoins du système. Seuls les administrateurs ont accès aux partages des répertoires système. Ces partages pour des raisons administratives pourraient être désactivés (Attention cette méthode est un exemple. Elle est irréversible, la clé ne doit jamais être modifiée au risque de perdre tous les partages) en modifiant la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Attribuer la valeur 0 à la Rubrique AutoShareServer : (Type : REG_BINARY). Une approche cohérente de la sécurisation des fichiers et répertoires, passe par une déclaration des partages et leur sécurisation par des permissions NTFS. Les tableaux suivants présentent les partages des répertoires de ces partitions (attention, il ne s’agit pas de ces partitions).
Permissions accordées aux administrateurs : Partition Système (C:\) Privée (E:\) Public (F:\) Administrateurs (G:\)
Fonction de la partition Contient le système d’exploitation Contient les répertoires de base Contient les répertoires des sections Contient les profils
Adm. système
Adm. de compte
Adm. de la sécurité
System
Contrôle total
Modifier
Modifier
Contrôle total
Contrôle total
Modifier
Modifier
Contrôle total
Modifier
Modifier
Contrôle total
Modifier
Permissions de partage accordées aux utilisateurs du domaine : Partition Système (C:\) Privée (E:\)
Le 30 août 2000
Fonction de la partition Contient le système d’exploitation Contient les répertoires de base
Chaque section
Une section
Un utilisateur
Aucun
Aucun
Aucun Modifier (son répertoire de base)
version 1.0
Page 59
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Contient les répertoires des sections
Public (F:\) Administrateurs (G:\)
3.4
Modifier (le répertoire partagé de toutes les sections)
Modifier (le répertoire partagé de cette section)
Modifier (le répertoire partagé de sa section) Modifier (répertoire de son profil)
Contient les profils
Protections relative à la sécurité sur le domaine
3.4.1 Protection des communications sur le domaine Consignes associées : cs 15-1, cs 15-2_Hlk472138476 Le protocole SMB (Server Message Block) assume la structure de base des réseaux Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire). SMB authentifie un utilisateur auprès d’un serveur (dont le SFI), par « challenge ». Le demandeur de l’authentification envoie une requête et attend en retour une réponse dépendant de la carte d’identité de l’utilisateur. La cohérence challenge/carte d’identité avec la réponse détermine l’authentification. De plus, ce protocole est sous-jacent aux partages de fichiers ou d’imprimantes sous Windows NT. Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou par interception/modification des messages. De plus, les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Le SP 3 introduit une version plus performante des services offerts par le protocole SMB en incluant un protocole de signature SMB-S (Server Message Block Signing). Le protocole de signature SMB-S, également dénommé protocole de partage de fichiers CIFS (Common Internet File Sharing), n’évite pas l’écoute des paquets sur le réseau. Lors du changement du mot de passe par l’utilisateur auprès du SFI, la confidentialité de la chaîne est protégée par le protocole Windows NT CR (Challenge Response) et/ou le protocole de hachage de LM (Lan-Manager). Ce dernier est moins performant que Windows NT CR. Certaines configurations du réseau nécessitent l’emploi du protocole de hachage de LM. Notamment si un serveur utilisant Netware est connecté sur le réseau. Les services Serveur et Station de travail de Windows NT (Démarrage Paramètres Panneau de configuration Services) assurent les fonctionnalités du protocole SMB. Ces services sont disponibles sur toutes les machines sous Windows NT du domaine. Les services SMB-S (services Serveur et Station de travail) devront être activés sur le SFI. Suivant la configuration du réseau, deux cas de figure se présentent et deux solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regedit.exe ou Regdt32.exe (dans le répertoire C:\WINNT\system32) pour créer la rubrique et modifier la valeur. Utiliser l’éditeur de C:\WINNT\System32).
registre
Regedit32.exe
(dans
le
répertoire
Accéder au registre : HKEY_LOCAL_MACHINE
Le 30 août 2000
version 1.0
Page 60
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en ouvrant le menu Edition Ajouter une valeur entrer le nom de la rubrique et son type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en Décimal). Aucun serveur ne nécessite le protocole LM. Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM doivent ne pas accepter ce protocole sur le réseau et refuser de répondre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Pa rameters
Le 30 août 2000
version 1.0
Page 61
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur).
Au moins un serveur nécessite le protocole LM. Il existe au moins un serveur ou une station sur le réseau utilisant Netware et nécessitant le protocole LM.
3.4.2 Verrouillage du compte administrateur sur le domaine Le compte administrateur du domaine est le seul compte impossible à verrouiller. En effet, s’il était possible de le verrouiller, il serait alors possible de verrouiller tous les comptes et d’interdire ainsi complètement l’accès au réseau. L’exécutable Passprop.exe (du Kit de ressources) permet de verrouiller (en réalité, il est non reconnu au niveau du réseau) le compte administrateur sur le réseau. Toutefois, le compte administrateur n’est jamais verrouillé localement. Si un trop grand nombre de tentatives infructueuses d’accès au compte administrateur est détecté, il est particulièrement utile de disposer de cet exécutable. Tous les administrateurs ne disposent pas du Kit de ressources. L’installation (uniquement l’installation) de Passprop.exe est recommandée mais pas impérative.
3.4.3 Gestion des absences des administrateurs Consignes associées : cs 5-1, cs 6-2_Hlk472138476 Un pirate qui dispose de suffisamment de temps, peut prendre possession, élément par élément, du SFI. La seule protection efficace (celle qui est mise en œuvre ici) consiste à laisser au pirate un laps de temps, très inférieur au temps nécessaire au piratage du réseau. Pour réduire ce temps, le SFI sera arrêté pendant les périodes de congés (vacances et fin de semaine). Les administrateurs sont obligés d’arriver les premiers et de partir les derniers. Cette exigence est difficile à respecter (impératifs horaires, déplacement, etc.). Pour remédier à cette contrainte, le SFI peut être branché sur le secteur via un programmateur hebdomadaire (Cette solution est loin d’être la meilleure, ce pis-aller peut provoquer de graves problèmes). Windows NT assurera la reprise du fonctionnement du SFI après la coupure brutale du courant par le programmateur, en consultant le journal de l’ordinateur. Ce programmateur sera dans la pièce du SFI, il bénéficiera des restrictions d’accès au local. Si le CPD et le SFI disposent du même programmateur, des problèmes de durées de reprises entre ces deux ordinateurs peuvent apparaître (le SFI entrant en service avant le CPD). Le temps de démarrage de Windows NT est réglé de façon que le CPD se mette en service avant le SFI. La méthodologie est la suivante : Accéder à l’Explorateur Windows NT Explorateur Windows NT).
(Démarrer
Programmes
Modifier les attributs du fichier C:\boot.ini (clique droit sur le fichier Propriétés supprimer Lecture seule). Valider. Éditer le fichier boot.ini (l’enregistrement du fichier par le traitement de texte sera faite en ASCII). Modifier le fichier (dans l’exemple suivant le temps avant démarrage est de 5 secondes (voir 10 secondes), et 2 modes d’affichage écran sont utilisés).
Le 30 août 2000
version 1.0
Page 62
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Régler les temps d’attente sur le CPD et le SFI afin de démarrer dans l’ordre désiré les deux serveurs et en fonction des créneaux horaires.
3.5
Les comptes Rappelons qu’il existe 2 types de comptes : Les comptes du domaine : (Déclaration d’un compte ouvert sur le CPD et ayant une portée sur le domaine) Comptes locaux : (Déclaration d’un compte ouvert sur le SFI et ayant une portée sur le SFI uniquement)
3.5.1 Les comptes du domaine Consignes associées : cs 12-1, cs 14-1, cs 20-3, cs 20-4, cs 20-5, cs 20-6 Les comptes définis sur le domaine utilisent des répertoires et des fichiers enregistrés sur le SFI. Le schéma suivant présente la structure de ces éléments sur le SFI :
D
Partition G:\ des profils (Administrateurs)
i s q u e ( l e s P u
( to
s
:
p
A r o
d m i n fi ls )
is
t r a t e u r sD ( le s
r e m i è r e s e c t i o n l e s p r o f i ls d e l a
Partition F:\ des sections (Public)
is q u e : P u b r é p e r t o i r e s
l ic c o
R é p e r t o i r e s s( r e é c p t ei o r n t o) i r e c o
d m
m
m
D is q u e : P r i v é s ) r é p e r t o i r e s d
u( l ne
iè r e e s s e c t i o n Ps r e m m u n p ( a t or u s se c l et i o r né p) e
P r e m p r o f il
i è r e u t i li s a t e u r d e l 'u t i li s a t e u r
P r e m iè r e ( r é p e r t o i r e
s e c t io n c o m m u
n
)
P r e m d e l a
S e c o p r o f il
n d d e
S e c o n d e ( r é p e r t o i r e
s e c t io n c o m m u
n
)
S d e
S u
( to
e s
c
o n l e s
u t i li s a t e u r l 'u t i li s a t e u r
d e s e c p r o f i ls
t i o n d e l a
s
P r e m p r o f il
i è r e u t i li s a t e u r d e l 'u t i li s a t e u r
S e c o p r o f il
n d d e
S
e
c t i o
e
u t i li s a t e u r l 'u t i li s a t e u r
n s
s
u i v a n
S e c t i o c t i o n ) R à
é
R à
é
p p
lu p
t o
u
n
s u
iv a
e r t o ir e s ie u r s e r t o ir e t e s le
n
t e
S ( t o u
c o m m u n s e c t i o n s
s
c o s
m m u n e c t i o n s
S d
t e s
P
r e m
i è
Le 30 août 2000
r e
Ss e e c c t o i o n n d
e
iè r e p r e m
u
e e
S s
m la
e c t io n l e r é p
e c t i o n
s
s u
iv a n
t e
l a
n
ti l is a i è r e
t e u r s e c t io
n
e
l a
s
e c t i o
s
e c t i o
s
e c t i o
u ti l is a t e u r n d e s e c t i o n
u ti l is a t e u r o n d e s e c t i o n
e
s u iv a n t e r t o i r e s d
s
version 1.0
e
e )
a t e u r s e c t io
p r o f ils t y p e s ) Ss
n d
s e c t i o n r t o i r e s d
iè r e s e c o
c o n d la s e c
b a s
ti l is r e
i è
c o n d u l a p r e m
r e e
e
s e c t io r t o i r e s
e c o n d e s l e r é p e
P d
( t o u T y p e s d e ( l e s p r o fi ls
e
Partition E:\ des utilisateurs (Privé)
Page 63
e
l a
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.5.1.1
Création des comptes sur le domaine
Consignes associées : cs 10-1, cs 10-2_Hlk472138476 _Hlk479068181 Seuls les comptes administrateurs peuvent ouvrir une session sur SFI. Cette restriction est assurée par le choix des stations attribuées aux utilisateurs du domaines. Lors de la déclaration d’un utilisateur, SFI ne doit jamais figurer dans les champs des stations utilisables (Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs pour le domaine ouvrir la fenêtre Caractéristiques de l’utilisateur en double cliquant sur l’utilisateur Accès depuis). L’exemple suivant présente l’erreur à ne pas commettre :
Erreur à ne pas commettre pour un utilisateur
Les administrateurs accéderont au SFI (et à toutes les stations) via le réseau, comme le montre la fenêtre Accès depuis pour un administrateur :
Pour un Administrateur
Le 30 août 2000
version 1.0
Page 64
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
La définition des caractéristiques de chaque utilisateur du domaine, est effectuées sur le CPD. C’est sur ce serveur que l’administrateur de comptes interdira aux utilisateurs les points suivants : Les ports de communications (COM1, etc.). Les ports UBS. Le partage réseau. Les services DDE sur le réseau. Toutes ces restrictions sont applicables à tous les ordinateurs (sous l’OS Windows NT). Ces limitations sont donc appliquées aussi au SFI. Cette protection en amont est renforcée par la restriction des utilisateurs du domaine pouvant ouvrir une session sur le SFI (uniquement les administrateurs).
3.5.1.2
Les comptes administrateurs du domaine
Consignes associées : cs 8-1, cs 16-3, cs 16-4, cs 16-5, cs 16-6, cs 17-1, cs 207_Hlk479068226 , cs 20-8, cs 24-1, cs 24-2, cs 25-1, cs 25-2, cs 26-1 La définition des comptes Administrateur du domaine, est effectuée sur le CPD. La répartition des droits entre les administrateurs est différente suivant la fonction. La liste suivante présente les droits possédés uniquement par l’administrateur système (définis sur le CPD) : Peut ouvrir une session localement. Peut modifier les performances système. Peut optimiser les processus. Peut modifier les valeurs d’environnement de microprogrammation. Peut installer et désinstaller des pilotes. Peut modifier l’heure système. Peut modifier les priorités de planification. Peut prendre possession de fichiers et objets. Tous les administrateurs possèdent des droits interdits pour les utilisateurs :
Le 30 août 2000
version 1.0
Page 65
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Peut sauvegarder des fichiers et des répertoires Peut restaurer des fichiers et des répertoires Les contraintes pour tous les administrateurs sont indépendantes des fonctions : Durée maximale du mot de passe : 60 jours. Durée minimale de validité du mot de passe : 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe : 10 caractères. Attente de 60 minutes après 4 tentatives échouées. Les administrateurs, voulant effectuer un travail ne nécessitant aucun droits et permissions particuliers, accèderont au SFI en s’authentifiant avec leur compte avec pouvoir minimum (voir le manuel du CPD). Ils utiliseront leur compte avec pleins pouvoirs (le véritable compte administrateur) uniquement si c’est nécessaire. Cette consigne permet de réduire l’utilisation des comptes important et ainsi de minimiser les risques de vols de session ou de piratage des mots de passe administrateur.
3.5.1.3
Le profil des utilisateurs
Lors de la création des utilisateurs, le profil est déclaré errant (attaché au domaine et non à chaque ordinateur). Ils sont enregistrés dans le répertoire du répertoire Profils créé sur la partition Administrateurs du SFI. Il suffit de remplir le champ Chemin du profil de l’utilisateur avec « \\SFI\Profils\%USERNAME% » (voir le manuel sur le CPD) pour que ce répertoire soit créé. La variable %USERNAME% sera remplacée par le contenu de la variable Utilisateur (Delage.Logistique dans notre cas) lors de la création de ce répertoire.
Valider par la touche OK. _Hlk472138476
3.5.1.4
Le répertoire de base des utilisateurs
Lors de la création des utilisateurs, le répertoire de base créé sur la partition Privée du SFI. Il suffit de remplir le champ Chemin du profil de l’utilisateur avec « \\SFI\Profils\
Le 30 août 2000
version 1.0
Page 66
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
%USERNAME% » (voir le manuel sur le CPD) pour que ce répertoire soit créé. La variable %USERNAME% sera remplacée par le contenu de la variable Utilisateur (Delage.Logistique dans notre cas) lors de la création de ce répertoire.
Valider par la touche OK. Créer le répertoire de base dans le répertoire de la section correspondante de la partition Privée et lui attribuer les droits suivants :
3.5.1.5
•
Modifier pour l’utilisateur.
•
Contrôle total pour l’administrateur de compte.
Les scripts de démarrage
Consignes associées : cs 19-3_Hlk472138476 Si des scripts de démarrage sont utilisés, ils seront enregistrés dans le répertoire %SystemRoot%\System32\REPL\Import\Scripts\ sur le CPD. Lors de la création des utilisateurs, le champ script est rempli avec la localisation du script :
Le 30 août 2000
version 1.0
Page 67
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Remplacer par : %Username% dans le cas d’un script portant le nom de l’utilisateur. \ dans le cas d’un script commun à une section. \\%Username% dans le cas d’un script rangé dans un répertoire portant le nom de la section et portant le nom de l’utilisateur. L’exemple suivant de script de commandes (.BAT dans notre cas) permet de vider la corbeille et de supprimer les fichiers temporaires résiduels (de type *.tmp) du disque dur c:\. Il est écrit avec un éditeur de texte (EDIT.COM sous DOS) :
3.5.2 Les comptes locaux 3.5.2.1
Le compte local Invité
Consignes associées : cs 22-1 Ce compte local ne peut pas être détruit. Ce compte doit être désactivé (rendu inoffensif pour la sécurité). Pour désactiver ce compte :
Le 30 août 2000
version 1.0
Page 68
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir l’application "gestionnaire des utilisateurs" sur le SFI (Démarrer Programmes Outils d’administration) puis sélectionner Invité dans la liste des noms d'utilisateurs. Les caractéristiques du compte Invité sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case L'utilisateur ne peut pas changer le mot de passe. Cocher la case Compte désactivé.
Définir le groupe en cliquant sur la touche Groupes. Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et ne pouvant pas utiliser les stations :
Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
Bouton Numérotation : Ne pas cocher permissions d'appel à l'utilisateur.
la
case
Accorder
les
Valider par la touche OK. Sélectionner Menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte Invité est maintenant complètement inhibé.
3.5.2.2
Les comptes locaux prédéfinis
Consignes associées : cs 22-1 Plusieurs comptes prédéfinis et impossibles à supprimer sont créés par Windows NT. Tous les comptes prédéfinis, à l’exception du compte administrateur, sont désactivés de la même manière que le compte Invité local.
3.5.2.3
Le compte local Administrateur
Consignes associées : cs 21-2, cs 21-3, cs 23-1, cs 23-2 Comme le compte Invité local, ce compte ne peut pas être détruit. Ce compte (et éventuellement le compte du RSSI) est conservé sous un aspect banalisé :
Le 30 août 2000
version 1.0
Page 69
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis sélectionner Administrateur dans la liste des noms d'utilisateur. Les caractéristiques du compte « Administrateur » sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case Le mot de passe n'expire jamais, sinon il faudra le changer périodiquement. Bouton Numérotation : ne pas cocher la case Accorder les permissions d'appel à l'utilisateur. Valider par la touche OK. Sélectionner menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte « Administrateur » est maintenant caché. Les caractéristiques de ces comptes locaux sont identiques à celles définies sur le domaine : Durée maximale du mot de passe : 60 jours. Durée minimale de validité du mot de passe : 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe : 10 caractères. Attente de 60 minutes après 4 tentatives échouées.
3.6
Protection des registres Pour plus de détails sur les registres, vous pouvez lire le manuel du CPD. Rappelons simplement que c’est un ensemble de fichiers contenant des bases de données dont les enregistrements contrôlent l’ordinateur. Ils se composent de : Clés. Rubriques. Valeurs. Les registres sont : HKEY_LOCAL_MACHINE
(HKLM)
HKEY_CLASSES_ROOT
(HKCR)
HKEY_DYN_DATA
(HKDD)
HKEY_USERS
(HKU)
HKEY_CURRENT_USER
(HKCU)
HKEY_CURRENT_CONFIG (HKCC)
3.6.1 Modifications des registres Consignes associées : cs 7-2, cs 19-1, cs 19-2, cs 19-4 Clés utilisées lors de l’ouverture d’une session
Le 30 août 2000
version 1.0
Page 70
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Rubrique LegalNoticeCaption : valeur « Titre de l’Armée de Terre » (type REG_SZ) (active une fenêtre à l’ouverture de session) Rubrique LegalNoticeText : valeur « Message de l’Armée de Terre » (type REG_SZ) (écrit un texte dans la fenêtre, à l’ouverture de session) Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY) (empêche l’ouverture automatique d’une session) Rubrique CachedLogonsCount : valeur 0 (type REG_SZ) (l’utilisateur ne peut s’authentifier qu’après une réponse du SFI) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD) (active le protocole de signature des échanges SMB-S) Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD) (impose que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique RestrictAnonymous : valeur 1 (type REG_DWORD) (empêche l’ouverture d’une session non authentifiée par la commande net use) Clés utilisées lors de la fermeture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ) (Interdit l’arrêt de l’ordinateur SFI sans ouverture d’une session). Rubrique DontDisplayLastUserName : valeur 1 (type REG_SZ) (n’affiche plus le nom du dernier utilisateur (un administrateur) à l’ouverture de session). Rubrique AllocateFloppies avec la valeur 1 (type REG_DWORD) (Désactive le lecteur de disquette sur un SFI difficilement sécurisable) HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD) (Nettoyage du fichier d’échange d’une session) Clés utilisées pour la configuration matérielle de l’ordinateur. HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname Rubrique Autorun avec la valeur : 0 (type REG_DWORD) (Empêche le démarrage en autorun du lecteur de CD-ROM) Clés utilisées pour la configuration de logiciels. HKLM\SYSTEM\CurrentControlSet\Services\CDROM Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD) (sécurité supplémentaire, empêchant le compte invité de consulter le journal des événements) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique SubmitControl : valeur 0 (type REG_DWORD) (la planification des tâches est utilisable uniquement par l’administrateur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique Notification Packages, remplacer FPNWCLNT par PASSFILT (amélioration du filtrage des mots de passe)
3.6.2 Sécurisation des fichiers de registres Consignes associées : cs 16-1, cs 16-2
Le 30 août 2000
version 1.0
Page 71
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le SFI est un ordinateur dédié. Seul l’administrateur système pourra modifier les registres. Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes pour la sécurité du système. Certains documents vous présenteront ces répertoires sous une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent l’expression %SystemRoot%\System32\Repair. Le répertoire %SystemRoot% est celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas). Le SFI est un ordinateur dédié. Les administrateurs l’utilisent uniquement pour la gestion des profils et des répertoires de base. Seul l’administrateur système peut modifier le comportement du SFI et donc les clés. L’administrateur système et le système posséderont le Contrôle total sur les registres. Les fichiers liés à la ruche sont : Administrate ur système
Réseau
Système
Chaque section
C:\WINNT\System32\Conf ig
Contrôle total
Aucun
Contrôle total
Aucun
C:\WINNT\Repair
Contrôle total
Aucun
Lister
Aucun
C:\WINNT\REPL\IMPORT
Contrôle total
Aucun
Contrôle total
Aucun
C:\WINNT\REPL\EXPORT
Contrôle total
Aucun
Contrôle total
Aucun
Répertoires
De la même manière, tous les registres gardés en mémoire pendant une session sont protégés. Ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE. Modifier les permissions des clés (Sécurité Permissions). Ajouter l’administrateur système avec le Contrôle total pour tous les registres. Ajouter l’administrateur de comptes en Lecture pour tous les registres.
3.7
Audit Les journaux des audits servent à détecter une attaque éventuelle sur le SFI. Les événements de l’audit concerneront les points protégés et ceux pouvant présenter un risque pour le bon fonctionnement des ordinateurs. Les journaux d’audit sont les traces des anomalies apparues sur le réseau, l’administrateur doit posséder une méthodologie de gestion des journaux (contre les journaux trop volumineux, pour un archivage et une sauvegarde). Nous traiterons : Les événements de l’audit du SFI. La gestion des journaux d’audits.
Le 30 août 2000
version 1.0
Page 72
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.7.1 Événements de sécurité des audits Consignes associées : cs 28-1, cs 28-2_Hlk472138476 _Hlk472138476
3.7.1.1
Audit sur les sessions
Pour inscrire les événements d’une session dans les journaux d’audits, ouvrir le Gestionnaire des utilisateurs (Démarrer Programmes Outils d'administration). Accéder au menu : Stratégie d’audit puis activer l’audit (bouton Auditer ces événements). Créer les audits pour : Enregistrer les événements de l’audit suivants : •
Ouverture et fermeture d’une session : Administrateur de la sécurité :
Échecs
•
Accès fichier et objet : Administrateur de la sécurité :
Échecs
•
Utilisation des droits de l’utilisateur : Administrateur de la sécurité : Succès
Échecs
•
Gestion des utilisateurs et groupes : Administrateur de la sécurité : Succès
Échecs
•
Modification stratégie sécurité : Administrateur de la sécurité :
Échecs
•
Redémarrage, arrêt et système : Administrateur de la sécurité : Succès Valider par la touche OK.
3.7.1.2
Échecs
Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit – Clé de registre (Sécurité Audit). Créer les audits et les auditeurs : Bouton Ajouter. Choisir Administrateur de la sécurité. Valider par la touche OK. Le SFI étant le serveur important, les manipulations de sa ruche seront inscrites dans les journaux.
Le 30 août 2000
•
Les clés : HKEY_LOCAL_MACHINE\SOFTWARE HKEY_LOCAL_MACHINE\SYSTEM HKEY_CLASS_ROOT
•
Les événements de l’audit : Positionner la valeur : Administrateur de la sécurité : Échecs Créer une sous-clé : Administrateur de la sécurité : Échecs Créer la liaison : Administrateur de la sécurité : Échecs Supprimer :
version 1.0
Succès Succès Succès
Page 73
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Administrateur de la sécurité : Échecs Écrire le DAC : Administrateur de la sécurité : Échecs
Succès Succès
Fermer la ruche.
3.7.2 La gestion des journaux d’audits 3.7.2.1
Tailles des journaux d’événements
Consignes associées : cs 27-1, cs 27-2_Hlk472138476 _Hlk472138476 Il est nécessaire de limiter les tailles des journaux pour éviter une saturation des partitions. A contrario, il est inutile de prévoir des tailles trop importantes et de n’utiliser qu’une partie de l’espace réservé. Les tailles allouées pour les journaux sont modifiables dans le menu : Démarrer Programmes Outils d’administration Observateur d’événements Journal Paramètres du journal Taille Maximale du journal. Elle sont toujours des multiples de 64 ko. Les dimensions retenues dans la mise en œuvre correspondent à une durée de 2 semaines entre chaque consultation :
Journal sécurité
2 à 4 Mo.
Journal système
1 à 2 Mo.
Journal applications
1 à 2 Mo.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser les plus anciens événements. Il suffit de cocher la case Écraser les événements si nécessaire de la même fenêtre.
Journal sécurité
Écraser les événements si nécessaire.
Journal système
Écraser les événements si nécessaire.
Journal applications
Écraser les événements si nécessaire.
3.7.2.2
Sauvegarde des journaux d’événements
Consignes associées : cs 27-3, cs 27-4_Hlk472138476 _Hlk472138476
Le 30 août 2000
version 1.0
Page 74
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour détecter :
Une attaque éventuelle.
Les problèmes matériels.
Les problèmes informatiques. Les journaux du domaine seront enregistrés tous les mois sur le serveur de fichiers, sur la partition Administrateurs (dans un répertoire (Journaux\) ou sur un ordinateur non connecté au réseau. Les noms des fichiers de sauvegardes seront : aammjj (2 chiffres pour l’année, 2 chiffres pour le mois et 2 chiffres pour le jour). Si aucune erreur grave n’est détectée, les journaux des administrateurs seront détruits après chaque sauvegarde et de nouveaux journaux des événements vierges seront exploités. Les sauvegardes des journaux seront conservées sur le serveur de fichiers pendant 6 mois au minimum puis seront effacées. L’archivage Il permet de garder, comparer et analyser les journaux. Ils permettent un examen à long terme des problèmes. Seuls les journaux des administrateurs (les journaux des utilisateurs, enregistrés sur SFI ne sont pas conservés) seront archivés sur CD-ROM ou sur disquettes, tous les 6 mois ou tous les ans suivant le volume d’informations collectées ou le nombre de stations connectées au réseau. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque (concernant l’administrateur de la sécurité) ou à des problèmes périodiques du réseau (concernant l’administrateur système).
Le 30 août 2000
version 1.0
Page 75
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
ANNEXE Annexe A :
Schéma d’un réseau Windows NT
Annexe B :
Les profils
Le 30 août 2000
version 1.0
Page 1
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
A.
SCHÉMA D’UN RÉSEAU WINDOWS NT 4.0
Cette annexe donne une vision simplifiée des comptes du domaine et locaux, ainsi que la portée des éléments associés à ces comptes.
Portée de : - l ’Administrateur du domaine - les utilisateurs du domaine - les invités du domaine - les groupes du domaine Les utilisateurs définis sur le CPD sont définis sur le domaine entier Portée de : - l ’administrateur local - l ’Utilisateur local - l ’Invité local
Poste Serveur de fichiers
CPD
Poste Serveur Windows NT 4.0
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Imprimante partagée
Imprimante locale
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local
Portée de : Poste Client NT 4.0 Le terme local un caractère lié à la station et donc non reconnu par le réseau. - l indique ’Administrateur local Workstation - l ’Utilisateur localcaractère lié au réseau et donc commun à toutes les stations sauf dans Le terme global indique un - l ’Invité local un cas explicitement précisé (par le profil Poste Client de NT l’utilisateur). 4.0 Les caractéristiques définies surWorkstation la station sont donc locales (administrateur local) et les caractéristiques définies sur le SFI sont donc globales (administrateur global ou du réseau).
Le 30 août 2000
version 1.0
Page 2
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Réseau Les utilisateurs définis sur le CPD sont définis sur le domaine entier Contient : - les fichiers utilisateurs - la stratégie système - les définitions des machines vues du réseau
Contient : - les profiles communs - les applications - les définitions des machines autonomes
Contient : - les répertoires de base - les répertoires partagés - les profiles errants CPD
Section 1
Poste Client NT 4.0 Workstation
Serveur de fichiers
Section 2
Contient : - les profiles communs - les applications - les définitions des machines autonomes
Poste Client NT 4.0 Workstation
Ce dessin présente la localisation des fichiers, profils et répertoires communs. L’ouverture d’une session permet de transférer lesPoste différentes vers la station utilisée. Poste Client NT 4.0 Client NTinformations 4.0 Workstation Workstation
Le 30 août 2000
version 1.0
Page 3
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Réseau : le domaine
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
CPD
Section 1 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 1
Poste Client NT 4.0 Workstation
SFI
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
Section 2 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 2
Poste Client NT 4.0 Workstation
Ce schéma présente la localisation des fichiers et répertoires communs. L’ouverture d’une session permet de transférer les différentes Poste Client NT 4.0 Posteinformations Client NT 4.0 vers la station utilisée. Workstation Workstation
Le 30 août 2000
version 1.0
Page 4
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
B.
LES PROFILS Les profils sont enregistrés sur le disque dur dans le répertoire dans C:\WINNT\Profils. Le profil complet d’un utilisateur est composé d’une partie commune à toutes les personnes et d’une partie spécifique à cet utilisateur. La première partie est résidente sur la station et propose généralement les applications présentes sur le disque dur local. La seconde partie du profil est dénommée profil errant (puisque dans notre cas il est importé sur la station à l’ouverture d’une session). Le nom de son répertoire est celui de l’utilisateur. La station utilise la variable appelée %USERNAME% pour créer et gérer les profils.
Répertoire du profil de All Users
Répertoire
Le 30 août 2000
du
profil de %USERNAME% %=“Sec1_Util1”)
(sur
version 1.0
la
figure
suivante
%USERNAME
Page 5
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le menu Démarrer se décompose en 2 groupes d’applications, plus le groupe contenant Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes :
Nouveau office Ouvrir un office Programmes Documents Paramètres Rechercher Aide Exécuter
document Contenu dans All Users\Menu Démarrer
Local
document
Arrêter…
Le 30 août 2000
Voir le sous menu suivant Contenu de %USERNAME%\Recent Contenu dans C:\Panneau de configuration Exécute certaines applications locales et globales Exécute WINHLP32.EXE Renvoi la variable ComSpec (Poste de travail Propriété Environnement Sert à arrêter l’ordinateur.
version 1.0
Global Local Local Local Local
Page 6
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes :
Accessoires Démarrage Mes outils d’administration Startup Documents en ligne Explorateur Windows NT Internet Explorer Invite de commandes Démarrage Outils d’administration Microsoft Access Microsoft Excel Microsoft Outlook Microsoft Photo Editor Microsoft PowerPoint Microsoft Word
Concerne le profil %USERNAME% Contenu de Démarrer\Programmes
%USERNAME%\Menu Globa l
Concerne le profil All USERS Contenu dans All USERS\Menu Démarrer\Programmes
Local
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes rend cette application disponible par tous les utilisateurs. Le raccourci d’une application copié dans %USERNAME %\Menu Démarrer\Programmes rend cette application disponible pour un seul utilisateur. Le profil Default User est utilisé pour des clients DHCP ou pour une personne inconnue (ces deux utilisateurs sont interdits sur le réseau).
Le 30 août 2000
version 1.0
Page 7
GUIDE DE PARAMETRAGE Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression sous Windows NT 4.0 Server
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation préalable.
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
SUIVI DU DOCUMENT
VERSION
DATE
1
23/08/2000
MODIFICATIONS Validation du document
NOM LCL PHILIPPOT CEN BOURGES
SUIVI DU DOCUMENT
Le 30 août 2000
version 1.0
Page i
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
PAGES
DESCRIPTION DES MODIFICATIONS INTRODUITES
MODIFIÉES
DEPUIS LE DOCUMENT PRÉCÉDENT
Le 30 août 2000
version 1.0
Page ii
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sommaire 1. Introduction.....................................................................................................2 1.1 Objet...............................................................................................................................................................2 1.2 Objectifs recherchés.....................................................................................................................................2 1.3 Structure du document.................................................................................................................................2 1.4 Recommandations, symboles et conventions.............................................................................................3 1.4.1 Le niveau d’exigence...............................................................................................................................3 1.4.2 Le niveau de gêne....................................................................................................................................3 1.4.3 Conventions de signes et de polices........................................................................................................3 1.5 Considérations générales..............................................................................................................................4 1.5.1 Contexte de référence..............................................................................................................................4 1.5.2 Configuration matérielle et logicielle.....................................................................................................5 1.5.3 Plan d'adressage et plan de nommage.....................................................................................................5 1.5.4 Personnes concernées, rôles et responsabilités.......................................................................................6
2. Consignes de sécurité......................................................................................7 2.1 Protection matérielle du SFI.......................................................................................................................8 2.1.1 Protection du local du SFI.......................................................................................................................8 2.1.2 Protection physique du SFI.....................................................................................................................8 2.1.3 Protection de la configuration matérielle................................................................................................9 2.2 Protection de l’accès local du SFI.............................................................................................................11 2.2.1 Protection des ressources locales..........................................................................................................11 2.2.1.1 Protections informatiques...............................................................................................................11 2.2.1.2 Protections en l’absence du personnel...........................................................................................12 2.2.1.3 Plan de reprise................................................................................................................................13 2.2.2 Protection de l’accès à SFI....................................................................................................................14 2.2.2.1 Présentation de mises en garde......................................................................................................14 2.2.2.2 Protection contre les comptes avec pouvoirs.................................................................................15 2.2.2.3 Protection contre les dépassements d’espace disque.....................................................................15 2.3 Protection du SFI vis-à-vis des accès distants..........................................................................................16 2.3.1 Protection vis-à-vis des accès hors réseau local (modem)...................................................................16 2.3.1.1 Protection des ports........................................................................................................................16 2.3.1.2 Protection contre certains services.................................................................................................16 2.3.2 Protection vis-à-vis des accès réseau....................................................................................................17 2.3.2.1 Partage réseau des répertoires et des fichiers................................................................................17 2.3.2.2 Échange dynamique de données entre applications......................................................................18 2.3.2.3 Accès distant pour les utilisateurs..................................................................................................18 2.3.2.4 Protection des échanges sur le réseau............................................................................................18 2.4 Protéger la configuration système............................................................................................................20 2.4.1 Protéger les paramètres systèmes..........................................................................................................20 2.4.2 Restriction des modifications des pilotes..............................................................................................23 2.4.3 Protection de l'intégrité des données et des applications.....................................................................23 2.5 Protection des comptes...............................................................................................................................24 2.5.1 Protection des comptes ouverts sur le domaine....................................................................................25 2.5.2 Protection des comptes locaux..............................................................................................................29 2.5.2.1 Protection du compte "Invité"........................................................................................................30 2.5.2.2 Protection des comptes "administrateur".......................................................................................30 2.6 Points divers................................................................................................................................................31 2.6.1 Points divers pour tous les administrateurs...........................................................................................31 2.6.2 Points divers pour l’administrateur système.........................................................................................32 2.7 Audit.............................................................................................................................................................32 2.7.1 Date et heure..........................................................................................................................................32 2.7.2 Protection de l’audit..............................................................................................................................33 2.7.3 Événements de sécurité des audits........................................................................................................35
3. Mise en œuvre................................................................................................37 3.1 Protection matérielle du SFI.....................................................................................................................37 3.1.1 Protection physique du poste.................................................................................................................37
Le 30 août 2000
version 1.0
Page iii
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.1.2 Configuration du SETUP du BIOS.......................................................................................................38 3.1.3 Configuration des disques durs.............................................................................................................39 3.1.3.1 Création de la partition principale "Système"...............................................................................40 3.1.3.2 Création de la partition étendue "Administrateurs".......................................................................40 3.1.3.3 Création de la partition étendue "Privée"......................................................................................41 3.1.3.4 Création de la partition étendue "Public"......................................................................................41 3.1.3.5 Remarques......................................................................................................................................42 3.1.3.6 Le disque miroir.............................................................................................................................42 3.1.4 Reprise après une défaillance d’exploitation........................................................................................43 3.2 Configuration de Windows NT 4.0 Server...............................................................................................44 3.2.1 Les Service Packs..................................................................................................................................44 3.2.2 Les ports.................................................................................................................................................44 3.2.3 Les services............................................................................................................................................47 3.2.4 Les modifications du comportement de Windows NT.........................................................................53 3.2.4.1 Message de mise en garde à l’ouverture d’une session.................................................................53 3.2.4.2 Verrouillage du SFI pour inactivité...............................................................................................54 3.2.4.3 Fermeture de la session après ¼ heure de verrouillage.................................................................56 3.2.4.4 Interdire l’arrêt du système sans ouverture de session..................................................................57 3.3 Protections du système d’exploitation......................................................................................................58 3.3.1 Les antivirus...........................................................................................................................................58 3.3.2 Disquette de réparation..........................................................................................................................58 3.3.3 Remarques sur le gestionnaire des tâches.............................................................................................58 3.3.4 Protection des ressources locales..........................................................................................................59 3.4 Protections relative à la sécurité sur le domaine.....................................................................................60 3.4.1 Protection des communications sur le domaine....................................................................................60 3.4.2 Verrouillage du compte administrateur sur le domaine.......................................................................62 3.4.3 Gestion des absences des administrateurs.............................................................................................62 3.5 Les comptes.................................................................................................................................................63 3.5.1 Les comptes du domaine.......................................................................................................................63 3.5.1.1 Création des comptes sur le domaine............................................................................................64 3.5.1.2 Les comptes administrateurs du domaine......................................................................................65 3.5.1.3 Le profil des utilisateurs.................................................................................................................66 3.5.1.4 Le répertoire de base des utilisateurs.............................................................................................66 3.5.1.5 Les scripts de démarrage................................................................................................................67 3.5.2 Les comptes locaux...............................................................................................................................68 3.5.2.1 Le compte local Invité....................................................................................................................68 3.5.2.2 Les comptes locaux prédéfinis.......................................................................................................69 3.5.2.3 Le compte local Administrateur.....................................................................................................69 3.6 Protection des registres..............................................................................................................................70 3.6.1 Modifications des registres....................................................................................................................70 3.6.2 Sécurisation des fichiers de registres....................................................................................................71 3.7 Audit.............................................................................................................................................................72 3.7.1 Événements de sécurité des audits........................................................................................................73 3.7.1.1 Audit sur les sessions......................................................................................................................73 3.7.1.2 Audit sur les registres.....................................................................................................................73 3.7.2 La gestion des journaux d’audits...........................................................................................................74 3.7.2.1 Tailles des journaux d’événements................................................................................................74 3.7.2.2 Sauvegarde des journaux d’événements........................................................................................74
A. Schéma d’un réseau Windows NT 4.0..........................................................2 B. Les profils........................................................................................................5
Le 30 août 2000
version 1.0
Page iv
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le 30 août 2000
version 1.0
Page 1
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.
INTRODUCTION
1.1
Objet Ce document présente les directives de sécurisation d'un serveur de fichiers et d’impression sous Windows NT. Les caractéristiques spécifiques des autres serveurs et des stations de travail sont traitées dans d'autres documents. Cependant, nous serons obligés de parler de certains autres serveurs. Certains points de sécurité, impliquant le serveur de fichiers et d’impression, sont mis en œuvre au niveau du Contrôleur Principal de Domaine. Citons pour exemple le chemin d’accès aux répertoires de base des utilisateurs (localisés sur le Serveur de Fichiers et définis sur le Contrôleur Principal de Domaine). Ces points de sécurité seront traités dans ce document en précisant le nom du serveur (en caractères gras et soulignés : CPD).
1.2
Objectifs recherchés L'objectif est de fournir les directives standardisées de configuration des paramètres de sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels supplémentaires. Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la bureautique de l'Armée de Terre. Ce document ne concerne que le paramétrage de la sécurité d’un SFI (Serveur de Fichiers et d’Impression).
1.3
Structure du document Ce document comprend deux parties et une annexe. La première partie rassemble l'ensemble des consignes de sécurité (actions et valeur des paramètres) qui doivent être pris en compte. La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes définies précédemment. La correspondance entre les consignes de sécurité (cs) et les fiches de mise en œuvre est réalisée par un référencement croisé. La dernière partie contient une annexe décrivant le cheminement des fichiers lors de l’ouverture d’une session.
Le 30 août 2000
version 1.0
Page 2
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.4
Recommandations, symboles et conventions Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et par le niveau de gêne sur l'utilisation du serveur de fichiers et d’impression ainsi que sur l’accès depuis une station.
1.4.1 Le niveau d’exigence Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité.
Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire Obligatoire de le positionner à la valeur recommandée afin de garantir la sécurité du système. Le paramètre affecté devrait être réglé à la valeur recommandée, mais Obligatoire ce réglage peut rendre inopérants certains services déjà existants. C'est au RSSI (Responsable Sécurité du Système d’Information) de juger si les sauf contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non technique par d'autres moyens. Dès disparition des logiciels/matériels générant le conflit, le paramètre doit être réglé conformément aux préconisations de ce guide. Niveau le plus faible correspondant à une préconisation. Le paramètre peut dépendre de la politique de sécurité locale mise en place. On Préconisé indiquera simplement une valeur minimale à respecter pour garantir un niveau de sécurité satisfaisant.
!
i
1.4.2 Le niveau de gêne Le niveau de gêne occasionnée se décline en trois niveaux :
Le paramétrage n'introduit pas de gêne à l'exploitation du serveur. Le paramétrage est susceptible de gêner faiblement l'administrateur du serveur lors d'opérations particulières identifiées mais peu fréquentes. Le paramétrage est susceptible de gêner l'administrateur du serveur lors d'opérations courantes identifiées ou non.
1.4.3 Conventions de signes et de polices
Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs
Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème consigne du 10ème groupe de consignes de ce manuel.
Gras
Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une mise en œuvre.
Souligné
Indique une mise en garde ou une restriction importante.
Le 30 août 2000
version 1.0
Page 3
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
1.5
Considérations générales Les hypothèses suivantes sont faites sur la configuration matérielle et sur les responsabilités.
1.5.1 Contexte de référence L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure suivante.
Serveur NT 4.0 Contrôleur Principal de Domaine et serveur DNS (primaire)
Locaux à accès contrôlé Serveur de fichiers et d ’impressions (NT 4.0 Server)
Serveur NT 4.0 Contrôleur Secondaire de Domaine et serveur DNS (secondaire)
Réseau TCP/IP sur ETHERNET
Section 1
Section 2
Imprimante partagée
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Imprimante partagée
Impriman dédiée
Figure 1 Architecture de référence pour un site
Poste Client NT 4.0 Hypothèses retenues pour un site donné : Workstation
Le réseau local est un réseau ethernet.
Poste Client NT 4.0 Workstation
Les protocoles réseau sont IP V4 et IPX.
Poste Client NT 4.0 Workstation
Les postes individuels de travail sont des machines récentes à base de processeur Intel avec le système d'exploitation "Windows NT 4.0 Workstation". Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0). Ce serveur assure également la fonction de serveur de noms IP (DNS).
Le 30 août 2000
version 1.0
Page 4
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Il y a un serveur de fichiers et d'impression. Ce serveur est : •
soit un serveur NT 4.0 (SP 5),
•
soit un serveur Netware 4.11 (SP 7),
•
soit un serveur SAMBA mis en œuvre sous UNIX.
Les imprimantes partagées sont directement raccordées au réseau. Certaines imprimantes (dédiées) sont directement rattachées au poste de travail et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du réseau. Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur Principal de Domaine, la configuration de ce serveur est hors du champ de l'étude).
1.5.2 Configuration matérielle et logicielle Le serveur Contrôleur Principal de Domaine à sécuriser est supposé être dans l'état suivant : Windows NT 4.0 Server est installé sur SFI. Windows NT 4.0 Workstation est installé sur les stations de travail. Le système d'exploitation Windows NT 4.0 (Server et Workstation) a été installé et mis à jour avec le SP 5. Les composants réseau ont été installés lors de l'installation de Windows NT. L’antivirus de l’armée de terre en réseau est installé sur toutes les machines.
1.5.3 Plan d'adressage et plan de nommage Le plan d'adressage doit être conforme au plan « IP Défense ». Les règles de nommage retenues sont les suivantes : Structure retenue pour les identifiants des utilisateurs (20 caractères au plus) : Par principe et pour faciliter l’administration des comptes, l’identifiant désigne la fonction remplie au sein de l’organisation.
Structure retenue pour les équipements associés à une section (15 caractères au plus) : <nom de la section>-
Le 30 août 2000
version 1.0
Page 5
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Nom des postes de travail : S-ORDi
Nom du domaine IP "SITE.DCTEI"
Noms des hôtes IP : CDP.SITE.DCTEI SFI.SITE.DCTEI S-IMPi.SITE.DCTEI S-ORDi.SITE.DCTEI
1.5.4 Personnes concernées, rôles et responsabilités On retient 3 rôles (plus un rôle explicatif) : L’administrateur de comptes du domaine (2 fonctions) L’administrateur de comptes est responsable de l’ouverture et de la gestion des comptes des utilisateurs et des groupes d’utilisateurs pour le domaine. De plus, il prend en charge l’exploitation des événements de sécurité apparus sur le réseau (fonction d’administrateur de la sécurité).
L'administrateur système du domaine L'administrateur système est responsable de la configuration initiale du serveur Contrôleur Principal de Domaine et de son évolution.
Le RSSI Responsable de la politique SSI, de son application et de son contrôle.
Un utilisateur d’un poste de travail Il n’a pas d’accès physique au Serveur de Fichiers et d’Impression, mais doit figurer dans ce manuel afin de présenter les points de sécurité associés à la création de son répertoire de base sur le Serveur de Fichiers et d’Impression.
Le 30 août 2000
version 1.0
Page 6
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.
CONSIGNES DE SÉCURITÉ Les consignes de sécurité sont rassemblées par thèmes : 1. Protection de la configuration matérielle : Il s’agit des consignes relatives au SETUP du BIOS et aux équipements physiques. 2. Protection de l’accès local au Serveur de Fichiers et d’Impression : Il s’agit de la protection des comptes présents sur le Serveur de Fichiers et d’Impression. 3. Protection du Serveur de Fichiers et d’Impression vis-à-vis des accès distants : Regroupe les consignes de sécurité pour les accès au Serveur de Fichiers et d’impression (modem et réseau). 4. Protéger la configuration système : Il s’agit des consignes de protection de la configuration du système vis-à-vis d’un utilisateur (un administrateur dans notre cas). 5. Administration des comptes : Il s’agit d’un rappel des consignes relatives à la gestion des comptes et des groupes des utilisateurs du domaine et des administrateurs (locaux et sur le domaine). 6. Protection des ressources locales : Il s’agit des consignes relatives à la gestion locale des ressources du Serveur de Fichiers et d’Impression. 7. Points divers : Regroupe des consignes de sécurité supplémentaires. 8. Audit : Concerne les événements à inscrire dans les audits et les consignes d’utilisation des journaux.
NB :
pour ne pas alourdir le texte de ce manuel, nous remplaçons l’expression ‘Serveur de Fichiers et d’impression’ par ‘SFI’.
Le 30 août 2000
version 1.0
Page 7
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.1
Protection matérielle du SFI
2.1.1 Protection du local du SFI Groupe de consignes : 1 cs 1-1 : Restriction accrue de l'accès au local du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Parer au manque administrateurs.
Remarque :
Le SFI est utilisé exclusivement par les administrateurs ou par le RSSI. Un utilisateur (et a fortiori une tierce personne) n’a pas la possibilité physique de pénétrer ou de rester seul dans le local du SFI.
Mise en œuvre :
de
surveillance
pendant
les
absences
des
3.1.1 Protection physique du poste
2.1.2 Protection physique du SFI Groupe de consignes : 2 cs 2-1 : Protéger l’intégrité physique du SFI.
Niveau d'exigence :
i
Niveau de gêne :
Objectif :
Rendre impossibles le remplacement et le vol. Protéger la configuration matérielle du SFI en empêchant l'installation de composants physiques (disque, carte réseau, carte modem, carte d'entrées/sorties, etc.).
Remarque :
L’ordinateur hébergeant le SFI doit être équipé d’un antivol (un câble par exemple). Il doit relier le support de l’ordinateur à l’unité centrale ainsi qu’au capot de l’ordinateur. Il empêchera le déplacement de l’ordinateur et l’accès à ses composants internes (cartes, disques durs, etc.). Les clés de ces antivols seront sous la responsabilité de l’administrateur système. Il sera le seul à pouvoir déplacer un ordinateur et à modifier sa configuration physique interne. Cet antivol limite toutes les tentatives de piratage par vol, par ajout d’un disque dur, par raccordement du SFI à un réseau externe via un modem et par effacement des données présentes en mémoire non volatile (mot de passe BIOS en particulier).
Mise en œuvre :
3.1.1 Protection physique du poste
cs 2-2 : Audit de l’intégrité physique du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Alerter visuellement l’administrateur de la sécurité, d’une tentative d’attaque de la configuration matérielle du SFI ou de sa mémoire non volatile.
Remarque :
Le SFI doit impérativement posséder des étiquettes d’inviolabilité. Elles seront apposées à cheval sur les jonctions du capot et du boîtier (imposant leur déchirure lors de l’ouverture de l’unité centrale). Deux
Le 30 août 2000
version 1.0
Page 8
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
étiquettes seront collées au minimum. L’une sur la façade et l’autre à l’arrière du boîtier. Les deux étiquettes seront contrôlées lors de la vérification visuelle hebdomadaire des stations de travail. Certains ordinateurs peuvent imposer l’utilisation d’un plus grand nombre d’étiquettes (les tours géantes). Il faudra veiller à ce qu’une étiquette au moins soit déchirée lors de l’ouverture du capot (Attention : le panneau peut être tordu, l’étiquette est collée sur le capot et une pièce détachable du boîtier, etc.). Mise en œuvre :
3.1.1 Protection physique du poste
2.1.3 Protection de la configuration matérielle Groupe de consignes : 3 cs 3-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Protéger la configuration des paramètres de bas niveau.
Remarque :
Le mot de passe doit être modifié lors du changement d’un des administrateurs et périodiquement (une fois tous les 6 mois). A priori, il n’est pas nécessaire de fixer un « mot de passe utilisateur » car ce dernier serait demandé de façon systématique à l’administrateur lors du démarrage de la machine avant le chargement du système d’exploitation. Il serait redondant avec le mot de passe Administrateur. Le fait que le BIOS soit présent en mémoire flash permet de le mettre à jour, voire de charger un nouveau BIOS à partir d’un fichier. Selon le type de carte mère, le flashage du BIOS se fait avec ou sans positionnement de cavaliers sur la carte. Par ailleurs, il existe un mot de passe « universel » par fournisseur de BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ». Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué quand la vérification de la somme de contrôle des paramètres du BIOS est erronée (erreur sur checkSum). En conséquence, les protections envisageables par l’intermédiaire des options du BIOS doivent être considérées comme des mesures contournables qui sont seulement destinées à empêcher des maladresses de la part d’utilisateurs peu expérimentés ou de pirates occasionnels.
Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 3-2 : N’autoriser que le périphérique C:\ dans la séquence de Boot.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Cette consigne interdit de démarrer le SFI en contournant les protections de Windows NT par l’installation d’un autre système d’exploitation présent sur une autre partition ou un support amovible (disquette ou CDROM, etc.).
Remarque :
Le disque dur de l’ordinateur contenant le système doit être déclaré comme maître et connecté sur le port IDE 0 (premier port IDE de la carte mère) afin d’éviter l’implantation d’un système multi-boots sur un second disque dur.
Le 30 août 2000
version 1.0
Page 9
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.1.2 Configuration du SETUP du BIOS
version 1.0
Page 10
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 3-3 : Interdire l’utilisation des ports série.
!
Niveau d'exigence :
Niveau de gêne :
Objectif :
Cette interdiction empêchera l’utilisation d’un modem (raccordé sur le port série) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’une intrusion à distance).
Remarque :
Cette consigne suppose que la souris est raccordée via un port spécifique (port souris).
Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 3-4 : Inhiber les ports USB.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB) qui serait susceptible de servir pour une intrusion à distance.
Remarque :
Cependant, la future généralisation des claviers et des souris USB, et la disparition progressive des ports spécifiques (clavier et souris) rendront impossible cette restriction.
Mise en œuvre :
2.2
!
3.1.2 Configuration du SETUP du BIOS
Protection de l’accès local du SFI
2.2.1 Protection des ressources locales 2.2.1.1
Protections informatiques
Groupe de consignes : 4 cs 4-1 : Mise en œuvre du système de fichiers NTFS.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis en œuvre par NTFS.
Remarques :
La partition devra être formatée avec le système de fichiers NTFS afin de mettre en œuvre les contrôles d'accès aux répertoires et aux fichiers natifs du système de fichiers NTFS.
Mise en œuvre : 3.1.3.1 Création de la partition principale "Système", 3.1.3.5 Remarques
Le 30 août 2000
version 1.0
Page 11
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 4-2 : Protection antivirale.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter la perte de données ou les dénis de services.
Remarque :
Plus un site est sensible, plus il est nécessaire de se prémunir contre les attaques de virus, virus de macros et vers. Il est impératif d’installer l’antivirus de l’Armée de Terre sur le SFI et d’effectuer une mise à jour mensuelle au minimum. Il est fortement recommandé d’effectuer cette mise à jour tout les15 jours. Rappelons qu’il est fortement conseillé de mettre en place une station de test dite station blanche avec un antivirus différent sur un ordinateur non sensible. Elle est choisie parmi les ordinateurs souvent utilisés par un grand nombre de personnes afin de tester un maximum de fichiers et de provenances.
Mise en œuvre :
2.2.1.2
3.3.1 Les antivirus
Protections en l’absence du personnel
Groupe de consignes : 5 cs 5-1 : Arrêter le SFI pendant les périodes de congés.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter qu’une période prolongée (vacances et fin de semaine) soit mise à profit par un pirate pour attaquer le SFI.
Remarque :
Seul un administrateur peut arrêter le SFI. Cette consigne implique la présence d’un administrateur : après le départ du dernier utilisateur le vendredi soir, avant l’arrivée du premier utilisateur le lundi matin. Il est possible de remédier à cette contrainte, en branchant le SFI sur le secteur via un programmateur hebdomadaire. Windows NT assurera la reprise des services après la coupure brutale du courant par le programmateur. Cette solution est dangereuse et sera mise en œuvre uniquement en l’absence d’un onduleur. Ce programmateur sera dans la pièce du SFI et sera protégé par les restrictions d’accès au local. Cette programmation est à corréler avec celle du CPD. Le CPD doit être en fonction avant le SFI. De plus, cette méthode impose l’absence de mot de passe du BIOS verrouillant de l’ordinateur.
Mise en œuvre :
Le 30 août 2000
3.4.3 Gestion des absences des administrateurs
version 1.0
Page 12
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.2.1.3
Plan de reprise
Groupe de consignes : 6 cs 6-1 : Créer une disquette de réparation d’urgence pour le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Assurer la pérennité du service en cas de panne du SFI.
Remarque :
Windows NT permet de créer une disquette de réparation d’urgence par la commande rdisk du répertoire C:\WINNT\System32. Le programme rdisk copie la ruche et certains fichiers sur une disquette. Il est impératif de mettre à jour ou de recréer cette disquette à chaque modification de la configuration matérielle ou logicielle du SFI. Pour se garantir contre tout problème, un jeu de deux disquettes au minimum, est utilisé pour la création de la disquette de réparation d’urgence. Elles sont utilisées à tour de rôle, afin de conserver une copie de la version précédente de la ruche. L’administrateur système conservera ces disquettes dans un meuble fermant à clé (il suffirait de copier une configuration personnelle sur cette disquette, pour prendre possession du SFI lors de sa restauration).
Mise en œuvre :
3.3.2 Disquette de réparation
cs 6-2 : Prévoir un plan de reprise en cas de panne du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter la perte des informations et minimiser le temps de remplacement du SFI en cas de panne.
Remarque :
En cas de panne du SFI, les utilisateurs pourront sauver leurs documents sur le disque dur local de la station. Les seules gênes éprouvées par les utilisateurs seront : Ils utiliseront le profil par défaut de la station. Ils ne pourront pas importer et exporter des fichiers. Tous les transferts entre utilisateurs seront impossibles. Le plan de reprise doit prévoir la copie des informations contenues sur le disque dur et la promotion d’un nouveau SFI.
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.4.3 Gestion des absences des administrateurs
Le 30 août 2000
version 1.0
Page 13
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.2.2 Protection de l’accès à SFI 2.2.2.1
Présentation de mises en garde
Groupe de consignes : 7 cs 7-1 : Présentation permanente d’un message de mise en garde sur le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Une étiquette est collée sur le SFI, de manière très ostensible (sur le cadre de l’écran en général). Elle informe l’utilisateur du niveau de sensibilité de cette machine et de son niveau de confidentialité.
Mise en œuvre :
3.1.1 Protection physique du poste
cs 7-2 : Présentation d’un message de mise en garde à l’ouverture d’une session.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Permet de présenter un message de mise en garde à l’écran juste après l’ouverture d’une session (protection minimale contre une erreur de configuration des sécurités). Deux clés de registre réalisent cette option et devront être protégées ainsi que les fichiers de ces registres.
Paramètres :
le registre, les clés et les valeurs sont les suivants : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon Écrire la valeur : « Titre de la fenêtre du message de l’Armée de Terre » à la rubrique LegalNoticeCaption. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon Écrire la valeur : « Message de mise en garde de l’Armée de Terre » à la rubrique LegalNoticeText.
Mise en œuvre :
3.2.4.1 Message de mise en garde à l’ouverture d’une session ,
3.6.1 Modifications des registres
cs 7-3 : Présentation d’un message de mise en garde pendant la veille du SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Message d’intimidation à destination des tiers non habilités.
Remarque :
Ce message de mise en garde est visible à l’écran lorsque l’ordinateur est en veille. Ce message fournit une protection minimale contre une erreur de la sécurisation physique du serveur. Lors de l’éveil de la station,
Le 30 août 2000
version 1.0
Page 14
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
l’administrateur devra s’authentifier en entrant son mot de passe. Ce message sert uniquement à éviter qu’une personne non habilitée utilise le SFI et prétende ignorer son caractère sensible. Paramètres :
Démarrer Paramètres Panneau de configuration Affichage Écran de veille Sous la rubrique écran de veille : Message Paramètres « Message de l’Armée de Terre » Choisir la vitesse la plus lente, un fond et une police de caractères adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran). Protéger en écriture les clés, le programme et les fichiers des registres correspondants.
Mise en œuvre :
2.2.2.2
3.2.4.2 Verrouillage du SFI pour inactivité
Protection contre les comptes avec pouvoirs
Groupe de consignes : 8 cs 8-1 : Création d’un compte avec pouvoirs minimums et d’un compte avec pleins pouvoirs pour l’administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur utilisera un compte avec des pouvoirs restreints pour son travail usuel sur le SFI. L’utilisation ponctuelle du véritable compte administrateur le protégera d’autant mieux contre le vol de mot de passe.
Remarque :
Ces deux comptes administrateur sont très différents. Le premier (le véritable compte administrateur) possédera tous les pouvoirs et permissions. Le second sera très similaire à un compte utilisateur. Ces deux comptes permettront à l’administrateur d’effectuer l’administration du SFI (compte avec pleins pouvoirs) et des travaux ne nécessitant pas les droits étendus d’Administrateur du domaine (compte avec pouvoirs minimums). Ces comptes seront banalisés.
Mise en œuvre :
2.2.2.3
3.5.1.2 Les comptes administrateurs du domaine (CPD)
Protection contre les dépassements d’espace disque
Groupe de consignes : 9 cs 9-1 : Limiter l’espace disque disponible par la création de partitions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Garantir la pérennité des services offert par SFI, malgré la saturation d’une partition (des répertoires utilisateurs, des profiles ou des répertoires communs).
Remarque :
La saturation d’une des partitions entraînera la perte du service associé à cette partition. Par exemple, la saturation de l’espace disque attribué aux répertoires communs (partition Public) empêchera les échanges entre tous les utilisateurs, mais autorisera les modifications des profiles (partition Administrateur) et l’enregistrement des travaux personnels (partition Privé). De plus la partition contenant le système (partition
Le 30 août 2000
version 1.0
Page 15
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Système) sera protégée contre une saturation des répertoires employés par les utilisateurs. Mise en œuvre :
2.3
3.1.3 Configuration des disques durs
Protection du SFI vis-à-vis des accès distants
2.3.1 Protection vis-à-vis des accès hors réseau local (modem) 2.3.1.1
Protection des ports
Groupe de consignes : 10 cs 10-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter un accès à risque sur le SFI.
Remarque :
Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une nouvelle fois sous Windows NT server. En effet, NTDETECT.COM est exécuté au chargement du système d’exploitation. Ce programme explore tous les périphériques présents pour dresser une liste des matériels installés sur l’ordinateur. Windows NT utilise cette liste et non celle du BIOS pour son fonctionnement. La liste obtenue lors de l’exécution du BIOS sera utilisée par des applications particulières (après un redémarrage sous DOS, etc.).
Mise en œuvre :
3.5.1.1 Création des comptes sur le domaine (CPD)
cs 10-2 : Inhiber le port USB.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Empêchera l’utilisation d’un modem raccordé sur le port USB.
Remarque :
Même remarque que précédemment. Cette interdiction déjà traitée (cs 24) doit être effectuée une nouvelle fois sous Windows NT server.
Mise en œuvre :
2.3.1.2
3.5.1.1 Création des comptes sur le domaine (CPD)
Protection contre certains services
Groupe de consignes : 11 cs 11-1 : Inhiber le service Remote Access Server et certains protocoles.
Niveau d'exigence : Objectif :
Le 30 août 2000
!
Niveau de gêne :
Éviter la prise de contrôle du SFI au travers du réseau.
version 1.0
Page 16
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Remarque :
La méthode des Nœuds Distants est utilisée par le service d’accès distant « Remote Access Server » de Windows NT. Ce service permet d’accéder à des ordinateurs (dont le SFI dans notre cas) par le réseau. Beaucoup d’attaques utilisent ce service. L’association d’un modem sur le réseau et de ce service constitue une faille très importante de la sécurité. Il est donc impératif de désactiver le service RAS.
Mise en œuvre :
3.2.3 Les services
cs 11-2 : Inhiber les services et les ports TCP/IP inutiles.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter de programmer le lancement de services aux effets incontrôlables.
Remarque :
Plusieurs services assurent des tâches inutiles et parfois dangereuses pour la sécurité. Citons pour l’exemple le service Planning. Lorsqu’il est associé à la commande "at", il permet d’exécuter des scripts à des moments prédéfinis. Il convient donc de supprimer ce service si aucune application (de sauvegarde automatique, de contrôles de disques durs, etc.), n’est mise en œuvre via le service planning. Il en est de même pour certains autres services. Une liste des principaux services associés au sein de l’environnement système Windows NT est disponible dans le fichier Services (du répertoire %SystemRoot%\system32\drivers\etc). Le service TCP/IP installé par défaut n’effectue aucun filtrage de paquet. Tous les protocoles sont permis et tous les ports sont ouverts. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT et définis par le RFC 1060 sont rassemblés dans le fichier Protocol (situé dans le même répertoire).
Mise en œuvre : , 3.2.2 Les ports , 3.2.3 Les services
2.3.2 Protection vis-à-vis des accès réseau 2.3.2.1
Partage réseau des répertoires et des fichiers
Groupe de consignes : 12 cs 12-1 : Interdire le partage réseau sur le SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher qu’un utilisateur crée un partage de fichiers ou de répertoires sur le disque dur local. Les échanges entre utilisateurs se feront en copiant les documents dans des répertoires particuliers.
Remarque :
L’ordinateur assurant la fonction de SFI est dédié à la gestion de répertoires spécifiques à un utilisateur ou à un groupe. Les partages de répertoires entre différents utilisateurs sont à proscrire. Les seules partages autorisés sont ceux mis en place par l’administrateur pour chaque section ou ensemble de sections.
Mise en œuvre :
Le 30 août 2000
3.5.1 Les comptes du domaine
version 1.0
Page 17
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.3.2.2
Échange dynamique de données entre applications
Groupe de consignes : 13 cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire les Échanges Dynamiques de Données sur le réseau. Cet échange est autorisé uniquement entre des documents présents sur le SFI et utilisés par un seul administrateur.
Remarque :
Il est préférable d’interdire le service DDE sur le réseau afin d’éviter qu’un fichier (appartenant à un administrateur), lié à un autre par un DDE, soit transmis à un utilisateur. Dans ce cas de figure, il est difficile de prévoir, de manière précise, les transactions de mise à jour automatique (par DDE) des données.
Mise en œuvre :
2.3.2.3
3.2.3 Les services
Accès distant pour les utilisateurs
Groupe de consignes : 14 cs 14-1 : Contrôler les accès réseau au SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Les utilisateurs n’accèdent qu’à certains répertoires du SFI.
Remarque :
Seuls les administrateurs peuvent ouvrir une session sur SFI. Les utilisateurs accéderont au SFI par le réseau. Ils disposeront d’un répertoire personnel, d’un répertoire de groupe et d’un répertoire de site. Ces deux derniers répertoires seront partagés respectivement par le Groupe et par les Utilisateurs du domaine.
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.5.1 Les comptes du domaine
2.3.2.4
Protection des échanges sur le réseau
Groupe de consignes : 15 cs 15-1 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire l’utilisation d’un mot de passe compatible Lan-Manager de bas niveau en tant que requête.
Remarques :
Windows NT prend en charge deux protocoles d’authentification par un processus de challenge : Windows NT Challenge Response et LanManager Challenge Response. Le protocole de chiffrement Lan-Manager est plus simple que celui de Windows. Un pirate peut renifler le réseau pour intercepter et casser le hachage du mot de passe de Lan-Manager.
Le 30 août 2000
version 1.0
Page 18
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sans l’interdiction explicite de ce protocole, Windows NT tentera l’établissement d’une connexion via les deux protocoles. Ce protocole sera interdit par défaut. Notons que le protocole Lan-Manager apportera une sécurité minimale lorsqu’un serveur, utilisant Netware, est connecté au réseau. Une clé de registre autorise ou interdit l’emploi des 2 protocoles simultanément et une seconde clé indique le protocole utilisé (cas des 2 protocoles interdits simultanément). La sécurisation des échanges par Lan-Manager est désactivée sauf nécessité absolue. Si un serveur sous Netware est connecté au réseau, vous trouverez les modifications des clés pour les stations dans le manuel consacré à Netware. Mise en œuvre :
3.4.1 Protection des communications sur le domaine
cs 15-2 : Contrôler et protéger les communications client/serveur.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Sécuriser les échanges avec une station en signant et en chiffrant.
Remarque :
La structure de base des réseaux Microsoft en environnement Windows NT s’appuie sur le protocole SMB (Server Message Block). Les services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire) sont implémentés par les services Serveur et Station de travail de Windows NT. Les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX), est connecté au réseau. Une version plus performante des services offerts par SMB appelée protocole CIFS (Common Internet File Sharing) est disponible sur Internet et dans le SP 3. Ce SP 3 fournit aussi le protocole de signature SMB-S (Server Message Block Signing) pour authentifier les paquets et empêcher les attaques du type Men-inthe-Middle. SMB-S (services Serveur et Station de travail) doit être activé sur le SFI pour bénéficier des sécurités de signature. L’activation de ce service (Station de travail) est effectué en modifiant la valeur des clés de registre correspondante.
Paramètres :
Créer et modifier la valeur de la clé du registre HKLM : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanm anServer\Parameters EnableSecuritySignature valeur 1 (type REG_DWORD) (active le protocole SMB-S) RequireSecuritySignature valeur 1 (type REG_DWORD) (seules les stations sur lesquelles le protocole SMB-S est activé seront autorisées à établir une connexion avec le SFI. Il faut une conformité globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se reporter à la mise en œuvre pour plus d’informations)
Mise en œuvre :
Le 30 août 2000
3.4.1 Protection des communications sur le domaine
version 1.0
Page 19
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.4
Protéger la configuration système
2.4.1 Protéger les paramètres systèmes Groupe de consignes : 16 cs 16-1 : Seul l’administrateur système peut modifier les registres.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter que les registres soient modifiés par l’administrateur de comptes.
Remarque :
Il est nécessaire de découpler les rôles de l’administrateur système et de l’administrateur de comptes pour éviter tout chevauchement des attributions. La modification des registres sera uniquement accessible à l’administrateur système. Notons qu’il n’est pas suffisant d’effacer les deux éditeurs de registres (REGEDIT.EXE et REGEDT32.EXE) pour interdire l’accès aux registres de l’ordinateur. La copie d’un de ces deux exécutables sur le disque dur, permet de les utiliser et de modifier les registres. Il est impératif de protéger les registres par des permissions NTFS.
Mise en œuvre :
3.6.2 Sécurisation des fichiers de registres
cs 16-2 : Seul l’administrateur système peut modifier les paramètres du fichier d’échange de la mémoire virtuelle.
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque :
En environnement Windows NT, la mémoire virtuelle locale utilise un fichier d’échange (fichier C:\pagefile.sys). Seul l’administrateur système peut posséder le droit de créer un fichier d’échange statique. Un mauvais choix des paramètres de ce fichier risque de saturer le système d’exploitation et de le bloquer. La taille de ce fichier fait 120 % environ de la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM). Son minimum doit être supérieur à 64 Mo et à la taille recommandée (champ affiché dans la fenêtre). Ces réglages sont généralement effectués une seule fois, à l’installation de Windows NT. Les valeurs usuelles de la taille minimale et de la taille maximale sont identiques.
Paramètres :
Les réglages sont effectués par le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo), entrer les valeurs Fixer la valeur). Ce menu permet de régler la taille maximum du fichier des registres (120 % environ de la Taille actuelle du registre). La clé correspondante devra être protégée en écriture : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale. Par exemple : C:\pagefile.sys 75 75 (Type REG_MULTI_SZ)
Le 30 août 2000
version 1.0
Page 20
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.6.2 Sécurisation des fichiers de registres
version 1.0
Page 21
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 16-3 : Seul l’administrateur système peut modifier les priorités de planification.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Ce paramétrage est uniquement de l’attribution de l’administrateur système. Une modification malheureuse de cette priorité peut provoquer un déni de service.
Remarque :
Si une priorité trop importante est accordée à un processus par rapport à un autre, le système peut refuser d’exécuter le processus de faible priorité par manque de temps système. Si une priorité est trop importante, le système peut allouer la totalité des ressources de la machine pour ce processus et se bloquer.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Augmenter la priorité de planification est sélectionné uniquement pour l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-4 : Seul l’administrateur système peut modifier les performances système.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Réserver l’emploi des outils d’analyse de performances aux seuls administrateurs concernés.
Remarques :
Les performances système sont optimisées par plusieurs outils dont dispose l’administrateur système. Ces outils peuvent donner des indications très utiles pour connaître le moment approprié à une attaque : « pourcentage du temps total de l’utilisateur », « nombre de sessions fermées pour inactivité », etc.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système est accordé uniquement pour l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-5 : Seul l’administrateur système peut optimiser les processus.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter des conflits système sur le CPD après un paramétrage incorrect de l’optimisation des processus.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 16-6 : Seul l’administrateur système peut modifier les valeurs d’environnement de microprogrammation.
Niveau d'exigence :
Le 30 août 2000
Niveau de gêne :
version 1.0
Page 22
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Objectif :
Éviter de compromettre le bon fonctionnement de certaines applications du SFI.
Remarques :
Les valeurs d’environnement de microprogrammation sont des variables prédéfinies pour des programmes qui permettent à l’ordinateur de s’initialiser lors de certaines actions. Donnons comme exemple la variable ComSpec de la boîte de dialogue Propriété du Système. Elle pointe par défaut sur CMD.EXE qui permet d’exécuter des commandes DOS. Cette variable pourrait être modifiée pour pointer sur un programme créant un nouveau compte avec les droits de l’administrateur de comptes. Ce droit est réservé à l’administrateur système.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.4.2 Restriction des modifications des pilotes Groupe de consignes : 17 cs 17-1 : Seul l’administrateur système peut installer un pilote de périphériques.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Maîtriser la configuration du SFI et découpler d’administrateur système et administrateur de compte.
Remarques :
Le SFI est un ordinateur dédié. Pour éviter une indisponibilité momentanée de l’ordinateur, nous recommandons fortement de limiter les périphériques aux besoins du SFI (graveur et lecteur de CD-ROM, sauvegarde sur bandes, etc.). Afin de séparer les fonctions des administrateurs système et de celles de l’administrateur de comptes, la gestion des pilotes est du ressort de l’administrateur système. De plus, si l’accès physique au SFI ne présente pas toutes les garanties de sécurité suffisantes, il sera judicieux de désactiver le lecteur de disquette ainsi que l’autorun du CD-ROM.
Mise en œuvre :
les
fonctions
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.4.3 Protection de l'intégrité des données et des applications Groupe de consignes : 18 cs 18-1 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Gérer les accès à certains répertoires (dont les répertoires de base et de groupes) et fichiers susceptibles de présenter une faille de sécurité importante.
Remarques :
L’accès en écriture à certains fichiers (par exemple : le fichier de la ruche) permet de contourner les sécurités mises en place par l’administrateur système. Il est très important de protéger ces fichiers ou leurs répertoires pour éviter le piratage de l’ordinateur par une personne (possédant l’accès au compte administrateur avec pouvoirs minimums par exemple).
Mise en œuvre : 3.1.3 Configuration des disques durs, 3.1.3.5 Remarques
Le 30 août 2000
version 1.0
Page 23
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.5
Protection des comptes Groupe de consignes : 19 cs 19-1 : Ne pas afficher le nom du dernier utilisateur dans l’écran d’ouverture de session.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite qu’une personne puisse lire le nom du compte administrateur.
Remarque :
Seul les administrateurs sont autorisés à ouvrir une session sur le SFI. Leurs comptes sont protégés et banalisés afin de rendre difficile la tâche des pirates. Ces précautions seraient inefficaces, si le SFI affichait le nom du dernier utilisateur (l’administrateur) dans la fenêtre de déverrouillage.
Mise en œuvre :
3.6.1 Modifications des registres
cs 19-2 : Interdire l’ouverture d’une session automatique.
Niveau d'exigence : Objectif :
Niveau de gêne :
S’assurer qu’un administrateur est bien présent lors de l’ouverture d’une session.
Mise en œuvre :
3.6.1 Modifications des registres
cs 19-3 : Vider la corbeille entre l’ouverture de deux sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher la consultation des fichiers supprimés par l’administrateur lors de l’ouverture d’une session par une autre personne.
Remarque :
Cette consigne de sécurité évite aussi de conserver des corbeilles trop volumineuses sur le SFI. Il est possible d’écrire un script (voir le CPD) qui sera exécuté à l’ouverture de session des administrateurs. Il effacera le contenu de la corbeille et des fichiers temporaires.
Mise en œuvre :
3.5.1.5 Les scripts de démarrage
cs 19-4 : Vider le fichier paginé de mémoire temporaire entre les sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite de conserver un fichier inutile sur le disque dur du SFI.
Remarque :
Le fichier paginé de mémoire temporaire ou d’échange de Windows NT se comporte comme une mémoire virtuelle. Ce fichier peut contenir des informations sensibles de la session précédente (celle d’un second administrateur). Il doit être effacé du disque dur lors de la fermeture de la session pour éviter qu’une personne possédant un accès même limité (le
Le 30 août 2000
version 1.0
Page 24
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
compte avec pouvoirs minimums de l’administrateur par exemple), consulte ce fichier. Paramètres :
Modifier la valeur de la rubrique de la clé du registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management (avec un espace devant le mot Management) Attribuer la valeur 1 (Type REG_DWORD) à la rubrique ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la fermeture de la session.
Mise en œuvre :
3.6.1 Modifications des registres
2.5.1 Protection des comptes ouverts sur le domaine Groupe de consignes : 20 cs 20-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l’appropriation l’administrateur.
Remarque :
L’administrateur règle fréquemment des problèmes, en consultant l’écran de l’ordinateur. Le SFI reste souvent inactif pendant que l’administrateur annote sur un papier ses remarques. Cette constatation nous amène à ne pas pénaliser l’administrateur en réduisant le temps d’inactivité avant verrouillage.
Mise en œuvre :
d’une
session
lors
de
l’absence
de
3.2.4.2 Verrouillage du SFI pour inactivité
cs 20-2 : Fermeture de la session après un délai d’inactivité de 30 minutes
Niveau d'exigence :
!
Niveau de gêne :
Objectif :
Interdire l’appropriation d’une session laissée ouverte sans surveillance par l’administrateur.
Remarque :
Ce second niveau de sécurité a pour objectif de ne pas laisser une session verrouillée, sans surveillance. Il suffirait qu’un pirate active l’ordinateur (
Mise en œuvre : 3.2.4.3 Fermeture de la session après ¼ heure de verrouillage (CPD)
cs 20-3 : Cloisonner les utilisateurs par l’intermédiaire des groupes.
Niveau d'exigence :
Le 30 août 2000
Niveau de gêne :
version 1.0
Page 25
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Objectif :
Éviter que des utilisateurs cumulent les permissions d’accès à des répertoires sur le SFI. La gestion de ces utilisateurs deviendrait impossible à surveiller.
Remarque :
L’administrateur devra élaborer un schéma des utilisateurs du réseau afin de classer tous les utilisateurs dans des groupes disjoints. Chaque groupe comprendra la liste des utilisateurs, le profil type et les stations d’une seule section. Un groupe particulier sera créé pour les administrateurs (ce groupe est créé par défaut). L’administrateur de comptes s’abstiendra de créer des utilisateurs en dehors d’un groupe. Il évitera de créer des groupes spéciaux pour des utilisateurs particuliers. Lorsque cette consigne est parfaitement respectée, la gestion des utilisateurs est fortement facilitée, apportant ainsi un cloisonnement des sections et une meilleure sécurité des informations détenues.
Mise en œuvre :
3.5.1 Les comptes du domaine (CPD)
cs 20-4 : Respecter le cloisonnement des groupes pour la gestion des répertoires de base.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter une incohérence des permissions d’accès à des répertoires partagés du SFI.
Mise en œuvre :
3.5.1 Les comptes du domaine
cs 20-5 : Utiliser des profils errants pour tous les utilisateurs.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Évite qu’une personne puisse lire des informations confidentielles sur un compte en consultant un profil.
Remarque :
Les profils résidents sur le disque dur du SFI seront le profil administrateur local, All Users et le profil de l’utilisateur qui a ouvert une session. Un répertoire nommé Profils du disque dur du SFI contiendra tous les profils des utilisateurs. Lors de l’ouverture d’une session par un utilisateur, son profil sera transféré du SFI vers la station. À la fermeture de la session, son profil sera recopié sur le SFI et détruit du disque dur de la station. Ces profils (délocalisés sur le réseau) sont appelés Profils errants. L’administrateur de compte créera un profil type par groupe. Ils suffira de recopier le profil d’un groupe, en changeant le nom du répertoire par celui de l’utilisateur pour créer le profil de cet utilisateur. L’administrateur de comptes disposera de tous les profils regroupés sur un seul ordinateur : SFI.
Mise en œuvre :
3.5.1 Les comptes du domaine
cs 20-6 : Respecter le cloisonnement des groupes pour la gestion des profils.
Niveau d'exigence : Objectif :
Le 30 août 2000
Niveau de gêne :
Éviter une incohérence de la définition des profils sur le SFI.
version 1.0
Page 26
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Mise en œuvre :
Le 30 août 2000
3.5.1 Les comptes du domaine
version 1.0
Page 27
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 20-7 : Appliquer les consignes concernant les comptes des administrateurs dans le document du Contrôleur Principal de Domaine.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter une incohérence des profils, des droits des utilisateurs et des permissions d’accès à des répertoires partagés du serveur de fichiers et d’impression (\\SFI).
Remarque :
Rappelons ces consignes de sécurité : durée maximale du mot de passe à 60 jours, durée minimale de validité du mot de passe à 5 jours, interdiction de réutiliser les 6 derniers mots de passe, longueur minimale du mot de passe à 8 caractères (au minimum pour les administrateurs), verrouillage du compte après 5 tentatives échouées, attente de 60 minutes après 4 tentatives échouées, limitation des heures d’utilisation du réseau, limitation des droits, limitation des stations utilisables, limitation des applications du menu Démarrer.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 20-8 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les travaux usuels.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Limiter l’utilisation des véritables comptes administrateurs.
Remarque :
Tous les administrateurs disposent de deux comptes (l’un avec des pouvoirs, l’autre similaire aux utilisateurs). Ces seconds comptes ont pour fonction de dissimuler le plus possible les véritables comptes administrateurs (compte administrateur avec pleins pouvoirs). Si un administrateur utilise uniquement son compte avec pleins pouvoirs sur le SFI, le nom du compte serait affiché dans la fenêtre d’ouverture de session la fois suivante (avant l’ouverture de la session et l’enregistrement dans le journal des événements). Il ne servirait à rien de le banaliser puisqu’il suffirait d’éveiller le SFI (en bougeant la souris par exemple) après l’administrateur pour connaître le nom de ce compte. Nous recommandons aux administrateurs de se connecter sous le compte avec pouvoirs restreints puis de fermer la session après l’utilisation du compte administrateur avec pleins pouvoirs. Seul le nom de l’administrateur avec pouvoirs restreints sera affiché. Les administrateurs doivent impérativement utiliser les comptes avec pouvoirs minimums pour les travaux usuels sur le SFI. Le compte avec les pleins pouvoirs de l’administrateur du domaine est le compte administrateur du domaine.
Mise en œuvre :
Le 30 août 2000
3.5.1.2 Les comptes administrateurs du domaine (CPD)
version 1.0
Page 28
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.5.2 Protection des comptes locaux Groupe de consignes : 21 cs 21-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l’appropriation l’administrateur.
Remarque :
Cette consigne est identique à la consigne cs 20-1.
Mise en œuvre :
d’une
session
lors
de
l’absence
de
3.2.4.1 Verrouillage du SFI pour inactivité
cs 21-2 : Appliquer les consignes concernant les comptes des administrateurs dans le document du Contrôleur Principal de Domaine.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter une incohérence des profils, des droits des utilisateurs et des permissions d’accès à des répertoires partagés du serveur de fichiers et d’impression (\\SFI).
Remarque :
Les consignes de sécurité pour un administrateur local (identiques à celles d’un administrateur du domaine) sont : durée maximale du mot de passe à 60 jours, durée minimale de validité du mot de passe à 5 jours, interdiction de réutiliser les 6 derniers mots de passe, longueur minimale du mot de passe à 8 caractères au minimum, verrouillage du compte après 5 tentatives échouées, attente de 60 minutes après 4 tentatives échouées, limitation des heures d’utilisation du réseau, limitation des droits, limitation des stations utilisables, limitation des applications du menu Démarrer.
Mise en œuvre :
3.5.2.3 Les comptes locaux Administrateurs
cs 21-3 : N’autoriser que les administrateurs à ouvrir une session locale sur SFI.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Seuls les administrateurs peuvent utiliser SFI.
Remarque :
Le SFI est un serveur dédié. Aucun utilisateur (sauf les administrateurs) peut ouvrir une session sur SFI. Il en est de même pour les sessions locales. Rappelons que tous les administrateurs disposent de deux comptes (l’un avec des pouvoirs, l’autre similaire à un utilisateur). Ces seconds comptes ont pour fonction de dissimuler le plus possible les véritables comptes administrateurs (compte administrateur avec pleins pouvoirs).
Le 30 août 2000
version 1.0
Page 29
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les administrateurs doivent impérativement utiliser les comptes avec pouvoirs minimums pour les travaux usuels sur le SFI. Le compte avec les pleins pouvoirs de l’administrateur du domaine est le compte administrateur du domaine. Mise en œuvre :
2.5.2.1
3.5.2.3 Les comptes locaux Administrateurs
Protection du compte "Invité"
Groupe de consignes : 22 cs 22-1 : Inhiber le compte "Invité".
Niveau d'exigence :
Niveau de gêne :
Objectif :
Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque :
Ce compte est créé par défaut par Windows NT, et ne peut pas être supprimé. Il possède un mot de passe et des droits prédéfinis qui peuvent être utilisés pour pénétrer le SFI en se déclarant "Invité".
Paramètres :
Changer le nom du compte, changer le mot de passe (14 caractères), retirer le compte du groupe invité, verrouiller ce compte.
Mise en œuvre : 3.5.2.1 Le compte local Invité, 3.5.2.2 Les comptes locaux prédéfinis
2.5.2.2
Protection des comptes "administrateur"
Groupe de consignes : 23 cs 23-1 : Changer les noms des comptes administrateurs.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter que le nom de ce compte soit trop facilement reconnaissable. Le compte administrateur serait la cible évidente de toutes les attaques (le mot de passe serait la seule inconnue de ce compte).
Mise en œuvre :
3.5.2.3 Les comptes locaux Administrateurs
cs 23-2 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les travaux usuels.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Limiter l’utilisation des véritables comptes administrateurs.
Remarque :
Les administrateurs disposent de trois comptes pour ouvrir une session sur SFI : •
Le 30 août 2000
Compte Administrateur local.
version 1.0
Page 30
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
•
Compte administrateur du domaine.
•
Compte administrateur avec pouvoirs restreints.
Ces comptes ont chaqu’un une fonction particulière. Les comptes des administrateurs du domaine permettent la gestion du réseau. Les comptes des administrateurs locaux permettent l’administration locale du SFI. Les comptes des administrateurs avec pouvoirs restreints servent à effectuer les travaux usuels et à cacher les noms des autres comptes des administrateurs. Afin de dissimuler les comptes administrateurs locaux et avec pouvoirs, l’administrateur qui a ouvert une session sur SFI avec l’un de ces deux comptes, doit se reloguer sous le compte avec pouvoirs restreints, une fois son travail terminé, puis fermer cette session. C’est le nom de l’administrateur avec pouvoirs restreints qui apparaîtra à l’écran. Mise en œuvre :
2.6
3.5.2.3 Les comptes locaux Administrateurs
Points divers
2.6.1 Points divers pour tous les administrateurs Groupe de consignes : 24 cs 24-1 : Seuls les administrateurs peuvent sauvegarder des fichiers et des répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Seuls les administrateurs auront une copie des répertoires ou fichiers du disque dur de SFI.
Remarques :
Ce sont généralement les Opérateurs de Sauvegarde (si cette fonction est créée) qui gèrent les sauvegardes et restaurations.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 24-2 : Seuls les administrateurs peuvent restaurer des fichiers et des répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Permettre de restaurer des fichiers d’anciennes versions (notamment ceux concernant les registres et la sécurité du SFI).
Remarques :
Les droits de Restaurer des fichiers et Restaurer des répertoires sont généralement attribués aux Opérateurs de Sauvegarde (si cette fonction est créée). Ils leurs permettent d’ajouter et de remplacer des fichiers détruits par inadvertance. Ces droits sont exécutés en passant outre la consultation des Listes de Contrôles d’Accès (les ACL). Ces administrateurs ont donc des droits qui échappent aux contrôles de sécurité de Windows NT. Le groupe des utilisateurs possédant ce droit est restreint au groupe administrateur.
Mise en œuvre :
Le 30 août 2000
3.5.1.2 Les comptes administrateurs du domaine (CPD)
version 1.0
Page 31
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
2.6.2 Points divers pour l’administrateur système Groupe de consignes : 25 cs 25-1 : Seul l’administrateur système peut modifier l’heure système.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Assurer la cohérence temporelle de la datation des événements de sécurité et des macros instructions (date et heure automatiques de mise à jour ou d’impression de Word, etc.).
Remarques :
Choisir le fuseau horaire Paris, afin d'assurer la cohérence des dates et des heures dans les journaux.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
cs 25-2 : Seul l’administrateur système peut prendre possession de fichiers ou d’objets.
Niveau d'exigence :
Objectif :
Séparer les fonctions administrateur système et de la sécurite, afin d’assurer une surveillance mutuelle.
Remarques :
Ce droit est l’un des plus dangereux pour la sécurité des informations stockées sur le SFI et pour la configuration du système d’exploitation. Il permet de s’approprier des fichiers (les tables SAM par exemple). L’administrateur système peut éventuellement s’approprier et cumuler tous les droits. Cette prise de pouvoir laissera une trace dans les journaux d’événements. L’administrateur de la sécurité détectera immédiatement cette prise de contrôle en consultant les journaux.
Paramètres :
Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Prendre possession des fichiers ou d’autres objets est accordé uniquement à l’administrateur système.
Mise en œuvre :
2.7
Niveau de gêne :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
Audit
2.7.1 Date et heure Groupe de consignes : 26 cs 26-1 : Assurer la cohérence de datation des événements de sécurité.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Garantir que le journal des événements présente les messages d’audit dans un ordre chronologique.
Remarque :
L’Administrateur de la sécurité aura la certitude qu’aucun événement récent ne soit dissimulé parmi les événements consultés auparavant. Il est primordial de suivre la chronologie des alertes pour comprendre et
Le 30 août 2000
version 1.0
Page 32
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
réagir correctement vis à vis d’une attaque. C’est en accordant des droits complémentaires à l’administrateur système (modification de l’heure) et à l’administrateur de la sécurité (consultation des journaux), qu’un contrôle croisé permet d’assurer la sécurité globale du réseau. Paramètres :
Ne pas accorder l’option Modifier l’heure système dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur.
Mise en œuvre :
3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.7.2 Protection de l’audit Groupe de consignes : 27 cs 27-1 : Écraser les événements les plus anciens en cas de débordement de la taille des journaux.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Éviter que des journaux saturés n’enregistrent pas les événements récents.
Remarques :
Des cas particuliers peuvent provoquer un accroissement considérable des événements enregistrés dans les journaux. Il est nécessaire de prévoir le traitement des nouveaux événements lorsque la taille maximale de ces journaux est atteinte. L’option retenue consiste à écraser les événements les plus anciens, chaque journal se comporte comme un buffer tournant.
Paramètres :
Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Bouclage du journal des événements , cliquer sur Écraser les événements si nécessaire.
Mise en œuvre :
3.7.2.1 Tailles des journaux d’événements
cs 27-2 : Éviter les journaux trop volumineux.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur de la sécurité doit s’astreindre à dépouiller les journaux avant que les fichiers ne deviennent trop importants.
Remarques :
Pour des raisons particulières, les tailles allouées à chaque journal risquent d’être trop faibles. Il convient d’adapter les tailles respectives de chaque journal (par multiple de 64 ko) aux besoins. Les dimensions retenues dans la mise en œuvre correspondent à 50 machines environ et pour une durée de 2 semaines.
Paramètres :
Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Taille Maximale du journal
Le 30 août 2000
Le journal de sécurité :
2 à 4 Mo.
Le journal des applications :
1 à 2 Mo.
version 1.0
Page 33
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le journal système : Mise en œuvre :
Le 30 août 2000
1 à 2 Mo.
3.7.2.1 Tailles des journaux d’événements
version 1.0
Page 34
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 27-3 : Sauvegarde des journaux de l’audit.
Niveau d'exigence :
Niveau de gêne :
Objectif :
Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour assurer une bonne réactivité contre une attaque éventuelle du SFI.
Remarques :
Tous les journaux du réseau sont sauvegardés chaque mois sur le serveur de fichiers (sauf cas d’une sauvegarde sur un ordinateur non connecté au réseau). Ils sont enregistrés dans un sous-répertoire appelé <Jounaux>\
Mise en œuvre :
3.7.2.2 Sauvegarde des journaux d’événements
cs 27-4 : Gérer l’archivage des sauvegardes des journaux d’événements.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’archivage permet de garder et de comparer les journaux avec ceux des mois ou années précédentes.
Remarque :
Les journaux des administrateurs sont gravés sur CD-ROM (ou enregistrés sur disquettes) tous les 6 mois ou tous les ans suivant le volume des fichiers. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque ou à des problèmes épisodiques du réseau.
Mise en œuvre :
3.7.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits Groupe de consignes : 28 cs 28-1 : Auditer l’accès aux objets système internes.
Niveau d'exigence : Objectif :
L’administrateur de la sécurité est informé des erreurs de configuration ou des attaques du système.
Mise en œuvre :
Le 30 août 2000
Niveau de gêne :
3.7.1 Événements de sécurité des audits
version 1.0
Page 35
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
cs 28-2 : Messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Niveau de gêne :
Objectif :
L’administrateur de la sécurité doit être en mesure de tracer tous les événements inhabituels ou à risques, survenant pendant l’utilisation d’un compte ou de droits spécifiques.
Remarque :
L’audit de sécurité doit fournir à l’Administrateur de la sécurité les informations suivantes : les événements d’ouvertures de sessions, l’accès à certains objets (les profils par exemple), les événements de connexion, l’utilisation de privilège, la modification des registres.
Mise en œuvre :
Le 30 août 2000
3.7.1 Événements de sécurité des audits
version 1.0
Page 36
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.
MISE EN ŒUVRE La mise en œuvre décrit les actions concrètes qui doivent être réalisées. Elle présente les différents panneaux de configuration et les actions associées qui permettent aux administrateurs d'appliquer les consignes définies précédemment. Les actions sont présentées dans un ordre chronologique, afin de donner une vision simple des éléments abordés à chaque étape Le schéma suivant permet de définir la portée des comptes créés sur le domaine et localement. Il apporte une meilleure compréhension des consignes et de leurs rôles.
Réseau : le domaine
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
CPD
Section 1 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 1
Poste Client NT 4.0 Workstation
3.1
Protection matérielle du SFI Poste Client NT 4.0 Workstation
SFI
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
Section 2 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la sectio
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
3.1.1 Protection physique du poste Consignes associées : cs 1-1, cs 2-1, cs 2-2, cs 7-1 Le SFI est l’un des principaux serveurs du réseau, les administrateurs veilleront à le protéger de la même manière que le CPD. Ils devront respecter les règles suivantes : il est utilisé exclusivement par les administrateurs ou par le RSSI, la porte du local est toujours fermée à clé en l’absence des administrateurs, les fenêtres du local sont condamnées,
Le 30 août 2000
version 1.0
Page 37
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
si une personne (autre que les administrateurs) doit pénétrer dans le local (électricien, etc.), elle ne pourra entrer qu’avec la permission et la surveillance d’un administrateur. Une étiquette collée ostensiblement sur le cadre de l’écran du SFI indiquera son degré de sensibilité et son niveau de confidentialité. Les fonctions des personnes autorisées à ouvrir une session sur cette machine (appelées : Administrateur, sans préciser les noms) et les risques encourus de son utilisation frauduleuse peuvent figurer sur cette étiquette. Le SFI devra posséder un verrou condamnant l’ouverture physique de l’ordinateur et empêchant son déplacement (câble et cadenas reliant le capot, le boîtier et le bureau). Cependant, les verrous offrent une résistance peu fiable. Le verrou peut être ouvert (en forçant la serrure sans l’endommager), puis refermé après ouverture du capot de l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un poste. La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certains ordinateurs peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS Consignes associées : cs 3-1, cs 3-2, cs 3-3, cs 3-4_Hlk472138476 Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel (possédant un système d’exploitation compatible NTFS) afin de lire le disque installé par l’administrateur. Il est nécessaire que le disque dur, installé par l’Administrateur, soit déclaré maître (par le cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la carte mère. Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par le BIOS dépendent du constructeur. En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche
Le 30 août 2000
version 1.0
Page 38
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.1.3 Configuration des disques durs Consignes associées : cs 6-2, cs 9-1, cs 14-1, cs 18-1 Le schéma suivant présente la solution adoptée pour le plan de reprise après incident des disques durs du SFI :
Disque Partition G:\ des administrateurs (Administrateurs)
Partition F:\ des sections (Public)
Partition E:\ des utilisateurs (Privé)
Partition C:\ Windows NT 4 (Système) 1 à 1.5 Go
Mise en miroir des partitions
Disque m Partition G:\ des administrateurs (Administrateurs) Ce schéma permet
Partition F:\ des sections (Public) de mieux comprendre
Partition E:\ des utilisateurs suivi (Privé) pour la mise
le but disques durs de SFI. Le premier disque dur contiendra :
en œuvre
Partition C:\ Windows NT 4 des 2 (Système) 1 à 1.5 Go
La partition Système, contenant le système d’exploitation. La partition Administrateurs, contenant les profils des utilisateurs, les profils types, les scripts de démarrage et éventuellement les applications en libre service. La partition Public, contenant un répertoire partagé par tous les utilisateurs d’une même section. Elle contient aussi un répertoire commun à tous les utilisateurs du domaine. La partition Privé, contenant les répertoires de base de tous les utilisateurs. Le second disque dur contiendra les mêmes partitions que le disque objet. Cette configuration permet de simplifier le plan de reprise et de sécuriser les fichiers liés à chaque utilisateur (documents et profils). En cas de problème d’un disque dur, il suffira de briser le miroir et d’utiliser le second disque (ancien disque miroir) pour rétablir le SFI. Les partitions occuperont : 1 à 1.5 Go pour la partition système et les applications. Compter 25 Mo en moyenne pour chaque profil. Compter 100 Mo environ par répertoire de base. Compter 100 Mo environ par répertoire commun à chaque section. Compter 100 Mo environ pour le répertoire commun au site. L’espace réservé aux applications en libre service (partition Administrateurs) sera estimée par l’administrateur système.
Le 30 août 2000
version 1.0
Page 39
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Pour un site de 100 utilisateurs, répartis en 10 sections et 1 Go réservé aux applications. Les partitions occuperont 16.6 Go : Partition Système : 1.5 Go. Partition Administrateurs : 3 Go (100 profils plus 500 Mo pour les applications). Partition Public : 2.1 Go (10 sections plus une section pour le site). Partition Utilisateurs : 10 Go (100 répertoires de base). L’administrateur créera 4 partitions (commande Fdisk du DOS) : La partition Système. La partition Administrateurs. La partition Public. La partition Privé. Ces partitions ont pour but : D’éviter la fragmentation de la partition système. De garantir la disponibilité de l'espace disque nécessaire. De conserver un espace disque "propre" où se trouve le système. De garantir une zone propre pour l’antivirus de l’Armée de Terre. D’associer une partition à la gestion des profils. D’associer une partition à la gestion des répertoires de base. D’éviter l’écrasement du système par des répertoires de base trop volumineux. D’éviter l’écrasement des profils par des répertoires de base trop volumineux.
3.1.3.1
Création de la partition principale "Système"
Consignes associées : cs 4-1 La partition C:\ (appelée Système) sera déclarée primaire. Elle accueillera l’OS (Operating System : système d’exploitation) Windows NT. Cette partition du disque dur devra être suffisante (1 à 1.5 Go) pour accueillir l’OS et ses applications serveur. SFI étant un poste dédié, la taille de la partition système ne tiendra pas compte des possibilités d’implantation de nouvelles applications. Installer l’OS sur cette partition avant de créer les autres partitions. Elle sera définie et formatée NTFS au cours de l'installation de Windows NT 4.0 Server (voir 3.1.3.4 Remarque de ce chapitre). Elle contient toutes les ressources système (boot, informations de configuration matérielle, pilotes de périphériques, utilitaires système divers, etc.). Les partitions suivantes seront créées étendues pour interdire le multi-boot (une partition primaire pourrait accueillir un nouveau système capable de lire les fichiers des autres partitions).
3.1.3.2
Création de la partition étendue "Administrateurs"
Il s'agit de créer une partition (G:\, "Administrateurs") dans laquelle, l’administrateur de comptes créera les profils des utilisateurs. Cette partition est créée par le Gestionnaire de disques du windows NT. Elle est créée étendue et NTFS. Les profils seront regroupés suivant les sections : Un répertoire par section.
Le 30 août 2000
version 1.0
Page 40
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Tous les profils des utilisateurs d’une section sont dans le répertoire de la section. Chaque section contiendra un profil standard, qui sera utilisé à la création de chaque nouvel utilisateur de la section. Un répertoire spécifique pour les administrateurs contiendra les profils de tous les administrateurs. Un profil par défaut (créé dans le répertoire des administrateurs) sera attribué à tous les utilisateurs d’une section, lors de sa création. Les actions à mener pour la création de cette partition sont : Redémarrer l’ordinateur pour terminer l’installation .de Windows NT 4.0. Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Sélectionner l’espace disque restant. Créer une partition "étendue" (Menu Partitions étendue).
créer
une
partition
Créer un lecteur logique (D:\) dans la partition "étendue" en lui attribuant 13 % environ de l'espace disponible (Menu : Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Administrateurs au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.3
Création de la partition étendue "Privée"
Il s'agit de créer une partition (E:\, "Privée") dans laquelle chaque utilisateur du domaine possédera un répertoire personnel (appelé répertoire de base). Cette partition logique occupera la majeure partie du disque dur. Les répertoires partagés seront regroupés suivant les sections : Un répertoire par section. Un répertoire par utilisateur dans le répertoire de sa section. Un répertoire spécifique pour les administrateurs. Un répertoire par administrateur dans le répertoire des administrateurs. Les actions à mener pour la création de cette partition sont : Sélectionner la partition non formatée. Créer une partition logique (F:\) en lui attribuant le restant de l’espace disque disponible (Menu Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Privée au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.4
Le 30 août 2000
Création de la partition étendue "Public"
version 1.0
Page 41
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Il s'agit de créer une partition (F:\, "Public") dans laquelle dans laquelle chaque section du domaine possédera un répertoire partagé. Les répertoires partagés seront regroupés suivant les sections : Un répertoire par section. Un répertoire partagé par toutes les sections sera créé. Un répertoire spécifique pour les administrateurs. Les actions à mener pour la création de cette partition sont : Sélectionner la partition non formatée. Créer une partition logique (E:\) en lui attribuant le restant de l’espace disque disponible (Menu Partitions créer puis Partitions appliquer les changements maintenant). Formater cette partition. (Outils Formater). Sélectionner NTFS comme système de fichier. Donner le nom Public au volume. Valider en cliquant sur le bouton Démarrer.
3.1.3.5
Remarques
Consignes associées : cs 4-1, cs 18-1 Pendant l’installation de Windows NT, certains choix sont proposés. Notamment le choix entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT Files System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des contrôles d’accès aux fichiers et aux répertoires. Ces contrôles d’accès sont natifs au système de fichiers NTFS. Ils prennent en charge : La protection des fichiers et des répertoires. La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises après un arrêt brutal de l’ordinateur (coupure de courant). La compression des fichiers. L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation. Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers NTFS par d’autres OS : Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98 échoueront. Par un accès réseau, les tentatives d’accès aux fichiers NTFS par les systèmes d’exploitation MS-DOS, UNIX ou Macintosh seront possibles. Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont : Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de OS/2 par des commandes du systèmes d’exploitation NTFS échoueront. Il sera donc nécessaire de formater le disque en NTFS pour chaque partition, afin d’éviter le risque qu’un utilisateur crée un disque multi-boot (option prise en charge par Windows NT) sur l’une des partitions et accède aux fichiers.
3.1.3.6
Le disque miroir
Windows NT permet de créer simplement un disque miroir :
Le 30 août 2000
version 1.0
Page 42
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Créer 4 partitions de tailles identiques aux partitions Système, Administrateurs, Privé et Public du premier disque. Sélectionner la partition à dupliquer Système du premier disque. Garder appuyer la touche CTRL et cliquer sur la partition correspondante du second disque dur (elles seront dénommées par la même lettre). Sélectionner Mettre en miroir dans le menu Tolérance de pannes. Suivre la même procédure pour les partitions Administrateurs, Privé et Public. Windows NT dupliquera toutes les écritures de chaque partition sur les partitions mises en miroir. Le disque miroir remplacera le disque principal en cas de panne de ce dernier.
3.1.4 Reprise après une défaillance d’exploitation Le schéma suivant présente la connexion des disques objet et miroir sur la carte mère :
Carte mère Premier contrôleur IDE
Second contrôleur IDE
Seconde nappe
Première nappe
Cette technique dite de partition en miroir permet de résoudre efficacement les pannes dues à l’électronique (d’un contrôleur IDE ou du disque dur). Elle évite de multiplier par 2 les temps d’accès disque (miroir sur un même disque dur).
Disque objet
Disque miroir
En cas de panne de l’un des deux disques : Avant d’enlever le disque en panne, vous devez briser le miroir. Accéder à l’Administrateur de disques (Démarrer Programmes Outils d’administration Administrateur de disques). Sélectionner Briser le miroir dans le menu Tolérance de pannes. Recréer le disque en panne (avec ou sans la partition système). Remplacer le disque défaillant. Créer une nouvelle relation de miroir du disque opérationnel vers le nouveau disque. Redémarrer l’ordinateur.
Le 30 août 2000
version 1.0
Page 43
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2
Configuration de Windows NT 4.0 Server Nous considérons que l’ordinateur est dans l’état suivant : Les disques durs sont formatés et mis en miroir. Le système d'exploitation Windows NT 4.0 Server est chargé. Les composants réseaux ont été installés. L’étape suivante consiste à mettre à niveau le système d’exploitation.
3.2.1 Les Service Packs Les Service Packs (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils sont presque cumulatifs (le SP 5 ne contiendrait pas toutes les mises à jour du SP 4). Ils contiennent _Hlk472138476des correctifs aux protocoles, des modifications des logiciels et des applications spécifiques. Notamment des applications à destination des administrateurs. Pour éviter un travail fastidieux aux administrateurs système qui devraient, en toute rigueur, appliquer ces SP les uns après les autres, il est fortement recommandé de faire une image disque sur un CD-ROM. Cette image servira en cas de panne grave des disque durs.
3.2.2 Les ports Consignes associées : cs 11-2_Hlk472138476 _Hlk472138476 Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le réseau. Ces attaques provoquent un ralentissement du temps de réponse du SFI (allant jusqu’au déni de service). Les SP 2 et 3 permettent de se protéger contre les attaques les plus connues : Nom de l’attaque
Remède
Telnet vers des ports inconnus Ping of death Ping of death 2 SYN Flood Out-of-Band Attaque sur port RPC de TCP/IP Land Teardrop, Teardrop 2, Bonk et Boink
Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer
le le le le le le le le
SP SP SP SP SP SP SP SP
2 2 3 2 3 3 3 3
Pour améliorer la sécurité face à une attaque réseau, il est recommandé de restreindre les ports ouverts. Par défaut Windows NT n’effectue aucun filtrage de paquets. Tous les ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT (définis par le RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire %SystemRoot%\system32\drivers\etc). La liste des ports utilisés par les applications est très difficile à établir. Cette liste dépend des options d’installation des applications. Si vous connaissez les ports utilisés pour la configuration particulière de votre domaine, vous pouvez effectuer un filtrage de paquets par la méthode suivante : Accéder au menu : Sécurité TCP/IP (Panneau de configuration Réseau Protocoles). Sélectionner le protocole TCP/IP. Cliquer sur le bouton Propriétés….
Le 30 août 2000
version 1.0
Page 44
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir le menu Adresse IP en Cliquant sur le bouton Avancé.
Cocher Activer la sécurité Configurer... Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à la place du choix par défaut (Autoriser tous).
Le 30 août 2000
version 1.0
Page 45
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Entrer les numéros de ports actifs suivant les protocoles. Valider. Le tableau suivant donne les numéros des ports et protocoles (détectés expérimentalement) utilisés dans l’environnement Windows NT 4.0. L’utilisation de certains ports est mal connue (exemple : les ports RPC 530 et 111 en tcp , ainsi que 111 en udp).
Ports TCP 7 9 13 17 19 20 21 53 101 102 103 104
Port Echo (utilisé à l’allumage de l’ordinateur). Port Discard (utilisé à l’allumage de l’ordinateur). Port Daytime (utilisé à l’allumage de l’ordinateur). Port QOTD (utilisé à l’allumage de l’ordinateur). Port Chargen (utilisé à l’allumage de l’ordinateur). Port FTP-data (utilisé pour le transfert de fichiers). Port FTP (utilisé pour les contrôles d’un transfert de fichier). Port Domain (utilisé pour le service DNS). Port HOSTNAME (si le protocole Lan-Manager est utilisé). Port ISO-TSAP (utilisé pour la messagerie X and Mail). Port X400 (utilisé pour les messageries). Port X400-SND (utilisé
Le 30 août 2000
Ports UDP 7 9 13 17 19 53 161 162
Port Echo (utilisé à l’allumage de l’ordinateur). Port Discard (utilisé à l’allumage de l’ordinateur). Port Daytime (utilisé à l’allumage de l’ordinateur). Port QOTD (utilisé à l’allumage de l’ordinateur). Port Chargen (utilisé à l’allumage de l’ordinateur). Port Domain (utilisé pour le service DNS). Port snmp (utilisé pour des commandes d’administration). Port snmp-trap (utilisé pour des commandes d’administration).
version 1.0
Protocoles IP 5 6 17 23 24 80
Protocole Stream (si une machine UNIX est connectée au réseau). Protocole TCP. Protocole UDP. Protocole TRUNK-1 pour les messageries. Protocole TRUNK-2 pour les messageries. Protocole ISO IP pour toutes les machines (Imprimantes-Serveur, etc.) connectées au réseau.
Page 46
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
137 138 139 170
515
pour les messageries). Port NetBIOS Name Service. Port NetBIOS DataGraM service. Port NetBIOS SesSioN service. Port Print-SRV (utilisé pour les impressions PostScript via UNIX sur le réseau). Port Printer (utilisé pour les impressions PostScript sur le réseau via UNIX). Chaque application nécessite l’ouverture de certain ports IP dans certaines conditions (transfert de fichiers, avertissement pour un fichier déjà ouvert, synchronisation, etc.). Les administrateurs seront amenés à compléter ou modifier la liste ci-dessus.
3.2.3 Les services Consignes associées : cs 11-1, cs 11-2, cs 13-1 Par défaut, Windows installe un nombre important de services sur le SFI. Certains de ces services peuvent être dangereux pour l’intégrité du réseau ou du SFI. La liste des services et leur état est consultable par le Panneau de configuration en double cliquant sur Services : Double cliquez sur Services. La liste des services (nom, état et type de démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt (vide). La colonne Démarrage indique son mode de lancement :
Le 30 août 2000
Automatique :
ce service démarre à l’allumage de l’ordinateur.
Manuel :
ce service démarre lorsqu’il est sollicité.
version 1.0
Page 47
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Désactivé : station.
ce service est arrêté même après le redémarrage de la
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante présente la dépendance des services sur une station de travail :
Le 30 août 2000
version 1.0
Page 48
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
DSDM DDE réseau
Station de travail
Serveur
Duplicateur de répertoires
Aide TCP/IP NetBIOS
Explorateur d’ordinateurs
DDE réseau
Messagerie
Avertissement Accès réseau
Album
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour modifier les services qui suivent : Service réseau Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une session sur le domaine. Il assure également la synchronisation des tables de sécurité du domaine entre le SFI et les Contrôleurs Secondaires de Domaine. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Agent du moniteur réseau Ce service écoute le réseau. Il permet de capturer toutes les trames. Il peut être activé uniquement sur le Contrôleur Principal de Domaine. Seul l’administrateur système peut l’utiliser. Il l’activera à sa convenance. Fichier exécutable : “nmagent.exe” Configuration : Désactivé. Aide TCP/IP NetBIOS Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un ensemble de commandes permettant de demander les services de niveau inférieur requis pour établir des sessions entre des nœuds de réseau, pour transmettre des informations). Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique.
Le 30 août 2000
version 1.0
Page 49
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Album Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge le gestionnaire d’album pour le transporter sur le réseau. Il permet aux albums distants d’accéder et de visualiser des pages. Il peut également être démarré grâce à la commande net start album. Fichier exécutable : “clipsrv.exe” Configuration : Désactivé. Avertissement Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se produit sur un ordinateur. Il peut également être démarré grâce à la commande net start avertissement. Les messages d'alerte signalent les problèmes de sécurité et d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce service n’est pas mis en œuvre par l’administrateur, il peut être désactivé. Fichier exécutable : module de “services.exe” Configuration : Activer uniquement si des stations doivent recevoir des alertes. COM+ Event System Service supplémentaire (absents sur les stations) pour la gestion des événements. Fichier exécutable : “Sens.exe” Configuration : Ne pas modifier. DDE réseau Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les échanges dynamiques de données (mise à jour automatique entre différents documents) peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la confidentialité des documents, ce service ne doit pas être activé. Fichier exécutable : module de “netdde.exe” Configuration : Désactivé. Détecteur d’appel RPC Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge le service Détecteur d'appel RPC pour trouver les applications serveur compatibles actuellement disponibles. Fichier exécutable : “locator.exe” Configuration : Ne pas modifier. DSDM-DDE réseau Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau) est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit pas être désactivé. Fichier exécutable : module de “netdde.exe” Configuration : Désactivé. Duplicateur de répertoires Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre. Ce service peut également être démarré grâce à la commande net start "duplicateur
Le 30 août 2000
version 1.0
Page 50
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
de répertoires". Ce service est mis en œuvre pour sauvegarder des données. Pour éviter tous risques de duplication entre des stations (contraire aux règles de sécurité), ce service n’est pas mis en œuvre. Fichier exécutable : “lmrepl.exe” Configuration : Désactivé. Enregistrement d'événements Enregistre les événements dans les journaux système, sécurité et application. Ce service peut également être démarré grâce à la commande net start "enregistrement d'événements", mais ce service doit être activé avant de vous servir de l'Observateur d'événements pour afficher les événements enregistrés. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Explorateur d'ordinateurs Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste aux applications qui la demandent. Ce service peut également être démarré grâce à la commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Fichier exécutable : module de “services.exe” Configuration : Désactivé. Fournisseur de support de sécurité NT Lan-Manager Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC (Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de fichier LMHOST compatible NT Lan-Manager). Les services DNS et WINS (service de noms Internet Windows) utilise ce service. Fichier exécutable : module de “services.exe” Configuration : Démarrer, Automatique. Licence Logging Service Permet l’enregistrement, la vérification et la gestion des licences d’exploitation des applications présentes localement. L’activation de ce service dépend des consignes du RSSI. Fichier exécutable : “llssrv.exe” Configuration : Suivant les circonstances. Messagerie Ce service prend en charge l’émission et la réception des messages envoyés par les administrateurs ou par le service Avertissement. Fichier exécutable : module de “services.exe” Configuration : Uniquement si le service Avertissement est activé. Service Planning Ce service permet de programmer l'exécution de commandes et de programmes sur un ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être démarré grâce à la commande net start planning. Le service Planning est configuré initialement dans le compte système de la station locale qui dispose d’un accès intégral à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte système local.
Le 30 août 2000
version 1.0
Page 51
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les tâches assurées par ce service ont un accès réseau limité, du fait que le compte système local du SFI est inconnu des autres ordinateurs. Cependant, il peut être configuré afin qu'il exécute sa tâche via un compte utilisateur (un administrateur pour le SFI). Les tâches exécutées par le service Planning sont alors gérées par l'accès réseau du compte ce qui présente un risque très important. Ce service est désactivé pour éviter que des tâches soient effectuées sans l’accord de l’administrateur concerné (généralement l’administrateur système ou l’administrateur de sauvegarde si la fonction est créée). Fichier exécutable : “atsvr.exe” Configuration : Non démarré et Désactiver Plug and Play Ce service prend en charge la reconnaissance et le chargement des pilotes des périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit installé à l’insu de l’administrateur, il convient de désactiver ce service. Fichier exécutable : module de “services.exe” Configuration : Non démarré et Désactiver Serveur Le service Serveur est le complément du service Station de travail pour les serveurs. Fichier exécutable : module de “services.exe” Configuration : Démarré et Automatique. Service d'appel RPC Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft Windows NT. Il comprend notamment le service de mappage de la base de données des points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient la correspondance des noms/numéros des mappages réseau). Le service d'appel RPC autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie serveur de l'application distribuée enregistre un point de sortie avec le service d'appel rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer si une application distribuée utilise le service de mappage de point de sortie, consultez la documentation de cette application. Ce service peut également être démarré grâce à la commande net start "service d'appel RPC". Fichier exécutable : “RpcSs.exe” Configuration : Ne pas modifier. Service Téléphonique Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il est important qu’il apparaisse désactivé. Fichier exécutable : “tapisrv.exe” Configuration : Non démarré et Désactiver. Spooler Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est nécessaire si une imprimante est connectée à l’ordinateur. Fichier exécutable : “spool.exe” Configuration : Suivant les circonstances. Station de travail Le service Station de travail permet à un ordinateur de se connecter aux ressources réseau et à les utiliser.
Le 30 août 2000
version 1.0
Page 52
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Fichier exécutable : module de “services.exe” Configuration : Ne pas modifier. Tasks cheduler Service de planificateur de tâche. Il est contrôlé par le dossier tâches planifiées. Fichier exécutable : “mstask.exe” Configuration : Ne pas modifier. UPS Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré uniquement si une alimentation de secours est installée. Il ne sera pas autorisé dans tous les autres cas. Configuration : Suivant les circonstances.
3.2.4 Les modifications du comportement de Windows NT 3.2.4.1
Message de mise en garde à l’ouverture d’une session
Consignes associées : cs 7-2_Hlk472138476 _Hlk472138476 Pour informer des risques encourus par une personne accédant à l’ordinateur, Windows NT propose de créer une fenêtre juste avant la demande du mot de passe. La création de cette fenêtre est obtenue en modifiant deux valeurs d’une clé du registre HKEY_LOCAL_MACHINE : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Créer le titre de la fenêtre en exécutant : Double cliquer sur : LegalNoticeCaption, écrire la valeur : « Titre de l’Armée de Terre » Créer le texte apparaissant dans la fenêtre : Double cliquer sur : LegalNoticeText, écrire la valeur : « Message de l’Armée de Terre »
Le 30 août 2000
version 1.0
Page 53
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2.4.2
Verrouillage du SFI pour inactivité
Consignes associées : cs 7-3, cs 20-1, cs 21-1_Hlk472138476 _Hlk472138476 Si la session d’un administrateur reste ouverte sans surveillance, un pirate peut tenter de s’approprier le compte et de piéger l’ordinateur. Si un cheval de Troie, copiant le mot de passe sur le disque dur d’une station distante, est installé, la sécurité globale du réseau est compromise. Il est impératif de : prévenir que seuls les administrateurs peuvent utiliser le SFI. empêcher qu’un pirate s’approprie la session d’un administrateur. Il faut donc afficher un message de mise en garde et verrouiller la station quand un administrateur s’absente. La méthodologie est : Démarrer Paramètres Panneau de configuration double cliquer sur Affichage Écran de veille.
Le 30 août 2000
version 1.0
Page 54
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Cochez la case Protégé par un mot de passe. Écrire 15 minutes dans le champ Attente. Choisir : Message dans la fenêtre déroulante. Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
Cochez : Centré de l’option Position. Choisir : Lente de l’option Vitesse. Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond : noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran). Écrire la phrase : « Message de l’Armée de Terre » dans la plage Texte. La couleur et la police sont définissables en cliquant sur la touche Format texte… (choisissez une couleur voyante par rapport à la couleur du fond d’écran afin d’attirer l’œil).
Le 30 août 2000
version 1.0
Page 55
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Sortir en validant par OK à chaque fois. Protéger les rubriques de la clé (voir 3.6 Protection des registres ) correspondant au choix de cet écran de veille : HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent les rubriques associées à cette clé :
Activation de l’économiseur d’écran : Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ)
Programme exécuté par l’écran de veille : Valeur de la rubrique SCRNSAVE : « C:\WINNT\System32\ssmarque.scr » (Type REG_SZ)
Activation de la protection par un mot de passe : Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ)
Temps d’attente avant l’activation de l’écran de veille : Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type REG_SZ)
Protéger la clé (voir 3.6 Protection des registres ) correspondant à ce programme : HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee Protéger en écriture C:\WINNT\System32\ssmarque.scr
3.2.4.3
le
programme
correspondant :
Fermeture de la session après ¼ heure de verrouillage
Consignes associées : cs 20-2_Hlk472138476 _Hlk472138476 Le verrouillage de l’ordinateur implique que l’utilisateur (l’administrateur ici) ne s’absentera pas longtemps et qu’il reviendra pour ouvrir ou clore sa session. L’absence prolongée d’un administrateur ne doit pas provoquer un verrouillage indéfini du SFI. Une session ouverte sur SFI et inactive, doit être fermée après 30 minutes (¼ après le verrouillage). La durée de temps est choisie lors de la définition des stratégies de comptes sur le CPD (Démarrer Programmes Outils d’administration Éditeur de stratégie système).
Créer les stations, les serveurs (dont le SFI), les groupes et les utilisateurs. Double cliquer sur le SFI pour afficher le menu Propriétés de « nom de l’ordinateur ». Cocher la case correspondante et entrer le temps en minutes.
Le 30 août 2000
version 1.0
Page 56
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.2.4.4
Interdire l’arrêt du système sans ouverture de session
Le dernier point de cette liste de mesures de sécurité contrôlant l’accès au SFI, décrit la méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être authentifié. Ainsi, seuls les administrateurs pourront éteindre le SFI. Cette mesure évite un déni de service, causé par l’arrêt du SFI pendant les heures ouvrables. Un administrateur devra être présent après le départ de tous les utilisateurs pour éteindre le SFI. Dans la pratique, beaucoup d’administrateurs profitent des fonctionnalités du système de fichiers NTFS. Ils éteignent l’ordinateur avec le bouton d’arrêt du secteur, sans sortir proprement. À l’allumage, Windows NT contrôle le disque dur et utilise le journal de l’ordinateur pour revenir à son état précédant. Toutefois, cette solution est fortement déconseillée car elle risque d’entraîner des pertes d’informations de configuration ou de données. Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé suivante : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/ Winlogon Double cliquer sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type : REG_SZ).
Le 30 août 2000
version 1.0
Page 57
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.3
Protections du système d’exploitation
3.3.1 Les antivirus Consignes associées : cs 4-2_Hlk472138476 _Hlk472138476 Le SFI est impérativement protégé par l’antivirus de l’Armée de Terre. L’administrateur de la sécurité veillera impérativement à : mettre à jour mensuellement les logiciels antivirus. se tenir au courant de l’apparition des virus (presse, site Web, etc.). L’administrateur de la sécurité devra mettre en place : une station dite Station blanche avec un antivirus différent servira de station témoin. Cette station (autre que le SFI) sera choisie pour son caractère non sensible, sa fréquence d’utilisation et la diversité des provenances des fichiers lus. effectuer une rotation de la Station blanche parmi les stations.
3.3.2 Disquette de réparation Consignes associées : cs 6-1_Hlk472138476 _Hlk472138476 Windows NT propose la création d’une disquette ERD, de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cet exécutable copie la ruche dans un format compressé ainsi que certains fichiers. Il impératif de créer une disquette de réparation d’urgence pour le SFI. À chaque modification de la configuration matérielle ou logicielle, la disquette sera mise à jour ou recréée par le programme rdisk. Les administrateurs utiliseront à tour de rôle deux disquettes. La première contiendra la configuration de SFI et la seconde la configuration précédente. Ainsi les administrateurs possèderont une disquette de la configuration actuelle du SFI et une autre de sa configuration antérieure. Ces disquettes sont conservées par l’administrateur système, dans un meuble fermant à clé. Il suffit de copier une configuration particulière sur les disquettes, pour prendre possession du SFI lors de sa restauration.
3.3.3 Remarques sur le gestionnaire des tâches Windows NT permet de lancer des services sans pour autant les rendre visibles dans le menu Services (Panneau de configuration, double cliquer sur Services). Il suffit d’ouvrir une fenêtre DOS et d’exécuter le programme correspondant au service. Ils sont activés en tâche de fond. Cette manière de procéder serait inoffensive, si ces services étaient parfaitement contrôlés. L’une des principales causes d’attaques réussies est l’exécution d’un cheval de Troie en arrière tâche. Ce programme écoute le travail et se réveille dans certaines conditions. Généralement, il duplique le mot de passe lors de son changement et envoie une copie vers une station espion. Le pirate récupère ainsi les mots de passe des Administrateurs. Il prend possession du réseau sans être découvert. Windows NT ne permet pas de contrôler facilement les processus exécutés sur le SFI. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés (
Le 30 août 2000
version 1.0
Page 58
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Certains chevaux de Troie remplacent un programme associé à un service. Ils assument les fonctions de ce service en même temps qu’ils piratent l’ordinateur. Ce type d’attaque est rendue presque impossible si les fichiers associés aux services sont protégés en écriture (bouton droit de la souris Propriétés Sécurité).
3.3.4 Protection des ressources locales Chaque partition correspond à la fonction d’un administrateur : La partition Système (C:\) est gérée par l’administrateur système. La partition Privé (E:\) est gérée par l’administrateur de comptes. La partition Public (F:\) est gérée par l’administrateur de compte. La partition Administrateurs (G:\) est gérée par l’administrateur de comptes. Les partitions possèdent par défaut des partages pour des raisons administratives (utilisés pour l’administration et le système). Notamment pour les répertoires racines de chaque disque dur, ainsi que pour le répertoire principal du système Windows NT Server (C:\WINNT). Ces partages sont cachés (le nom est suivi d’un $, exemple C$ pour le répertoire racine de C:\). Ce $ permet de ne pas le laisser apparaître dans la liste des répertoires disponibles sur une station. Ils correspondent à des besoins du système. Seuls les administrateurs ont accès aux partages des répertoires système. Ces partages pour des raisons administratives pourraient être désactivés (Attention cette méthode est un exemple. Elle est irréversible, la clé ne doit jamais être modifiée au risque de perdre tous les partages) en modifiant la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Attribuer la valeur 0 à la Rubrique AutoShareServer : (Type : REG_BINARY). Une approche cohérente de la sécurisation des fichiers et répertoires, passe par une déclaration des partages et leur sécurisation par des permissions NTFS. Les tableaux suivants présentent les partages des répertoires de ces partitions (attention, il ne s’agit pas de ces partitions).
Permissions accordées aux administrateurs : Partition Système (C:\) Privée (E:\) Public (F:\) Administrateurs (G:\)
Fonction de la partition Contient le système d’exploitation Contient les répertoires de base Contient les répertoires des sections Contient les profils
Adm. système
Adm. de compte
Adm. de la sécurité
System
Contrôle total
Modifier
Modifier
Contrôle total
Contrôle total
Modifier
Modifier
Contrôle total
Modifier
Modifier
Contrôle total
Modifier
Permissions de partage accordées aux utilisateurs du domaine : Partition Système (C:\) Privée (E:\)
Le 30 août 2000
Fonction de la partition Contient le système d’exploitation Contient les répertoires de base
Chaque section
Une section
Un utilisateur
Aucun
Aucun
Aucun Modifier (son répertoire de base)
version 1.0
Page 59
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Contient les répertoires des sections
Public (F:\) Administrateurs (G:\)
3.4
Modifier (le répertoire partagé de toutes les sections)
Modifier (le répertoire partagé de cette section)
Modifier (le répertoire partagé de sa section) Modifier (répertoire de son profil)
Contient les profils
Protections relative à la sécurité sur le domaine
3.4.1 Protection des communications sur le domaine Consignes associées : cs 15-1, cs 15-2_Hlk472138476 Le protocole SMB (Server Message Block) assume la structure de base des réseaux Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire). SMB authentifie un utilisateur auprès d’un serveur (dont le SFI), par « challenge ». Le demandeur de l’authentification envoie une requête et attend en retour une réponse dépendant de la carte d’identité de l’utilisateur. La cohérence challenge/carte d’identité avec la réponse détermine l’authentification. De plus, ce protocole est sous-jacent aux partages de fichiers ou d’imprimantes sous Windows NT. Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou par interception/modification des messages. De plus, les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Le SP 3 introduit une version plus performante des services offerts par le protocole SMB en incluant un protocole de signature SMB-S (Server Message Block Signing). Le protocole de signature SMB-S, également dénommé protocole de partage de fichiers CIFS (Common Internet File Sharing), n’évite pas l’écoute des paquets sur le réseau. Lors du changement du mot de passe par l’utilisateur auprès du SFI, la confidentialité de la chaîne est protégée par le protocole Windows NT CR (Challenge Response) et/ou le protocole de hachage de LM (Lan-Manager). Ce dernier est moins performant que Windows NT CR. Certaines configurations du réseau nécessitent l’emploi du protocole de hachage de LM. Notamment si un serveur utilisant Netware est connecté sur le réseau. Les services Serveur et Station de travail de Windows NT (Démarrage Paramètres Panneau de configuration Services) assurent les fonctionnalités du protocole SMB. Ces services sont disponibles sur toutes les machines sous Windows NT du domaine. Les services SMB-S (services Serveur et Station de travail) devront être activés sur le SFI. Suivant la configuration du réseau, deux cas de figure se présentent et deux solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regedit.exe ou Regdt32.exe (dans le répertoire C:\WINNT\system32) pour créer la rubrique et modifier la valeur. Utiliser l’éditeur de C:\WINNT\System32).
registre
Regedit32.exe
(dans
le
répertoire
Accéder au registre : HKEY_LOCAL_MACHINE
Le 30 août 2000
version 1.0
Page 60
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en ouvrant le menu Edition Ajouter une valeur entrer le nom de la rubrique et son type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en Décimal). Aucun serveur ne nécessite le protocole LM. Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM doivent ne pas accepter ce protocole sur le réseau et refuser de répondre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Pa rameters
Le 30 août 2000
version 1.0
Page 61
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur).
Au moins un serveur nécessite le protocole LM. Il existe au moins un serveur ou une station sur le réseau utilisant Netware et nécessitant le protocole LM.
3.4.2 Verrouillage du compte administrateur sur le domaine Le compte administrateur du domaine est le seul compte impossible à verrouiller. En effet, s’il était possible de le verrouiller, il serait alors possible de verrouiller tous les comptes et d’interdire ainsi complètement l’accès au réseau. L’exécutable Passprop.exe (du Kit de ressources) permet de verrouiller (en réalité, il est non reconnu au niveau du réseau) le compte administrateur sur le réseau. Toutefois, le compte administrateur n’est jamais verrouillé localement. Si un trop grand nombre de tentatives infructueuses d’accès au compte administrateur est détecté, il est particulièrement utile de disposer de cet exécutable. Tous les administrateurs ne disposent pas du Kit de ressources. L’installation (uniquement l’installation) de Passprop.exe est recommandée mais pas impérative.
3.4.3 Gestion des absences des administrateurs Consignes associées : cs 5-1, cs 6-2_Hlk472138476 Un pirate qui dispose de suffisamment de temps, peut prendre possession, élément par élément, du SFI. La seule protection efficace (celle qui est mise en œuvre ici) consiste à laisser au pirate un laps de temps, très inférieur au temps nécessaire au piratage du réseau. Pour réduire ce temps, le SFI sera arrêté pendant les périodes de congés (vacances et fin de semaine). Les administrateurs sont obligés d’arriver les premiers et de partir les derniers. Cette exigence est difficile à respecter (impératifs horaires, déplacement, etc.). Pour remédier à cette contrainte, le SFI peut être branché sur le secteur via un programmateur hebdomadaire (Cette solution est loin d’être la meilleure, ce pis-aller peut provoquer de graves problèmes). Windows NT assurera la reprise du fonctionnement du SFI après la coupure brutale du courant par le programmateur, en consultant le journal de l’ordinateur. Ce programmateur sera dans la pièce du SFI, il bénéficiera des restrictions d’accès au local. Si le CPD et le SFI disposent du même programmateur, des problèmes de durées de reprises entre ces deux ordinateurs peuvent apparaître (le SFI entrant en service avant le CPD). Le temps de démarrage de Windows NT est réglé de façon que le CPD se mette en service avant le SFI. La méthodologie est la suivante : Accéder à l’Explorateur Windows NT Explorateur Windows NT).
(Démarrer
Programmes
Modifier les attributs du fichier C:\boot.ini (clique droit sur le fichier Propriétés supprimer Lecture seule). Valider. Éditer le fichier boot.ini (l’enregistrement du fichier par le traitement de texte sera faite en ASCII). Modifier le fichier (dans l’exemple suivant le temps avant démarrage est de 5 secondes (voir 10 secondes), et 2 modes d’affichage écran sont utilisés).
Le 30 août 2000
version 1.0
Page 62
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Régler les temps d’attente sur le CPD et le SFI afin de démarrer dans l’ordre désiré les deux serveurs et en fonction des créneaux horaires.
3.5
Les comptes Rappelons qu’il existe 2 types de comptes : Les comptes du domaine : (Déclaration d’un compte ouvert sur le CPD et ayant une portée sur le domaine) Comptes locaux : (Déclaration d’un compte ouvert sur le SFI et ayant une portée sur le SFI uniquement)
3.5.1 Les comptes du domaine Consignes associées : cs 12-1, cs 14-1, cs 20-3, cs 20-4, cs 20-5, cs 20-6 Les comptes définis sur le domaine utilisent des répertoires et des fichiers enregistrés sur le SFI. Le schéma suivant présente la structure de ces éléments sur le SFI :
D
Partition G:\ des profils (Administrateurs)
i s q u e ( l e s P u
( to
s
:
p
A r o
d m i n fi ls )
is
t r a t e u r sD ( le s
r e m i è r e s e c t i o n l e s p r o f i ls d e l a
Partition F:\ des sections (Public)
is q u e : P u b r é p e r t o i r e s
l ic c o
R é p e r t o i r e s s( r e é c p t ei o r n t o) i r e c o
d m
m
m
D is q u e : P r i v é s ) r é p e r t o i r e s d
u( l ne
iè r e e s s e c t i o n Ps r e m m u n p ( a t or u s se c l et i o r né p) e
P r e m p r o f il
i è r e u t i li s a t e u r d e l 'u t i li s a t e u r
P r e m iè r e ( r é p e r t o i r e
s e c t io n c o m m u
n
)
P r e m d e l a
S e c o p r o f il
n d d e
S e c o n d e ( r é p e r t o i r e
s e c t io n c o m m u
n
)
S d e
S u
( to
e s
c
o n l e s
u t i li s a t e u r l 'u t i li s a t e u r
d e s e c p r o f i ls
t i o n d e l a
s
P r e m p r o f il
i è r e u t i li s a t e u r d e l 'u t i li s a t e u r
S e c o p r o f il
n d d e
S
e
c t i o
e
u t i li s a t e u r l 'u t i li s a t e u r
n s
s
u i v a n
S e c t i o c t i o n ) R à
é
R à
é
p p
lu p
t o
u
n
s u
iv a
e r t o ir e s ie u r s e r t o ir e t e s le
n
t e
S ( t o u
c o m m u n s e c t i o n s
s
c o s
m m u n e c t i o n s
S d
t e s
P
r e m
i è
Le 30 août 2000
r e
Ss e e c c t o i o n n d
e
iè r e p r e m
u
e e
S s
m la
e c t io n l e r é p
e c t i o n
s
s u
iv a n
t e
l a
n
ti l is a i è r e
t e u r s e c t io
n
e
l a
s
e c t i o
s
e c t i o
s
e c t i o
u ti l is a t e u r n d e s e c t i o n
u ti l is a t e u r o n d e s e c t i o n
e
s u iv a n t e r t o i r e s d
s
version 1.0
e
e )
a t e u r s e c t io
p r o f ils t y p e s ) Ss
n d
s e c t i o n r t o i r e s d
iè r e s e c o
c o n d la s e c
b a s
ti l is r e
i è
c o n d u l a p r e m
r e e
e
s e c t io r t o i r e s
e c o n d e s l e r é p e
P d
( t o u T y p e s d e ( l e s p r o fi ls
e
Partition E:\ des utilisateurs (Privé)
Page 63
e
l a
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.5.1.1
Création des comptes sur le domaine
Consignes associées : cs 10-1, cs 10-2_Hlk472138476 _Hlk479068181 Seuls les comptes administrateurs peuvent ouvrir une session sur SFI. Cette restriction est assurée par le choix des stations attribuées aux utilisateurs du domaines. Lors de la déclaration d’un utilisateur, SFI ne doit jamais figurer dans les champs des stations utilisables (Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs pour le domaine ouvrir la fenêtre Caractéristiques de l’utilisateur en double cliquant sur l’utilisateur Accès depuis). L’exemple suivant présente l’erreur à ne pas commettre :
Erreur à ne pas commettre pour un utilisateur
Les administrateurs accéderont au SFI (et à toutes les stations) via le réseau, comme le montre la fenêtre Accès depuis pour un administrateur :
Pour un Administrateur
Le 30 août 2000
version 1.0
Page 64
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
La définition des caractéristiques de chaque utilisateur du domaine, est effectuées sur le CPD. C’est sur ce serveur que l’administrateur de comptes interdira aux utilisateurs les points suivants : Les ports de communications (COM1, etc.). Les ports UBS. Le partage réseau. Les services DDE sur le réseau. Toutes ces restrictions sont applicables à tous les ordinateurs (sous l’OS Windows NT). Ces limitations sont donc appliquées aussi au SFI. Cette protection en amont est renforcée par la restriction des utilisateurs du domaine pouvant ouvrir une session sur le SFI (uniquement les administrateurs).
3.5.1.2
Les comptes administrateurs du domaine
Consignes associées : cs 8-1, cs 16-3, cs 16-4, cs 16-5, cs 16-6, cs 17-1, cs 207_Hlk479068226 , cs 20-8, cs 24-1, cs 24-2, cs 25-1, cs 25-2, cs 26-1 La définition des comptes Administrateur du domaine, est effectuée sur le CPD. La répartition des droits entre les administrateurs est différente suivant la fonction. La liste suivante présente les droits possédés uniquement par l’administrateur système (définis sur le CPD) : Peut ouvrir une session localement. Peut modifier les performances système. Peut optimiser les processus. Peut modifier les valeurs d’environnement de microprogrammation. Peut installer et désinstaller des pilotes. Peut modifier l’heure système. Peut modifier les priorités de planification. Peut prendre possession de fichiers et objets. Tous les administrateurs possèdent des droits interdits pour les utilisateurs :
Le 30 août 2000
version 1.0
Page 65
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Peut sauvegarder des fichiers et des répertoires Peut restaurer des fichiers et des répertoires Les contraintes pour tous les administrateurs sont indépendantes des fonctions : Durée maximale du mot de passe : 60 jours. Durée minimale de validité du mot de passe : 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe : 10 caractères. Attente de 60 minutes après 4 tentatives échouées. Les administrateurs, voulant effectuer un travail ne nécessitant aucun droits et permissions particuliers, accèderont au SFI en s’authentifiant avec leur compte avec pouvoir minimum (voir le manuel du CPD). Ils utiliseront leur compte avec pleins pouvoirs (le véritable compte administrateur) uniquement si c’est nécessaire. Cette consigne permet de réduire l’utilisation des comptes important et ainsi de minimiser les risques de vols de session ou de piratage des mots de passe administrateur.
3.5.1.3
Le profil des utilisateurs
Lors de la création des utilisateurs, le profil est déclaré errant (attaché au domaine et non à chaque ordinateur). Ils sont enregistrés dans le répertoire
Valider par la touche OK. _Hlk472138476
3.5.1.4
Le répertoire de base des utilisateurs
Lors de la création des utilisateurs, le répertoire de base créé sur la partition Privée du SFI. Il suffit de remplir le champ Chemin du profil de l’utilisateur avec « \\SFI\Profils\
Le 30 août 2000
version 1.0
Page 66
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
%USERNAME% » (voir le manuel sur le CPD) pour que ce répertoire soit créé. La variable %USERNAME% sera remplacée par le contenu de la variable Utilisateur (Delage.Logistique dans notre cas) lors de la création de ce répertoire.
Valider par la touche OK. Créer le répertoire de base dans le répertoire de la section correspondante de la partition Privée et lui attribuer les droits suivants :
3.5.1.5
•
Modifier pour l’utilisateur.
•
Contrôle total pour l’administrateur de compte.
Les scripts de démarrage
Consignes associées : cs 19-3_Hlk472138476 Si des scripts de démarrage sont utilisés, ils seront enregistrés dans le répertoire %SystemRoot%\System32\REPL\Import\Scripts\ sur le CPD. Lors de la création des utilisateurs, le champ script est rempli avec la localisation du script :
Le 30 août 2000
version 1.0
Page 67
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Remplacer
3.5.2 Les comptes locaux 3.5.2.1
Le compte local Invité
Consignes associées : cs 22-1 Ce compte local ne peut pas être détruit. Ce compte doit être désactivé (rendu inoffensif pour la sécurité). Pour désactiver ce compte :
Le 30 août 2000
version 1.0
Page 68
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir l’application "gestionnaire des utilisateurs" sur le SFI (Démarrer Programmes Outils d’administration) puis sélectionner Invité dans la liste des noms d'utilisateurs. Les caractéristiques du compte Invité sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case L'utilisateur ne peut pas changer le mot de passe. Cocher la case Compte désactivé.
Définir le groupe en cliquant sur la touche Groupes. Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et ne pouvant pas utiliser les stations :
Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
Bouton Numérotation : Ne pas cocher permissions d'appel à l'utilisateur.
la
case
Accorder
les
Valider par la touche OK. Sélectionner Menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte Invité est maintenant complètement inhibé.
3.5.2.2
Les comptes locaux prédéfinis
Consignes associées : cs 22-1 Plusieurs comptes prédéfinis et impossibles à supprimer sont créés par Windows NT. Tous les comptes prédéfinis, à l’exception du compte administrateur, sont désactivés de la même manière que le compte Invité local.
3.5.2.3
Le compte local Administrateur
Consignes associées : cs 21-2, cs 21-3, cs 23-1, cs 23-2 Comme le compte Invité local, ce compte ne peut pas être détruit. Ce compte (et éventuellement le compte du RSSI) est conservé sous un aspect banalisé :
Le 30 août 2000
version 1.0
Page 69
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis sélectionner Administrateur dans la liste des noms d'utilisateur. Les caractéristiques du compte « Administrateur » sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case Le mot de passe n'expire jamais, sinon il faudra le changer périodiquement. Bouton Numérotation : ne pas cocher la case Accorder les permissions d'appel à l'utilisateur. Valider par la touche OK. Sélectionner menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte « Administrateur » est maintenant caché. Les caractéristiques de ces comptes locaux sont identiques à celles définies sur le domaine : Durée maximale du mot de passe : 60 jours. Durée minimale de validité du mot de passe : 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe : 10 caractères. Attente de 60 minutes après 4 tentatives échouées.
3.6
Protection des registres Pour plus de détails sur les registres, vous pouvez lire le manuel du CPD. Rappelons simplement que c’est un ensemble de fichiers contenant des bases de données dont les enregistrements contrôlent l’ordinateur. Ils se composent de : Clés. Rubriques. Valeurs. Les registres sont : HKEY_LOCAL_MACHINE
(HKLM)
HKEY_CLASSES_ROOT
(HKCR)
HKEY_DYN_DATA
(HKDD)
HKEY_USERS
(HKU)
HKEY_CURRENT_USER
(HKCU)
HKEY_CURRENT_CONFIG (HKCC)
3.6.1 Modifications des registres Consignes associées : cs 7-2, cs 19-1, cs 19-2, cs 19-4 Clés utilisées lors de l’ouverture d’une session
Le 30 août 2000
version 1.0
Page 70
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Rubrique LegalNoticeCaption : valeur « Titre de l’Armée de Terre » (type REG_SZ) (active une fenêtre à l’ouverture de session) Rubrique LegalNoticeText : valeur « Message de l’Armée de Terre » (type REG_SZ) (écrit un texte dans la fenêtre, à l’ouverture de session) Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY) (empêche l’ouverture automatique d’une session) Rubrique CachedLogonsCount : valeur 0 (type REG_SZ) (l’utilisateur ne peut s’authentifier qu’après une réponse du SFI) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD) (active le protocole de signature des échanges SMB-S) Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD) (impose que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique RestrictAnonymous : valeur 1 (type REG_DWORD) (empêche l’ouverture d’une session non authentifiée par la commande net use) Clés utilisées lors de la fermeture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ) (Interdit l’arrêt de l’ordinateur SFI sans ouverture d’une session). Rubrique DontDisplayLastUserName : valeur 1 (type REG_SZ) (n’affiche plus le nom du dernier utilisateur (un administrateur) à l’ouverture de session). Rubrique AllocateFloppies avec la valeur 1 (type REG_DWORD) (Désactive le lecteur de disquette sur un SFI difficilement sécurisable) HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD) (Nettoyage du fichier d’échange d’une session) Clés utilisées pour la configuration matérielle de l’ordinateur. HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname Rubrique Autorun avec la valeur : 0 (type REG_DWORD) (Empêche le démarrage en autorun du lecteur de CD-ROM) Clés utilisées pour la configuration de logiciels. HKLM\SYSTEM\CurrentControlSet\Services\CDROM Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD) (sécurité supplémentaire, empêchant le compte invité de consulter le journal des événements) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique SubmitControl : valeur 0 (type REG_DWORD) (la planification des tâches est utilisable uniquement par l’administrateur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique Notification Packages, remplacer FPNWCLNT par PASSFILT (amélioration du filtrage des mots de passe)
3.6.2 Sécurisation des fichiers de registres Consignes associées : cs 16-1, cs 16-2
Le 30 août 2000
version 1.0
Page 71
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le SFI est un ordinateur dédié. Seul l’administrateur système pourra modifier les registres. Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes pour la sécurité du système. Certains documents vous présenteront ces répertoires sous une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent l’expression %SystemRoot%\System32\Repair. Le répertoire %SystemRoot% est celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas). Le SFI est un ordinateur dédié. Les administrateurs l’utilisent uniquement pour la gestion des profils et des répertoires de base. Seul l’administrateur système peut modifier le comportement du SFI et donc les clés. L’administrateur système et le système posséderont le Contrôle total sur les registres. Les fichiers liés à la ruche sont : Administrate ur système
Réseau
Système
Chaque section
C:\WINNT\System32\Conf ig
Contrôle total
Aucun
Contrôle total
Aucun
C:\WINNT\Repair
Contrôle total
Aucun
Lister
Aucun
C:\WINNT\REPL\IMPORT
Contrôle total
Aucun
Contrôle total
Aucun
C:\WINNT\REPL\EXPORT
Contrôle total
Aucun
Contrôle total
Aucun
Répertoires
De la même manière, tous les registres gardés en mémoire pendant une session sont protégés. Ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE. Modifier les permissions des clés (Sécurité Permissions). Ajouter l’administrateur système avec le Contrôle total pour tous les registres. Ajouter l’administrateur de comptes en Lecture pour tous les registres.
3.7
Audit Les journaux des audits servent à détecter une attaque éventuelle sur le SFI. Les événements de l’audit concerneront les points protégés et ceux pouvant présenter un risque pour le bon fonctionnement des ordinateurs. Les journaux d’audit sont les traces des anomalies apparues sur le réseau, l’administrateur doit posséder une méthodologie de gestion des journaux (contre les journaux trop volumineux, pour un archivage et une sauvegarde). Nous traiterons : Les événements de l’audit du SFI. La gestion des journaux d’audits.
Le 30 août 2000
version 1.0
Page 72
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
3.7.1 Événements de sécurité des audits Consignes associées : cs 28-1, cs 28-2_Hlk472138476 _Hlk472138476
3.7.1.1
Audit sur les sessions
Pour inscrire les événements d’une session dans les journaux d’audits, ouvrir le Gestionnaire des utilisateurs (Démarrer Programmes Outils d'administration). Accéder au menu : Stratégie d’audit puis activer l’audit (bouton Auditer ces événements). Créer les audits pour : Enregistrer les événements de l’audit suivants : •
Ouverture et fermeture d’une session : Administrateur de la sécurité :
Échecs
•
Accès fichier et objet : Administrateur de la sécurité :
Échecs
•
Utilisation des droits de l’utilisateur : Administrateur de la sécurité : Succès
Échecs
•
Gestion des utilisateurs et groupes : Administrateur de la sécurité : Succès
Échecs
•
Modification stratégie sécurité : Administrateur de la sécurité :
Échecs
•
Redémarrage, arrêt et système : Administrateur de la sécurité : Succès Valider par la touche OK.
3.7.1.2
Échecs
Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit – Clé de registre (Sécurité Audit). Créer les audits et les auditeurs : Bouton Ajouter. Choisir Administrateur de la sécurité. Valider par la touche OK. Le SFI étant le serveur important, les manipulations de sa ruche seront inscrites dans les journaux.
Le 30 août 2000
•
Les clés : HKEY_LOCAL_MACHINE\SOFTWARE HKEY_LOCAL_MACHINE\SYSTEM HKEY_CLASS_ROOT
•
Les événements de l’audit : Positionner la valeur : Administrateur de la sécurité : Échecs Créer une sous-clé : Administrateur de la sécurité : Échecs Créer la liaison : Administrateur de la sécurité : Échecs Supprimer :
version 1.0
Succès Succès Succès
Page 73
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Administrateur de la sécurité : Échecs Écrire le DAC : Administrateur de la sécurité : Échecs
Succès Succès
Fermer la ruche.
3.7.2 La gestion des journaux d’audits 3.7.2.1
Tailles des journaux d’événements
Consignes associées : cs 27-1, cs 27-2_Hlk472138476 _Hlk472138476 Il est nécessaire de limiter les tailles des journaux pour éviter une saturation des partitions. A contrario, il est inutile de prévoir des tailles trop importantes et de n’utiliser qu’une partie de l’espace réservé. Les tailles allouées pour les journaux sont modifiables dans le menu : Démarrer Programmes Outils d’administration Observateur d’événements Journal Paramètres du journal Taille Maximale du journal. Elle sont toujours des multiples de 64 ko. Les dimensions retenues dans la mise en œuvre correspondent à une durée de 2 semaines entre chaque consultation :
Journal sécurité
2 à 4 Mo.
Journal système
1 à 2 Mo.
Journal applications
1 à 2 Mo.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser les plus anciens événements. Il suffit de cocher la case Écraser les événements si nécessaire de la même fenêtre.
Journal sécurité
Écraser les événements si nécessaire.
Journal système
Écraser les événements si nécessaire.
Journal applications
Écraser les événements si nécessaire.
3.7.2.2
Sauvegarde des journaux d’événements
Consignes associées : cs 27-3, cs 27-4_Hlk472138476 _Hlk472138476
Le 30 août 2000
version 1.0
Page 74
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour détecter :
Une attaque éventuelle.
Les problèmes matériels.
Les problèmes informatiques. Les journaux du domaine seront enregistrés tous les mois sur le serveur de fichiers, sur la partition Administrateurs (dans un répertoire (Journaux\
Le 30 août 2000
version 1.0
Page 75
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
ANNEXE Annexe A :
Schéma d’un réseau Windows NT
Annexe B :
Les profils
Le 30 août 2000
version 1.0
Page 1
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
A.
SCHÉMA D’UN RÉSEAU WINDOWS NT 4.0
Cette annexe donne une vision simplifiée des comptes du domaine et locaux, ainsi que la portée des éléments associés à ces comptes.
Portée de : - l ’Administrateur du domaine - les utilisateurs du domaine - les invités du domaine - les groupes du domaine Les utilisateurs définis sur le CPD sont définis sur le domaine entier Portée de : - l ’administrateur local - l ’Utilisateur local - l ’Invité local
Poste Serveur de fichiers
CPD
Poste Serveur Windows NT 4.0
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Imprimante partagée
Imprimante locale
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local
Portée de : Poste Client NT 4.0 Le terme local un caractère lié à la station et donc non reconnu par le réseau. - l indique ’Administrateur local Workstation - l ’Utilisateur localcaractère lié au réseau et donc commun à toutes les stations sauf dans Le terme global indique un - l ’Invité local un cas explicitement précisé (par le profil Poste Client de NT l’utilisateur). 4.0 Les caractéristiques définies surWorkstation la station sont donc locales (administrateur local) et les caractéristiques définies sur le SFI sont donc globales (administrateur global ou du réseau).
Le 30 août 2000
version 1.0
Page 2
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Réseau Les utilisateurs définis sur le CPD sont définis sur le domaine entier Contient : - les fichiers utilisateurs - la stratégie système - les définitions des machines vues du réseau
Contient : - les profiles communs - les applications - les définitions des machines autonomes
Contient : - les répertoires de base - les répertoires partagés - les profiles errants CPD
Section 1
Poste Client NT 4.0 Workstation
Serveur de fichiers
Section 2
Contient : - les profiles communs - les applications - les définitions des machines autonomes
Poste Client NT 4.0 Workstation
Ce dessin présente la localisation des fichiers, profils et répertoires communs. L’ouverture d’une session permet de transférer lesPoste différentes vers la station utilisée. Poste Client NT 4.0 Client NTinformations 4.0 Workstation Workstation
Le 30 août 2000
version 1.0
Page 3
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Réseau : le domaine
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
CPD
Section 1 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 1
Poste Client NT 4.0 Workstation
SFI
Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs
Section 2 Comptes locaux : - les administrateurs Comptes globaux : - les administrateurs - les pseudo-administrateurs - les utilisateurs de la section 2
Poste Client NT 4.0 Workstation
Ce schéma présente la localisation des fichiers et répertoires communs. L’ouverture d’une session permet de transférer les différentes Poste Client NT 4.0 Posteinformations Client NT 4.0 vers la station utilisée. Workstation Workstation
Le 30 août 2000
version 1.0
Page 4
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
B.
LES PROFILS Les profils sont enregistrés sur le disque dur dans le répertoire dans C:\WINNT\Profils. Le profil complet d’un utilisateur est composé d’une partie commune à toutes les personnes et d’une partie spécifique à cet utilisateur. La première partie est résidente sur la station et propose généralement les applications présentes sur le disque dur local. La seconde partie du profil est dénommée profil errant (puisque dans notre cas il est importé sur la station à l’ouverture d’une session). Le nom de son répertoire est celui de l’utilisateur. La station utilise la variable appelée %USERNAME% pour créer et gérer les profils.
Répertoire du profil de All Users
Répertoire
Le 30 août 2000
du
profil de %USERNAME% %=“Sec1_Util1”)
(sur
version 1.0
la
figure
suivante
%USERNAME
Page 5
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le menu Démarrer se décompose en 2 groupes d’applications, plus le groupe contenant Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes :
Nouveau office Ouvrir un office Programmes Documents Paramètres Rechercher Aide Exécuter
document Contenu dans All Users\Menu Démarrer
Local
document
Arrêter…
Le 30 août 2000
Voir le sous menu suivant Contenu de %USERNAME%\Recent Contenu dans C:\Panneau de configuration Exécute certaines applications locales et globales Exécute WINHLP32.EXE Renvoi la variable ComSpec (Poste de travail Propriété Environnement Sert à arrêter l’ordinateur.
version 1.0
Global Local Local Local Local
Page 6
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes :
Accessoires Démarrage Mes outils d’administration Startup Documents en ligne Explorateur Windows NT Internet Explorer Invite de commandes Démarrage Outils d’administration Microsoft Access Microsoft Excel Microsoft Outlook Microsoft Photo Editor Microsoft PowerPoint Microsoft Word
Concerne le profil %USERNAME% Contenu de Démarrer\Programmes
%USERNAME%\Menu Globa l
Concerne le profil All USERS Contenu dans All USERS\Menu Démarrer\Programmes
Local
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes rend cette application disponible par tous les utilisateurs. Le raccourci d’une application copié dans %USERNAME %\Menu Démarrer\Programmes rend cette application disponible pour un seul utilisateur. Le profil Default User est utilisé pour des clients DHCP ou pour une personne inconnue (ces deux utilisateurs sont interdits sur le réseau).
Le 30 août 2000
version 1.0
Page 7
Related Documents
Serveur De Fichiers Et D'impression
June 2020 5
Fichiers Indexes
June 2020 14
Serveur Samba
June 2020 9
Serveur%20vpn
July 2020 5
