Station De Travail
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Station De Travail as PDF for free.
More details
- Words: 33,526
- Pages: 129
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE
GUIDE DE PARAMETRAGE Manuel Windows NT 4.0 Workstation Station de travail sous Windows NT 4.0 Workstation
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation préalable.
Manuel Windows NT 4.0 Workstation Station de travail
SUIVI DU DOCUMENT
VERSION
DATE
1
23/08/2000
MODIFICATIONS Validation du document
NOM LCL PHILIPPOT CBA COLONGES CEN BOURGES
SUIVI DU DOCUMENT
Le 06/06/2000
version 1.0
Page i
Manuel Windows NT 4.0 Workstation Station de travail
PAGES
DESCRIPTION DES MODIFICATIONS INTRODUITES
MODIFIÉES
DEPUIS LE DOCUMENT PRÉCÉDENT
Le 06/06/2000
version 1.0
Page ii
Manuel Windows NT 4.0 Workstation Station de travail
Sommaire Sommaire.........................................................................................iii 1. Introduction...................................................................................2 1.1 1.2 1.3 1.4
Objet...............................................................................................................2 Objectifs recherchés ........................................................................................2 Structure du document....................................................................................2 Recommandations, symboles et conventions...................................................3 1.4.1 Le niveau d’exigence.................................................................................................3 1.4.2 Le niveau de gêne..................................................................................................... 3 1.4.3 Conventions de signes et de polices .......................................................................... 3 1.5 Considérations générales ................................................................................4 1.5.1 Contexte de référence...............................................................................................4 1.5.2 Configuration matérielle et logicielle.........................................................................5 1.5.3 Plan d'adressage et plan de nommage......................................................................5 1.5.4 Personnes concernées, rôles et responsabilités ........................................................ 5
2. Consignes de sécurité.....................................................................6 2.1 Protection de la configuration matérielle du poste...........................................7 2.1.1 Protection physique du poste....................................................................................7 2.1.2 Protection de la configuration matérielle................................................................... 8 2.2 Protection de l’accès local au poste...............................................................10 2.2.1 Protection du compte utilisateur ............................................................................. 11 2.2.2 Protection du compte Administrateur local............................................................. 14 2.2.3 Protection du compte "Invité" local......................................................................... 15 2.2.4 Protéger le compte en cours de session.................................................................. 15 2.2.5 La confidentialité..................................................................................................... 16 2.3 Protection du poste vis à vis des accès distants.............................................18 2.3.1 Protection vis à vis des accès hors réseau local (modem).......................................18 2.3.2 Protection vis à vis des accès réseau...................................................................... 20 2.4 Protection des ressources locales..................................................................24 2.4.1 Partitions du disque................................................................................................. 24 2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles .......................24 2.5 Points divers.................................................................................................25 2.6 Protéger les paramètres systèmes .................................................................28 2.6.1 Protéger les paramètres systèmes.......................................................................... 28 2.6.2 Restriction des modifications des pilotes................................................................ 30 2.6.3 Protection de l'intégrité des données et des applications ........................................31 2.7 Audit.............................................................................................................32 2.7.1 Date et heure.......................................................................................................... 32 2.7.2 Protection de l’audit................................................................................................ 32 2.7.3 Événements de sécurité des audits ......................................................................... 34 2.7.4 Auto surveillance par l’utilisateur............................................................................ 35 2.8 Protection des applications bureautiques .......................................................36 2.8.1 Protection des applications du Pack Office pro 97...................................................36 2.8.2 Protection « d'Internet Explorer V 4 ou V 5 »...........................................................38 2.8.3 Protection de « Outlook Express »........................................................................... 39 2.8.4 Protection de « Winzip V 6.3 »................................................................................. 39 2.8.5 Protection de « Netscape Communicator »..............................................................40 2.8.6 Protection de « F-Secure Anti-Virus »...................................................................... 41
3. Mise en œuvre..............................................................................42 3.1 Protection de la configuration matérielle du poste.........................................42 3.1.1 Protection physique du poste.................................................................................. 42 3.1.2 Configuration du SETUP du BIOS............................................................................. 42 3.1.3 Configuration du disque dur local............................................................................ 43 3.2 Configuration de Windows NT 4.0 Works Station............................................46 3.2.1 Les Services Pack.................................................................................................... 46 3.2.2 Les services............................................................................................................. 55 3.2.3 Remarques sur les services ..................................................................................... 61 3.2.4 Options de configuration de Windows NT................................................................ 61
Le 06/06/2000
version 1.0
Page iii
Manuel Windows NT 4.0 Workstation Station de travail
3.3 Définition des comptes ..................................................................................65 3.3.1 Définition des comptes ouverts sur le domaine.......................................................66 3.3.2 Définition des comptes ouverts sur une station...................................................... 74 3.4 Utilisation des registres .................................................................................76 3.4.1 Sécurisation des fichiers de registres ...................................................................... 79 3.4.2 Modification des registres........................................................................................ 80 3.4.3 Sécurisation des registres....................................................................................... 82 3.5 Configuration des permissions d'accès (partage et sécurité) aux ressources locales................................................................................................................86 3.6 Configuration de l’audit.................................................................................86 3.6.1 Les événements de l’audit....................................................................................... 87 3.6.2 La gestion des journaux d’audits ............................................................................. 94 3.7 Configuration des applications.......................................................................97 3.7.1 Les registres des applications................................................................................. 97 3.7.2 Les documents antérieurs ....................................................................................... 97 3.7.3 Les répertoires de travail......................................................................................... 98 3.7.4 Les protections contre les virus de macros ............................................................. 99 3.7.5 Paramétrage d’Internet Explorer........................................................................... 100 3.7.6 Paramétrage de Communicator V4........................................................................ 101 3.7.7 Protection contre les virus (F-Secure).................................................................... 104
A. Schéma d’un réseau Windows NT 4.0..........................................107 A. Permissions/Droits et Sécurité/Partage........................................109 A.1 Les Permissions NTFS..................................................................................109 A.2 Les permissions d’un partage......................................................................119 A.3 Exemples.....................................................................................................120 A.3.1 Partage d’une imprimante locale.......................................................................... 120 A.3.2 Partage et sécurité sur des fichiers et répertoires .................................................120
B. Les profils...................................................................................123
Le 06/06/2000
version 1.0
Page iv
Manuel Windows NT 4.0 Workstation Station de travail
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 1
Manuel Windows NT 4.0 Workstation Station de travail
1.
INTRODUCTION
1.1
Objet Ce document présente les directives de sécurisation d'une station de travail NT cliente connectée à un réseau. Les caractéristiques spécifiques aux serveurs sont traitées dans d'autres documents. Cependant certains points de sécurité sont mis en œuvre au niveau des serveurs (le Contrôleur Principal de Domaine et le Serveur de Fichiers et d’Impression). Citons pour exemple la limitation de l’horaire pour l’ouverture d’une session sur le poste de travail. Ces points de sécurité seront traités dans ce document en précisant le nom du serveur en caractères gras et soulignés (CPD).
1.2
Objectifs recherchés L'objectif est de fournir les directives standardisées de configuration des paramètres de sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels supplémentaires. Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la bureautique de l'armée de Terre. Ce document ne concerne que le paramétrage de la sécurité d'une station de travail destinée à un seul utilisateur.
1.3
Structure du document Ce document comprend deux parties. La première partie rassemble l'ensemble des points de sécurité (actions et valeur des paramètres) qui doivent être pris en compte. La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes définies précédemment. La correspondance entre les points de sécurité (consignes) et les fiches de mise en œuvre est réalisée par un référencement croisé. La dernière partie contient une annexe décrivant les différences entre les permissions associées au partage et celles disponibles par la sécurité.
Le 06/06/2000
version 1.0
Page 2
Manuel Windows NT 4.0 Workstation Station de travail
1.4
Recommandations, symboles et conventions Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et par le niveau de gêne sur l'utilisation du poste.
1.4.1 Le niveau d’exigence Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité. Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire de Obligatoire le positionner à la valeur recommandée afin de garantir la sécurité du système. Le paramètre affecté devrait être réglé à la valeur recommandée, mais ce Obligatoire réglage peut rendre inopérant certains services déjà existants. C'est au RSSI sauf (Responsable Sécurité du Système d’Information) de juger si les contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non par technique d'autres moyens. Dés disparition des logiciels/matériels générant le conflit, le paramètre doit être réglé conformément aux préconisations de ce guide. Niveau le plus faible correspondant à une préconisation. Le paramètre peut dépendre de la politique de sécurité locale mise en place. On indiquera Préconisé simplement une valeur minimale à respecter pour garantir un niveau de sécurité satisfaisant.
1.4.2 Le niveau de gêne Le niveau de gêne occasionnée se décline en trois niveaux :
Le paramétrage n'introduit pas de gêne à l'exploitation du poste.
Le paramétrage est susceptible de gêner faiblement l'utilisateur lors d'opérations particulières identifiées mais peu fréquentes.
Le paramétrage est susceptible de gêner l'utilisateur lors d'opérations courantes identifiées ou non.
1.4.3 Conventions de signes et de polices
Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème consigne du 10ème groupe de consignes de ce manuel. Gras Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une mise en œuvre. Souligné
Le 06/06/2000
Indique une mise en garde ou une restriction importante.
version 1.0
Page 3
Manuel Windows NT 4.0 Workstation Station de travail
1.5
Considérations générales Les hypothèses suivantes sont faites sur la configuration matérielle et sur les responsabilités.
1.5.1 Contexte de référence L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure suivante.
Serveur NT 4.0 Contrôleur Principal de Dom aine et serveur DNS (primaire)
Locaux à accès contrôlé Serveur de fichiers et d ’impressions (NT 4.0 ou NETWARE ou SAMBA/LINUX)
Serveur NT 4.0 Contrôleur Secondaire de Dom aine et serveur DNS (secondaire)
Réseau T CP/IP sur ETHERNET
Section 1
Section 2
Imprimante partagée
Poste Client NT 4.0 Workstation Imprimante partagée
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Imprimante dédiée Poste Client NT 4.0 Workstation Poste Client NT 4.0 Workstation
Figure 1 Architecture de référence pour un site Hypothèses retenues pour un site donné : Le réseau local est un réseau ethernet. Le protocole réseau est IP V4 et IPX. Les postes individuels de travail sont des machines récentes à base de processeur Intel avec le système d'exploitation "Windows NT 4.0 Workstation". Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0).
Le 06/06/2000
version 1.0
Page 4
Manuel Windows NT 4.0 Workstation Station de travail
Ce serveur assure également la fonction de serveur de noms IP (DNS). Il y a un serveur de fichiers et d'impression. Ce serveur est : •
soit un serveur NT 4.0 (SP 5),
•
soit un serveur Netware 4.11 (SP 7),
•
soit un serveur SAMBA mis en œuvre sous UNIX.
Les imprimantes partagées sont directement raccordées au réseau. Certaines imprimantes (dédiées) sont directement rattachées au poste de travail et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du réseau. Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur Principal de Domaine, la configuration de ce serveur est hors du champ de l'étude).
1.5.2 Configuration matérielle et logicielle Le poste de travail à sécuriser est supposé être dans l'état suivant : Windows NT 4.0 est installé sur toutes les stations de travail. Le système d'exploitation Windows NT 4.0 a été installé et mis à jour avec le SP 5. Les composants réseau ont été installés lors de l'installation de Windows NT. La configuration logicielle concerne les applications suivantes : • • • • • •
Pack Office pro 97 ; Antivirus de l’armée de terre en réseau ; Winzip V 6.3 ; Netscape Communicator V 4 ; Internet Explorer V 4 ou V 5 ; Outlook Express.
1.5.3 Plan d'adressage et plan de nommage Le plan d'adressage doit être conforme au plan « IP Défense ».
1.5.4 Personnes concernées, rôles et responsabilités On retient 3 rôles : L’utilisateur du poste de travail Il ne doit pas avoir accès aux paramètres de configuration système de son poste de travail. Il ne doit pas être en mesure d’installer un autre système d’exploitation. Il est responsable des informations qu’il produit et de celles auxquelles il accède. Il doit être sensibilisé à la démarche de sécurité notamment pour bien choisir ses mots de passe et les changer régulièrement. L'administrateur local L'administrateur local du poste de travail est responsable de la configuration initiale du poste de travail et de ses évolutions. Le RSSI Responsable de la politique SSI, de son application et de son contrôle.
Le 06/06/2000
version 1.0
Page 5
Manuel Windows NT 4.0 Workstation Station de travail
2.
CONSIGNES DE SÉCURITÉ Les consignes de sécurité sont rassemblées par thèmes : 1. Protection physique du poste. Il s’agit des consignes relatives au SETUP du BIOS et aux équipements physiques. 2. Protection de l’accès local au poste. Il s’agit de la protection des comptes présents sur le poste. 3. Protection du poste vis à vis des accès distants. Il s’agit des consignes interdisant l’accès au poste via un modem. 4. Protection des ressources locales. Il s’agit des consignes relatives à la gestion des ressources du poste. 5. Points divers. Regroupe des consignes de sécurité supplémentaires. 6. Protéger les paramètres systèmes. Concerne les consignes de protection de la configuration d’un système vis à vis d’un utilisateur. 7. Audit. Concerne les événements figurant dans l’audit et les consignes d’utilisation des journaux. 8. Protection des applications bureautiques. Il s’agit des consignes de sécurité particulières prises pour les applications bureautiques.
Le 06/06/2000
version 1.0
Page 6
Manuel Windows NT 4.0 Workstation Station de travail
2.1
Protection de la configuration matérielle du poste
2.1.1 Protection physique du poste Groupe de consignes : 1 cs 1-1 : Protéger l’intégrité physique du poste.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Rendre impossible le remplacement et le vol et protéger la configuration matérielle du poste en empêchant l'installation de composants physiques, (disque, carte réseau, carte modem, carte d'entrées/sorties, etc.). Remarque : L’ordinateur doit être équipé d’un antivol (un câble par exemple). Il doit relier le support de l’ordinateur, à l’unité centrale ainsi qu’au capot de l’ordinateur. Il empêchera le déplacement de l’ordinateur et l’accès à ses composants internes (cartes, disques durs, etc.). Les clés de ces antivols seront sous la responsabilité de l’administrateur système. Il sera le seul à pouvoir déplacer un ordinateur et à modifier sa configuration physique interne. Cet antivol permet de garantir l’homogénéité du parc informatique et limite toutes tentatives de piratage par vol, par ajout d’un disque dur supplémentaire, par raccordement de l’ordinateur à un réseau externe via un modem et par effacement des données présentes en mémoire non volatile (mot de passe BIOS en particulier). Mise en œuvre :
3.1.1 Protection physique du poste
cs 1-2 : Audit de l’intégrité physique du poste.
Niveau d'exigence :
Niveau de gêne :
Objectif : Alerter visuellement les utilisateurs du domaine, d’une tentative d’attaque de la configuration matérielle du poste ou de sa mémoire non volatile. Remarque : Chaque station de travail doit posséder des étiquettes d’inviolabilité. Elles seront apposées à cheval sur les jonctions du capot et du boîtier (imposant leur déchirure lors de l’ouverture de l’unité centrale). Deux étiquettes seront collées au minimum. L’une sur la façade et l’autre à l’arrière de la station. Les deux étiquettes seront contrôlées lors de la vérification visuelle hebdomadaire. Certains ordinateurs peuvent imposer l’utilisation d’un grand nombre d’étiquettes (les tours géantes). Il faudra veiller à ce qu’une étiquette au moins soit déchirée lors de l’ouverture du capot (Attention : le panneau peut être tordu, l’étiquette est collée sur le capot et une pièce détachable du boîtier, etc.). Mise en œuvre :
Le 06/06/2000
3.1.1 Protection physique du poste
version 1.0
Page 7
Manuel Windows NT 4.0 Workstation Station de travail
2.1.2 Protection de la configuration matérielle Groupe de consignes : 2 cs 2-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger la configuration des paramètres de bas niveau.
Remarque : Le mot de passe ne doit pas être le même sur toutes les machines d’un site. Limiter la réutilisation d’un mot de passe à une grappe de postes (environ 10). Le mot de passe doit être modifié lors du changement d’administrateur et périodiquement (une fois par an). A priori, il n’est pas nécessaire de fixer un « user password » car ce dernier serait demandé de façon systématique à l’utilisateur qui souhaite utiliser le poste de travail lors du démarrage de la machine avant le chargement du système d’exploitation. Le fait que le BIOS soit présent en mémoire flash permet de le mettre à jour, voire de le charger à partir d’un fichier sur disquette. Selon le type de carte mère, le flashage du BIOS se fait avec ou sans positionnement de cavaliers sur la carte. Par ailleurs, il existe un mot de passe « universel » par fournisseur de BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ». Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué quand la vérification de la somme de contrôle des paramètres du BIOS est erronée (erreur sur checkSum). En conséquence, les protections envisageables par l’intermédiaire des options du BIOS doivent être considérées comme des mesures contournables qui sont seulement destinées à empêcher des maladresses de la part d’utilisateurs peu expérimentés ou de pirates occasionnels. Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 2-2 : N’autoriser que le périphérique C dans la séquence de Boot.
Niveau d'exigence :
Niveau de gêne :
Objectif : Ceci interdit d’utiliser le poste de travail en contournant les protections de Windows NT par l’installation d’un autre système d’exploitation présent sur une autre partition ou un support amovible (disquette ou CD-ROM, etc.). Remarque : Le disque dur de l’ordinateur contenant le système doit être déclaré comme maître et connecté sur le port IDE 0 (premier port IDE de la carte mère) afin d’éviter l’implantation d’un système multi-boots sur un second disque dur. Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS, 3.1.3 Configuration du disque dur local
Le 06/06/2000
version 1.0
Page 8
Manuel Windows NT 4.0 Workstation Station de travail
cs 2-3 : Interdire l’utilisation des ports série.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Cette interdiction empêchera l’utilisation d’un modem (raccordé sur le port série) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’intrusion à distance). Rappelons que rien n’empêche l’administrateur système de visiter les locaux pour s’assurer visuellement de l’absence de modems. Remarque : Cette consigne suppose que la souris est raccordée via un port spécifique (port souris). Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 2-4 : Inhiber les ports USB.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’intrusion à distance). Remarque : Cependant la future généralisation des claviers et des souris USB, et la disparition progressive des ports spécifiques (clavier et souris) rendront impossible cette restriction. Mise en œuvre :
Le 06/06/2000
3.1.2 Configuration du SETUP du BIOS
version 1.0
Page 9
Manuel Windows NT 4.0 Workstation Station de travail
2.2
Protection de l’accès local au poste Groupe de consignes : 3 cs 3-1 : Présentation d’un message de mise en garde à l’ouverture d’une session.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Permet de présenter un message de mise en garde à l’écran juste après l’ouverture d’une session. Deux clés de registre réalisent cette option et devront être protégées ainsi que les fichiers de ces registres. Paramètres :
le registre, les clés et les valeurs sont les suivants :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon\LegalNoticeCaption Mettre la valeur : « Station de travail de l’Armée de terre » HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon\LegalNoticeText Mette la valeur : « Vous devez être autorisé(e) pour poursuivre ! » Mise en œuvre : 3.2.4 Options de configuration de Windows NT, 3.4 Utilisation des registres
cs 3-2 : Présentation d’un message de mise en garde pendant la veille du poste.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Ce message de mise en garde est visible à l’écran lorsque l’ordinateur est en veille. Lors de l’éveil de la station, l’utilisateur devra se connecter et entrer son mot de passe. Ce message sert uniquement à éviter qu’une personne non habilitée utilise un ordinateur et prétende ignorer son caractère sensible. Paramètres : Démarrer Paramètres Panneau de configuration Affichage Écran de veille Sous la rubrique écran de veille : Message Paramètres « Message de l’armée de terre » Choisir la vitesse la plus lente, un fond et une police de caractères adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran). Protéger en écriture les clés, le programme et les fichiers des registres correspondants : Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité , 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 10
Manuel Windows NT 4.0 Workstation Station de travail
cs 3-3 : Présentation d’un message de mise en garde sur le poste.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Une étiquette est collée sur l’ordinateur et de manière très visible (sur le cadre de l’écran en général, ainsi qu’au-dessus des lecteurs de disquettes et du CD-ROM). Elle informe l’utilisateur du degré de sensibilité de la station et de son niveau de confidentialité. Mise en œuvre :
3.1 Protection de la configuration matérielle du poste
2.2.1 Protection du compte utilisateur Groupe de consignes : 4 Les utilisateurs doivent être sensibilisés à la démarche de sécurité afin qu'ils acceptent les contraintes que les paramètres suivants imposent (changement tous les 60 jours, 6 mots de passe différents pour l'année). Cette fréquence et cette diversité relativement élevées peuvent conduire les utilisateurs à noter leur mot de passe sur un papier rangé à proximité de leur poste.
cs 4-1 : Fixer la durée maximale du mot de passe à 60 jours.
Niveau d'exigence :
Niveau de gêne :
Objectif : Modifier le mot de passe fréquemment pour ne pas favoriser les intrusions. Remarque : Il est souvent difficile de trouver et de mémoriser les mots de passe. La fréquence de changement des mots de passe et leur diversité peuvent conduire les utilisateurs à noter leur mot de passe sur un papier rangé à proximité de leur poste. Deux solutions simples pour élaborer un mot de passe, consistent : Prendre les initiales d’une phrase : Les deux zèbres vont dans la savane immense donne par exemple L2zvdlsl. Éviter les titres de films ou de livres trop connus (le prix Goncourt du moment) et les phrases commençant par C’est … (deux lettres du mot de passe sont identifiées). Utiliser un mot coupé par des signes : « trapèze » donne tra\pè#ze. Beaucoup de logiciels de découverte des mots de passe utilisent des algorithmes de séquencement des mots des dictionnaires français et étrangers. Une rotation à droite ou à gauche d’un ou plusieurs caractères (a\pè#zetr) améliore la robustesse du mot de passe. Mise en œuvre : 3.3.1.2 Stratégie de compte (CPD), 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 11
Manuel Windows NT 4.0 Workstation Station de travail
cs 4-2 : Interdire la réutilisation des 6 derniers mots de passe.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas permettre le contournement de la consigne précédente.
Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-3 : Fixer la durée minimale de validité du mot de passe à 5 jours.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas permettre de contourner la consigne précédente.
Remarque : Si la modification immédiate est autorisée, alors le système ne peut pas vérifier que l'utilisateur ne réutilise pas un mot de passe récemment choisi. Mais si la modification n'est pas autorisée dans un délai court, alors l'utilisateur sera dans l'impossibilité de changer seul son mot de passe s'il a choisi un mot de passe trivial ou si son mot de passe a été dévoilé par mégarde. Il devra solliciter l’administrateur. Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-4 : Fixer la longueur minimale du mot de passe à 8 caractères.
Niveau d'exigence :
Niveau de gêne :
Objectif : Conduire l’utilisateur à ne pas choisir des mots de passe facilement repérables. Remarque : la longueur maximale du mot de passe est de 14 caractères. Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-5 : Le filtrage des mots de passe doit être activé.
Niveau d'exigence :
Niveau de gêne :
Objectif : Accroître la résistance du mot de passe en n’autorisant pas l’utilisation de mots courants. Remarque : Le Service Pack 5 (en fait depuis le SP 2) permet de vérifier que les mots de passe respectent les contraintes suivantes : Le mot de passe doit comprendre 6 caractères au minimum. Il doit comporter des caractères choisis dans trois des 4 groupes suivants minuscules : a,b, … z ; majuscules : A,B, … Z ; caractères spéciaux (ponctuation) : , ; : ! ?. , chiffres : 1,2, …0. Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du compte), il ne doit pas comprendre un sous-ensemble du nom de l’utilisateur.
Le 06/06/2000
version 1.0
Page 12
Manuel Windows NT 4.0 Workstation Station de travail
Paramètres : Le fichier passfilt.dll doit être présent dans le répertoire C:\\WINNT\system32. Ajouter la valeur « PASSFILT » dans la clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/No tification Package » Mise en œuvre :
3.2.1.3 Filtrage des mots de passe (CPD)
cs 4-6 : Verrouiller le compte après 5 tentatives infructueuses.
Niveau d'exigence :
Niveau de gêne :
Objectif : Le verrouillage de compte proposé est destiné à faire échec aux attaques en force des comptes. On fixe à 5 les tentatives infructueuses réalisées dans une période de 60 minutes afin de ne pas pénaliser l'utilisateur dans la mesure où les changements sont fréquents. Un tiers ou l'utilisateur ne pourra pas tester plus de 5 mots de passe par heure. Après 5 tentatives infructueuses, le compte sera verrouillé de façon permanente et l'intervention de l'administrateur sera nécessaire pour rendre le compte de nouveau utilisable. Une tentative de découverte d’un mot de passe ne pourra tester que 2976 chaînes (4 chaînes par heure fois 12 heures de travail par jour fois 31 jours par mois fois deux mois [juillet août] égale 2976 chaînes maximum) avant que le mot de passe ne change (pour un utilisateur autorisé à se connecter 12 heures sur 24). Remarque : Si le compte doit être protégé de façon plus rigoureuse en raison des droits de l'utilisateur et des informations qu'il exploite, il convient : de réduire le nombre de tentatives infructueuses acceptables à 2, d'allonger le délai de réinitialisation du compteur à 768 minutes (24 heures). Ceci introduit un risque de déni de service dans la mesure où un tiers peut délibérément bloquer le compte en réalisant 5 tentatives infructueuses. Paramètres : Gestion des utilisateurs Stratégie de compte Verrouillage de compte : cocher Verrouillage après 5 tentatives d'accès infructueuses Réinitialiser le compteur après 60 minutes Durée de verrouillage : Permanente Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-7 : Les utilisateurs doivent ouvrir une session pour changer de mot de passe.
Niveau d'exigence :
Niveau de gêne :
Objectif : Il s'agit de soustraire le compte à des attaques quand l'utilisateur est absent pour une longue période de temps. Mise en œuvre : session
Le 06/06/2000
3.2.4.4 Interdire l’arrêt du système sans ouverture de
version 1.0
Page 13
Manuel Windows NT 4.0 Workstation Station de travail
cs 4-8 : Limiter les horaires d’exploitation d’une session.
Niveau d'exigence :
Niveau de gêne :
Objectif : Il s'agit d’éviter qu’une session soit exploitée en dehors des heures ouvrables normales. La présence de l’utilisateur à ces heures devra être justifiée auprès de l’administrateur. Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
2.2.2 Protection du compte Administrateur local Groupe de consignes : 5 cs 5-1 : Fixer un mot de passe sur 10 caractères au minimum pour l’Administrateur local.
Niveau d'exigence : Objectif :
Niveau de gêne :
Rendre plus difficile la recherche du mot de passe.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Compte tenu de l'étendue des droits attachés à ce compte il faut lui conférer la plus grande protection possible. De plus ce compte apparaît souvent de manière automatique dans des partages et des permissions, il est donc nécessaire d’apporter le plus grand soin au choix de ce mot de passe. Mise en œuvre :
3.3.2.3 Le compte local : « Administrateur »
cs 5-2 : Changer le nom du compte "Administrateur".
Niveau d'exigence : Objectif :
Niveau de gêne :
Rendre plus difficile l'accès à ce compte par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui est associé un nom prédéfini. La connaissance du nom représente la moitié de l'effort à fournir pour prendre le contrôle du poste. Il faut choisir un nom difficile à deviner, et ne pas choisir le même nom pour toutes les machines afin de mettre en œuvre un cloisonnement de sécurité (grappe de postes de sections par exemple) en cas d'intrusion réussie. Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur (CPD), 3.3.2.3 Le compte local : « Administrateur »
Le 06/06/2000
version 1.0
Page 14
Manuel Windows NT 4.0 Workstation Station de travail
2.2.3 Protection du compte "Invité" local Groupe de consignes : 6 cs 6-1 : Inhiber le compte "Invité" local.
Niveau d'exigence : Objectif :
Niveau de gêne :
Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui est associé un mot de passe prédéfini. Le poste est destiné à n’être exploité que par un seul utilisateur. Paramètres : Changer le nom du compte, changer le mot de passe (au moins 10 caractères), retirer le compte du groupe invité, désactiver le compte. Mise en œuvre : 3.3.2.1 Le compte local : « invité » (CPD), 3.3.2.2 Les autres comptes locaux prédéfinis (CPD)
2.2.4 Protéger le compte en cours de session Groupe de consignes : 7 Ces consignes de sécurité permettent de protéger le compte d’un utilisateur pendant une absence prolongée. Deux niveaux de protection sont prévus : la station est verrouillée après 15 minutes, la station est déconnectée du réseau après 2 heures.
cs 7-1 : Verrouillage de la station après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher l’appropriation d’une session lors de l’absence de l’utilisateur. Remarque : Les utilisateurs qui lancent une application demandant un temps de calcul trop long ou qui veulent suspendre leur travail peuvent verrouiller la station. Les résultats ou les documents ne seront pas perdus. Cette contrainte doit être accompagnée d’un mécanisme de déconnexion de la station. En effet, un utilisateur risque de s’absenter en oubliant que sa session n’est pas fermée. Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité , 3.4 Utilisation des registres
cs 7-2 : Déconnexion après un délai d’inactivité de 120 minutes (serveur).
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire l’utilisation d’une session laissée ouverte par une tierce personne.
Le 06/06/2000
version 1.0
Page 15
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Ce second niveau de sécurité a pour but de ne pas laisser une session verrouillée par inadvertance. La station d’un utilisateur se verrouillera après 15 minutes puis sera déconnectée du réseau 1 h ¾ après. Les utilisateurs qui lancent une application qui requiert un long temps de calcul devront faire attention que ce temps soit inférieur à 2 heures pour éviter de perdre les résultats du calcul. Suivant la sensibilité de la station ce temps peut être ramené à un temps plus court ou plus long. Mise en œuvre : (CPD),
3.2.4.3 Fermeture de la session après 2 heures d’inactivité
2.2.5 La confidentialité Groupe de consignes : 8 cs 8-1 : Vider le fichier paginé de mémoire temporaire lors de l’arrêt du système.
Niveau d'exigence :
Niveau de gêne :
Objectif : Évite qu’un utilisateur puisse examiner les informations exploitées par les utilisateurs en cas de vols de disque dur ou de boot sur un autre système. Remarque : Le fichier paginé de mémoire temporaire ou d’échange de Windows NT se comporte comme une mémoire virtuelle. Ce fichier peut contenir des informations sensibles de la session précédente. Il doit être effacé du disque dur lors de la fermeture de la session. Une valeur attribuée à la clé de registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management (avec un espace devant le mot Management) Attribuer la valeur 1 (Type REG_DWORD) à la rubrique ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la fermeture de la session. Si la station est arrêtée brutalement (coupure de courant) la mémoire paginée ne sera pas détruite (le fichier paginé de mémoire temporaire n’est pas effacé du disque dur). Il suffirait de booter sur un second disque dur (déclaré système et maître, le premier disque dur est déclaré esclave) pour accéder au contenu de la mémoire temporaire. Mise en œuvre :
3.4 Utilisation des registres
cs 8-2 : Interdire le verrouillage des pages mémoires temporaires pendant une session.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter un risque de déni de service par saturation de la mémoire temporaire. Remarque : Windows NT autorise un utilisateur à verrouiller le fichier paginé de mémoire temporaire (fichier C:\pagefile.sys). Cette option est disponible dans la Stratégie des droits de l’utilisateur du Gestionnaire des utilisateurs. L’utilisation de ce droit, réserve de la mémoire RAM pour créer un fichier d’échange statique. Le contenu de la mémoire ne peut plus être transféré vers le fichier d’échange (fichier
Le 06/06/2000
version 1.0
Page 16
Manuel Windows NT 4.0 Workstation Station de travail
C:\pagefile.sys) et risque de saturer la mémoire du système. L’ordinateur devient indisponible ce qui provoque un déni de service. Les utilisateur ne doivent jamais disposer de ce droit. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 8-3 : Réduire le nombre de machines utilisables par un utilisateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un utilisateur puisse se connecter sur toutes les stations, même celles déclarées sensibles. Remarque : Par défaut, Windows NT autorise l’ouverture d’une session sur toutes les stations. Il ne fait aucune différence entre les stations, les stations sensibles et les serveurs. L’ouverture d’une session par un utilisateur non habilité, sur une station sensible présente un risque non négligeable. L’administrateur doit réduire le nombre de stations exploitables par un utilisateur, à celles de sa section d’appartenance. Un menu disponible à la création des utilisateurs sur le CPD, permet d’imposer un choix de 8 ordinateurs au maximum pour chaque utilisateur. L’administrateur veillera à délimiter administrativement ses sections de façon qu’un groupe de 8 stations suffisent au fonctionnement de la sections. Si un utilisateur (autre que les administrateurs et le RSSI) doit pouvoir accéder à plus de 8 ordinateurs, il possédera deux comptes (lui donnant accès à 16 machines). Les administrateurs et le RSSI ne sont pas concernés par cette consigne. Ils posséderont le droit d’ouvrir une session sur toutes les stations du réseau.
Paramètres : Remplir le menu des stations de travail accessibles (Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs, double click sur l’utilisateur Ouvre le menu Caractéristiques de l’utilisateur Accès depuis, ouvre le menu Stations de travail accessibles, cocher L’utilisateur peut ouvrir une session sur ces stations de travail, entrer le nom des stations dans les champs textes) Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
cs 8-4 : Vider la corbeille entre l’ouverture de deux sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher qu’un utilisateur puisse consulter les fichiers supprimés par l’utilisateur précédent. Remarque : Cette consigne de sécurité évite aussi de conserver des corbeilles trop volumineuses sur chaque station. Il est possible d’écrire un script qui sera exécuté à l’ouverture de chaque session et qui effacera le contenu de la corbeille. Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
cs 8-5 : Interdire l’ouverture d’une session automatique.
Le 06/06/2000
version 1.0
Page 17
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : S’assurer qu’un utilisateur est bien présent lors de l’ouverture d’une session. Remarque : Il existe une possibilité pour un utilisateur de contourner la boîte de dialogue d’authentification Information de session. La sécurité du système d’exploitation est compromise par ce type d’accès, de plus le mot de passe n’est pas protégé dans le registre et peut être lu. Si un utilisateur accède par cette méthode (généralement par lassitude des formalités du mot de passe), il peut modifier la valeur du registre correspondant à la connexion et outrepasser par la suite les contrôles d’accès à la station. Il est donc important d’empêcher l’ouverture automatique de session en verrouillant la valeur (mettre la valeur 0) de la clé de registre Winlogon : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon Créer la rubrique :AutoAdminLogon, lui attribuer la valeur 0 (de type binaire). Mise en œuvre :
2.3
3.4 Utilisation des registres
Protection du poste vis à vis des accès distants
2.3.1 Protection vis à vis des accès hors réseau local (modem)
1.1.1.1 Protection des ports Groupe de consignes : 9 cs 9-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Maîtriser et homogénéiser les matériels installés sur le réseau.
Remarque : Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une nouvelle fois sous Windows NT. En effet NTDETECT.COM est exécuté au chargement du système d’exploitation. Ce programme explore tous les périphériques présents pour dresser une liste des matériels installés sur l’ordinateur. Windows NT utilise cette liste et non celle du BIOS pour son fonctionnement. La liste obtenue lors de l’exécution du BIOS sera utilisée par des applications particulières (après un redémarrage sous DOS, etc.). Mise en œuvre :
3.4 Utilisation des registres
cs 9-2 : Inhiber le port USB.
Niveau d'exigence : Objectif :
Le 06/06/2000
!
Niveau de gêne :
Empêchera l’utilisation d’un modem raccordé sur le port USB.
version 1.0
Page 18
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Même remarque que précédemment. Cette interdiction déjà traitée (cs 2-4) doit être effectuée une nouvelle fois sous Windows NT. Mise en œuvre :
3.4 Utilisation des registres
1.1.1.2 Protection contre certains services Groupe de consignes : 10 cs 10-1 : Inhiber le service Remote Access Server.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Éviter la prise de contrôle d’une station au travers du réseau.
Remarque : La méthode des Nœuds Distants est utilisée par le service d’accès distant « Remote Access Server » de Windows NT. Ce service permet d’accéder à des ordinateurs par le réseau. L’utilisateur travaille sur son ordinateur et utilise la station du réseau pour rebondir. Le réseau voit cet utilisateur de la même manière que si celui-ci était devant la station. Beaucoup d’attaques utilisent ce service afin que les administrateurs de la sécurité perdent la trace de la machine source (la dernière machine identifiée assume la responsabilité légale de l’attaque). Ce service associé à la présence de modems sur le réseau constitue une faille très importante de sécurité. Il est donc impératif de désactiver le service RAS. Mise en œuvre :
3.2.2 Les services
cs 10-2 : Inhiber les services inutiles.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Éviter de programmer le lancement de services aux effets incontrôlables. Remarque : Plusieurs services assurent des tâches inutiles et parfois dangereuses pour la sécurité. Citons pour l’exemple le service Planning. Lorsqu’il est associé à la commande "at", il permet d’exécuter des scripts à des moments prédéfinis. Il convient donc de supprimer ce service si aucun service de sauvegarde automatique, de contrôles de disques durs, etc. n’est mis en œuvre. Il en est de même pour certains autres services. Une liste des services présentant le nom, le port et le protocole associé au sein de l’environnement système Windows NT est disponible dans le fichier Services (du répertoire %SystemRoot %\system32\drivers\etc). Le service TCP/IP installé par défaut n’effectue aucun filtrage de paquet. Tous les protocoles sont permis et tous les ports sont ouverts. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT et définis par le RFC 1060 sont rassemblés dans le fichier Protocol (situé dans le même répertoire). Pour ouvrir uniquement les ports désirés, il faut accéder au menu Sécurité TCP/IP (Démarrer Paramètres Panneau de configuration, double click sur Réseau Protocoles, double click sur TCP/IP, ouvre le menu Propriétés de Microsoft TCP/IP Adresse IP Avancée…, ouvre le menu Adressage IP avancé cocher Activer la sécurité Configurer… Ouvre le menu Sécurité TCP/IP, valider les trois boutons Autoriser seulement) et n’autoriser que les ports nécessaires.
Le 06/06/2000
version 1.0
Page 19
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre :
3.2.1.1 Défense contre les attaques réseau
2.3.2 Protection vis à vis des accès réseau
1.1.1.3
Partage réseau des répertoires et des fichiers
Groupe de consignes : 11 cs 11-1 : Interdire le partage réseau.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher qu’un utilisateur crée un partage de fichiers ou de répertoires sur le disque dur local. Remarque : Si un utilisateur possède le droit de partager des fichiers ou des répertoires du disque local avec d’autres utilisateurs, il pourra créer un serveur factice transparent pour les véritables serveurs. Afin d’éviter la prolifération de partages (cachés par le suffixe $ ou non), l’administrateur ne doit pas laisser la permission du Contrôle total aux utilisateurs. Seul le serveur de fichiers devra être prévu pour que les utilisateurs mettent en commun des fichiers. Cette consigne s’accompagne de l’obligation de ne jamais donner la permission de Prendre possession d’un fichier ou d’un répertoire à un utilisateur. Mise en œuvre : Annexe B Permissions/Droits et Sécurité/Partage, 3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
1.1.1.4
Partage de l’imprimante locale
Groupe de consignes : 12 cs 12-1 : Interdire le partage de l’imprimante locale (ou tout autre périphérique).
Niveau d'exigence :
Niveau de gêne :
Objectif : Une imprimante locale ne peut être utilisée qu’à partir du poste auquel elle est connectée. Remarque : La configuration locale de l’imprimante est déclarée au moment de l’ajout de ce périphérique. Mise en œuvre :
Le 06/06/2000
Annexe : B.3.1 Partage d’une imprimante locale
version 1.0
Page 20
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.5
Échange dynamique de données entre applications
Groupe de consignes : 13 cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire le Partage Dynamique de Données sur le réseau. A n’autoriser que sur le même poste de travail pour un même utilisateur. Remarque : Certaines gênes peuvent apparaître pour des applications utilisant les DDE entre différents types de documents (pour d’anciennes versions de documents Word et Excel par exemple) situés sur des stations distantes. Cependant il est préférable de l’interdire sur le réseau afin d’éviter qu’un fichier lié à un autre par un DDE soit transmis à un utilisateur. Dans ce cas de figure il est difficile de prévoir la manière dont la mise à jour automatique des données sera effectuée. Mise en œuvre :
1.1.1.6
3.2.2 Les services
Accès distant pour les utilisateurs
Groupe de consignes : 14 cs 14-1 : Imposer un langage de bas niveau pour les échanges entre stations.
Niveau d'exigence : Objectif :
Niveau de gêne :
Restreindre les personnes aptes à accéder à une station distante.
Remarque : L’utilisateur ne doit pas voir toutes les stations lorsqu’il utilise l’Explorateur Windows, afin d’éviter de lister et chercher les serveurs parmi toutes les machines visibles. Cependant, une station distante doit rester accessible depuis une autre station pour les utilisateurs confirmés. Pour fournir une vision claire des ordinateurs accessibles sur le réseau, le service Serveur n’est pas implanté sur les stations de travail (invisibilité des stations par l’Explorateur Windows). Seul le service Station de travail est présent (accessibilité par un langage de bas niveau). Le service Station de travail apporte les fonctionnalités NetBIOS sur TCP/IP nécessaire au fonctionnement correcte de la station. De plus, les ordinateurs connectés au réseau sont accessibles par le Poste de travail ou par les commandes net “commande” sous DOS (exemple net send « nom de la station » « message envoyé »). Mise en œuvre :
Le 06/06/2000
3.2.2 Les services
version 1.0
Page 21
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.7
Limiter les échanges sur le réseau
Groupe de consignes : 15 cs 15-1 : Limiter la visibilité des machines (seuls les serveurs sont visibles sur le réseau).
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de pouvoir compter et identifier les stations présentes sur le réseau. Remarques : Cette consigne permet en outre de simplifier pour chaque utilisateur, le schéma représentatif du réseau. En effet l’Explorateur Windows et le Voisinage réseau présenteront uniquement les serveurs et les répertoires disponibles. Cette visibilité restreinte n’est qu’apparente puisque certaines commandes de bas niveau permettent de se connecter avec la permission de la station cible (si le service sollicité est activé) à un autre ordinateur. Mise en œuvre :
1.1.1.8
3.2.2 Les services
Protection des échanges sur le réseau
Groupe de consignes : 16 cs 16-1 : Chiffrer les échanges de mot de passe sur le réseau.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que le mot de passe d’un utilisateur circule en clair sur le réseau. Remarques : Les messages d’authentification lors de l’ouverture d’une session par un utilisateur ne circulent pas sur le réseau. Un protocole d’authentification par challenge permet de vérifier la cohérence du mot de passe et du nom de l’utilisateur. L’ouverture d’une session ne soulève pas de problèmes de confidentialité du mot de passe. Il est plus difficile de garantir la confidentialité du mot de passe lors de son changement. Le protocole de signature SMB-S (Server Message Block Signing, voir cs 163) permet de signer les transferts de données et le protocole Windows NT CR (Challenge Response) chiffre le mot de passe lors de son transfert au Contrôleur Principal de Domaine. Mise en œuvre : le CPD)
3.2.1.2 Installation du protocole SMB-S (sur les stations et
cs 16-2 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire l’envoi d’un mot de passe compatible Lan-Manager de bas niveau en tant que requête.
Le 06/06/2000
version 1.0
Page 22
Manuel Windows NT 4.0 Workstation Station de travail
Remarques : Windows NT prend en charge deux protocoles d’authentification par un processus de challenge : Windows NT Challenge Response et Lan-Manager Challenge Response. Le protocole de chiffrement Lan-Manager est plus simple que celui de Windows. Un pirate peut renifler le réseau pour intercepter et casser le hachage du mot de passe de Lan-Manager. Sans l’interdiction explicite de ce protocole Windows NT tentera l’établissement d’une connexion via les deux protocoles. Cependant le protocole Lan-Manager apportera une sécurité minimale si le serveur contacté par la station utilise Netware. Une clé de registre permet d’activer, de désactiver ou d’utiliser les deux protocoles lors d’une connexion avec un serveur. La sécurisation des échanges par LanManager est désactivée sauf nécessité absolue. Si un serveur sous Netware est connecté au réseau, vous trouverez les modifications des clés pour les stations dans le manuel consacré à Netware. Mise en œuvre : le CPD)
3.2.1.2 Installation du protocole SMB-S (sur les stations et
cs 16-3 : Contrôler et protéger les communications client/serveur.
Niveau d'exigence : Objectif :
Niveau de gêne :
Sécuriser les échanges avec un serveur en signant et en chiffrant.
Remarque : La structure de base des réseaux Microsoft en environnement Windows NT s’appuie sur le protocole SMB (Server Message Block). Les services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire) sont implémentés par les services Serveur et Station de travail de Windows NT. Ces services sont disponibles sur les serveurs ainsi que sur les stations mais le service Serveur sera désactivé sur les stations pour éviter leur affichage dans le voisinage réseau. Ce protocole est sous-jacent aux services de partages de fichiers et d’imprimantes de Windows NT. Les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Une version plus performante des services offerts par SMB appelée protocole CIFS (Common Internet File Sharing) est disponible sur Internet et dans le Service Pack 3. Le SP 3 fournit aussi le protocole de signature SMB-S (Server Message Block Signing) pour authentifier les paquets et empêcher les attaques du type Men-in-the-Middle. SMB (service Station de travail) doit être activé sur le client et sur le serveur. Pour bénéficier des sécurités de signature, tous les serveurs (services Serveur et Station de travail) et toutes les stations (service Station de travail) activeront le service SMB du SP 3 (contenant SMB-S) en modifiant la valeur des clés de registre correspondante. Paramètres :
Créer et modifier la valeur de la clé du registre HKLM :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Pa rameters EnableSecuritySignature valeur 1 (type REG_DWORD) (active le protocole SMB-S) RequireSecuritySignature valeur 1 (type REG_DWORD) (seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur. Il faut une conformité globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se reporter à la mise en œuvre pour plus d’informations)
Le 06/06/2000
version 1.0
Page 23
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : le CPD)
2.4
3.2.1.2 Installation du protocole SMB-S (sur les stations et
Protection des ressources locales
2.4.1 Partitions du disque Groupe de consignes : 17 cs 17-1 : Protéger les fichiers systèmes.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Limiter la fragmentation de la partition système.
Remarques : créer une partition pour accueillir le système et les applications. La taille minimale de cette partition doit être de 1 Go pour les disques d’une capacité de 4 Go, et de 1,5 Go pour les disques de capacité supérieure. La création d’une partition dédiée aux applications est autorisée, mais elle ne doit jamais être déclarée primaire. Une fois l'installation terminée, le reste de l'espace disponible sur le disque sera configuré à l'aide de l'outil Administration du disque dur dans une session Administrateur. Cette configuration évite qu’une personne installe Windows NT 4.0 sur une seconde partition primaire. Le multi-boots de cet OS permettrait de modifier les valeurs des registres de la ruche. Cette configuration entraîne la perte définitive des données présentes sur la partition secondaire, si la partition primaire est détruite. Mise en œuvre :
3.1.3 Configuration du disque dur local
2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles Groupe de consignes : 18 cs 18-1 : Mise en œuvre du système de fichiers NTFS.
Niveau d'exigence :
Niveau de gêne :
Objectif : Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis en œuvre par NTFS. Remarques : La partition devra être formatée avec le système de fichiers NTFS afin de mettre en œuvre les contrôles d'accès aux répertoires et aux fichiers natifs du système de fichiers NTFS. Mise en œuvre :
3.1.3 Configuration du disque dur local
cs 18-2 : Empêcher l’utilisation de programmes ou services à risque.
Le 06/06/2000
version 1.0
Page 24
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Éviter que des programmes susceptibles de présenter des risques, soient exécutés par un utilisateur. Remarques : La solution la plus efficace consiste à effacer les exécutables du disque dur. Ce n’est pas pour autant que les applications et les services associés aux fichiers seront impossibles à exécuter sur cette station. Il suffit de les copier sur le disque dur (en C:\ ou en Z:\) et de les exécuter à partir de l’explorateur Windows ou avec la commande Net start "<nom du service>". Cette dernière méthode permet de lancer des services présentés comme Non démarrés et Désactivés par Démarrer Paramètres Panneau de configuration Services. Mise en œuvre :
3.2.2 Les services ,
cs 18-3 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif : Gérer les accès à certains répertoires et fichiers susceptibles de présenter une faille de sécurité importante. Remarques : L’accès en écriture à certains fichiers (le fichier de données et d’exécutables de la ruche) permet de contourner les sécurités mises en place par l’administrateur. Il est très important de protéger ces fichiers ou leurs répertoires pour éviter le piratage de l’ordinateur. En annexe B, nous présentons la manière de déclarer les Permissions du Partage avec les Permissions du système NTFS. Mise en œuvre : répertoires
2.5
Annexe : B.3.2 Partage et sécurité sur des fichiers et
Points divers Groupe de consignes : 19 cs 19-1 : Modification des menus permettant d’accéder aux applications interdites aux utilisateurs.
Niveau d'exigence : Objectif :
Niveau de gêne :
Fixer les applications exploitables pour chaque utilisateur.
Remarques : Le répertoire Profil de l’utilisateur contient tous les raccourcis, les paramètres du bureau et les menus accessibles à l’utilisateur. Ce profil doit être déterminé par son appartenance à un groupe pour éviter qu’une personne utilise une application interdite. La gestion des profils doit être centralisée sur le serveur de fichiers, en attribuant des profils par défaut à la création des comptes. Ils seront stockés sur le serveur de fichier et appelés lors de l’ouverture de la session. Les profils ainsi utilisés sont dits « profils errants ». Un profil par défaut doit être prévu sur chaque station afin d’éviter qu’une panne du serveur de fichiers interdise le travail des utilisateurs.
Le 06/06/2000
version 1.0
Page 25
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur , Annexe : C Les profils
cs 19-2 : Éviter de sauvegarder des fichiers et des répertoires sur la station.
Niveau d'exigence :
Niveau de gêne :
Objectif : Permettre aux utilisateurs de sauvegarder des documents sur un ordinateur dédié (serveur de fichiers). Remarques : Cette consigne sera plus développée lors de l’étude du Serveur de Fichier et d’Impression. Précisons que le répertoire de sauvegarde par défaut est celui attribué à chaque utilisateur sur le serveur de fichiers. Le choix de ce répertoire de sauvegarde est établi à la création du compte par l’administrateur. La configuration de chaque application devra tenir compte de ce choix. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-3 : Interdire la modification des valeurs d’environnement de microprogrammation sauf pour l’administrateur.1
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de compromettre le bon fonctionnement de certaines applications. Remarques : Les valeurs d’environnement de microprogrammation sont des variables prédéfinies pour des programmes qui lui permettent de s’initialiser lors de certaines actions. Donnons comme exemple la variable ComSpec de la boîte de dialogue Propriété du Système (Menu : Démarrer Panneau de configuration Système Environnement) pointe par défaut sur CMD.EXE. Cette variable pourrait être modifiée pour pointer sur un programme de commandes qui créerait un nouveau compte avec les droits de l’administrateur. Ce droit ne peut être accordé qu’à l’administrateur. Paramètres : Ne pas accorder ce droit aux utilisateurs dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur : Modifier les valeurs d’environnement de microprogrammation Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-4 : Interdire la modification de l’heure système sauf pour l’administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Assurer la cohérence temporelle des macros instructions (date et heure automatiques de mise à jour ou d’impression de Word, etc.) et de la datation des événements de sécurité. Remarques : Choisir le fuseau horaire Paris, afin d'assurer la cohérence des dates et des heures dans les journaux d'événements de tous les postes de travail.
Le 06/06/2000
version 1.0
Page 26
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-5 : Interdire l’optimisation des processus sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter des conflits système sur des stations après une modification incorrecte des paramètres d’optimisation des processus. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-6 : Interdire d’ouvrir une session localement sauf pour l’Administrateur.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Seul l’Administrateur peut utiliser une station de travail sans être authentifié par le Contrôleur Principal de Domaine. Remarque : Les utilisateurs ne pourront pas utiliser une station de travail sans authentification auprès du Contrôleur Principal de Domaine. Si celui-ci s’arrête de fonctionner, les utilisateurs ne pourront plus ouvrir de sessions, hormis l’administrateur en local. La base de données des utilisateurs du Contrôleur Principal de Domaine, doit être dupliquée sur un Contrôleur Secondaire de Domaine. L’administrateur doit prévoir un plan de reprise. Mise en œuvre : 3.3.1.3 Stratégie des droits de l’utilisateur (CPD), 3.3.2 Définition des comptes ouverts sur une station
cs 19-7 : Interdire de prendre possession de fichiers ou d’objets sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un utilisateur puisse documents d’un autre utilisateur.
consulter
les
répertoires
et
Remarques : Ce droit est l’un des plus dangereux pour la sécurité des informations stockées sur le réseau et pour la configuration du système d’exploitation d’une station. Il permet de s’approprier des fichiers ainsi que de contourner les permissions accordées aux utilisateurs. La personne qui possède ce droit, est apte à s’attribuer des pouvoirs comparables aux Administrateurs (voir supérieurs en redéfinissant les droits du groupe administrateurs). Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Prendre possession des fichiers ou d’autres objets est accordé uniquement aux administrateurs (CPD). Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-8 : Interdire de régler les performances système.
Le 06/06/2000
version 1.0
Page 27
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un performances.
utilisateur
emploie
les
outils
d’analyse
des
Remarques : Ces outils de performance peuvent donner des indications très utiles pour connaître le moment approprié à une attaque : « pourcentage du temps total de l’utilisateur », « nombre de sessions fermées pour inactivité », etc. Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système n’est jamais sélectionné pour un utilisateur. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-9 : Interdire de restaurer des fichiers et des répertoires sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de restaurer des fichiers d’anciennes versions concernant la sécurité. Remarques : Les droits de Restaurer des fichiers et Restaurer des répertoires sont généralement attribués aux Opérateurs de Sauvegarde. Ils leurs permettent d’ajouter et de remplacer des fichiers détruits par inadvertance. Ces droits sont exécutés en passant outre la consultation des Listes de Contrôles d’Accès (les ACL). Ces utilisateurs ont donc des droits qui échappent aux contrôles de sécurité de Windows NT. Mise en œuvre :
2.6
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
Protéger les paramètres systèmes
2.6.1 Protéger les paramètres systèmes Groupe de consignes : 20 cs 20-1 : Protéger les registres (pertinents).
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger des registres contre une maladresse de l’utilisateur
Remarque : Il ne suffit pas d’effacer les deux éditeurs de registres (REGEDT32.EXE) pour interdire l’accès aux registres d’une station. Un utilisateur peut les copier sur le disque et au besoin les renommer pour les utiliser. Il est impératif de protéger les registres par des permissions NTFS. Mise en œuvre : 3.4.1 Sécurisation des fichiers de registres , 3.4.3 Sécurisation des registres , 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 28
Manuel Windows NT 4.0 Workstation Station de travail
cs 20-2 : Interdire la modification de la priorité de planification.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un processus ne soit pas exécuté et provoque un déni de service. Remarque : Si un utilisateur accorde une priorité trop importante à un processus par rapport à un autre, le système peut refuser d’exécuter le processus de faible priorité par manque de temps système. Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Augmenter la priorité de planification n’est jamais sélectionné pour un utilisateur. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur
cs 20-3 : Interdire les modification du fichier d’échange de la mémoire virtuelle.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque : En environnement Windows NT, la mémoire virtuelle locale utilise un fichier d’échange (fichier C:\pagefile.sys). Un utilisateur ne doit pas posséder le droit de créer un fichier d’échange statique (cs 8-2) pour ne pas occuper plus de ressources que ce qui lui est attribué nominalement. De plus, le choix des paramètres de ce fichier risque de saturer le système d’exploitation et de le bloquer. Ce fichier à une valeur de 120 % environ de la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM) avec un seuil minimal de 64 Mo. Cette valeur dépend des besoins en ressources des applications. Sa taille minimum ne doit pas être inférieure à la taille recommandée. Le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo) Fixer la valeur) permet de régler les paramètres de la taille de cette mémoire. Ce menu permet de régler aussi la taille maximum du fichier des registres (120 % environ de la Taille actuelle du registre). Paramètres :
La clé correspondante devra être protégée en écriture :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale : C:\pagefile.sys 75 75 (Type REG_MULTI_SZ) Toutefois certaines situations exigent la création d’un fichier d’échange, la consigne suivante définit le cadre de sa création. Mise en œuvre :
3.4.2.1 Modifications
de
HKEY_LOCAL_MACHINE
(HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) , 3.4.1 Sécurisation des fichiers de registres
cs 20-4 : Restrictions pour la création d’un fichier d’échange.
Le 06/06/2000
version 1.0
Page 29
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter un déni de service par la saturation de la mémoire virtuelle du système local lors de la nécessité de créer un fichier d’échange. Remarque : Certaines situations exigent la modification de la taille du fichier d’échange de la mémoire virtuelle. Ces ajustements des tailles respectent des prescriptions et non des règles. La taille minimale de ce fichier est de 120 % environ de la taille de la mémoire RAM avec un seuil inférieur de 64 Mo. Elle ne doit pas être inférieure à la taille recommandée. Sa taille maximale est généralement identique à la taille minimale, mais elle peut être fixée au double de la Taille recommandée suivant le besoin. Les réglages des limites de la taille est effectué par le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo) Fixer la valeur). Ce menu permet de régler aussi la taille maximum du fichier des registres (entre 120 % environ et le double de la taille minimale). Ces paramètres entrés et fixés, l’administrateur doit protéger les rubriques correspondantes Les clés correspondantes devront être protégées en écriture : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale : C:\pagefile.sys 75 100 (Type REG_MULTI_SZ) Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système n’est jamais sélectionné pour un utilisateur. Accorder éventuellement cette permission à l’administrateur (CPD). Mise en œuvre :
3.4.2.1 Modifications
de
HKEY_LOCAL_MACHINE
(HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) , 3.4.1 Sécurisation des fichiers de registres
2.6.2 Restriction des modifications des pilotes Groupe de consignes : 21 cs 21-1 : Empêcher l’installation d’un pilote de périphériques.
Niveau d'exigence :
Niveau de gêne :
Objectif : Assurer l’homogénéité et le suivi du matériel présent sur le réseau (imprimante, ZIP, etc.). Remarques : Un « Cheval de Troie » est considéré comme un pilote par le système d’exploitation. Le droit de charger et décharger un pilote permet d’activer un « Cheval de Troie » puis de le désactiver lorsque l’information désirée est obtenue. Pour remédier à ce type d’attaque une parade multiple est nécessaire. Il faut d’une part interdire aux utilisateurs de charger des pilotes et d’autre part désactiver l’exécution d’un AUTORUN.INF par le lecteur de CD-ROM (qui risque d’être vu comme un appel du système).
Le 06/06/2000
version 1.0
Page 30
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.2.2 Les services , 3.3.1.3 Stratégie des droits de l’utilisateur
cs 21-2 : Éviter de pouvoir imprimer sans utiliser les serveurs d’impression.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Éviter d’envoyer un fichier à une imprimante sans passer par le Contrôleur Principal de Domaine. Remarques : Si un utilisateur connaît l’adresse IP d’une imprimante connectée au réseau, il peut lui adresser un fichier qui sera imprimé. Cette méthode permet de contourner les contrôles d’accès aux imprimantes. Il est impossible d’éviter cette utilisation du réseau pour imprimer (excepté en connectant l’imprimante derrière un routeur). Cependant on peut changer souvent l’adresse IP de l’imprimante afin de gêner cette pratique. Mise en œuvre :
Annexe : B.3.1 Partage d’une imprimante locale
2.6.3 Protection de l'intégrité des données et des applications Groupe de consignes : 22 cs 22-1 : Protection antivirale.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter la perte de données ou les dénis de services.
Remarque : Plus un site est sensible, plus il est nécessaire de se prémunir contre les attaques de virus, virus de macros et vers. Il est impératif d’installer l’antivirus de l’armée de terre sur les stations et d’effectuer une mise à jour mensuelle. Une station de test dite station blanche avec un antivirus différent peut éventuellement être mise en place sur un ordinateur non sensible. La station blanche est choisie parmi les ordinateurs souvent utilisés par un grand nombre de personnes afin de tester un maximum de fichiers et de provenances. Pour les stations présentant une sensibilité accrue, il convient d’adopter une solution drastique : Interdire l’utilisation des lecteurs de disquettes et de CD-ROM en désactivant les clés ou en débranchant ces lecteurs. Mise en œuvre :
3.1.3.1 Création de la partition principale C:
cs 22-2 : Interdire la modification des paramètres des applications.
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger les registres de l’utilisateur associés aux applications.
Remarque : Chaque installation d’une application modifie la ruche (contenant les registres). Il est donc nécessaire de restreindre les permissions d’accès et de modification des valeurs des clés de registres et de certains fichiers associés à des applications.
Le 06/06/2000
version 1.0
Page 31
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.4 Utilisation des registres , 3.7 Configuration des applications
cs 22-3 : Réduire le temps de remise en état de la configuration matérielle et logicielle d’une station de travail.
Niveau d'exigence :
Niveau de gêne :
Objectif : Restaurer rapidement la configuration (comportement périphériques, Système d’exploitation et applications) d’une station.
des
Remarque : Windows NT donne la possibilité de créer une disquette ERD de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cette disquette contient les fichiers compressés des registres et certains autres fichiers. À l’origine toutes les stations possèdent une configuration de base identique. A ce stade, il suffirait de créer une seule disquette de réparation d’urgence compatible avec toutes les stations. L’installation de nouvelles application modifie des registres et provoque l’apparition de nouvelles clés. Il impératif de créer une disquette de réparation d’urgence pour chaque ordinateur. À chaque modification de la configuration matérielle ou logicielle, la disquette sera recréée. Toutes les disquettes seront conservées par l’administrateur, dans un meuble fermant à clé (il suffit de copier une configuration particulière sur une disquette, pour prendre possession de la machine correspondante lors de sa restauration). Mise en œuvre :
2.7
3.2.1.5 Disquette de réparation
Audit
2.7.1 Date et heure Groupe de consignes : 23 cs 23-1 : Assurer la cohérence de datation des événements de sécurité.
Niveau d'exigence :
Niveau de gêne :
Objectif : Garantir que le journal des événements présente les messages d’audit dans un ordre chronologique. Remarque : L’Administrateur aura la certitude qu’aucun événement récent ne soit dissimulé parmi les événements consultés auparavant. Il est primordial de suivre la chronologie des alertes pour comprendre et réagir correctement lors d’une attaque. Paramètres : Ne pas accorder l’option Modifier l’heure système dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur (CPD). Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
2.7.2 Protection de l’audit
Le 06/06/2000
version 1.0
Page 32
Manuel Windows NT 4.0 Workstation Station de travail
Groupe de consignes : 24 cs 24-1 : Empêcher le démarrage du système s’il est impossible de se connecter aux audits de sécurité.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : L’Administrateur s’assure que tous les événements sont inscrits dans les journaux. Remarque : Cette contrainte risque de poser des problèmes lorsque le réseau « tombe ». Doit-on privilégier le travail en autorisant une session non authentifiée par le Contrôleur Principal de Domaine ou l’interdire ? La solution devant être adoptée dépend de la sensibilité des informations présentes sur cette station et du rôle que l’ordinateur assume. Le RSSI en liaison avec sa direction (PSI), est seul juge du degré de sensibilité de la station. Mise en œuvre :
3.6 Configuration de l’audit
cs 24-2 : Éviter les journaux trop volumineux.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’administrateur de la sécurité doit s’astreindre à dépouiller les journaux avant que les fichiers ne deviennent trop importants. Remarques : Lorsque beaucoup de stations sont connectées au réseau, les tailles allouées à chaque journal risquent d’être trop faibles. Il convient d’adapter les tailles respectives des journaux (par multiple de 64 ko) aux nombres de machines. Les dimensions retenues dans la mise en œuvre correspondent à 50 machines environ et pour une durée de 2 semaines. Paramètres : Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Taille Maximale du journal Le journal de sécurité :
1 Mo.
Le journal des applications :
1 Mo.
Le journal système :
1 Mo.
Mise en œuvre :
3.6.2 La gestion des journaux d’audits
cs 24-3 : Sauvegarde des journaux de l’audit.
Niveau d'exigence :
Niveau de gêne :
Objectif : Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour assurer une bonne réactivité contre une attaque éventuelle d’un compte ou du réseau. Remarques : L’utilisateur devra consulter son journal toutes les semaines au maximum. Une consultation journalière est une bonne habitude. Les
Le 06/06/2000
version 1.0
Page 33
Manuel Windows NT 4.0 Workstation Station de travail
journaux des événements seront sauvegardés tous les mois dans un sous-répertoire (appelé répertoire <nom de la section>\<nom de la machine>\) et créé sur le serveur de fichiers. Ils seront nommés : aammjj (2 chiffres pour l’année, 2 chiffres pour le mois et 2 chiffres pour le jour) afin de permettre une recherche rapide. Les journaux des administrateurs seront sauvegardés tous les mois sur le serveur de fichiers (sur la partition des Administrateurs : Journaux\) ou sur un ordinateur non connecté au réseau. Les noms des fichiers de sauvegardes seront : aammjj. Après cette sauvegarde les journaux seront détruits si aucune erreur n’est détectée. Si un utilisateur remarque une anomalie, il devra alerter immédiatement l’administrateur de la sécurité. Après chaque sauvegarde de ces fichiers les journaux des événements sont effacés et de nouveaux journaux des événements vierges sont exploités. Mise en œuvre :
3.6.2.2 Sauvegarde des journaux d’événements
cs 24-4 : Gérer l’archivage des sauvegardes des journaux d’événements.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’archivage permet de garder et de comparer les journaux avec ceux des mois ou années précédentes. Remarque : Les utilisateurs conserveront leurs journaux pendant 6 mois au minimum puis pourront effacer les fichiers du serveur. Les journaux des administrateurs seront gravés sur CD-ROM (ou disquettes) tous les 6 mois ou tous les ans suivant le volume. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque ou à des problèmes épisodiques du réseau. Mise en œuvre :
3.6.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits Groupe de consignes : 25 cs 25-1 : Auditer l’accès aux objets système internes.
Niveau d'exigence :
Niveau de gêne :
Objectif : Les utilisateurs seront tenus au courant des configuration ou des attaques du système d’exploitation. Mise en œuvre :
erreurs
de
3.6.1 Les événements de l’audit
cs 25-2 : Messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Le 06/06/2000
Niveau de gêne :
version 1.0
Page 34
Manuel Windows NT 4.0 Workstation Station de travail
Objectif : L’administrateur doit être en mesure de tracer tous les événements inhabituels survenants pendant l’utilisation d’un compte. Il connaîtra ainsi toutes les tentatives d’accès à des fonctionnalités de la station qui ne sont pas accordées à un compte et toutes les anomalies survenues pendant l’ouverture d’un compte. Remarque : L’Administrateur pourra suivre tous les échecs des accès à un processus. Paramètres : Déclarer événements » :
qu’il
faut
Sujet figurant dans l’audit
inscrire
dans
Les échecs
le
« journal
des
Les réussites
Auditer les ouvertures de sessions
Administrateurs Administrateur et utilisateurs
Auditer la gestion des comptes
Administrateur
Auditer l’accès aux objets
Administrateur
Auditer le pistage des processus
Administrateur
Auditer les connexion
événements
de Administrateur
Auditer les événements de système Auditer stratégie
les
modifications
Administrateur
Administrateur
de Administrateur
Administrateur
Auditer l’utilisation des privilèges Auditer les registres Mise en œuvre :
modifications
Administrateur
Administrateur des Administrateur
Administrateur
3.6.1 Les événements de l’audit
2.7.4 Auto surveillance par l’utilisateur Groupe de consignes : 26 cs 26-1 : Présenter les messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’Utilisateur doit être mis au courant de toutes tentatives d’accès refusées à son compte par une tierce personne. Remarque : Cette information semble redondante puisque l’Administrateur sera prévenu de tous les échecs d’accès à un compte. Cependant une attaque sera plus vite découverte si les utilisateurs peuvent alerter l’Administrateur d’une tentative d’accès à un compte. L’utilisateur pourra en référer immédiatement à l’Administrateur de sécurité. Paramètres : Sélectionner Échecs de la rubrique « Auditer événements de connexion » du « journal des événements ». Mise en œuvre :
les
3.6.1 Les événements de l’audit
cs 26-2 : Auditer les processus internes.
Le 06/06/2000
version 1.0
Page 35
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Les utilisateurs utiliseront le Gestionnaire des tâches pour découvrir des programmes pirates. Remarque : Les principales attaques réussies d’un réseau, consistent en l’exécution d’un cheval de Troie en arrière tâche. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés ( <SUPP> Gestionnaire des tâches, onglet Processus), on peut ainsi découvrir la présence d’un processus pirate ou l’utilisation insolite d’un service. L’expérience prouve que les utilisateurs sont réticents à utiliser cette méthode de vérification. Cependant, l’aspect ludique de cette vérification est souvent un bon moyen d’intéresser les utilisateurs à effectuer cette vérification. Cette méthode de recherche des processus insolite nécessite une formation préalable et adaptée des utilisateurs. Elle sera efficace uniquement si les utilisateurs sont aptes à reconnaître et à associer le nom d’un programme avec celui d’un service. Mise en œuvre : 3.6.1 Les événements de l’audit 3.2.3 Remarques sur les services
2.8
Protection des applications bureautiques Groupe de consignes : 27 cs 27-1 : Protection des registres des applications.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Conserver l’intégrité des applications bureautiques d’une station de travail. Remarque : Seul l’Administrateur aura la possibilité d’installer de nouveaux logiciels. Cette contrainte permet une homogénéité et une maîtrise des logiciels mis en œuvre au sein du domaine. Mise en œuvre :
3.7.1 Les registres des applications
2.8.1 Protection des applications du Pack Office pro 97 Groupe de consignes : 28 cs 28-1 : Laisser apparaître les 9 derniers fichiers ouverts par une application.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Un utilisateur pourra détecter l’ouverture anormale de ses documents par une application bureautique en regardant la liste des documents précédemment ouverts.
Le 06/06/2000
version 1.0
Page 36
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Les documents portent des titres très souvent choisis en fonction de leur contenu. Un utilisateur risque de déduire le sujet et le niveau d’avancement d’un projet, en consultant les noms des documents ouverts sans même y accéder. Cependant il est préférable d’effectuer un contrôle visuel de documents ouverts sous sa session et de détecter un accès anormal à l’un de ses documents. Mise en œuvre :
3.7.2 Les documents antérieurs
cs 28-2 : Gérer le choix des répertoires par défaut.
Niveau d'exigence :
Niveau de gêne :
Objectif : Gérer convenablement les sauvegardes automatiques afin d’éviter qu’un document puisse être consulté par quelqu’un d’autre que son propriétaire. Remarque : Deux solutions s’offrent à l’Administrateur. La première consiste à utiliser le serveur de fichiers pour les sauvegardes de sécurité. Cette solution ralentit fortement les applications pendant les accès réseau. La seconde est plus souple mais elle demande de sensibiliser les utilisateurs aux atteintes possibles à la confidentialité et à l’intégrité des documents. Cette solution consiste à rapatrier le document et travailler localement puis à sauver le document sur le serveur de fichiers et détruire la copie locale du disque. Cette dernière est retenue pour bénéficier de la rapidité de travail et pour minimiser les échanges sur le réseau. Mise en œuvre :
3.7.3 Les répertoires de travail
cs 28-3 : Interdire l’exécution de virus de macros.
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire l’exécution d’un virus de macros dans un document Word.
Remarque : Les logiciels de Microsoft Office (Word, Excel et PowerPoint) ne peuvent pas détecter la présence de virus de macros dans leurs documents. Seuls certains logiciels antivirus peuvent les rechercher, les lire et les détruire. Ces logiciels ne sont pas toujours efficaces (les virus de macros ne possèdent pas de signatures comme les virus). Il est préférable de sensibiliser les utilisateurs aux risques des virus de macros. Les logiciels de Microsoft Office peuvent afficher un message d'avertissement à chaque fois que vous ouvrez un document contenant des macros. L’utilisateur pourra choisir d'ouvrir le document avec ou sans ses macros. Mise en œuvre :
3.7.4 Les protections contre les virus de macros
cs 28-4 : Interdire l’utilisation de Visual Basic et d’ActiveX..
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire la création et l’utilisation de virus de macros.
Remarque : Visual Basic et ActiveX offrent des possibilités semblables aux langages de programmation. Ces langages sont implémentés dans la
Le 06/06/2000
version 1.0
Page 37
Manuel Windows NT 4.0 Workstation Station de travail
plupart des logiciels de Microsoft Office. Pour éviter l’utilisation de ces langages il faut donc interdire l’accès à ces langages (ne pas cocher les cases correspondant au Visual Basic lors de l’installation des logiciels) et interdire la modification des fichiers contenant les macros (Normal.Dot de Word). Paramètres : Protéger en écriture le fichier "Normal.Dot" de Word contre toute modification. Mise en œuvre :
3.7 Configuration des applications
cs 28-5 : Interdire l’utilisation de l’enregistrement rapide de Word.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de laisser la trace des modifications apportées à des documents. Éviter de travailler avec des documents trop volumineux, créés par l’enregistrement rapide de Word. Remarque : En activant Autoriser les enregistrements rapides (onglet Outils Options Enregistrement), Word enregistre les modifications apportées au document dans un fichier. Cette opération est plus rapide qu'un enregistrement normal (différence surtout sensible pour des documents très volumineux). La taille du fichier créé par l’enregistrement rapide est beaucoup plus importante qu’un enregistrement normal et ce fichier est créé uniquement sur le disque local. Si l’enregistrement rapide est activé, la confidentialité d’un document Word édité lors d’un arrêt brutal de la station, ne peut pas être garantie. Il faut nécessairement désactiver l’option Autoriser les enregistrements rapides. Mise en œuvre :
3.7.3 Les répertoires de travail
2.8.2 Protection « d'Internet Explorer V 4 ou V 5 » Groupe de consignes : 29 cs 29-1 : Interdire l’utilisation du langage interprété ActiveX.
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire l’ouverture d’une macro-instruction.
Remarque : Le langage interprété ActiveX est capable de lancer des processus sans demander un accord préalable. De plus certaines fonctionnalités de ce langage peuvent porter atteinte à l’intégrité de votre ordinateur. Paramètres : Click droit de la souris sur Internet Explorer Propriétés Sécurité puis désactiver : Contrôle ActiveX reconnus sûrs pour l’écriture de scripts. Attention : l’initialisation de la sécurité d’Internet Explorer (click droit de la souris sur Internet Explorer Propriétés Onglet Sécurité Personnaliser le niveau choisir Élevé du menu Rétablir bouton Rétablir) annule cette consigne. Il faudra modifier de nouveau le Contrôle AxtiveX après l’initialisation de la sécurité d’Internet Explorer. Mise en œuvre : 3.7.4 Les protections contre les virus de macros 3.7.5 Paramétrage d’Internet Explorer
Le 06/06/2000
version 1.0
Page 38
Manuel Windows NT 4.0 Workstation Station de travail
cs 29-2 : Effacer les fichiers entre 2 ouvertures d’Internet Explorer.
Niveau d'exigence :
Niveau de gêne :
Objectif : Interdire la consultation de fichiers personnels entre l’ouverture de deux sessions. Remarque : Internet Explorer est un outil de communication multimédias. Par définition il inclut des assistances et des aides qui sous-entendent le transfert d’informations personnelles parfois de façon transparente pour l’utilisateur. Il est donc très important d’effacer tous les fichiers créés par Internet Explorer (enregistrés dans le répertoire Temporary Internet Files). Il faut d’une part sauver les fichiers temporaires (enregistrés généralement dans le répertoire Temporary Internet Files) pendant 1 semaine dans le répertoire personnel et effacer ceux qui restent accessibles sur le disque dur. Mise en œuvre :
3.7.5 Paramétrage d’Internet Explorer
cs 29-3 : Ne pas inciter l’utilisateur à télécharger des mises à jour.
Niveau d'exigence :
Niveau de gêne :
Objectif : Interdire la présentation d’une fenêtre informant l’utilisateur de la nécessité d’une mise à jour (la configuration pour le compte Administrateur ne tiendra pas compte de cette consigne). Remarque : Il est nécessaire que l’administrateur homogénéise les logiciels employés sur le réseau. Il doit prendre en charge les mises à niveau des logiciels pour ne pas être obligé de gérer plusieurs versions. Mise en œuvre :
3.7.5 Paramétrage d’Internet Explorer
2.8.3 Protection de « Outlook Express » Groupe de consignes : 30 cs 30-1 : Gérer le choix des répertoires par défaut.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que des fichiers personnels restent présents sur le disque dur de la station de travail après fermeture de la session. Mise en œuvre : 3.7 Configuration des applications , 3.7.3 Les répertoires de travail
2.8.4 Protection de « Winzip V 6.3 » Groupe de consignes : 31 cs 31-1 : Gérer le choix des répertoires par défaut.
Le 06/06/2000
version 1.0
Page 39
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que des fichiers personnels restent présents sur le disque dur de la station de travail après fermeture de la session. Mise en œuvre : 3.7 Configuration des applications , 3.7.3 Les répertoires de travail
2.8.5 Protection de « Netscape Communicator » Groupe de consignes : 32 cs 32-1 : Vider le cache local du disque et de la mémoire de la station.
Niveau d'exigence :
Niveau de gêne :
Objectif : Effacer du disque dur, les informations concernant l’utilisation de Communicator. Remarque : Communicator utilise un cache mémoires et un cache disque en local sur le disque de la station. Ces fichiers comportent des informations sur l’utilisation de Communicator. Ils sont détruits uniquement lors du dépassement d’espace (mémoire ou disque). Ces informations peuvent présenter un caractère sensible ou confidentiel. Si un Proxy-cahe est connecté au réseau, les caches peuvent être mis à zéro. Les accès de Communicator, se feront sur ce Proxy sans laisser de trace sur les stations à l’exception de la page de démarrage qui peut être locale. Mise en œuvre :
3.7.6 Paramétrage de Communicator
cs 32-2 : Éviter le chargement de Cookies.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas télécharger des programmes non souhaités.
Mise en œuvre :
3.7.6 Paramétrage de Communicator
cs 32-3 : Éviter de conserver les cartes de visites localement.
Niveau d'exigence : Objectif :
Niveau de gêne :
Effacer du disque dur, les informations concernant les utilisateurs.
Remarque : Communicator conserve en mémoire locale (en l’absence de serveur LDAP ou HTTP) des informations personnelles pour faciliter l’écriture des e-mail et des requêtes pendant la consultation de certains sites. Ces renseignements constituent une source d’informations sur une cible potentielle (une station) pour une attaque. Mise en œuvre :
Le 06/06/2000
3.7.6 Paramétrage de Communicator
version 1.0
Page 40
Manuel Windows NT 4.0 Workstation Station de travail
2.8.6 Protection de « F-Secure Anti-Virus » Groupe de consignes : 33 cs 33-1 : Protection contre les virus.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter l’infection des stations de travail et limiter la propagation de virus sur le réseau. Remarque : Il est impératif d’installer l’antivirus de l’armée de terre sur toutes les stations de travail. De manière à garantir un paramétrage correct et pour rendre impossible la désactivation du logiciel, l’installation doit être effectuée via le réseau. Mise en œuvre : 3.7 Configuration des applications 3.7.7 Protection contre les virus
Le 06/06/2000
version 1.0
Page 41
Manuel Windows NT 4.0 Workstation Station de travail
3.
MISE EN ŒUVRE Les modalités de mise en œuvre décrivent les actions concrètes qui doivent être réalisées en présentant les différents panneaux de configuration et les actions associées qui permettent à l'administrateur de sécurité d'appliquer les consignes définies précédemment. Les actions sont présentées dans un ordre logique applicable sur un poste de travail dans l'état suivant : Le système d'exploitation Windows NT 4 a été chargé et mis au niveau du SP 5 (attention les Services Pack ne sont pas cumulatifs, il faut installer ces services les uns après les autres). Les composants réseaux ont été installés lors de l'implantation de Windows NT 4.0.
3.1
Protection de la configuration matérielle du poste Consignes associées : cs 3-3 Une étiquette collée ostensiblement sur l’écran de la station indiquera le degré de sensibilité et le niveau de confidentialité. Les fonctions des personnes autorisées à ouvrir une session sur cette machine et les risques encourus de son utilisation frauduleuse peuvent figurer sur cette étiquette.
3.1.1 Protection physique du poste Consignes associées : cs 1-1, cs 1-2 Le moyen le plus simple consiste à disposer d’un verrou condamnant l’ouverture physique de l’ordinateur et empêchant le déplacement du poste (câble et cadenas reliant le capot, le boîtier et le bureau). Cependant les verrous offrent une résistance peu fiable. La serrure peut être forcée sans endommager le verrou, puis refermé après ouverture du capot de l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un poste. La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certain ordinateur peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS Consignes associées : cs 2-1, cs 2-2, cs 2-3, cs 2-4 Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel (possédant un système d’exploitation) afin de lire le disque installé par l’administrateur. Il est nécessaire que le disque dur installé par l’Administrateur soit déclaré maître (par un cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la carte mère.
Le 06/06/2000
version 1.0
Page 42
Manuel Windows NT 4.0 Workstation Station de travail
Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par le BIOS dépendent du constructeur. En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche ou [ et <ESC>] au démarrage. Option d’amorçage : n’autoriser l’amorçage qu’à partir du disque dur C:\ et uniquement sur ce périphérique (lorsque cette option existe). Paramètres avancés ou configuration des périphériques : désactiver les ports série et le port USB. Paramètres de sécurité : définir un mot de passe administrateur pour les machines. Il répond au critères suivants : 10 caractères au minimum. Différents pour chaque station. Il est changé à chaque changement d’administrateur. Il est changé une fois par an (généralement au début des vacances d’été pour garder une marge temporelle en cas de problèmes). Un second mot de passe permet de verrouiller le fin d’exécution du BIOS. Cette option n’est pas mise en œuvre sur les stations à l’exception des station très sensibles.
3.1.3 Configuration du disque dur local Consignes associées : cs 2-2, cs 17-1, cs 18-1 Pendant l’installation du disque dur local, l’administrateur vérifiera qu’il est bien connecté sur le premier port IDE (IDE 0) de la carte mère et que le cavalier à l’arrière du disque est bien sur la position Master. Ces précautions éviteront le multi-boots sur un disque dur ajouté frauduleusement par une personne. Une fois le BIOS modifié et validé, l’ordinateur lancera l’acquisition des paramètres des périphériques à son allumage. L’administrateur créera une partition (commande Fdisk du DOS) qui accueillera l’OS (Operating System : système d’exploitation) Windows NT. Cette partition du disque dur devra être suffisante pour accueillir l’OS et ses applications. Sa taille est de : Taille minimale : 1 Go pour les disques de 4 Go. Taille minimale : 1,5 Go pour les disques de capacité supérieure. Pendant l’installation de Windows NT, certains choix sont demandés. Notamment le choix entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT File System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des contrôles d’accès aux fichiers et aux répertoires. Les contrôles d’accès sont natifs au système de fichiers NTFS. Ils sont mis en œuvre de façon intrinsèque par NTFS. Ils prennent en charge : La protection des fichiers et des répertoires. La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises après un arrêt brutal de l’ordinateur (coupure de courant). La compression des fichiers. L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation. Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers NTFS par d’autres OS : Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98 échoueront.
Le 06/06/2000
version 1.0
Page 43
Manuel Windows NT 4.0 Workstation Station de travail
Par un accès réseau, les tentatives d’accès aux fichiers NTFS de Windows NT par les systèmes d’exploitation MS-DOS, UNIX ou Macintosh seront possibles. Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont : Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de OS/2 par des commandes du systèmes d’exploitation NTFS échoueront. Il sera donc nécessaire de formater l’espace disque restant en NTFS afin d’éviter le risque qu’un utilisateur ne crée un disque multi-boot (option prise en charge par Windows NT) et accède aux fichiers. La totalité de l’espace disque restant sera utilisé par une partition étendue afin d’éviter qu’elle soit déclarée système par la suite.
1.1.1.9
Création de la partition principale C: "Système"
Consignes associées : cs 22-1 La partition C: ("Système"), définie et formatée (NTFS) au cours de l'installation de Windows NT 4.0, contient toutes les ressources systèmes (boot, informations de configuration matérielle, pilotes de périphériques, utilitaires systèmes divers, etc.). Elle peut être utilisée pour installer les applications bureautiques fournies par le responsable informatique et mis en place par l'administrateur. Cette partition a pour but : d’éviter la fragmentation de la partition système, de garantir la disponibilité de l'espace disque nécessaire notamment pour les journaux d'audit, de conserver un espace disque "propre", où se trouve le système, garantir une zone propre pour l’antivirus de l’armée de terre. La création de cette partition avec la présence d’un antivirus, n’est pas suffisante pour protéger l’ordinateur contre les attaques virales. Il est recommandé (ou impératif) de : mettre à jour mensuellement les logiciels antiviraux.
Impératif,
diversifier les applications de détections virales. Recommandé Les logiciels ne reconnaissent pas toutes des signatures virales. Une station dite Station blanche avec un antivirus différent servira de station témoin. Cette station sera choisie pour son caractère non sensible, sa fréquence d’utilisation et la diversité des provenance des fichiers lus. rapporter immédiatement la détection d’un virus Impératif. Les administrateurs doivent encourager les utilisateurs à révéler l’apparition d’un virus plutôt que de prendre des sanctions contre des personnes. Les utilisateurs risqueraient de cacher cette détection. La menace d’une contamination serait plus importante.
1.1.1.10
Création de la partition étendue E: "Utilisateur"
Il s'agit de créer une partition logique (E: "Utilisateur") dans laquelle l'utilisateur aura la possibilité de travailler. L'intérêt, pour l'administrateur système et de sécurité, de définir une partition allouée à l'utilisateur est essentiellement : d'effacer l'ensemble des données de l'utilisateur en formatant la partition quand le poste doit être attribué à une autre personne, de n'opérer la défragmentation que sur la partition utilisateur, de pouvoir sauvegarder l'ensemble des données utilisateur en désignant cette partition. Les consignes relatives aux permissions d'accès aux fichiers ou aux répertoires sont définies au chapitre 3.5 et en Annexe B.
Le 06/06/2000
version 1.0
Page 44
Manuel Windows NT 4.0 Workstation Station de travail
Contexte initial : Sélectionner Démarrer Administrateur de disques
Programmes
Outils
d'administration
Actions : Créer une partition pour l'utilisateur. Sélectionner l'espace disponible. Créer une partition "étendue" (Menu : Partitions étendue).
créer une partition
Sélectionner la partition étendue. Créer une partition logique (lecteur logique lettre E par défaut) dans la partition "étendue" créée précédemment en lui attribuant tout l'espace disponible. (Menu : : Partitions créer) puis : (Menu : : Partitions appliquer les changements maintenant)
Formater la partition logique E: Sélectionner E:, puis (Menu : Outils Formater) Sélectionner NTFS comme système de fichier, donner un nom au volume (Utilisateur). Bouton Démarrer.
Le 06/06/2000
version 1.0
Page 45
Manuel Windows NT 4.0 Workstation Station de travail
3.2
Configuration de Windows NT 4.0 Works Station L’ordinateur est installé, le disque dur est formaté entièrement et Windows NT 4.0 est implanté. L’étape suivante consiste à mettre de niveau le système d’exploitation et à créer une disquette de réparation.
3.2.1 Les Services Pack Les Services Pack (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils ne sont pas cumulatifs (le SP 5 ne contient pas toutes les mises à jour du SP 4). Ils contiennent des correctifs aux protocoles, des modifications de logiciels et des applications facilitant l’utilisation des possibilités des OS. Pour éviter un travail fastidieux aux administrateurs système qui devront appliquer ces SP les uns après les autres, il est possible de les appliquer sur une station puis de faire une image disque sur un CD-ROM. Les autres stations seront configurées en restaurant cette image disque conforme en tous points aux consignes de sécurité sur les disques locaux. La présentation adoptée dans la suite de ce chapitre, comporte trois parties idées maîtresses (Défense contre les attaques réseau, Installation du protocole SMBS-S et Filtrage des mots de passe).
1.1.1.11
Défense contre les attaques réseau
Consignes associées : cs 10-2 Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le réseau. Ces attaques peuvent se traduire par un ralentissement de la station et pouvant aller jusqu’au déni de service, interrompant le travail de l’utilisateur. Les SP 2 et 3 permettent de se protéger contre les attaques les plus connues : Nom de l’attaque
Le 06/06/2000
Remède
version 1.0
Page 46
Manuel Windows NT 4.0 Workstation Station de travail
Telnet vers des ports inconnus Ping of death Ping of death 2 SYN Flood Out-of-Band Attaque sur port RPC de TCP/IP Land Teardrop, Teardrop 2, Bonk et Boink
Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer
le le le le le le le le
SP SP SP SP SP SP SP SP
2 2 3 2 3 3 3 3
Les stations peuvent subir d’autres types d’attaques, il faut donc installer les SP les uns après les autres dans l’ordre chronologique et ceci jusqu’au SP 5. Pour améliorer la sécurité face à une attaque réseau, il est préférable de restreindre les ports ouverts par le protocole TCP/IP. Par défaut Windows NT ne filtre pas les paquets. Tous les ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT (définis par le RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire %SystemRoot%\system32\drivers\etc). Windows NT et les applicatifs Microsoft Office utilisent un grand nombre de ports. Si vous désirez effectuer un filtrage de paquets vous devez tenir compte des fonctionnalités définies lors de l’installation des logiciels. Nous donnons dans ce chapitre la méthodologie pour effectuer ce filtrage de paquets. Les administrateurs système désirant mettre en œuvre cette sécurité, devront prendre garde à certains ports appelés dans certaines conditions. Le filtrage des paquets est effectué en accédant au menu : Sécurité TCP/IP (Panneau de configuration Réseau Protocoles). Double click sur TCP/IP, ouvre le menu Adresse IP bouton Avancé cocher Activer la sécurité Configurer...
Bouton Configurer…. Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à la place du choix par défaut (Autoriser tous).
Le 06/06/2000
version 1.0
Page 47
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 48
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 49
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.12
Installation du protocole SMB-S
Consignes associées : cs 16-1, cs 16-2, cs 16-3 Le protocole SMB (Server Message Block) assume la structure de base des réseaux Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire). SMB authentifie un utilisateur par challenge en vérifiant la cohérence du mot de passe avec le nom de l’utilisateur. De plus, ce protocole est sousjacent aux services de partages de fichiers ou d’imprimantes sous Windows NT. Il est utilisé pour les échanges d’authentifications des utilisateurs sur les serveurs. Ces services sont implémentés par les services Serveur et Station de travail de Windows NT (Démarrage Paramètres Panneau de configuration Services). Ces services sont disponibles sur les serveurs ainsi que sur les stations de travail. Cependant, le service Serveur sera désactivé sur les stations pour éviter leur visibilité sur le voisinage réseau. Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou par interception/modification des messages. De plus, les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Le SP 3 introduit une version plus performante des services offerts par le protocole SMB en incluant un protocole de signature SMB-S (Server Message Block Signing). Le protocole de signature SMB-S, également dénommé protocole de partage de fichiers CIFS (Common Internet File Sharing), n’évite pas l’écoute des paquets sur le réseau. Lors du changement du mot de passe par l’utilisateur auprès du Contrôleur Principal de Domaine, la confidentialité de la chaîne est protégée par le protocole Windows NT CR (Challenge Response) et le protocole de hachage de LM (Lan-Manager). Ce dernier est moins performant que Windows NT CR. Cependant certaines configurations du réseau nécessitent l’emploi du protocole de hachage de LM. Notamment si un serveur utilisant Windows 95 ou Netware est connecté sur le réseau. Les services SMB-S (pour les stations : service Station de travail uniquement ; pour les serveurs : services Serveur et Station de travail) devront être activés sur les stations et les serveurs. Suivant la configuration du réseau, deux cas de figure se présentent et deux solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regdt32.exe (dans le répertoire C:\WINNT\system32) pour créer la rubrique et modifier la valeur.
Le 06/06/2000
version 1.0
Page 50
Manuel Windows NT 4.0 Workstation Station de travail
Accéder au registre : HKEY_LOCAL_MACHINE
Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en ouvrant le menu Edition Ajouter une valeur entrer le nom de la rubrique et son type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en Décimal). Aucun serveur nécessite le protocole LM. Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM doivent ne pas accepter ce protocole sur le réseau et refuser de répondre : Pour les stations : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Le 06/06/2000
version 1.0
Page 51
Manuel Windows NT 4.0 Workstation Station de travail
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée)
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé sont autorisés à établir une connexion avec le serveur).
Pour les serveurs : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par ameters
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur).
se reporter au chapitre concernant les registres pour la modification des valeurs des clés Au moins un serveur nécessite le protocole LM. Il existe au moins un serveur ou une station sur le réseau utilisant Windows 95 ou Netware et nécessitant le protocole LM.
Pour les stations : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé sont autorisés à établir une connexion avec le serveur). Pour les serveurs : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par ameters
Le 06/06/2000
version 1.0
Page 52
Manuel Windows NT 4.0 Workstation Station de travail
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 0 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que les stations peuvent répondre par le protocole SMB-S ou par LM).
1.1.1.13
Filtrage des mots de passe
Consignes associées : cs 4-5 Par souci de simplicité, les utilisateurs utilisent souvent des mots de passe du langage commun et donc peu robustes face à des programmes du type Crack (il tente d’ouvrir une session avec les mots des dictionnaires français et étrangers). Le SP 3 offre une bibliothèque (Passfilt.dll) permettant de refuser les mots de passe trop simples. Il impose aux utilisateurs de choisir une chaîne respectant certains critères : Le mot de passe doit comprendre 6 caractères au minimum. Il doit comporter des caractères choisis dans trois des 4 groupes suivants minuscules : a, b, … z ; majuscules : A, B, … Z ; symboles spéciaux (ponctuation) : , ; : ! ?. , chiffres : 1,2, …0. Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du compte), il ne doit pas comprendre un sous-ensemble du nom de l’utilisateur. Pour mettre en œuvre ce filtrage des mots de passe, il faut vérifier que le fichier passfilt.dll est présent dans le répertoire C:\WINNT\system32 du Contrôleur Principal de Domaine. Lancer l’éditeur de registres : C:\WINNT\system32\regedt32 sur le Contrôleur Principal de Domaine. Accéder au registre : HKEY_LOCAL_MACHINE. Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA « Notification Package » apparaît dans la fenêtre à droite de la liste hiérarchique quand cette clé est sélectionnée. Double cliquer sur « Notification Package ». Attribuer la valeur « Passfilt » (type Chaîne multiple) à la rubrique Notification Packages sur la ligne suivante dans la fenêtre « Données ». Désactivez l’ancienne bibliothèque de contrôle « Fpnwclnt.dll » en effaçant FPNWCLNT de la fenêtre.
Le 06/06/2000
version 1.0
des
mots
de
passe
Page 53
Manuel Windows NT 4.0 Workstation Station de travail
Valider en cliquant sur OK. Vérifier que les options (menu Options de l’éditeur de registre) suivantes sont cochées : Actualisation automatique. Enregistrer la configuration en quittant. Quitter l’éditeur de registre. Redémarrer l’ordinateur .
1.1.1.14
Installation de divers programmes
Certains programmes disponibles dans les Services Pack doivent être installés localement sur les stations. Nous n’allons pas les décrire dans ce chapitre. L’utilisation du premier se fait au niveau de l’administration du réseau et au niveau des registres pour le second. Passprop : utilitaire inclus dans le SP du Kit de ressources. Installé et activé, ce programme permet de verrouiller le compte administrateur sur le réseau et non localement. Pour plus de renseignements ou pour son utilisation reportez-vous au manuel du CPD (Contrôleur Principal de Domaine). Syskey : utilitaire inclus dans le SP 3. Une Installé (dans le répertoire C:\WINNT\system32) et exécuté, ce programme chiffre sur 128 bits les mots de passe enregistrés dans le registre HKEY_LOCAL_MACHINE (voir le chapitre concernant « 3.4 Les registres »).
1.1.1.15
Le 06/06/2000
Disquette de réparation
version 1.0
Page 54
Manuel Windows NT 4.0 Workstation Station de travail
Consignes associées : cs 22-3 Toute les modifications apportées jusqu’à présent sont enregistrées dans la Ruche (base de données et de programmes). Windows NT donne la possibilité de créer une disquette ERD de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cet exécutable copie la ruche dans un format compressés ainsi que certains fichiers. Initialement toutes les stations possèdent la même configuration, donc la même ruche et donc la même disquette de réparation. Chaque applications ajoute de nouvelles clés ou modifie certaines valeurs de rubriques (ces termes sont succinctement expliqués dans le chapitre concernant les registres). L’enregistrement des profils d’utilisateurs qui se connectent modifient aussi les clés. Les Ruches diffèrent rapidement en fonction des utilisateurs et des logiciels installés (et même après effacements). Il impératif de créer une disquette de réparation d’urgence pour chaque ordinateur. À chaque modification de la configuration matérielle ou logicielle, la disquette sera mise à jour ou recréée par le programme rdisk. Toutes les disquettes seront conservées par l’administrateur, dans un meuble fermant à clé (il suffit de copier une configuration particulière sur une disquette, pour prendre possession de la machine correspondante lors de sa restauration).
3.2.2 Les services Consignes associées : cs 10-1, cs 13-1, cs 14-1, cs 15-1, cs 18-2, cs 21-1 Par défaut Windows installe un nombre important de services (Avertissement, Serveur d'albums, Explorateur d'ordinateurs, Duplicateur de répertoires, Enregistrement d'événements, Messagerie, Accès réseau, DDE réseau, DSDM DDE réseau, Fournisseur de support de sécurité NT LM, Détecteur d'appel RPC, Service d'appel RPC, Planning, Serveur, Spooler, Station de travail et UPS). Outre ces services par défaut, il se peut que d'autres services soient répertoriés dans la boîte de dialogue Services d'un ordinateur. Beaucoup sont inutiles voire dangereux pour l’intégrité du réseau ou des stations locales. La liste des services et leur état est consultable par le Panneau de configuration en double cliquant sur Services : Double cliquez sur Services. La liste des services (nom, état et type de démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt (vide). La colonne Démarrage indique son mode de lancement :
Le 06/06/2000
version 1.0
Page 55
Manuel Windows NT 4.0 Workstation Station de travail
Automatique :
ce service démarre à l’allumage de l’ordinateur.
Manuel :
ce service démarre lorsqu’il est sollicité.
Désactivé : station.
ce service est arrêté même après le redémarrage de la
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante présente la dépendance des services sur une station de travail :
DSDM DDE réseau
DDE réseau
Album
Serveur
Aide TCP/IP NetBIOS
Station de travail
Accès réseau
Détecteur d’appel RPC
Messagerie
Avertissement
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour désactiver éventuellement les services qui suivent :
Le 06/06/2000
version 1.0
Page 56
Manuel Windows NT 4.0 Workstation Station de travail
Service réseau Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une session sur les domaines. Configuration : Ne pas modifier. Agent du moniteur réseau Ce service écoute le réseau. Il permet de capturer des trames et de les lire même si elles ne sont pas adressées assure à la station qui utilise ce service. Il peut être activé uniquement sur le Contrôleur Principal de Domaine. seul l’administrateur peut l’utiliser. Fichier exécutable : “nmagent.exe” Configuration : Ne pas modifier. Aide TCP/IP NetBIOS Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un ensemble de commandes permettant de demander les services de niveau inférieur requis pour établir des sessions entre des nœuds de réseau pour transmettre des informations). Configuration : Ne pas modifier. Album Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge le gestionnaire d’album pour l’implémenter sur le réseau. Il permet aux albums distants d’accéder et de visualiser des pages. Il peut également être démarré grâce à la commande net start album. Fichier exécutable : “clipsrv.exe” Configuration : Inutile. Avertissement Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se produit sur un ordinateur. Ce service est utilisé par le service Serveur et nécessite l'activation du service Messagerie. Il peut également être démarré grâce à la commande net start avertissement. Les messages d'alerte signalent les problèmes de sécurité et d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce service n’est pas mis en œuvre par l’administrateur, il peut être désactivé. Configuration : Uniquement sur les machines devant recevoir des alertes. DDE réseau Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les échanges dynamiques de données (mise à jour automatique entre différents documents) peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la confidentialité des documents, ce service ne doit pas être activé. Configuration : Non démarré Désactivé. Détecteur d’appel RPC Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge le service Détecteur d'appel RPC pour trouver les applications serveur compatibles actuellement disponibles. Fichier exécutable : “locator.exe” Configuration : Ne pas modifier. DSDM-DDE réseau
Le 06/06/2000
version 1.0
Page 57
Manuel Windows NT 4.0 Workstation Station de travail
Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau) est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit pas être activé. Fichier exécutable : “netdde.exe” Configuration : Non démarré Désactivé. Duplicateur de répertoires Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre. Ce service peut également être démarré grâce à la commande net start "duplicateur de répertoires". Ce service est mis en œuvre pour sauvegarder des données. Cependant, il autorise la duplication entre stations ce qui est contraire aux règles de sécurité : Fichier exécutable : “lmrepl.exe” Configuration : Non démarrer et Désactivé. Enregistrement d'événements Enregistre les événements dans les journaux système, sécurité et application. Ce service peut également être démarré grâce à la commande net start "enregistrement d'événements", mais ce service doit être activé avant de vous servir de l'Observateur d'événements pour afficher les événements enregistrés. Configuration : Ne pas modifier. Explorateur d'ordinateurs Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste aux applications qui la demandent. Ce service peut également être démarré grâce à la commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Configuration : Non démarré et désactivé. FTP Ce service fait partie de Internet Information Server (IIS). Le service FTP (File Trivial Protocol) autorise des transferts de fichiers sans se préoccuper véritablement de la sécurité. Configuration : Non démarré et Désactivé. Fournisseur de support de sécurité NT Lan-Manager Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC (Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de fichier LMHOST compatible NT Lan-Manager). Configuration : Ne pas modifier. Licence Logging Service Permet l’enregistrement, la vérification et la gestion des licences d’exploitations des applications présentes localement. Fichier exécutable : “llssrv.exe” Configuration : Inutile. Messagerie Ce service prend en charge l’émission et la réception des messages envoyés par les administrateurs ou par le service Avertissement. Configuration : Uniquement si le service Avertissement est activé.
Le 06/06/2000
version 1.0
Page 58
Manuel Windows NT 4.0 Workstation Station de travail
Service Planning Ce service permet de programmer l'exécution de commandes et de programmes sur un ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être démarré grâce à la commande net start planning. Le service Planning est configuré initialement dans le compte système de la station locale qui dispose d’un accès intégral à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte système local. Les tâches assurées par ce service ont un Accès réseau limité, du fait que le compte système local de la station est inconnu des autres ordinateurs. Cependant, il peut être configuré afin qu'il exécute sa tâche via un compte utilisateur. Les tâches exécutées par le service Planning sont alors gérées par l'accès réseau du compte utilisateur ce qui présente un risque supplémentaire. Pour éviter que des tâches soient effectuées sans l’accord de l’administrateur concerné (par exemple l’administrateur de sauvegarde) ce service doit être : Fichier exécutable : “atsvr.exe” Configuration : Non démarré et Désactiver Plug and Play Ce service prend en charge la reconnaissance et le chargement des pilotes des périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit installé à l’insu de l’administrateur, il convient de déclarer ce service : Configuration : Non démarré et Désactiver Serveur Le service Serveur permet à un ordinateur de se connecter aux ressources réseau et à les utiliser. De plus, ce service permet à un ordinateur de partager des ressources sur le réseau, c’est-à-dire qu’il prend en charge les appels de procédure à distance (RPC, Remote Procedure Call) ainsi que le partage des fichiers, imprimantes et canaux nommés. Cet ordinateur devient visible par le Voisinage réseau. Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Les stations sont invisible dans le voisinage réseau mais elles sont toujours accessibles (avec l’autorisation de la station cible) par les commande de langage de bas niveau (exemple : net start avertissement ou net send « nom de la station » « message envoyé »). Configuration : Non démarré et Désactiver. Service d'appel RPC Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft Windows NT. Il comprend notamment le service de mappage de la base de données des points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient la correspondance des noms /numéros des mappages réseau). Le service d'appel RPC autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie serveur de l'application distribuée enregistre un point de sortie avec le service d'appel rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer si une application distribuée utilise le service de mappage de point de sortie, consultez la documentation de cette application. Ce service peut également être démarré grâce à la commande net start "service d'appel RPC". Configuration : Ne pas modifier. Service Téléphonique Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il est important qu’il apparaisse désactivé comme sur la figure suivante.
Le 06/06/2000
version 1.0
Page 59
Manuel Windows NT 4.0 Workstation Station de travail
Fichier exécutable : “tapisrv.exe” Configuration : Non démarré et Désactiver. Spooler Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est nécessaire si une imprimante est connectée à la station. Fichier exécutable : “spool.exe” Configuration : Suivant les circonstances. Station de travail Le service Station de travail permet à un ordinateur de se connecter aux ressources réseau et à les utiliser. Configuration : Ne pas modifier.
Le 06/06/2000
version 1.0
Page 60
Manuel Windows NT 4.0 Workstation Station de travail
UPS Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré uniquement si une alimentation de secours est installée. Dans tous les autres cas il ne sera pas autorisé. Configuration : Suivant les circonstances.
3.2.3 Remarques sur les services Consignes associées : cs 26-2 Windows NT permet de lancer des services sans pour autant les rendre visibles dans le menu Services (Panneau de configuration, double cliquer sur Services). Il suffit d’ouvrir une fenêtre dos et d’exécuter le programme correspondant au service. Ils sont activés en arrière tâche. Cette manière de procéder serait sans risque si ces services étaient parfaitement contrôler. L’une des principales causes d’attaques réussies, est l’exécution d’un cheval de Troie en arrière tâche. Ce programme écoute le travail mené sur une station et se réveille dans certaines conditions (généralement aux ouvertures de sessions). Généralement, il duplique le mot de passe lors de sa frappe au clavier et envoie une copie vers un poste espion. Le pirate récupère ainsi les mots de passe des utilisateurs (ou de l’Administrateur). il peut prendre possession du réseau sans être découvert. Windows NT ne permet pas de contrôler facilement les processus exécutés sur une station. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés ( <SUPP> Gestionnaire des tâches, onglet Processus), on peut découvrir la présence d’un processus pirate ou l’utilisation insolite d’un service. Certains chevaux de Troie remplacent un programme associé à un service. Ils assument les fonctions de ce service en même temps qu’ils piratent la station. Cependant ce type d’attaque est rendue presque impossible si les fichiers associés aux services sont protégés en écriture (click droit de la souris Sécurité). Dans la liste ci-dessus vous trouverez les noms des exécutables associés. L’expérience prouve que les utilisateurs sont réticents à utiliser cette méthode de vérification. Avec le temps, l’association d’un nom de programme et d’un service devient un jeu que les curieux pratiquent facilement. Le sentiment de contrainte laisse place à un désir ludique. Les utilisateurs contrôleront les processus une fois par mois, à l’ouverture d’une session. Par défaut Windows NT 4.0 supporte la norme POSIX. Ces commandes introduisent la possibilité d’Outrepasser le contrôle de parcours des répertoires et de contourner les restrictions des Access Control List de NTFS. Ces commandes peuvent être interdites en supprimant le fichier POSIX (C:\WINNT\SYSTEM32\POSIX.EXE). Cependant, les administrateurs doivent être conscients qu’il suffit de copier ce fichier sur la partition Z:\ pour pouvoir utiliser les commandes POSIX. Cette mesure de sécurité ne représente pas une interdiction complète de l’utilisation de ces commandes.
3.2.4 Options de configuration de Windows NT Consignes associées : cs 3-1 Certaines fonctionnalités de Windows NT permettent d’accroître la sécurité du réseau par des actions locales. Ce chapitre explique la mise en œuvre de ces sécurités.
1.1.1.16
Le 06/06/2000
Message de mise en garde à l’ouverture d’une session
version 1.0
Page 61
Manuel Windows NT 4.0 Workstation Station de travail
La première mesure de sécurité à prendre est d’informer la personne accédant à l’ordinateur qu’elle doit avoir l’autorisation de l’utiliser. Windows NT propose de créer une fenêtre juste avant la demande du mot de passe. La création de cette fenêtre est obtenue en modifiant deux valeurs d’une clé du registre HKEY_LOCAL_MACHINE : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Créer le titre de la fenêtre en exécutant : Double click sur : LegalNoticeCaption, écrire la valeur : « Station de travail de l’Armée de terre » Créer le texte apparaissant dans la fenêtre : Double click sur : LegalNoticeText, écrire la valeur : « Vous devez être autorisé(e) pour poursuivre »
1.1.1.17
Verrouillage de la station pour inactivité
Consignes associées : cs 3-2, cs 7-1 Le piratage d’un compte est facile lorsque la session est laissée ouverte et l’utilisateur absent. Le pirate peut s’approprier le compte en installant un cheval de Troie qui copiera dans un fichier sur le disque dur le mot de passe à la prochaine ouverture de la session. Il faut donc prévoir un verrouillage de la station quand l’utilisateur est obligé de s’absenter. La procédure à suivre est : Démarrer Paramètres Panneau de configuration double cliquer sur Affichage Écran de veille.
Le 06/06/2000
version 1.0
Page 62
Manuel Windows NT 4.0 Workstation Station de travail
Cochez la case Protégé par un mot de passe. Écrire 15 minutes dans le champ Attente. Choisir : Message dans la fenêtre déroulante. Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
Cochez : Centré de l’option Position. Choisir : Lente de l’option Vitesse. Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond : noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran). Écrire la phrase : « Message de l’armée de terre » dans la plage Texte. La couleur et la police sont définissables en cliquant sur la touche Format texte… (choisissez une couleur voyante par rapport à la couleur du fond d’écran afin d’attirer l’œil). Sortir en validant par OK à chaque fois. Protéger les rubriques de la clé correspondantes à ce choix : HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent les rubriques associées à cette clé :
Le 06/06/2000
version 1.0
Page 63
Manuel Windows NT 4.0 Workstation Station de travail
Activation de l’économiseur d’écran : Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ) Programme exécuté par l’écran de veille : Valeur de la rubrique SCRNSAVE : « C:\WINNT\System32\ssmarque.scr » (Type REG_SZ) Activation de la protection par un mot de passe : Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ) Temps d’attente avant l’activation de l’écran de veille : Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type REG_SZ)
Protéger la clé correspondante à ce programme : HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee Protéger en écriture le C:\WINNT\System32\ssmarque.scr
1.1.1.18
programme
correspondant :
Fermeture de la session après 2 heures d’inactivité
Consignes associées : cs 7-2 Le verrouillage d’une station est le premier pas vers la sécurisation de l’ordinateur. Il implique que l’utilisateur ne s’absentera pas longtemps et qu’il reviendra pour ouvrir ou fermer sa session. Le rôle de l’administrateur sécurité est de prévoir l’imprévisible et notamment une absence prolongée de l’utilisateur. Il faut donc clore la session si l’utilisateur laisse sa station inoccupée plus de 2 heures (1 h ¾ après le verrouillage). Cette consigne est appliquée sur le CPD puisque les profiles sont définis sur le domaine (Profiles errants). La durée de temps est choisie lors de la définition des stratégies de comptes (Démarrer Programmes Outils d’administration Éditeur de stratégie système). Créer les stations, les serveurs, les groupes et les utilisateurs. Double cliquer sur la station pour afficher le menu Propriétés de « nom de l’ordinateur ». Cocher la case correspondante et entrer le temps en minutes.
Le 06/06/2000
version 1.0
Page 64
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.19
Interdire l’arrêt du système sans ouverture de session
Consignes associées : cs 4-7 Le dernier point de cette liste de mesures de sécurité contrôlant l’accès à la station, décrit la méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être authentifié. Ainsi seules les utilisateurs autorisés pourront éteindre une station. Dans la pratique, beaucoup d’administrateurs profitent des fonctionnalités du système de fichiers NTFS. Ils éteignent la station avec le bouton d’arrêt, sans sortir proprement. À l’allumage, Windows NT contrôle le disque dur et utilise le journal de la station pour revenir à son état précédant. Toutefois cette solution est peut recommandable car elle risque d’entraîner des pertes d’informations de configuration ou de données. Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé suivante : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/Winl ogon Double click sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type : REG_SZ).
1.1.1.20
Précaution élémentaire contre l’écoute
Tous les administrateurs de réseaux possèdent des outils pour surveiller le trafic. Ces utilitaires permettent en général de capter toutes les trames qui circulent sur le réseau. Beaucoup de pirates utilisent ces outils pour s’emparer d’un paquet contenant le mot de passe d’un utilisateur (au moment de leur renouvellement). Dans notre cas, ils auraient 2 mois pour déchiffrer le mot de passe et créer un Cheval de Troie pour s’approprier les futurs changements. Windows NT possède cet outil : le moniteur réseau. Il est généralement exploité sur le Contrôleur Principal du Domaine, mais il est possible de le dupliquer sur une station. L’administrateur habilité à utiliser cet outil peut questionner le réseau pour connaître les stations qui utilisent cet outil. Il détecte ainsi d’éventuelles tentatives d’attaques. Le moniteur réseau n’est pas le seul outil d’écoute réseau. Il détecte les stations où il est en service mais pas celles avec d’autres outils d’écoute. Cette précaution doit être mise en œuvre pour éviter l’utilisation du Moniteur réseau. Elle ne garantie pas contre les écoutes réseau avec un autre utilitaire. Accéder au Moniteur réseau (Démarrer d’administration Moniteur réseau).
Programmes
Outils
Rechercher les duplications du programme : Outils Identifier les utilisateurs du moniteur réseau. Cette recherche est effectuée lors des changements des mots de passe.
3.3
Définition des comptes Les stations de travail ouvrent des sessions déclarées sur le domaine. La configuration des stations doit être adaptée aux choix retenus pour les utilisateurs. Pour une bonne compréhension des contrôles d’accès aux stations, nous devons décrire certaines déclarations de profils faites sur le domaine. La suite de ce chapitre est décomposé en deux partie : 2.3.1
Le 06/06/2000
Définition des comptes ouverts sur le domaine.
version 1.0
Page 65
Manuel Windows NT 4.0 Workstation Station de travail
(les points abordés sont mis en œuvre uniquement sur le Contrôleur Principal de Domaine) 2.3.2 Définition des comptes ouverts sur une station. (les points abordés sont mis en œuvre uniquement sur chaque station)
3.3.1 Définition des comptes ouverts sur le domaine
1.1.1.21
Création d’un nouvel utilisateur
Consignes associées : cs 4-8, cs 5-2, cs 8-3, cs 8-4, cs 19-1 Ouvrir l’application : Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs Accéder à la fenêtre de création d’un nouvel utilisateur : Utilisateur Nouvel utilisateur ….
Entrer le descriptif de l’utilisateur : Nom d'utilisateur : (nom du compte sur 20 caractères maximum). Structure proposée :.<prénom>.<section> Ce nom doit être unique, pour tenir en 20 caractères il peut être nécessaire d'utiliser des alias. Ceci doit être défini dans le cadre d'une politique de nommage global. Le compte administrateur changera le nom par un nom banal. Nom détaillé : nom et prénom complet. Description : ne rien mettre ou au maximum le nom du service auquel l'utilisateur est rattaché. Mot de passe : fixer un mot de passe sur 8 caractères minimum qui soit exemplaire (Cf. Stratégie des comptes). L’administrateur s’imposera un mot de passe d’une longueur de 10 caractères au minimum. Confirmer le mot de passe : retaper le mot de passe. L'utilisateur à changer le mot de passe lors de la prochaine ouverture de session : cocher la case obligeant.
Le 06/06/2000
version 1.0
Page 66
Manuel Windows NT 4.0 Workstation Station de travail
Compte désactivé : cocher la case (il sera activé à la prise en fonction de la personne). Déclarer son appartenance à un groupe en cliquant sur le bouton Groupes.
Ce nouvel utilisateur est Rattaché (par défaut) au groupe utilisateurs. Choisir les groupes au moyen des boutons Ajouter et Enlever . Sélectionner le groupe de l’utilisateur dans la fenêtre de droite Non membre de :, puis cliquer sur Ajouter. Cliquer sur le bouton Fixer groupe principal. Le groupe sélectionné (le groupe ajouter précédemment dans la fenêtre de gauche) devient le groupe par défaut de l’utilisateur. Si son groupe (Groupe section 1 dans notre cas) n’est pas fixé groupe principal, il est impossible d’enlever le groupe Utilisa. du domaine (groupe principal par défaut). Sélectionner le groupe Utilisa. du domaine dans la fenêtre de gauche, puis cliquer sur Enlever . Valider par la touche OK. Déclarer son profil personnel en cliquant sur le bouton Profil.
Le 06/06/2000
version 1.0
Page 67
Manuel Windows NT 4.0 Workstation Station de travail
Le profil errant de l’utilisateur (attaché au domaine et non à chaque station) sera enregistré dans le sous-répertoire du répertoire Profiles du serveur de fichiers (\\SFI\). Il suffit de remplir le champ Chemin du profile de l’utilisateur avec « \\SFI\Profiles\%USERNAME% » pour que ce répertoire soit créé. La variable %USERNAME% sera remplacée par le contenu de la variable Utilisateur (Dulac.bob.section1 dans notre cas) lors de la création de ce répertoire. Le champ Nom du script d’ouverture de session est à remplir si un programme est créé et sera exécuté à l’ouverture des sessions de l’utilisateur. Ce script est un fichier de commandes (.BAT, .CMD ou .EXE). Ce fichier d’ouverture de session est utilisé pour effacer le contenu de la corbeille, des répertoires temporaires Internet, etc. Il est écrit avec un éditeur de texte (EDIT.COM sous DOS) et sauvé sur le CPD pour éviter sa modification. L’exemple suivant écrit sous DOS (pour plus de simplicité) permettrait de vider la corbeille de la station ainsi que tous les fichiers temporaires (de type *.tmp) du disque dur c:\ de la station :
Cocher Connecter du menu Répertoire de base, entrer le volume logique E: et l’adresse (après le à) \\SFI\%USERNAME%. SFI est le Serveur de Fichier et d’Impression. Valider par la touche OK. Définir les heures d’ouverture de session en cliquant sur le bouton Horaires.
Le 06/06/2000
version 1.0
Page 68
Manuel Windows NT 4.0 Workstation Station de travail
Sélectionner les plages horaires et utiliser les boutons Autoriser, Interdire pour définir les heures ouvrables de l’utilisateur pendant une semaine (de 7 h à 20 h, du lundi au vendredi dans notre exemple). Valider par la touche OK. Définir les stations de travail auxquelles l’utilisateur est autorisé à se connecter en cliquant sur le bouton Accès depuis.
Choisir L’utilisateur peut ouvrir une session sur ces stations en remplissant les champs avec les noms des stations utilisées par le personnel de la section. Cette option soulève certains problèmes. Si une section dispose de plus de 8 stations, les utilisateurs devront disposer de 2 comptes différents ’au moins pour accéder à toutes les stations de la section. Valider par la touche OK. Définir la durée de validité du compte en cliquant sur le bouton Compte.
Remplir les champs de la Date d’expiration et du Type de compte. Cette option est fortement déconseillée pour deux raisons :
Le 06/06/2000
version 1.0
Page 69
Manuel Windows NT 4.0 Workstation Station de travail
•
Il est préférable de gérer convenablement les comptes et ne pas laisser le contrôleur de domaine s’occuper des fermetures des comptes.
•
Une erreur de validation (Compte local à la place de Compte global) peut créer un compte local sur le Contrôleur Principal de Domaine. Valider par la touche OK.
Vérifier que l’utilisateur ne possède pas la permission d'appel à distance (par téléphone). Cliquer sur le bouton Numérotation.
Ne pas cocher Accorder les permissions d’appel à l’utilisateur. Cocher Pas de rappel. Valider par la touche OK. Fixer les permissions sur le répertoire de base de l'utilisateur (Cf. Annexe B). Le compte utilisateur est créé, il faut réaliser un test en ouvrant une session avec le nom du nouvel utilisateur. Créer le répertoire de base, lui attribuer les permissions, créer le répertoire profil et copier dans ce répertoire un profil par défaut. Toutes ces opérations sont effectuées sur le serveur de fichiers SFI. Attendre que le bénéficiaire réceptionne son poste pour activer le compte.
1.1.1.22
Stratégie de compte
Consignes associées : cs 4-1, cs 4-2, cs 4-3, cs 4-4, cs 4-6 La stratégie de compte revêt une importance déterminante pour la sécurité. Elle définit les obligations des utilisateurs et par conséquence les limites de manœuvres des pirates. Il est donc nécessaire de contraindre les utilisateurs à respecter les consignes de sécurité et empêcher qu’un seul des utilisateurs mette en péril la sécurité globale du réseau. La stratégie de compte présentée ici concerne les utilisateurs du domaine. Ils travaillent sur les stations, mais la déclaration de leurs droits est faite sur LE CONTROLEUR PRINCIPAL DE DOMAINE. Plusieurs comptes prédéfinis sont créés automatiquement lors de l’installation de Windows NT. Ces comptes prédéfinis ne peuvent pas être détruits, ce sont :
Le 06/06/2000
version 1.0
Page 70
Manuel Windows NT 4.0 Workstation Station de travail
Administrateur. Invité. Le compte Administrateur est par défaut membre des groupes prédéfinis (Administrateurs, Administrateurs du réseau, Utilisateurs du domaine). Ce compte possède tous les droits et permissions par défaut ainsi qu’un mot de passe de validité illimitée. Il fournit la cible principale des attaques. Ce compte devra être désactivé sans pour autant le faire disparaître. Il sera remplacé par un autre compte (avec un nom moins évocateur) et possédera les droits suffisants pour assurer la fonction d’Administrateur du réseau. Les caractéristiques retenues pour tous les utilisateurs du réseau sont : Durée maximale du mot de passe à 60 jours. Durée minimale de validité du mot de passe à 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe à 8 caractères pour un utilisateur. Longueur minimale du mot de passe à 10 caractères pour un administrateur. Verrouillage du compte après 5 tentatives échouées. Attente de 60 minutes après 4 tentatives échouées. Limitation des heures d’utilisation du réseau.
Pour définir ces caractéristiques : Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis accéder au menu stratégies compte. Les valeurs par défaut doivent être modifiées selon les consignes visibles sur la figure suivante :
Valider par la touche OK.
Le 06/06/2000
version 1.0
Page 71
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.23
Stratégie des droits de l’utilisateur
Consignes associées : cs 8-2, cs 11-1, cs 19-2, cs 19-3, cs 19-4, cs 19-5, cs 19-6, cs 19-7, cs 19-8, cs 19-9, cs 20-2, cs 21-1, cs 23-1 Les 10 droits standards et les 17 droits avancés attribués aux utilisateurs, sont accessibles par : Ouvrir sur l’ordinateur le Gestionnaire Programmes Outils d’administration).
des
utilisateurs
(Démarrer
Sélectionner Droits des l’utilisateurs du menu stratégies. En bas de la fenêtre une case à cocher (Affiches les droits avancés des utilisateurs) permet d’afficher les droits d’accès standard ou avancé. Les droits repérés par un astérisque sont commun aux deux listes. Les deux listes qui suivent donnent les utilisateurs qui peuvent posséder ces droits. La troisième liste donne l’attribution normale et habituelle de ces droits. Les droits : Droits d’accès standard des utilisateurs :
Accéder à cet ordinateur depuis le réseau * Ajouter des stations de travail au domaine * utilisateurs. Arrêter le système * Charger et décharger des pilotes de périphériques * Forcer l’arrêt à partir d’un système distant * utilisateurs. Gérer le journal d’audit et de sécurité Modifier l’heure système * Ouvrir une session localement * Prendre possession des fichiers ou d’autres objets * Restaurer des fichiers et des répertoires * Sauvegarder des fichiers et des répertoires *
Seul l’administrateur. Interdire à tous
les
Tous les utilisateurs. Seul l’administrateur. Interdire à tous
les
Seul Seul Seul Seul Seul Seul
l’administrateur. l’administrateur. l’administrateur. l’administrateur. l’administrateur. l’administrateur.
Droits avancés des utilisateurs (cocher la case Affiches les droits avancés des utilisateurs) :
Le 06/06/2000
version 1.0
Page 72
Manuel Windows NT 4.0 Workstation Station de travail
Accéder à cet ordinateur depuis le réseau * Seul l’administrateur. Agir en tant que partie du système d’exploitation Interdire à tous les utilisateurs. Ajouter des stations de travail au domaine * Interdire à tous les utilisateurs. Arrêter le système * Tous les utilisateurs. Augmenter la priorité de planification Seul l’administrateur. Augmenter les quotas Seul l’administrateur. Charger et décharger des pilotes de périphériques * Seul l’administrateur. Créer des objets partagés permanents Interdire à tous les utilisateurs. Créer un fichier d’échange Interdire à tous les utilisateurs. Créer un objet-jeton Interdire à tous les utilisateurs. Déboguer des programmes Seul l’administrateur. Forcer l’arrêt à partir d’un système distant * Interdire à tous les utilisateurs. Générer des audits de sécurité Seul l’administrateur. Gérer un fichier d’échange Seul l’administrateur. Modifier les valeurs d’environnement de microprogrammation Seul l’administrateur. Modifier l’heure système * Seul l’administrateur. Optimiser un processus Seul l’administrateur. Outrepasser le contrôle de parcours Tous les utilisateurs. Ouvrir une session en tant que service Interdire à tous les utilisateurs. Ouvrir une session en tant que tâche Interdire à tous les utilisateurs. Ouvrir une session localement * Seul l’administrateur. Prendre possession des fichiers ou d’autres objets * Seul l’administrateur. Régler les performances système Seul l’administrateur. Remplacer un jeton niveau de processus Interdire à tous les utilisateurs. Restaurer des fichiers et des répertoires * Seul l’administrateur. Sauvegarder des fichiers et des répertoires * Seul l’administrateur. Verrouiller des pages mémoire Interdire à tous les utilisateurs. Attribution habituelle des droits :
Accéder à cet ordinateur depuis le réseau Arrêter le système Charger et décharger des pilotes de périphériques
Le 06/06/2000
version 1.0
Seul l’administrateur. Tous les utilisateurs. Seul l’administrateur.
Page 73
Manuel Windows NT 4.0 Workstation Station de travail
Générer des audits de sécurité Gérer le journal d’audit et de sécurité Modifier l’heure système Outrepasser le contrôle de parcours Ouvrir une session localement Prendre possession des fichiers ou d’autres objets Restaurer des fichiers et des répertoires Sauvegarder des fichiers et des répertoires
Seul l’administrateur. Seul l’administrateur. Seul l’administrateur. Tous les utilisateurs. Seul l’administrateur. Seul l’administrateur. Seul l’administrateur. Seul l’administrateur.
Valider par la touche OK.
3.3.2 Définition des comptes ouverts sur une station Consignes associées : cs 19-6 Dans ce chapitre, la définition des comptes n’est pas faite sur le Contrôleur Principal de Domaine et donc ces comptes (appelés comptes locaux) sont à définir pour chaque station.
1.1.1.24
Le compte local : « invité »
Consignes associées : cs 6-1 Ce compte ne peut pas être détruit. Il possède des droits suffisamment importants pour le rendre particulièrement attractif pour un pirate. Ce compte doit être désactivé (rendu inoffensif pour la sécurité). Pour désactiver ce compte : Ouvrir l’application "gestionnaire des utilisateurs" (Démarrer Programmes Outils d’administration) puis sélectionner Invité dans la liste des noms d'utilisateurs.
Les caractéristiques du compte Invité sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case L'utilisateur ne peut pas changer le mot de passe. Cocher la case Compte désactivé.
Le 06/06/2000
version 1.0
Page 74
Manuel Windows NT 4.0 Workstation Station de travail
Définir le groupe en cliquant sur la touche Groupes. Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et ne pouvant pas utiliser les stations :
Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
Bouton Numérotation : Ne pas cocher permissions d'appel à l'utilisateur.
la
case
Accorder
les
Valider par la touche OK. Sélectionner Menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte Invité est maintenant complètement inhibé.
1.1.1.25
Les autres comptes locaux prédéfinis ou habituels
Consignes associées : cs 6-1 Deux comptes prédéfinis et impossibles à supprimer sont créés par Windows NT. Tous les comptes locaux prédéfinis (à l’exception du compte administrateur et éventuellement le compte du RSSI), sont désactivés de la même manière. Les administrateurs créent souvent un compte particulier pour effectuer une tâche particulière (mise à jour de logiciels, sauvegarde, etc.). ces comptes représentent une faille importante à la sécurité de tout le réseau. Pour effectuer leurs tâches, ces comptes sont souvent dotés de pouvoirs similaires aux administrateurs. Si une personne s’empare de ce compte, elle a la possibilité de créer un compte, possédant tous les droits. avec le droit d’appropriation. Ce compte peut être dissimulé et utilisé pour prendre possession de tous les fichiers et répertoires des stations et des répertoires de base des utilisateurs. Dans certaines conditions, les administrateurs seront obligés d’ouvrir des comptes locaux afin de privilégier la pérennité du service par rapport à la sécurité. Ces conditions sont exceptionnelles et sont utilisées lorsque le personnel doit pouvoir travailler même si le Contrôleur Principal de Domaine est tombé. L’authentification des utilisateurs est assurée par un compte local sur chaque station. Ce mode de fonctionnement présente un grand risque pour la sécurité. Si un compte local est piraté, une personne peut utiliser les exécutables afin de tenter une communication directe avec les serveurs et contourner les sécurités. Il convient de prendre des précautions plus draconiennes pour ce mode de
Le 06/06/2000
version 1.0
Page 75
Manuel Windows NT 4.0 Workstation Station de travail
fonctionnement en supprimant 3.4.2 Modification des registres ) :
les
clés
et
des
exécutables
(voir
chapitre :
Débrancher le lecteur CD-ROM Débrancher le lecteur de disquettes Supprimer les fichiers POSIX et les fichiers associés. Supprimer le programme DHCP et les fichiers associés. Supprimer le programme Telnet et les fichiers associés. Supprimer la clé concernant le DCOM et les fichiers associés. Supprimer la clé concernant le FTP et les fichiers associés.
1.1.1.26
Le compte local : « Administrateur »
Consignes associées : cs 5-1, cs 5-2 Comme le précédent, ce compte ne peut pas être détruit. Il possède des droits particulièrement dangereux pour la sécurité même du réseau. Ce compte (et éventuellement le compte du RSSI) doit est conservé sous un aspect banalisé : Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis sélectionner Administrateur dans la liste des noms d'utilisateur. Les caractéristiques du compte « Administrateur » sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case Le mot de passe n'expire jamais, sinon il faudra le changer périodiquement (sur tous les postes tous les deux mois). Bouton Numérotation : ne pas cocher la case Accorder les permissions d'appel à l'utilisateur. Valider par la touche OK. Sélectionner menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte « Administrateur » est maintenant caché.
3.4
Utilisation des registres Consignes associées : cs 3-1, cs 3-2, cs 4-1, cs 7-1, cs 8-1, cs 8-5, cs 9-1, cs 9-2, cs 20-1, cs 22-2 Les registres sont un ensemble de fichiers contenant des bases de données dont les enregistrements contrôlent l’ordinateur. Ils décrivent le comportement de Windows NT, les caractéristiques des accès réseau et aux ressources, les options de démarrage des applications, etc. Pour comprendre rapidement les termes employés, faisons un parallèle rudimentaire entre un disque dur et la ruche (ensemble des registres, clés, rubriques et valeurs) :
Disque dur Les
Le 06/06/2000
noms
La ruche des
partitions
version 1.0
Les registres
Page 76
Manuel Windows NT 4.0 Workstation Station de travail
(volumes) Les répertoires
Les clés
Les fichiers
Les rubriques
Les paramètres application
d’une
Les valeurs
Les registres contiennent des informations importantes pour le fonctionnement d’une station. Il est nécessaire de protéger les données de certains registres. La ruche possèdent cinq registres principaux et un registre fonctionnel (pas toujours présent) : HKEY_LOCAL_MACHINE :
Contient les données de la configuration matérielle et informatique du système local (les types de matériels installés, les paramètres des applications et la configuration des logiciels). Ce registre contient les mots de passe chiffrés des utilisateurs locaux. Il faut absolument que le chiffrement des mots de passe (dont celui de l’administrateur fait partie) utilise un code robuste. Le programme Syskey installé et activé (voir chapitre 3.2.1.4) chiffre sur 128 bits les mots de passe enregistrés dans ce registre. Pour bien comprendre l’importance de ce registre, nous détaillons un peu plus son contenu : HARDWARE : Contient les données matériel de l’ordinateur et des périphériques, des pilotes détectés par NTDETECT.COM (pour les ordinateurs à base de processeurs x86) lors du démarrage du système Windows NT. Cette base est rafraîchie à chaque démarrage de l’OS. Windows NT utilise cette base de données et non celle du BIOS. SAM : Contient toutes les informations concernant la sécurité. Ce sous-arbre est rempli à l’ouverture de session par une demande adressée au système. Cette base de données n’est pas consultable (en grisée) par tous les utilisateurs (y compris pour l’administrateur) pour éviter sa consultation et sa modification. SECURITY : Contient les informations concernant la sécurité du système local. Notons que SECURITY\SAM (lorsqu’il est défini) pointe sur SAM. Son contenu (en grisée) n’est pas consultable (y compris par l’administrateur). SOFTWARE : Contient les informations concernant la configuration logicielle de la station. On
Le 06/06/2000
version 1.0
Page 77
Manuel Windows NT 4.0 Workstation Station de travail
peut y lire notamment les paramètres des applications du Pack Office 97 dans SOFTWARE\Microsoft\Office. Le sous-registre SOFTWARE\Classes pointe sur le registre HKEY_CLASSES_ROOT contenant les associations logiciel/extension. Le sous-registre SOFTWARE\Microsoft\Windows NT contient les paramètres de configuration de l’OS. SYSTEM : Contient toutes les informations concernant le démarrage du système d’exploitation. On peut y lire les paramètres des périphériques et des services du système dans le sous-registre SYSTEM\ControlSet. Le sous registre SYSTEM\CurrentControlSet pointe sur tous les services et paramètres de SYSTEM\ControlSet en cours d’utilisation. HKEY_CLASSES_ROOT :
Pointe vers la partie de HKEY_LOCAL_MACHINE\SOFTWARE\Classes concernant les associations logiciel/extension pour la compatibilité Windows 3.1 et Windows NT. HKEY_DYN_DATA : Pointe vers la partie de HKEY_LOCAL_MACHINE concernant les informations des paramètres dynamiques des périphériques Plug and Play (PnP). Cette clé n’est pas toujours présente, de plus elle n’est pas utilisée dans certaines configurations. HKEY_USERS :
Le 06/06/2000
version 1.0
Page 78
Manuel Windows NT 4.0 Workstation Station de travail
Contient toutes les informations concernant les utilisateurs (profils, les préférences pour les applications, etc.). HKEY_CURRENT_USER :
Pointe vers la partie de HKEY_USERS concernant l’utilisateur en cours de session. HKEY_CURRENT_CONFIG :
Contient tous les paramètres de la session en cours. Il pointe vers le sous-registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profile\0001.
3.4.1 Sécurisation des fichiers de registres
Le 06/06/2000
version 1.0
Page 79
Manuel Windows NT 4.0 Workstation Station de travail
Consignes associées : cs 20-1, cs 20-3, cs 20-4 Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes pour la sécurité du système. Certains documents vous présenteront ces répertoires sous une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent l’expression %SystemRoot%\Systel32\Repair. Le répertoire %SystemRoot% est celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas). Pour déclarer les permissions (permissions NTFS) des fichiers et répertoires exécuter Explorer Click droit sur les répertoires Propriétés Sécurité, entrer les permissions du tableau suivant :
Fichiers liés à la ruche : Répertoires
Utilisateurs
Administrateur
Réseau
Système
Lecture
Contrôle total
Aucun
Contrôle total
C:\WINNT\Repair
Aucun
Contrôle total
Aucun
Aucun
C:\WINNT\REPL\IMPORT
Aucun
Contrôle total
Aucun
Contrôle total
C:\WINNT\REPL\EXPORT
Aucun
Contrôle total
Aucun
Contrôle total
C:\WINNT\System32\Config
3.4.2 Modification des registres Certaines clés sont inactivées lors de l’installation de l’OS (par exemple la clé du protocole DHCP). Les registres sont protégés en écriture afin d’éviter qu’une personne puisse implanter les programmes, langages ou protocoles correspondants. Pour plus de sécurité, il est possible de supprimer ces clés des registres. On ajoute l’absence des clés à l’interdiction de modifier la ruche. Par exemple : Suppression du sous-système DOS Supprimer la rubrique ComSpec (de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment ainsi que dans ControlSet002 et dans CurrentControlSet). Supprimer le fichier correspondant Cmd.exe (dans le répertoire C:\WINNT\System32). Suppression du sous-système OS2 Supprimer la rubrique Os2LibPath (de la clé : HKLM\SYSTEM\ControlSet001\Session Manager\Environment). Supprimer la rubrique Os2 (de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\SubSystem) Supprimer la clé HKLM\SOFTWARE\Microsoft\OS/2 Subsystem for NT Supprimer les fichiers correspondants Os2.exe, Os2srv.exe et Os2ss.exe (dans le répertoire C:\WINNT\System32) et le répertoire des librairie C:\WINNT\System32\OS2. Suppression du sous-système POSIX Supprimer la rubrique Posix (de la clé : HKLM\SYSTEM\CurentControlSet\Session Manager\SubSystem). Supprimer les fichiers correspondants Psxss.exe et Posix.exe (dans le répertoire C:\WINNT\System32). Suppression du service DCOM Supprimer la rubrique EnableDCOM (de la clé : HKLM\SOFTWARE\Microsoft\Ole). Supprimer la rubrique DCOM Protocols (de la clé : HKLM\SOFTWARE\Microsoft\Rpc).
Le 06/06/2000
version 1.0
Page 80
Manuel Windows NT 4.0 Workstation Station de travail
Suppression du protocole DHCP Supprimer la clé HKLM\SYSTEM\CurrentControlSet\Services\DHCP. Supprimer les fichiers correspondants Dhcpsvc.dll, Dhcpapi.dll (dans le répertoire C:\WINNT\System32) et le répertoire C:\WINNT\System32\DHCP.
1.1.1.27
Modifications de HKEY_LOCAL_MACHINE (HKLM)
Consignes associées : cs 20-3, cs 20-4 Clés utilisées lors de l’ouverture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique LegalNoticeCaption : valeur « INFORMATION SÉCURITÉ » (type REG_SZ) (création d’une fenêtre avant ouverture de session) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique LegalNoticeText : valeur : « Vous utilisez une station de travail du système d’information de l’armée de terre . Certains traitements ou données auxquels vous pourriez accéder, directement ou indirectement, pouvant être classifiés, vous devez posséder l’habilitation correspondante pour poursuivre l’utilisation. Si vous ne possédez pas l’habilitation requise, vous êtes succeptible de voir votre responsabilité engagée sur le fondement de l’article 323-1 et/ou 413-11 du Code pénal et encourir les peines d’amende et d’emprisonnement correspondantes.» (type REG_SZ) (affichage du texte dans la fenêtre précédente) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY) Cette clé peut éventuellement être effacée. Mieux vaut interdire plutôt que de ne pas donner la possibilité. (empêche l’ouverture automatique d’une session) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique CachedLogonsCount : valeur 0 (type REG_SZ) (l’utilisateur ne peut s’authentifier qu’après une réponse du CPD) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD) (active le protocole de signature des échanges SMB-S) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD) (impose que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Créer RestrictAnonymous : avec la valeur : 1 (type REG_DWORD) (empêche l’ouverture d’une session non authentifiée par la commande net use) Clés utilisées lors de la fermeture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ) (Interdit l’arrêt de la station sans ouverture d’une session) HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement
Le 06/06/2000
version 1.0
Page 81
Manuel Windows NT 4.0 Workstation Station de travail
Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD) (nettoyage du fichier d’échange d’une session) Clés utilisées pour la configuration matérielle de l’ordinateur. HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname Rubrique Autorun avec la valeur : 0 (type REG_DWORD) (empêche le démarrage en autorun du lecteur de CD-ROM) Clés utilisées pour la configuration de logiciels. HKLM\SYSTEM\CurrentControlSet\Services\CDROM Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD) (empêche le compte invité de consulter le journal des événements) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique SubmitControl : valeur 0 (type REG_DWORD) (la planification des tâches est utilisable uniquement par l’administrateur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique Notification Packages remplacer FPNWCLNT par PASSFILT (Uniquement sur le CPD améliore le filtrage des mots de passe)
3.4.3 Sécurisation des registres Consignes associées : cs 20-1 Jusqu’à maintenant, nous avons vu la manière de protéger les fichiers de la Ruche. Nous décrivons ici les opérations nécessaires pour protéger les registres, les clés et leurs valeurs pendant une session. Lors des déclarations des permissions, l’administrateur vérifiera qu’il n’est pas possible d’éditer les clés de registres via le réseau. Ce verrouillage est assuré par la présence de la rubrique et de sa valeur : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winr eg (la créer si elle n’existe pas) Attribuer la valeur Registry Server ou Serveur de registre (type REG_SZ) à la rubrique : Description (la créer si elle n’existe pas). La sous-clé AllowedPaths (la créer si elle n’existe pas) Permet de spécifier les emplacements du registre échappant à ces restrictions. Pour sécuriser un registre, une rubrique et sa clé, il faut ouvrir la ruche avec REGEDT32.EXE, modifier les permissions des clés (Sécurité Permissions) puis décrire les permissions. Les chapitres suivant décrivent les permissions accordées sur les registres (Attention pour certaines clés, il faut cocher la case Remplacer la permission des sousclés existantes ) : Afin d’éviter qu’un utilisateur curieux modifie les registres en testant les éditeurs de registres, il est préférable d’effacer certains fichiers exécutables :
Nom du programme
Fonction
C:\WINNT\System32\regedt32.exe
Éditeur des registres
C:\WINNT\System32\Regedit.exe
Éditeur des registres
Le 06/06/2000
version 1.0
Page 82
Manuel Windows NT 4.0 Workstation Station de travail
L’effacement de ces fichiers exécutables n’est en aucune façon une protection des registres. Il suffit de copier ces programmes pour pouvoir les utiliser de nouveau. Cette consigne est une précaution contre des accidents involontaires. Nous récapitulons ici les MODIFICATIONS des permissions apportées et NON les permissions complètes pour chaque clé.
1.1.1.28
Permissions sur HKEY_CLASSES_ROOT (HKCR)
HKCR (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
1.1.1.29
Permissions sur HKEY_LOCAL_MACHINE (HKLM)
Consignes associées : cs 20-3, cs 20-4 Attention certaines modifications entraînent des messages d’erreur (plus exactement : de mise en garde). Ne tenez pas compte de ces messages et poursuivez en validant. HKLM\HARDWARE (et toutes ses sous-clés) (cette clé contient la description matérielle de l’ordinateur) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE (certaines sous-clés sont modifiées dans la suite de ce chapitre) (Cette clé autorise l’installation de nouvelles applications). Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\RPC (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Compatibility Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Embedding Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
Le 06/06/2000
version 1.0
Page 83
Manuel Windows NT 4.0 Workstation Station de travail
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Fonts Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontsSubstitutes Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontDrivers Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontMapper Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontCache Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\GRE_Initialize Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI Extensions Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\PerfLib (les deux déclarations suivantes permettent à la personne présente sur le poste, du groupe Interactif, de lire ce registre, mais celles qui interrogent la station via le réseau ne pourront pas lire le registre) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier). Groupe Interactif Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Port (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Windows3.1MigrationStatus (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Type1Installer Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WOW
Le 06/06/2000
version 1.0
Page 84
Manuel Windows NT 4.0 Workstation Station de travail
(et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon (et ses sous-clés) (cette clé contient les paramètres exécutable à l’ouverture d’une session) Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Lecture. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (cette clé contrôle les applications exécutées au démarrage d’une session) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (cette clé est presque similaire à la précédente) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\System\CurrentControlSet\Control\LSA Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Lecture. HKLM\System\CurrentControlSet\Services\Rdr\Parameters (et ses rubriques) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\System\CurrentControlSet\Control\SecurePipe server\WinReg (Voir en tête du chapitre) Administrateur Contrôle total. Tout le monde Aucun accès. HKLM\System\CurrentControlSet\Services (et ses sous-clés) (cette clé contient les paramètres des clés pour les services de la station : DHCP, DCOM, UPS, etc.) Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
1.1.1.30
Permissions sur HKEY_USERS (HKU)
HKU\Default Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
Le 06/06/2000
version 1.0
Page 85
Manuel Windows NT 4.0 Workstation Station de travail
3.5
Configuration des permissions d'accès (partage et sécurité) aux ressources locales
Permissions accordées aux utilisateurs : Administrate Répertoires Utilisateurs ur système Z:\ Modifier Contrôle total C:\ Lecture Contrôle total C:\WINNT Lecture Contrôle total C:\WINNT\System32 Lecture Contrôle total C:\WINNT\System32\Drivers Lecture Contrôle total C:\WINNT\System32\Spool Lecture Contrôle total C:\WINNT\System32\Config Lecture Contrôle total C:\WINNT\Profiles Lecture Contrôle total C:\WINNT\Repair Aucun Contrôle total C:\WINNT\System32\Repl Aucun Contrôle total C:\WINNT\System32\repl\Impor Aucun Contrôle total t C:\WINNT\System32\Repl\Expor Aucun Contrôle total t Lecture et Les applications (remarque 2) Contrôle total Exécution
Créateur propriétaire (remarque 1) (remarque 1) (remarque 1) (remarque 1) Contrôle total Contrôle total Contrôle total
Système
Contrôle total
Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle
total total total total total total total total total total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Remarque 1 : Le créateur propriétaire est l’administrateur système. Cet administrateur possède le contrôle total, il est inutile de redéfinir ses droits sous un autre nom Créateur propriétaire. Remarque 2 : Si toutes les applications implantées sur la station, sont rangées dans le répertoire C:\Program Files,. alors la dernière ligne de ce tableau s’applique à ce répertoire.
3.6
Configuration de l’audit Consignes associées : cs 24-1 Les journaux des audits contiendront les événements apparus à l’ouverture et pendant une session. Ils servent à détecter une attaque ainsi qu’une simple erreur de manipulation. Les événements de l’audit concerneront les points protégés et ceux pouvant présenter un risque pour le bon fonctionnement de la station. Les journaux d’audit sont les traces des anomalies apparues sur le réseau, l’administrateur doit posséder une méthodologie de gestion des journaux (contre les journaux trop volumineux, un archivage et une sauvegarde). Ils informent aussi les utilisateurs du domaine des dysfonctionnements d’une station. Nous traiterons : Les événements de l’audit. La gestion des journaux d’audits.
Le 06/06/2000
version 1.0
Page 86
Manuel Windows NT 4.0 Workstation Station de travail
3.6.1 Les événements de l’audit Consignes associées : cs 25-1, cs 25-2, cs 26-1, cs 26-2
1.1.1.31
Audit sur les sessions
Pour inscrire les événements d’une session, ouvrir le Gestionnaire des utilisateurs (Démarrer Programmes Outils d'administration). Accéder au menu : Stratégie d’audit puis activer l’audit (bouton Auditer ces événements).
Créer les audits pour les auditeurs : Menu des événements de l’audit présente plusieurs événements avec les options Succès et/ou Échec : •
Ouverture et fermeture d’une session : Enregistre les ouvertures et les fermetures des sessions.
•
Accès fichier et objet : Enregistre les accès aux objets (par exemple l’accès à un fichier) soumis aux listes du contrôle ou aux permissions d’accès d’un partage.
•
Utilisation des droits de l’utilisateur : Enregistre les actions faisant appel à un droit des utilisateurs (sauf Sauvegarder et Restaurer).
•
Gestion des utilisateurs et groupes : Enregistre les actions modifiant la gestion des comptes et des groupes (ajouter, supprimer, modifier). Seul l’administrateur est autorisé à les gérer.
•
Modification stratégie sécurité : Enregistre les actions modifiant la stratégie d’audit ou de l’affectation de nouveaux droits d’utilisateurs. Seul l’administrateur est autorisé à gérer les permissions de la sécurité.
•
Redémarrage, arrêt et système : Enregistre les arrêt et les redémarrage de la station.
•
Suivi de processus : Enregistre les événements système concernant les processus.
Attribuer l’audit des événements suivants :
Le 06/06/2000
version 1.0
Page 87
Manuel Windows NT 4.0 Workstation Station de travail
•
Ouverture et fermeture d’une session : Succès (en cas de présomption d’attaques des comptes du domaine) Échecs
•
Accès fichier et objet : Échecs
•
Utilisation des droits de l’utilisateur : Succès Échecs
•
Gestion des utilisateurs et groupes : Succès Échecs
•
Modification stratégie sécurité : Succès Échecs
•
Redémarrage, arrêt et système : Succès Échecs
•
Suivi de processus : Échecs Valider par la touche OK.
1.1.1.32
Audit sur les fichiers et répertoires
Les événements d’audit sur les accès à des fichiers ou des répertoires (Access Control List) proviennent des sécurités NTFS. Pour les mettre en œuvre cliquer droit sur le fichier ou le répertoire, puis accéder Propriétés Sécurité Avancé la fenêtre Paramètre du contrôle d’accès pour <nom du fichier ou répertoire> s’ouvre. Cliquer sur l’onglet Audit, puis sur le bouton Ajouter sélectionner Administrateur (ou le groupe administrateur) et valider.
Le 06/06/2000
version 1.0
Page 88
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
Le menu des événements de l’audit présente plusieurs options dont certaines avec le choix Succès et/ou Échec : •
Remplacer l’audit des sous-répertoires : Attribue le même jeu d’événements inscrit dans les journaux des audits aux sous-répertoires du répertoire. Utiliser cette option pour les répertoires importants (exemple : ceux contenant les fichiers des registres).
•
Remplacer l’audit sur les fichiers existants : Attribue le même jeu d’événements inscrits dans les journaux des audits aux fichiers du répertoire (même remarque que précédemment).
•
Lire : Informe l’utilisateur d’une tentative de lecture du contenu d’un fichier ou de l’affichage du contenu d’un répertoire. Cet audit est utilisé pour laisser une trace dans les journaux des tentatives de lecture des fichiers et les répertoires importants (exemple : le répertoire et les fichiers des registres).
•
Écrire :. Informe la création et la modification d’un fichier ou d’un sous-répertoire.
•
Exécuter : Informe l’utilisateur de l’exécution de certains programmes contenus dans le répertoire spécifié.
•
Supprimer : Informe l’utilisateur de la suppression de fichiers ou de répertoires. Cet audit est utilisé pour prévenir et éviter des accidents involontaires sur les fichiers et les répertoires du disque système...
•
Modifier les permissions : Informe l’utilisateur d’une tentative de changement des permissions NTFS sur l’objet (ce droit est réservé dans tous les cas à l’administrateur).
•
Appropriation :
version 1.0
Page 89
Manuel Windows NT 4.0 Workstation Station de travail
Informe l’utilisateur d’une tentative de contrôle d’un objet par une personne non habilitée (ce droit est réservé à l’administrateur).
Le 06/06/2000
version 1.0
Page 90
Manuel Windows NT 4.0 Workstation Station de travail
Les modifications des fichiers et répertoires devant laisser une trace dans les journaux d’audits sont : Répertoires C:\WINNT\system32\Config C:\WINNT\system32\Repair
Rempl. Sous rép. et fich.
C:\WINNT\Repair C:\Program Files\Office\Macros C:\Program Files
Modif. Perm.
Appro.
Échec
Échec Réussie
Échec Réussie
Échec Réussie
oui
Échec
Échec Réussie
Échec Réussie
Échec Réussie
Échec
Échec Réussie
Échec Réussie
Échec
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Spool
C:\WINNT\system32\Export
Suppr.
oui
C:\WINNT\system32\Drivers
C:\WINNT\system32\Import
Écrire
oui
Échec
Échec Réussie
oui
Échec
oui
Échec
oui
Échec
Échec Réussie
Échec Réussie
oui
Échec
Échec Réussie
Échec Réussie
Échec Réussie
La dernière ligne du tableau permet de laisser des traces dans les journaux d’audits pour toutes modifications des logiciels installés sur la station. Elle sera efficace uniquement si toutes les applications installées, sont copiées dans le répertoire C:\Program Files.
Fichiers
Écrire
Exécuter
Suppr.
Modif. Perm.
Appro.
C:\WINNT\system32\Config\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Repair\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Drivers\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\Poledit.exe C:\WINNT\Regedit.exe C:\WINNT\system32\addgrpw.exe C:\WINNT\System32\addusrw.exe C:\WINNT\System32\at.exe
Le 06/06/2000
version 1.0
Page 91
Manuel Windows NT 4.0 Workstation Station de travail
C:\WINNT\System32\Ftp.exe C:\WINNT\System32\Net.exe C:\WINNT\System32\Net1.exe C:\WINNT\System32\regedt32.exe C:\WINNT\System32\Restore.exe C:\WINNT\System32\telnet.exe
Échec Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\Program Files\Microsoft Office\Modèles
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\Program Files\Communicator
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
1.1.1.33
Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit – Clé de registre (Sécurité Audit). Créer les audits et les auditeurs : Bouton Ajouter. Choisir les utilisateurs : Groupe administrateur, Utilisateurs du domaine. Valider par la touche OK. Menu des événements de l’audit pour chaque personne :
Le 06/06/2000
•
Retrouver la valeur : (Simple lecture de la valeur d’une clé)
•
Positionner la valeur (Tente de définir une rubrique dans une sous-clé)
•
Créer une sous-clé : (Tente de créer une nouvelle clé dans le registre. Cette manipulation est réservée à l’administrateur)
•
Énumérer les sous-clés : (Tente d’identifier toutes les clés)
•
Notifier : (Tente de recevoir les notifications d’audit générés par une clé)
•
Créer la liaison : (Tente de créer des liaisons symboliques avec une sous-clé. Cette manipulation est réservée à l’administrateur)
•
Supprimer : (Tente de supprimer une sous-clé. Cette manipulation est réservée à l’administrateur)
•
Écrire le DAC : (Tente de modifier la liste de Contrôle d’Accès Discrétionnaire d’une clé. Cette manipulation est réservée à l’administrateur)
•
Lecture de contrôle :
version 1.0
Page 92
Manuel Windows NT 4.0 Workstation Station de travail
(Tente de lire les informations relatives à la sécurité dans une clé) Répéter cette méthode sur les clés contenant toutes les informations sur le matériel et sur les utilisateurs. Par prudence, les utilisateurs seront avertis des modifications des registres. Les manipulations des clés : HKEY_LOCAL_MACHINE, HKEY_CURRENT_CONFIG et HKEY_USERS devront laisser une trace dans les journaux d’audits : •
•
•
Le 06/06/2000
HKEY_LOCAL_MACHINE/SOFTWARE Positionner la valeur : Utilisateur : Succès Administrateur : Succès Créer une sous-clé : Utilisateur : Succès Administrateur : Succès Notifier : Administrateur : Succès Créer la liaison : Administrateur : Succès Supprimer : Utilisateur : Succès Administrateur : Succès Écrire le DAC : Utilisateur : Succès Administrateur : Succès HKEY_LOCAL_MACHINE/SYSTEM Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur : HKEY_CURRENT_CONFIG Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur :
version 1.0
Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Page 93
Manuel Windows NT 4.0 Workstation Station de travail
•
HKEY_USERS Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur :
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Fermer la ruche.
3.6.2 La gestion des journaux d’audits Consignes associées : cs 24-2
1.1.1.34
Tailles des journaux d’événements
Il convient d’adapter les tailles respectives des journaux aux conditions d’emploi de la station de travail. Si un ordinateur est utilisé couramment ou par des personnes curieuses de connaître l’informatique, les journaux risquent de devenir très volumineux. Il est nécessaire de limiter ces tailles. A contrario, il est inutile de prévoir des tailles trop importantes et d’utiliser qu’une partie de l’espace réservé. Les tailles allouées pour les journaux sont modifiables dans le menu : Démarrer Programmes Outils d’administration Observateur d’événements Journal Paramètres du journal Taille Maximale du journal. Elle sont toujours des multiples de 64 ko. Les dimensions retenues dans la mise en œuvre correspondent à une durée de 2 semaines entre chaque consultation :
Journal sécurité
1024 ko.
Journal système
1024 ko.
Journal applications
1024 ko.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser les plus anciens événements. Il suffit de cocher la case Écraser les événements si nécessaire de la même fenêtre.
Journal sécurité
Écraser les événements si nécessaire.
Journal système
Écraser les événements si nécessaire.
Journal applications
Écraser les événements si nécessaire.
Le 06/06/2000
version 1.0
Page 94
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.35
Sauvegarde des journaux d’événements
Consignes associées : cs 24-3, cs 24-4 Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour détecter :
Une attaque éventuelle.
Les problèmes matériels.
Les problèmes informatiques.
Les journaux de la station seront consultés chaque semaine (de préférence le lundi matin afin de découvrir une attaque pendant les deux jours de la fin de semaine). Il est recommandé de consulter les journaux chaque jour pour détecter immédiatement toute tentative d’intrusion. Suivant les possibilités, la personne qui consultera les journaux sera :
Un utilisateur (celui qui se connecte le plus souvent à la station).
Un responsable de la section.
L’administrateur (si personne ne peut assurer cette vérification).
Tous les mois, les journaux seront sauvegardés dans un sous répertoire <nom de la section>\<nom de la machine>\ (remplacer <nom de la section> par le nom de la section et par Sécurité, Système ou Applications suivant le cas) et créés sur le serveur de fichiers \\SFI. Ils seront nommés : « aammjj ». Cette consigne impose que le répertoire, les sous-répertoires et les fichiers de sauvegarde du serveur de fichiers, soient partagés avec la permission Modifier pour tous les membres de la section.
Le 06/06/2000
version 1.0
Page 95
Manuel Windows NT 4.0 Workstation Station de travail
Après la sauvegarde des journaux sur le serveur de fichiers, les journaux présents sur la station sont effacés et de nouveaux journaux des événements vierges sont exploités. Les anciens journaux enregistrés sur le serveur de fichiers (de plus de 6 mois) seront effacés. Les journaux du domaine seront sauvegardés tous les mois sur le serveur de fichiers (sur la partition réservée aux Administrateurs (Journaux\) ou sur un ordinateur non connecté au réseau. Les noms des fichiers de sauvegardes seront : aammjj. Si aucune erreur grave n’est détectée, les journaux des administrateurs seront détruits après chaque sauvegarde et de nouveaux journaux des événements vierges sont exploités. Les sauvegardes des journaux conservés sur le serveur de fichiers pendant 6 mois au minimum puis seront effacés. Si un utilisateur remarque une anomalie, il devra alerter immédiatement l’administrateur en charge de la sécurité. L’archivage permet de garder, comparer et analyser les journaux. Ils permettent un examen à long termes des problèmes. Seuls les journaux des administrateurs seront archivés sur CDROM ou sur disquettes, tous les 6 mois ou tous les ans suivant le volume d’informations collectées ou le nombre de stations connectées au réseau. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque ou à des problèmes périodiques du réseau. Si un utilisateur remarque une anomalie, il devra alerter immédiatement l’administrateur de la sécurité. Ce qui oblige que les administrateurs de la sécurité à un laxisme relatif vis à vis des erreurs des utilisateurs. Il est préférable d’être au courant de tous les problèmes afin d’éviter qu’une attaque déguisée en erreur ne soit cachée par un utilisateur.
Le 06/06/2000
version 1.0
Page 96
Manuel Windows NT 4.0 Workstation Station de travail
3.7
Configuration des applications Consignes associées : cs 22-2, cs 28-4, cs 30-1, cs 31-1
3.7.1 Les registres des applications Consignes associées : cs 27-1 Les applications bureautiques ne doivent pas entrer en conflit avec les consignes de sécurité adoptées jusqu’à présent. Les sous-clés protégeant les applications du Pack Office 97sont dans le registre HKEY_LOCAL_MACHINE : HKLM\SOFTWARE\Microsoft\Office (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\VBA (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Internet Explorer (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Windows (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Data Fellows\F-Secure (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Notifier).
3.7.2 Les documents antérieurs Consignes associées : cs 28-1 Les utilisateurs doivent être en mesure de contrôler la cohérence des documents ouvert pendant leurs sessions. Pour permettre cette vérification, les 9 derniers documents ouverts (le maximum) seront disponibles dans la rubrique Fichier dans la barre des menus de chaque application.
Application
Méthode
valeur
Word
Outils utilisés
Options
Général
Derniers
fichiers 9
Excel
Outils
Options
Général
Derniers
fichiers 9
Le 06/06/2000
version 1.0
Page 97
Manuel Windows NT 4.0 Workstation Station de travail
utilisés PowerPoint
Outils utilisés
Options
Général
Derniers
fichiers 9
3.7.3 Les répertoires de travail Consignes associées : cs 28-2, cs 28-5, cs 30-1, cs 31-1 Les sauvegardes (volontaires et automatiques) des documents des utilisateurs seront faites sur le serveur de fichier.
Application
Intitulés
valeur
Outils Options Dossiers par défaut
Word
Documents
Sur le serveur SFI
Fichiers d’images
Sur le serveur SFI
Modèles utilisateurs
Sur le serveur SFI
Modèles groupe de travail
Vide
Options utilisateur
Vide
Récupération automatique de fichiers
Vide
Outils Fichier de démarrage
C:\Program Files\Microsoft Office\Office\DEMARRE
Outils Options Général Excel
Dossier par défauts
Sur le serveur SFI
Autre dossier de démarrage
Vide
Outils Options Outlook Express
Autoarchivage Fichier archive par défaut :
Sur le serveur SFI
Journal Autoarchiver les entrées du journal Autoarchivage Déplacer les anciens éléments vers:
Sur le serveur SFI
Options
WinZip
PowerPoint
Le 06/06/2000
Répertoire de démarrage
Z:
Répertoire d’extraction par défaut.
Z:
Répertoire d’ajout par défaut.
Z:
Répertoire de travail
C:\TEMP
Répertoire de contrôle de base
C:\TEMP
Répertoire temporaire
Z:
Outils Options Options avancées Emplacement du fichier par défaut :
version 1.0
Sur le serveur SFI
Page 98
Manuel Windows NT 4.0 Workstation Station de travail
Word utilise deux méthode de sauvegardes des documents. L’enregistrement rapide de Word crée un fichier contenant les modifications apportées au texte. Cette méthode permet de copier à la suite toutes les modifications et ainsi de diminuer les accès disque nécessaires aux changements du passage concerné. Cette opération est plus rapide qu'un enregistrement normal (surtout sensible pour des documents très volumineux). Cette rapidité accrue se fait au détriment du volume. La taille de ce fichier est beaucoup plus importante. Il faut désactiver l’option Autoriser les enregistrements rapides (onglet Outils Options Enregistrement).
3.7.4 Les protections contre les virus de macros Consignes associées : cs 28-3, cs 28-4, cs 29-1 Les virus de macros sont indécelables par tous les logiciels et notamment par les applications de Microsoft Office (Word, Excel et PowerPoint). La seule option disponible est la mise en garde à l’ouverture d’un document contenant une macro instruction. L’utilisateur pourra choisir d’ouvrir le document avec ou sans macros. Cette mise en garde n’est pas suffisante et il convient de sensibiliser les utilisateurs aux risques des virus de macros. Pour activer l’affichage du message d’alerte :
Application
Méthode
Valeur
Outils Options Général Word
Protection contre les virus contenus Cocher la case dans les macros Outils Options Général
Excel
Activer l’alerte macro
Cocher la case
Outils Options PowerPoint
Protection contre les virus contenus Cocher la case dans les macros
Certains virus de macros sont écrit en Visual Basic ou ActiveX. Ces langages sont implémentés par défaut dans la majorité des logiciels de Microsoft Office (notamment pour créer et exécuter des macros instructions). Il faut interdire ces langages dès l’installation de Microsoft Office en ne cochant pas les cases correspondant à Visual Basic.
Le 06/06/2000
version 1.0
Page 99
Manuel Windows NT 4.0 Workstation Station de travail
3.7.5 Paramétrage d’Internet Explorer Consignes associées : cs 29-1, cs 29-2, cs 29-3 Internet Explorer inclus des assistances, des aides et des fichiers temporaires qui sousentendent parfois la divulgation d’informations personnelles. Il est donc très important d’effacer tous les fichiers créés par Internet Explorer (enregistrés dans le répertoire Temporary Internet Files).
Click droit de la souris sur Internet Explorer Propriétés puis : Général : -
Limiter le nombre de jours pendant lesquels ces pages sont conservées à 5 jours (suivant les besoins).
-
Paramètres (de Temporary Internet Files) Déplacer le dossier choisir C:\WINNT\Profiles\« le nom de l’utilisateur »\Temporary Internet Files.
Sécurité : -
Le 06/06/2000
Initialiser les choix avec un niveau de sécurité élevé (Personnaliser le niveau choisir Élevé du menu Rétablir puis cliquer sur Rétablir et valider).
version 1.0
Page 100
Manuel Windows NT 4.0 Workstation Station de travail
-
Interdire l’exécution automatique des commandes ActiveX. Ce langage peut ouvrir une multitude de fenêtres et provoquer un déni de service en saturant les ressources de la station. Click droit de la souris sur Internet Explorer Propriétés Sécurité Personnaliser le niveau…, puis désactiver : Contrôles ActiveX reconnus sûrs pour l’écriture de scripts.
Contenu : -
Ne jamais remplir : Informations personnelles Profil.
-
Désactiver : semi-auto… Noms d’utilisateurs et mots de passe sur les formulaires et Demander l’enregistrement des mots de passe (de Utiliser la saisie semiautomatique pour).
Avancées : -
Désactiver : Activer les éléments disponibles connexion à synchroniser (du chapitre Navigation).
hors
-
Désactiver : Vérifier automatiquement les mises à jour de Internet Explorer (du chapitre Navigation).
-
Désactiver : Fortezza et SSL 2.0 (du chapitre Sécurité).
-
Activer : Ne pas enregistrer les pages cryptées sur le disque (du chapitre Sécurité).
-
Activer : Vider le dossier Temporary Internet Files lorsque le navigateur est fermé (du chapitre Sécurité).
3.7.6 Paramétrage de Communicator V4 Consignes associées : cs 32-1, cs 32-2, cs 32-3 La fenêtre es paramètres de Communicator sont réglables par le menu Edition Préférences…. Les paramètres importants sont : Navigator :
Le 06/06/2000
version 1.0
Page 101
Manuel Windows NT 4.0 Workstation Station de travail
-
Conserver un Historique de 5 jours maximum.
-
Ne pas afficher une page extérieure au réseau lors du démarrage du navigateur. Le champ Page d’accueil est laissé vierge ou remplit avec le nom d’une page locale.
-
Sous menu Applications : •
Éviter l’utilisation du langage Visual Basic en supprimant Fichier script VBscript de la liste.
•
Éviter l’utilisation du langage Java en supprimant JavaScript Program de la liste.
•
Éviter les appels des macros instructions. Supprimer de la liste Raccourci macro Microsoft Access.
Courrier et Forums : -
Identité : laisser tous les champs de l’identité supplémentaires (bouton Modifier la carte …) vides.
et
les
champs
-
Serveur de courrier : tous les messages seront stockés sur un serveur POP si ce serveur existe. Accéder à Modifier, puis cocher la case Laisser les messages sur le serveur. Copies et dossiers :
-
Vider tous les champs et enlever les options sélectionnées. Espace disque :
-
Cocher la case Ne pas stocker localement les messages qui dépassent 0 Ko. Serveur L-DAP et HTTP : (uniquement si l’un de ces serveurs existe)
-
Le 06/06/2000
Accès distant Activer l’accès itinérant pour ce profil : ne pas cocher cette case pour éviter qu’un utilisateur puisse lancer Communicator depuis toutes les machines du réseau.
version 1.0
Page 102
Manuel Windows NT 4.0 Workstation Station de travail
-
Accès distant Se souvenir de mon mot de passe pour l’accès itinérant : ne pas cocher cette case pour éviter de stocker le mot de passe localement.
-
Sélection d’une rubrique Accepter uniquement : •
Signet.
•
Filtres du courrier.
•
Carnet d’adresses.
•
Préférences de l’utilisateur.
Avancées : -
Le 06/06/2000
Désactiver les options : Activer Java, Activer JavaScript (en désactivant aussi Activer JavaScript pour le courrier et les forums).
version 1.0
Page 103
Manuel Windows NT 4.0 Workstation Station de travail
Cache :
-
Mettre 0 pour le Cache en mémoire (attention tous les accès se feront au travers du serveur). Il est possible de vider cette mémoire en appuyant sur le bouton Vider le cache en mémoire.
-
Mettre 0 pour le Cache sur disque (attention toutes les pages seront rechargées à chaque fois). Il est possible de vider cette mémoire en appuyant sur le bouton Vider le cache sur disque.
-
Cocher la case Ne pas stocker de fichier SSL (les messages SSL, sont stocker en clair dans le cache sur disque). SmartUpdate :
-
Ne pas cocher Activer SmartUpdate.
3.7.7 Protection contre les virus (F-Secure) Consignes associées : cs 33-1 L’installation du logiciel antivirus de l’armée de terre F-Secure doit être effectuée par un répertoire partagée du réseau qui a été crée par l’administrateur avec des options de sécurité pour éviter une mauvaise manipulation du logiciel par les utilisateurs et sa désactivation Le scan des disques durs doit être effectué tous les jours ouvrables Click droit sur scan de disque dur en veille puis : Général : « choisir comme cible tous les disques durs » Avancé : Méthode
Le 06/06/2000
F-PROT +AVP
version 1.0
Page 104
Manuel Windows NT 4.0 Workstation Station de travail
Chercher Cocher les deux cases « Virus et Chevaux de Troie et Virus macro de document » Dans Cocher les trois cases « Exécutables Archives (ZIP, LZH), et Secteur de Boot » Action
et
documents,
Désinfecter
Lancement du logiciel en double cliquant sur l’icône violet dans la barre des tâches Onglet Editer Préférences puis : Protection : -
Valider la protection dynamique en cochant la case « valider F-Secure Gatekeeper
-
L’action « désinfecter » doit être choisi pour l’action sur un fichier infecté.
Restriction : « en mode utilisateur » Invalider la modification ou la création de tâches Invalider le scan réseau en mode utilisateur Administration : Cacher à l’utilisateur « les restrictions, la mise à jour, le réseau et administration » L’installation en réseau permet une mise à jour régulière des fichiers de signatures depuis le poste administrateur et la distribution sur les stations clientes.
Le 06/06/2000
version 1.0
Page 105
Manuel Windows NT 4.0 Workstation Station de travail
ANNEXE Annexe A :
Schéma d’un réseau Windows NT 4.0
Annexe B :
Permissions/Droits et Sécurité/Partage
Annexe C :
Les profils
Le 06/06/2000
version 1.0
Page 106
Manuel Windows NT 4.0 Workstation Station de travail
A. 4.0
SCHÉMA D’UN RÉSEAU WINDOWS NT
Cette annexe donne une vision simple des comptes globaux et locaux, ainsi que la portée des éléments associés à ces comptes.
Portée de : - l ’Administrateur du domaine - les utilisateurs du domaine - les invités du domaine - les groupes du dom aine Les utilisateurs définis sur le CPD sont défin is sur le domaine entier Portée de : - l ’administrateur local - l ’Utilisateur local - l ’Invité local
Poste Serveur de fichiers
CPD
Poste Serveur Windows NT 4.0
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Imprimante partagée
Imprimante locale
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local
Poste Client NT 4.0 Workstation
Le terme local indique un caractère lié à la station et donc non reconnu par le réseau. Le terme global indique un caractère lié au réseau et donc commun à toutes les stations sauf dans un cas explicitement précisé (par le profil de l’utilisateur).
Les caractéristiques définies sur la station sont donc locales (administrateur local) et les caractèristiques définies sur le Contrôleur Principal de Domaine sont donc globales (administrateur global ou du réseau ou du domaine).
Le 06/06/2000
version 1.0
Page 107
Manuel Windows NT 4.0 Workstation Station de travail
Réseau Les utilisateurs définis su r le CPD sont définis su r le domaine entier
Contient : - les fichiers utilisateurs - la stratégie système - les définitions des m achines vues du réseau
Contient : - les profiles com muns - les applications - les définitions des m achines autonomes
Contient : - les répertoires de base - les répertoires partagés - les profiles errants CPD
Section 1
Serveur de fichiers
Section 2
Contient : - les profiles com muns - les applications - les définitions des m achines autonomes
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Ce dessin présente la localisation des fichiers, profils et répertoires communs. L’ouverture d’une session permet de transférer les différentes informations vers la station utilisée.
Le 06/06/2000
version 1.0
Page 108
Manuel Windows NT 4.0 Workstation Station de travail
A. PERMISSIONS/DROITS ET SÉCURITÉ/PARTAGE Consignes associées : cs 11-1
A.1 Les Permissions NTFS Les permissions de la sécurité sont intrinsèquement liées au système de fichiers NTFS. Cette remarque prend tout son sens lorsqu’on compare les permissions d’un partage avec les permissions de la sécurité : Les permissions d’un partage : Elles portent sur les permissions accordées aux utilisateurs. Elles sont généralement appelées droits. Les permissions de la sécurité : Elles sont attribuées aux objets. Elle sont généralement appelées permissions par opposition aux droits. C’est en jouant sur ces deux séries de critères que l’on obtient les possibilités et les interdictions voulues pour un utilisateur. Les permissions de la sécurité sont accessibles par : Click droit sur l’objet Propriétés Sécurité
Ces permissions se déclinent en Permissions standards et en Permissions spéciales. La liste déroulante du Type d’accès présente ces permissions pour le type d’utilisateur sélectionné dans la fenêtre supérieure (voir figure suivante).
Le 06/06/2000
version 1.0
Page 109
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions standards :
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Affiche les attributs
Permet l’accès aux sous-répertoires
Permissions d’accès spécial à un répertoire
Afficher les noms des sous-répertoires
Accès standards à un répertoire
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 110
Permissions d’accès spécial à un fichier
Aucun accès (Aucun) (Aucun) Lire (RX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
version 1.0 Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Permet l’accès aux sous-répertoires
Affiche les attributs
Afficher les noms des sous-répertoires
Manuel Windows NT 4.0 Workstation Station de travail
Accès standards à un fichier
Annule toutes les autres permissions
Donne toutes les permissions
Page 111
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions spéciales pour un répertoire : Les Permissions spéciales sont accessibles en fin de liste des permissions. Elles reprennent les permissions standards en les regroupant différemment :
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Affiche les attributs
Permet l’accès aux sous-répertoires
Permissions d’accès spécial à un répertoire
Afficher les noms des sous-répertoires
Accès spécial d’un répertoire à un répertoire
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 112
Manuel Windows NT 4.0 Workstation Station de travail
(Tous) (Tous) Contrôle total (Tous) (Tous)
Le 06/06/2000
Donne toutes les permissions
version 1.0
Page 113
Manuel Windows NT 4.0 Workstation Station de travail
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions du fichier
Permet de supprimer le fichier
Permet de modifier le fichier
Permet de modifier les attributs des fichiers
Permissions d’accès spécial à un répertoire
fichiers Affiche le propriétaire et les permissions des
Exécute les fichiers programmes
Afficher les attributs des fichiers
Afficher le contenu des fichiers
Afficher les noms des fichiers
Accès spécial d’un répertoire à un fichier
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 114
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 115
Lire
R
Écrire
W
Exécuter
X
Supprimer
D
Changer des permissions
P
Prendre possession
O
Le 06/06/2000
version 1.0 Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet l’accès aux sous-répertoires
Permet de modifier les attributs
Permet d’ajouter des fichiers ou des sous-répertoires
Permissions d’accès spécial à un répertoire Affiche les attributs
Affiche les noms des fichiers contenus
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions spéciales pour un fichier :
Page 116
Manuel Windows NT 4.0 Workstation Station de travail
Contrôle total
Le 06/06/2000
RWXDPO
version 1.0
Page 117
Manuel Windows NT 4.0 Workstation Station de travail
Accès standards Règles générales pour la partition de travail (Z: sur la station) : Pour les fichiers Contrôle total Modifier Lire Ajouter Écriture
Pour les répertoires
Uniquement l’administrateur Utilisateurs
Règles générales pour la partition du système (C: sur la station) : Pour les fichiers Contrôle total Modifier Lire Ajouter Écriture
Le 06/06/2000
Pour les répertoires
Uniquement l’administrateur Utilisateurs
version 1.0
Page 118
Manuel Windows NT 4.0 Workstation Station de travail
A.2 Les permissions d’un partage Les permissions d’un partage ne sont pas vues à partir du fichier mais à partir des utilisateurs. Ces permissions sont données pour un utilisateur ou un groupe. Chaque partage porte un nom unique sur le réseau. L’utilisateur verra ce partage en accédant au répertoire ou au fichier par le voisinage réseau. Cependant, si le nom du partage se termine par &, l’utilisateur pourra accéder à ce partage mais sera invisible par le voisinage réseau.
Cliquer sur le bouton Permissions
Le 06/06/2000
version 1.0
Page 119
Manuel Windows NT 4.0 Workstation Station de travail
Remarques : Aucun accès : cette option prime sur toutes les autres permissions. Si l’utilisateur fait partie de 2 groupes. L’un possède le Contrôle total sur ce fichier ou répertoire et l’autre Aucun accès, alors il n’aura pas accès. Le Contrôle total n’est donné qu’à l’administrateur. Les utilisateurs ne doivent jamais posséder le droit de prendre possession, ou de partager. Les fichiers seront uniquement échangés au travers du serveur de fichiers.
A.3 Exemples A.3.1
Partage d’une imprimante locale
Consignes associées : cs 12-1, cs 21-2 Une imprimante connectée à un ordinateur est créée non partagée par défaut. Pour que plusieurs stations utilisent cette imprimante, l’administrateur doit créer une permission de sécurité sur l’imprimante. Clique droit sur l’imprimante Propriétés Sécurité Permissions. Ajouter comme pour des permissions sur un répertoire les utilisateurs et les permissions accordées. Les permissions accordées sont : Contrôle total Imprimer
pour l’administrateur. pour les utilisateurs.
Les groupes ne devant pas utiliser l’imprimante sont précisés avec la permission Aucun accès.
A.3.2
Partage et sécurité sur des fichiers et répertoires
Consignes associées : cs 18-3
Le 06/06/2000
version 1.0
Page 120
Manuel Windows NT 4.0 Workstation Station de travail
Le tableau suivant présente un résumé de la manière d’attribuer les permissions de la sécurité. Il n’y a pas une méthode générale pour déterminer les couples utilisateurs/permissions. Cependant des réflexe permettent de simplifier la tâche : Enregistrer toutes les applications sous le répertoire Program Files. Laisser les utilisateurs organiser à leur façon la partition étendue. Les données sont copiées uniquement sur la partition étendue. Attribuer les permissions pour des groupes. Éviter l’attribution des permissions pour des utilisateurs.
Le 06/06/2000
version 1.0
Page 121
Manuel Windows NT 4.0 Workstation Station de travail
Dans ce schéma d’organisation, les permissions d’accès sont :
Permissions d’accès standard Type d’utilisateur
Pour les applications Fichiers
Pour les données
Répertoires
Fichiers
Répertoires
Administrateur
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Système
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Lire
Lire
Modifier
Modifier
Groupes du domaine
(parfois Ajouter)
Permissions d’accès spécial Type d’utilisateur
Pour les applications Fichiers
Répertoires
Pour les données Fichiers
Répertoires
Administrateur
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Système
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Exécuter
Lire, Exécuter
Lire, Écrire, Exécuter, Supprimer
Lire, Écrire, Exécuter, Supprime
Groupes du domaine
Le 06/06/2000
version 1.0
Page 122
Manuel Windows NT 4.0 Workstation Station de travail
B. LES PROFILS Consignes associées : cs 19-1 Les profiles sont enregistrés sur le disque dur dans le répertoire dans C:\WINNT\Profiles. Le profile complet d’un utilisateur est composé d’une partie commune à toutes les personnes et d’une partie spécifique à cet utilisateur. La première partie est résidente sur la station et propose généralement les applications présentes sur le disque dur local. La seconde partie du profile est dénommée profile errant (puisque dans notre cas il est importé sur la station à l’ouverture d’une session). Le nom de son répertoire est celui de l’utilisateur. La station utilise la variable appelée %USERNAME% pour créer et gérer les profils. Répertoire du profile de All Users
Répertoire du profile de %USERNAME% (sur la figure suivante %USERNAME%=“Sec1_Util1”)
Le 06/06/2000
version 1.0
Page 123
Manuel Windows NT 4.0 Workstation Station de travail
Le menu démarrer se décompose en 2 groupes d’applications, plus le groupe contenant Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes : Nouveau office Ouvrir un office Programmes Documents Paramètres Rechercher Aide Exécuter Arrêter…
document document
Contenu dans All Users\Menu Démarrer Voir le sous menu suivant Contenu de %USERNAME%\Recent Contenu dans C:\Panneau de configuration Exécute certaines applications locales et globales Exécute WINHLP32.EXE Renvoi la variable ComSpec (Poste de travail Propriété Environnement Sert à arrêter l’ordinateur.
Local
Global Local Local Local Local
Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes : Accessoires Démarrage Mes outils d’administration Startup Documents en ligne Explorateur Windows NT Internet Explorer Invite de commandes Démarrage Outils d’administration Microsoft Access Microsoft Excel Microsoft Outlook Microsoft Photo Editor Microsoft PowerPoint Microsoft Word
Concerne le profil %USERNAME% Contenu de Démarrer\Programmes
%USERNAME%\Menu
Globa l
Concerne le profil All USERS Local Contenu dans All USERS\Menu Démarrer\Programmes
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes rend cette application disponible par tous les utilisateurs. Le raccourci d’une application copié dans %USERNAME %\Menu Démarrer\Programmes rend cette application disponible pour un seul utilisateur. Le profile Default User est utilisé pour des clients DHCP ou pour une personne inconnue (ces deux utilisateurs sont interdits sur le réseau).
Le 06/06/2000
version 1.0
Page 124
GUIDE DE PARAMETRAGE Manuel Windows NT 4.0 Workstation Station de travail sous Windows NT 4.0 Workstation
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation préalable.
Manuel Windows NT 4.0 Workstation Station de travail
SUIVI DU DOCUMENT
VERSION
DATE
1
23/08/2000
MODIFICATIONS Validation du document
NOM LCL PHILIPPOT CBA COLONGES CEN BOURGES
SUIVI DU DOCUMENT
Le 06/06/2000
version 1.0
Page i
Manuel Windows NT 4.0 Workstation Station de travail
PAGES
DESCRIPTION DES MODIFICATIONS INTRODUITES
MODIFIÉES
DEPUIS LE DOCUMENT PRÉCÉDENT
Le 06/06/2000
version 1.0
Page ii
Manuel Windows NT 4.0 Workstation Station de travail
Sommaire Sommaire.........................................................................................iii 1. Introduction...................................................................................2 1.1 1.2 1.3 1.4
Objet...............................................................................................................2 Objectifs recherchés ........................................................................................2 Structure du document....................................................................................2 Recommandations, symboles et conventions...................................................3 1.4.1 Le niveau d’exigence.................................................................................................3 1.4.2 Le niveau de gêne..................................................................................................... 3 1.4.3 Conventions de signes et de polices .......................................................................... 3 1.5 Considérations générales ................................................................................4 1.5.1 Contexte de référence...............................................................................................4 1.5.2 Configuration matérielle et logicielle.........................................................................5 1.5.3 Plan d'adressage et plan de nommage......................................................................5 1.5.4 Personnes concernées, rôles et responsabilités ........................................................ 5
2. Consignes de sécurité.....................................................................6 2.1 Protection de la configuration matérielle du poste...........................................7 2.1.1 Protection physique du poste....................................................................................7 2.1.2 Protection de la configuration matérielle................................................................... 8 2.2 Protection de l’accès local au poste...............................................................10 2.2.1 Protection du compte utilisateur ............................................................................. 11 2.2.2 Protection du compte Administrateur local............................................................. 14 2.2.3 Protection du compte "Invité" local......................................................................... 15 2.2.4 Protéger le compte en cours de session.................................................................. 15 2.2.5 La confidentialité..................................................................................................... 16 2.3 Protection du poste vis à vis des accès distants.............................................18 2.3.1 Protection vis à vis des accès hors réseau local (modem).......................................18 2.3.2 Protection vis à vis des accès réseau...................................................................... 20 2.4 Protection des ressources locales..................................................................24 2.4.1 Partitions du disque................................................................................................. 24 2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles .......................24 2.5 Points divers.................................................................................................25 2.6 Protéger les paramètres systèmes .................................................................28 2.6.1 Protéger les paramètres systèmes.......................................................................... 28 2.6.2 Restriction des modifications des pilotes................................................................ 30 2.6.3 Protection de l'intégrité des données et des applications ........................................31 2.7 Audit.............................................................................................................32 2.7.1 Date et heure.......................................................................................................... 32 2.7.2 Protection de l’audit................................................................................................ 32 2.7.3 Événements de sécurité des audits ......................................................................... 34 2.7.4 Auto surveillance par l’utilisateur............................................................................ 35 2.8 Protection des applications bureautiques .......................................................36 2.8.1 Protection des applications du Pack Office pro 97...................................................36 2.8.2 Protection « d'Internet Explorer V 4 ou V 5 »...........................................................38 2.8.3 Protection de « Outlook Express »........................................................................... 39 2.8.4 Protection de « Winzip V 6.3 »................................................................................. 39 2.8.5 Protection de « Netscape Communicator »..............................................................40 2.8.6 Protection de « F-Secure Anti-Virus »...................................................................... 41
3. Mise en œuvre..............................................................................42 3.1 Protection de la configuration matérielle du poste.........................................42 3.1.1 Protection physique du poste.................................................................................. 42 3.1.2 Configuration du SETUP du BIOS............................................................................. 42 3.1.3 Configuration du disque dur local............................................................................ 43 3.2 Configuration de Windows NT 4.0 Works Station............................................46 3.2.1 Les Services Pack.................................................................................................... 46 3.2.2 Les services............................................................................................................. 55 3.2.3 Remarques sur les services ..................................................................................... 61 3.2.4 Options de configuration de Windows NT................................................................ 61
Le 06/06/2000
version 1.0
Page iii
Manuel Windows NT 4.0 Workstation Station de travail
3.3 Définition des comptes ..................................................................................65 3.3.1 Définition des comptes ouverts sur le domaine.......................................................66 3.3.2 Définition des comptes ouverts sur une station...................................................... 74 3.4 Utilisation des registres .................................................................................76 3.4.1 Sécurisation des fichiers de registres ...................................................................... 79 3.4.2 Modification des registres........................................................................................ 80 3.4.3 Sécurisation des registres....................................................................................... 82 3.5 Configuration des permissions d'accès (partage et sécurité) aux ressources locales................................................................................................................86 3.6 Configuration de l’audit.................................................................................86 3.6.1 Les événements de l’audit....................................................................................... 87 3.6.2 La gestion des journaux d’audits ............................................................................. 94 3.7 Configuration des applications.......................................................................97 3.7.1 Les registres des applications................................................................................. 97 3.7.2 Les documents antérieurs ....................................................................................... 97 3.7.3 Les répertoires de travail......................................................................................... 98 3.7.4 Les protections contre les virus de macros ............................................................. 99 3.7.5 Paramétrage d’Internet Explorer........................................................................... 100 3.7.6 Paramétrage de Communicator V4........................................................................ 101 3.7.7 Protection contre les virus (F-Secure).................................................................... 104
A. Schéma d’un réseau Windows NT 4.0..........................................107 A. Permissions/Droits et Sécurité/Partage........................................109 A.1 Les Permissions NTFS..................................................................................109 A.2 Les permissions d’un partage......................................................................119 A.3 Exemples.....................................................................................................120 A.3.1 Partage d’une imprimante locale.......................................................................... 120 A.3.2 Partage et sécurité sur des fichiers et répertoires .................................................120
B. Les profils...................................................................................123
Le 06/06/2000
version 1.0
Page iv
Manuel Windows NT 4.0 Workstation Station de travail
SÉCURISATION DU SI BUREAUTIQUE DE L'ARMÉE DE TERRE Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 1
Manuel Windows NT 4.0 Workstation Station de travail
1.
INTRODUCTION
1.1
Objet Ce document présente les directives de sécurisation d'une station de travail NT cliente connectée à un réseau. Les caractéristiques spécifiques aux serveurs sont traitées dans d'autres documents. Cependant certains points de sécurité sont mis en œuvre au niveau des serveurs (le Contrôleur Principal de Domaine et le Serveur de Fichiers et d’Impression). Citons pour exemple la limitation de l’horaire pour l’ouverture d’une session sur le poste de travail. Ces points de sécurité seront traités dans ce document en précisant le nom du serveur en caractères gras et soulignés (CPD).
1.2
Objectifs recherchés L'objectif est de fournir les directives standardisées de configuration des paramètres de sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels supplémentaires. Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la bureautique de l'armée de Terre. Ce document ne concerne que le paramétrage de la sécurité d'une station de travail destinée à un seul utilisateur.
1.3
Structure du document Ce document comprend deux parties. La première partie rassemble l'ensemble des points de sécurité (actions et valeur des paramètres) qui doivent être pris en compte. La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes définies précédemment. La correspondance entre les points de sécurité (consignes) et les fiches de mise en œuvre est réalisée par un référencement croisé. La dernière partie contient une annexe décrivant les différences entre les permissions associées au partage et celles disponibles par la sécurité.
Le 06/06/2000
version 1.0
Page 2
Manuel Windows NT 4.0 Workstation Station de travail
1.4
Recommandations, symboles et conventions Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et par le niveau de gêne sur l'utilisation du poste.
1.4.1 Le niveau d’exigence Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité. Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire de Obligatoire le positionner à la valeur recommandée afin de garantir la sécurité du système. Le paramètre affecté devrait être réglé à la valeur recommandée, mais ce Obligatoire réglage peut rendre inopérant certains services déjà existants. C'est au RSSI sauf (Responsable Sécurité du Système d’Information) de juger si les contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non par technique d'autres moyens. Dés disparition des logiciels/matériels générant le conflit, le paramètre doit être réglé conformément aux préconisations de ce guide. Niveau le plus faible correspondant à une préconisation. Le paramètre peut dépendre de la politique de sécurité locale mise en place. On indiquera Préconisé simplement une valeur minimale à respecter pour garantir un niveau de sécurité satisfaisant.
1.4.2 Le niveau de gêne Le niveau de gêne occasionnée se décline en trois niveaux :
Le paramétrage n'introduit pas de gêne à l'exploitation du poste.
Le paramétrage est susceptible de gêner faiblement l'utilisateur lors d'opérations particulières identifiées mais peu fréquentes.
Le paramétrage est susceptible de gêner l'utilisateur lors d'opérations courantes identifiées ou non.
1.4.3 Conventions de signes et de polices
Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème consigne du 10ème groupe de consignes de ce manuel. Gras Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une mise en œuvre. Souligné
Le 06/06/2000
Indique une mise en garde ou une restriction importante.
version 1.0
Page 3
Manuel Windows NT 4.0 Workstation Station de travail
1.5
Considérations générales Les hypothèses suivantes sont faites sur la configuration matérielle et sur les responsabilités.
1.5.1 Contexte de référence L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure suivante.
Serveur NT 4.0 Contrôleur Principal de Dom aine et serveur DNS (primaire)
Locaux à accès contrôlé Serveur de fichiers et d ’impressions (NT 4.0 ou NETWARE ou SAMBA/LINUX)
Serveur NT 4.0 Contrôleur Secondaire de Dom aine et serveur DNS (secondaire)
Réseau T CP/IP sur ETHERNET
Section 1
Section 2
Imprimante partagée
Poste Client NT 4.0 Workstation Imprimante partagée
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Imprimante dédiée Poste Client NT 4.0 Workstation Poste Client NT 4.0 Workstation
Figure 1 Architecture de référence pour un site Hypothèses retenues pour un site donné : Le réseau local est un réseau ethernet. Le protocole réseau est IP V4 et IPX. Les postes individuels de travail sont des machines récentes à base de processeur Intel avec le système d'exploitation "Windows NT 4.0 Workstation". Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0).
Le 06/06/2000
version 1.0
Page 4
Manuel Windows NT 4.0 Workstation Station de travail
Ce serveur assure également la fonction de serveur de noms IP (DNS). Il y a un serveur de fichiers et d'impression. Ce serveur est : •
soit un serveur NT 4.0 (SP 5),
•
soit un serveur Netware 4.11 (SP 7),
•
soit un serveur SAMBA mis en œuvre sous UNIX.
Les imprimantes partagées sont directement raccordées au réseau. Certaines imprimantes (dédiées) sont directement rattachées au poste de travail et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du réseau. Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur Principal de Domaine, la configuration de ce serveur est hors du champ de l'étude).
1.5.2 Configuration matérielle et logicielle Le poste de travail à sécuriser est supposé être dans l'état suivant : Windows NT 4.0 est installé sur toutes les stations de travail. Le système d'exploitation Windows NT 4.0 a été installé et mis à jour avec le SP 5. Les composants réseau ont été installés lors de l'installation de Windows NT. La configuration logicielle concerne les applications suivantes : • • • • • •
Pack Office pro 97 ; Antivirus de l’armée de terre en réseau ; Winzip V 6.3 ; Netscape Communicator V 4 ; Internet Explorer V 4 ou V 5 ; Outlook Express.
1.5.3 Plan d'adressage et plan de nommage Le plan d'adressage doit être conforme au plan « IP Défense ».
1.5.4 Personnes concernées, rôles et responsabilités On retient 3 rôles : L’utilisateur du poste de travail Il ne doit pas avoir accès aux paramètres de configuration système de son poste de travail. Il ne doit pas être en mesure d’installer un autre système d’exploitation. Il est responsable des informations qu’il produit et de celles auxquelles il accède. Il doit être sensibilisé à la démarche de sécurité notamment pour bien choisir ses mots de passe et les changer régulièrement. L'administrateur local L'administrateur local du poste de travail est responsable de la configuration initiale du poste de travail et de ses évolutions. Le RSSI Responsable de la politique SSI, de son application et de son contrôle.
Le 06/06/2000
version 1.0
Page 5
Manuel Windows NT 4.0 Workstation Station de travail
2.
CONSIGNES DE SÉCURITÉ Les consignes de sécurité sont rassemblées par thèmes : 1. Protection physique du poste. Il s’agit des consignes relatives au SETUP du BIOS et aux équipements physiques. 2. Protection de l’accès local au poste. Il s’agit de la protection des comptes présents sur le poste. 3. Protection du poste vis à vis des accès distants. Il s’agit des consignes interdisant l’accès au poste via un modem. 4. Protection des ressources locales. Il s’agit des consignes relatives à la gestion des ressources du poste. 5. Points divers. Regroupe des consignes de sécurité supplémentaires. 6. Protéger les paramètres systèmes. Concerne les consignes de protection de la configuration d’un système vis à vis d’un utilisateur. 7. Audit. Concerne les événements figurant dans l’audit et les consignes d’utilisation des journaux. 8. Protection des applications bureautiques. Il s’agit des consignes de sécurité particulières prises pour les applications bureautiques.
Le 06/06/2000
version 1.0
Page 6
Manuel Windows NT 4.0 Workstation Station de travail
2.1
Protection de la configuration matérielle du poste
2.1.1 Protection physique du poste Groupe de consignes : 1 cs 1-1 : Protéger l’intégrité physique du poste.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Rendre impossible le remplacement et le vol et protéger la configuration matérielle du poste en empêchant l'installation de composants physiques, (disque, carte réseau, carte modem, carte d'entrées/sorties, etc.). Remarque : L’ordinateur doit être équipé d’un antivol (un câble par exemple). Il doit relier le support de l’ordinateur, à l’unité centrale ainsi qu’au capot de l’ordinateur. Il empêchera le déplacement de l’ordinateur et l’accès à ses composants internes (cartes, disques durs, etc.). Les clés de ces antivols seront sous la responsabilité de l’administrateur système. Il sera le seul à pouvoir déplacer un ordinateur et à modifier sa configuration physique interne. Cet antivol permet de garantir l’homogénéité du parc informatique et limite toutes tentatives de piratage par vol, par ajout d’un disque dur supplémentaire, par raccordement de l’ordinateur à un réseau externe via un modem et par effacement des données présentes en mémoire non volatile (mot de passe BIOS en particulier). Mise en œuvre :
3.1.1 Protection physique du poste
cs 1-2 : Audit de l’intégrité physique du poste.
Niveau d'exigence :
Niveau de gêne :
Objectif : Alerter visuellement les utilisateurs du domaine, d’une tentative d’attaque de la configuration matérielle du poste ou de sa mémoire non volatile. Remarque : Chaque station de travail doit posséder des étiquettes d’inviolabilité. Elles seront apposées à cheval sur les jonctions du capot et du boîtier (imposant leur déchirure lors de l’ouverture de l’unité centrale). Deux étiquettes seront collées au minimum. L’une sur la façade et l’autre à l’arrière de la station. Les deux étiquettes seront contrôlées lors de la vérification visuelle hebdomadaire. Certains ordinateurs peuvent imposer l’utilisation d’un grand nombre d’étiquettes (les tours géantes). Il faudra veiller à ce qu’une étiquette au moins soit déchirée lors de l’ouverture du capot (Attention : le panneau peut être tordu, l’étiquette est collée sur le capot et une pièce détachable du boîtier, etc.). Mise en œuvre :
Le 06/06/2000
3.1.1 Protection physique du poste
version 1.0
Page 7
Manuel Windows NT 4.0 Workstation Station de travail
2.1.2 Protection de la configuration matérielle Groupe de consignes : 2 cs 2-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger la configuration des paramètres de bas niveau.
Remarque : Le mot de passe ne doit pas être le même sur toutes les machines d’un site. Limiter la réutilisation d’un mot de passe à une grappe de postes (environ 10). Le mot de passe doit être modifié lors du changement d’administrateur et périodiquement (une fois par an). A priori, il n’est pas nécessaire de fixer un « user password » car ce dernier serait demandé de façon systématique à l’utilisateur qui souhaite utiliser le poste de travail lors du démarrage de la machine avant le chargement du système d’exploitation. Le fait que le BIOS soit présent en mémoire flash permet de le mettre à jour, voire de le charger à partir d’un fichier sur disquette. Selon le type de carte mère, le flashage du BIOS se fait avec ou sans positionnement de cavaliers sur la carte. Par ailleurs, il existe un mot de passe « universel » par fournisseur de BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ». Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué quand la vérification de la somme de contrôle des paramètres du BIOS est erronée (erreur sur checkSum). En conséquence, les protections envisageables par l’intermédiaire des options du BIOS doivent être considérées comme des mesures contournables qui sont seulement destinées à empêcher des maladresses de la part d’utilisateurs peu expérimentés ou de pirates occasionnels. Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 2-2 : N’autoriser que le périphérique C dans la séquence de Boot.
Niveau d'exigence :
Niveau de gêne :
Objectif : Ceci interdit d’utiliser le poste de travail en contournant les protections de Windows NT par l’installation d’un autre système d’exploitation présent sur une autre partition ou un support amovible (disquette ou CD-ROM, etc.). Remarque : Le disque dur de l’ordinateur contenant le système doit être déclaré comme maître et connecté sur le port IDE 0 (premier port IDE de la carte mère) afin d’éviter l’implantation d’un système multi-boots sur un second disque dur. Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS, 3.1.3 Configuration du disque dur local
Le 06/06/2000
version 1.0
Page 8
Manuel Windows NT 4.0 Workstation Station de travail
cs 2-3 : Interdire l’utilisation des ports série.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Cette interdiction empêchera l’utilisation d’un modem (raccordé sur le port série) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’intrusion à distance). Rappelons que rien n’empêche l’administrateur système de visiter les locaux pour s’assurer visuellement de l’absence de modems. Remarque : Cette consigne suppose que la souris est raccordée via un port spécifique (port souris). Mise en œuvre :
3.1.2 Configuration du SETUP du BIOS
cs 2-4 : Inhiber les ports USB.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB) qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité du site (cas d’intrusion à distance). Remarque : Cependant la future généralisation des claviers et des souris USB, et la disparition progressive des ports spécifiques (clavier et souris) rendront impossible cette restriction. Mise en œuvre :
Le 06/06/2000
3.1.2 Configuration du SETUP du BIOS
version 1.0
Page 9
Manuel Windows NT 4.0 Workstation Station de travail
2.2
Protection de l’accès local au poste Groupe de consignes : 3 cs 3-1 : Présentation d’un message de mise en garde à l’ouverture d’une session.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Permet de présenter un message de mise en garde à l’écran juste après l’ouverture d’une session. Deux clés de registre réalisent cette option et devront être protégées ainsi que les fichiers de ces registres. Paramètres :
le registre, les clés et les valeurs sont les suivants :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon\LegalNoticeCaption Mettre la valeur : « Station de travail de l’Armée de terre » HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon\LegalNoticeText Mette la valeur : « Vous devez être autorisé(e) pour poursuivre ! » Mise en œuvre : 3.2.4 Options de configuration de Windows NT, 3.4 Utilisation des registres
cs 3-2 : Présentation d’un message de mise en garde pendant la veille du poste.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Ce message de mise en garde est visible à l’écran lorsque l’ordinateur est en veille. Lors de l’éveil de la station, l’utilisateur devra se connecter et entrer son mot de passe. Ce message sert uniquement à éviter qu’une personne non habilitée utilise un ordinateur et prétende ignorer son caractère sensible. Paramètres : Démarrer Paramètres Panneau de configuration Affichage Écran de veille Sous la rubrique écran de veille : Message Paramètres « Message de l’armée de terre » Choisir la vitesse la plus lente, un fond et une police de caractères adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran). Protéger en écriture les clés, le programme et les fichiers des registres correspondants : Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité , 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 10
Manuel Windows NT 4.0 Workstation Station de travail
cs 3-3 : Présentation d’un message de mise en garde sur le poste.
Niveau d'exigence : Objectif :
Niveau de gêne :
Message de mise en garde à destination des tiers non habilités.
Remarque : Une étiquette est collée sur l’ordinateur et de manière très visible (sur le cadre de l’écran en général, ainsi qu’au-dessus des lecteurs de disquettes et du CD-ROM). Elle informe l’utilisateur du degré de sensibilité de la station et de son niveau de confidentialité. Mise en œuvre :
3.1 Protection de la configuration matérielle du poste
2.2.1 Protection du compte utilisateur Groupe de consignes : 4 Les utilisateurs doivent être sensibilisés à la démarche de sécurité afin qu'ils acceptent les contraintes que les paramètres suivants imposent (changement tous les 60 jours, 6 mots de passe différents pour l'année). Cette fréquence et cette diversité relativement élevées peuvent conduire les utilisateurs à noter leur mot de passe sur un papier rangé à proximité de leur poste.
cs 4-1 : Fixer la durée maximale du mot de passe à 60 jours.
Niveau d'exigence :
Niveau de gêne :
Objectif : Modifier le mot de passe fréquemment pour ne pas favoriser les intrusions. Remarque : Il est souvent difficile de trouver et de mémoriser les mots de passe. La fréquence de changement des mots de passe et leur diversité peuvent conduire les utilisateurs à noter leur mot de passe sur un papier rangé à proximité de leur poste. Deux solutions simples pour élaborer un mot de passe, consistent : Prendre les initiales d’une phrase : Les deux zèbres vont dans la savane immense donne par exemple L2zvdlsl. Éviter les titres de films ou de livres trop connus (le prix Goncourt du moment) et les phrases commençant par C’est … (deux lettres du mot de passe sont identifiées). Utiliser un mot coupé par des signes : « trapèze » donne tra\pè#ze. Beaucoup de logiciels de découverte des mots de passe utilisent des algorithmes de séquencement des mots des dictionnaires français et étrangers. Une rotation à droite ou à gauche d’un ou plusieurs caractères (a\pè#zetr) améliore la robustesse du mot de passe. Mise en œuvre : 3.3.1.2 Stratégie de compte (CPD), 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 11
Manuel Windows NT 4.0 Workstation Station de travail
cs 4-2 : Interdire la réutilisation des 6 derniers mots de passe.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas permettre le contournement de la consigne précédente.
Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-3 : Fixer la durée minimale de validité du mot de passe à 5 jours.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas permettre de contourner la consigne précédente.
Remarque : Si la modification immédiate est autorisée, alors le système ne peut pas vérifier que l'utilisateur ne réutilise pas un mot de passe récemment choisi. Mais si la modification n'est pas autorisée dans un délai court, alors l'utilisateur sera dans l'impossibilité de changer seul son mot de passe s'il a choisi un mot de passe trivial ou si son mot de passe a été dévoilé par mégarde. Il devra solliciter l’administrateur. Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-4 : Fixer la longueur minimale du mot de passe à 8 caractères.
Niveau d'exigence :
Niveau de gêne :
Objectif : Conduire l’utilisateur à ne pas choisir des mots de passe facilement repérables. Remarque : la longueur maximale du mot de passe est de 14 caractères. Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-5 : Le filtrage des mots de passe doit être activé.
Niveau d'exigence :
Niveau de gêne :
Objectif : Accroître la résistance du mot de passe en n’autorisant pas l’utilisation de mots courants. Remarque : Le Service Pack 5 (en fait depuis le SP 2) permet de vérifier que les mots de passe respectent les contraintes suivantes : Le mot de passe doit comprendre 6 caractères au minimum. Il doit comporter des caractères choisis dans trois des 4 groupes suivants minuscules : a,b, … z ; majuscules : A,B, … Z ; caractères spéciaux (ponctuation) : , ; : ! ?. , chiffres : 1,2, …0. Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du compte), il ne doit pas comprendre un sous-ensemble du nom de l’utilisateur.
Le 06/06/2000
version 1.0
Page 12
Manuel Windows NT 4.0 Workstation Station de travail
Paramètres : Le fichier passfilt.dll doit être présent dans le répertoire C:\\WINNT\system32. Ajouter la valeur « PASSFILT » dans la clé de registre : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/No tification Package » Mise en œuvre :
3.2.1.3 Filtrage des mots de passe (CPD)
cs 4-6 : Verrouiller le compte après 5 tentatives infructueuses.
Niveau d'exigence :
Niveau de gêne :
Objectif : Le verrouillage de compte proposé est destiné à faire échec aux attaques en force des comptes. On fixe à 5 les tentatives infructueuses réalisées dans une période de 60 minutes afin de ne pas pénaliser l'utilisateur dans la mesure où les changements sont fréquents. Un tiers ou l'utilisateur ne pourra pas tester plus de 5 mots de passe par heure. Après 5 tentatives infructueuses, le compte sera verrouillé de façon permanente et l'intervention de l'administrateur sera nécessaire pour rendre le compte de nouveau utilisable. Une tentative de découverte d’un mot de passe ne pourra tester que 2976 chaînes (4 chaînes par heure fois 12 heures de travail par jour fois 31 jours par mois fois deux mois [juillet août] égale 2976 chaînes maximum) avant que le mot de passe ne change (pour un utilisateur autorisé à se connecter 12 heures sur 24). Remarque : Si le compte doit être protégé de façon plus rigoureuse en raison des droits de l'utilisateur et des informations qu'il exploite, il convient : de réduire le nombre de tentatives infructueuses acceptables à 2, d'allonger le délai de réinitialisation du compteur à 768 minutes (24 heures). Ceci introduit un risque de déni de service dans la mesure où un tiers peut délibérément bloquer le compte en réalisant 5 tentatives infructueuses. Paramètres : Gestion des utilisateurs Stratégie de compte Verrouillage de compte : cocher Verrouillage après 5 tentatives d'accès infructueuses Réinitialiser le compteur après 60 minutes Durée de verrouillage : Permanente Mise en œuvre :
3.3.1.2 Stratégie de compte (CPD)
cs 4-7 : Les utilisateurs doivent ouvrir une session pour changer de mot de passe.
Niveau d'exigence :
Niveau de gêne :
Objectif : Il s'agit de soustraire le compte à des attaques quand l'utilisateur est absent pour une longue période de temps. Mise en œuvre : session
Le 06/06/2000
3.2.4.4 Interdire l’arrêt du système sans ouverture de
version 1.0
Page 13
Manuel Windows NT 4.0 Workstation Station de travail
cs 4-8 : Limiter les horaires d’exploitation d’une session.
Niveau d'exigence :
Niveau de gêne :
Objectif : Il s'agit d’éviter qu’une session soit exploitée en dehors des heures ouvrables normales. La présence de l’utilisateur à ces heures devra être justifiée auprès de l’administrateur. Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
2.2.2 Protection du compte Administrateur local Groupe de consignes : 5 cs 5-1 : Fixer un mot de passe sur 10 caractères au minimum pour l’Administrateur local.
Niveau d'exigence : Objectif :
Niveau de gêne :
Rendre plus difficile la recherche du mot de passe.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Compte tenu de l'étendue des droits attachés à ce compte il faut lui conférer la plus grande protection possible. De plus ce compte apparaît souvent de manière automatique dans des partages et des permissions, il est donc nécessaire d’apporter le plus grand soin au choix de ce mot de passe. Mise en œuvre :
3.3.2.3 Le compte local : « Administrateur »
cs 5-2 : Changer le nom du compte "Administrateur".
Niveau d'exigence : Objectif :
Niveau de gêne :
Rendre plus difficile l'accès à ce compte par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui est associé un nom prédéfini. La connaissance du nom représente la moitié de l'effort à fournir pour prendre le contrôle du poste. Il faut choisir un nom difficile à deviner, et ne pas choisir le même nom pour toutes les machines afin de mettre en œuvre un cloisonnement de sécurité (grappe de postes de sections par exemple) en cas d'intrusion réussie. Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur (CPD), 3.3.2.3 Le compte local : « Administrateur »
Le 06/06/2000
version 1.0
Page 14
Manuel Windows NT 4.0 Workstation Station de travail
2.2.3 Protection du compte "Invité" local Groupe de consignes : 6 cs 6-1 : Inhiber le compte "Invité" local.
Niveau d'exigence : Objectif :
Niveau de gêne :
Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui est associé un mot de passe prédéfini. Le poste est destiné à n’être exploité que par un seul utilisateur. Paramètres : Changer le nom du compte, changer le mot de passe (au moins 10 caractères), retirer le compte du groupe invité, désactiver le compte. Mise en œuvre : 3.3.2.1 Le compte local : « invité » (CPD), 3.3.2.2 Les autres comptes locaux prédéfinis (CPD)
2.2.4 Protéger le compte en cours de session Groupe de consignes : 7 Ces consignes de sécurité permettent de protéger le compte d’un utilisateur pendant une absence prolongée. Deux niveaux de protection sont prévus : la station est verrouillée après 15 minutes, la station est déconnectée du réseau après 2 heures.
cs 7-1 : Verrouillage de la station après un délai d’inactivité de 15 minutes.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher l’appropriation d’une session lors de l’absence de l’utilisateur. Remarque : Les utilisateurs qui lancent une application demandant un temps de calcul trop long ou qui veulent suspendre leur travail peuvent verrouiller la station. Les résultats ou les documents ne seront pas perdus. Cette contrainte doit être accompagnée d’un mécanisme de déconnexion de la station. En effet, un utilisateur risque de s’absenter en oubliant que sa session n’est pas fermée. Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité , 3.4 Utilisation des registres
cs 7-2 : Déconnexion après un délai d’inactivité de 120 minutes (serveur).
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire l’utilisation d’une session laissée ouverte par une tierce personne.
Le 06/06/2000
version 1.0
Page 15
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Ce second niveau de sécurité a pour but de ne pas laisser une session verrouillée par inadvertance. La station d’un utilisateur se verrouillera après 15 minutes puis sera déconnectée du réseau 1 h ¾ après. Les utilisateurs qui lancent une application qui requiert un long temps de calcul devront faire attention que ce temps soit inférieur à 2 heures pour éviter de perdre les résultats du calcul. Suivant la sensibilité de la station ce temps peut être ramené à un temps plus court ou plus long. Mise en œuvre : (CPD),
3.2.4.3 Fermeture de la session après 2 heures d’inactivité
2.2.5 La confidentialité Groupe de consignes : 8 cs 8-1 : Vider le fichier paginé de mémoire temporaire lors de l’arrêt du système.
Niveau d'exigence :
Niveau de gêne :
Objectif : Évite qu’un utilisateur puisse examiner les informations exploitées par les utilisateurs en cas de vols de disque dur ou de boot sur un autre système. Remarque : Le fichier paginé de mémoire temporaire ou d’échange de Windows NT se comporte comme une mémoire virtuelle. Ce fichier peut contenir des informations sensibles de la session précédente. Il doit être effacé du disque dur lors de la fermeture de la session. Une valeur attribuée à la clé de registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management (avec un espace devant le mot Management) Attribuer la valeur 1 (Type REG_DWORD) à la rubrique ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la fermeture de la session. Si la station est arrêtée brutalement (coupure de courant) la mémoire paginée ne sera pas détruite (le fichier paginé de mémoire temporaire n’est pas effacé du disque dur). Il suffirait de booter sur un second disque dur (déclaré système et maître, le premier disque dur est déclaré esclave) pour accéder au contenu de la mémoire temporaire. Mise en œuvre :
3.4 Utilisation des registres
cs 8-2 : Interdire le verrouillage des pages mémoires temporaires pendant une session.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter un risque de déni de service par saturation de la mémoire temporaire. Remarque : Windows NT autorise un utilisateur à verrouiller le fichier paginé de mémoire temporaire (fichier C:\pagefile.sys). Cette option est disponible dans la Stratégie des droits de l’utilisateur du Gestionnaire des utilisateurs. L’utilisation de ce droit, réserve de la mémoire RAM pour créer un fichier d’échange statique. Le contenu de la mémoire ne peut plus être transféré vers le fichier d’échange (fichier
Le 06/06/2000
version 1.0
Page 16
Manuel Windows NT 4.0 Workstation Station de travail
C:\pagefile.sys) et risque de saturer la mémoire du système. L’ordinateur devient indisponible ce qui provoque un déni de service. Les utilisateur ne doivent jamais disposer de ce droit. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 8-3 : Réduire le nombre de machines utilisables par un utilisateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un utilisateur puisse se connecter sur toutes les stations, même celles déclarées sensibles. Remarque : Par défaut, Windows NT autorise l’ouverture d’une session sur toutes les stations. Il ne fait aucune différence entre les stations, les stations sensibles et les serveurs. L’ouverture d’une session par un utilisateur non habilité, sur une station sensible présente un risque non négligeable. L’administrateur doit réduire le nombre de stations exploitables par un utilisateur, à celles de sa section d’appartenance. Un menu disponible à la création des utilisateurs sur le CPD, permet d’imposer un choix de 8 ordinateurs au maximum pour chaque utilisateur. L’administrateur veillera à délimiter administrativement ses sections de façon qu’un groupe de 8 stations suffisent au fonctionnement de la sections. Si un utilisateur (autre que les administrateurs et le RSSI) doit pouvoir accéder à plus de 8 ordinateurs, il possédera deux comptes (lui donnant accès à 16 machines). Les administrateurs et le RSSI ne sont pas concernés par cette consigne. Ils posséderont le droit d’ouvrir une session sur toutes les stations du réseau.
Paramètres : Remplir le menu des stations de travail accessibles (Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs, double click sur l’utilisateur Ouvre le menu Caractéristiques de l’utilisateur Accès depuis, ouvre le menu Stations de travail accessibles, cocher L’utilisateur peut ouvrir une session sur ces stations de travail, entrer le nom des stations dans les champs textes) Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
cs 8-4 : Vider la corbeille entre l’ouverture de deux sessions.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher qu’un utilisateur puisse consulter les fichiers supprimés par l’utilisateur précédent. Remarque : Cette consigne de sécurité évite aussi de conserver des corbeilles trop volumineuses sur chaque station. Il est possible d’écrire un script qui sera exécuté à l’ouverture de chaque session et qui effacera le contenu de la corbeille. Mise en œuvre :
3.3.1.1 Création d’un nouvel utilisateur (CPD)
cs 8-5 : Interdire l’ouverture d’une session automatique.
Le 06/06/2000
version 1.0
Page 17
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : S’assurer qu’un utilisateur est bien présent lors de l’ouverture d’une session. Remarque : Il existe une possibilité pour un utilisateur de contourner la boîte de dialogue d’authentification Information de session. La sécurité du système d’exploitation est compromise par ce type d’accès, de plus le mot de passe n’est pas protégé dans le registre et peut être lu. Si un utilisateur accède par cette méthode (généralement par lassitude des formalités du mot de passe), il peut modifier la valeur du registre correspondant à la connexion et outrepasser par la suite les contrôles d’accès à la station. Il est donc important d’empêcher l’ouverture automatique de session en verrouillant la valeur (mettre la valeur 0) de la clé de registre Winlogon : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon Créer la rubrique :AutoAdminLogon, lui attribuer la valeur 0 (de type binaire). Mise en œuvre :
2.3
3.4 Utilisation des registres
Protection du poste vis à vis des accès distants
2.3.1 Protection vis à vis des accès hors réseau local (modem)
1.1.1.1 Protection des ports Groupe de consignes : 9 cs 9-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Maîtriser et homogénéiser les matériels installés sur le réseau.
Remarque : Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une nouvelle fois sous Windows NT. En effet NTDETECT.COM est exécuté au chargement du système d’exploitation. Ce programme explore tous les périphériques présents pour dresser une liste des matériels installés sur l’ordinateur. Windows NT utilise cette liste et non celle du BIOS pour son fonctionnement. La liste obtenue lors de l’exécution du BIOS sera utilisée par des applications particulières (après un redémarrage sous DOS, etc.). Mise en œuvre :
3.4 Utilisation des registres
cs 9-2 : Inhiber le port USB.
Niveau d'exigence : Objectif :
Le 06/06/2000
!
Niveau de gêne :
Empêchera l’utilisation d’un modem raccordé sur le port USB.
version 1.0
Page 18
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Même remarque que précédemment. Cette interdiction déjà traitée (cs 2-4) doit être effectuée une nouvelle fois sous Windows NT. Mise en œuvre :
3.4 Utilisation des registres
1.1.1.2 Protection contre certains services Groupe de consignes : 10 cs 10-1 : Inhiber le service Remote Access Server.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Éviter la prise de contrôle d’une station au travers du réseau.
Remarque : La méthode des Nœuds Distants est utilisée par le service d’accès distant « Remote Access Server » de Windows NT. Ce service permet d’accéder à des ordinateurs par le réseau. L’utilisateur travaille sur son ordinateur et utilise la station du réseau pour rebondir. Le réseau voit cet utilisateur de la même manière que si celui-ci était devant la station. Beaucoup d’attaques utilisent ce service afin que les administrateurs de la sécurité perdent la trace de la machine source (la dernière machine identifiée assume la responsabilité légale de l’attaque). Ce service associé à la présence de modems sur le réseau constitue une faille très importante de sécurité. Il est donc impératif de désactiver le service RAS. Mise en œuvre :
3.2.2 Les services
cs 10-2 : Inhiber les services inutiles.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Éviter de programmer le lancement de services aux effets incontrôlables. Remarque : Plusieurs services assurent des tâches inutiles et parfois dangereuses pour la sécurité. Citons pour l’exemple le service Planning. Lorsqu’il est associé à la commande "at", il permet d’exécuter des scripts à des moments prédéfinis. Il convient donc de supprimer ce service si aucun service de sauvegarde automatique, de contrôles de disques durs, etc. n’est mis en œuvre. Il en est de même pour certains autres services. Une liste des services présentant le nom, le port et le protocole associé au sein de l’environnement système Windows NT est disponible dans le fichier Services (du répertoire %SystemRoot %\system32\drivers\etc). Le service TCP/IP installé par défaut n’effectue aucun filtrage de paquet. Tous les protocoles sont permis et tous les ports sont ouverts. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT et définis par le RFC 1060 sont rassemblés dans le fichier Protocol (situé dans le même répertoire). Pour ouvrir uniquement les ports désirés, il faut accéder au menu Sécurité TCP/IP (Démarrer Paramètres Panneau de configuration, double click sur Réseau Protocoles, double click sur TCP/IP, ouvre le menu Propriétés de Microsoft TCP/IP Adresse IP Avancée…, ouvre le menu Adressage IP avancé cocher Activer la sécurité Configurer… Ouvre le menu Sécurité TCP/IP, valider les trois boutons Autoriser seulement) et n’autoriser que les ports nécessaires.
Le 06/06/2000
version 1.0
Page 19
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre :
3.2.1.1 Défense contre les attaques réseau
2.3.2 Protection vis à vis des accès réseau
1.1.1.3
Partage réseau des répertoires et des fichiers
Groupe de consignes : 11 cs 11-1 : Interdire le partage réseau.
Niveau d'exigence :
Niveau de gêne :
Objectif : Empêcher qu’un utilisateur crée un partage de fichiers ou de répertoires sur le disque dur local. Remarque : Si un utilisateur possède le droit de partager des fichiers ou des répertoires du disque local avec d’autres utilisateurs, il pourra créer un serveur factice transparent pour les véritables serveurs. Afin d’éviter la prolifération de partages (cachés par le suffixe $ ou non), l’administrateur ne doit pas laisser la permission du Contrôle total aux utilisateurs. Seul le serveur de fichiers devra être prévu pour que les utilisateurs mettent en commun des fichiers. Cette consigne s’accompagne de l’obligation de ne jamais donner la permission de Prendre possession d’un fichier ou d’un répertoire à un utilisateur. Mise en œuvre : Annexe B Permissions/Droits et Sécurité/Partage, 3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
1.1.1.4
Partage de l’imprimante locale
Groupe de consignes : 12 cs 12-1 : Interdire le partage de l’imprimante locale (ou tout autre périphérique).
Niveau d'exigence :
Niveau de gêne :
Objectif : Une imprimante locale ne peut être utilisée qu’à partir du poste auquel elle est connectée. Remarque : La configuration locale de l’imprimante est déclarée au moment de l’ajout de ce périphérique. Mise en œuvre :
Le 06/06/2000
Annexe : B.3.1 Partage d’une imprimante locale
version 1.0
Page 20
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.5
Échange dynamique de données entre applications
Groupe de consignes : 13 cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire le Partage Dynamique de Données sur le réseau. A n’autoriser que sur le même poste de travail pour un même utilisateur. Remarque : Certaines gênes peuvent apparaître pour des applications utilisant les DDE entre différents types de documents (pour d’anciennes versions de documents Word et Excel par exemple) situés sur des stations distantes. Cependant il est préférable de l’interdire sur le réseau afin d’éviter qu’un fichier lié à un autre par un DDE soit transmis à un utilisateur. Dans ce cas de figure il est difficile de prévoir la manière dont la mise à jour automatique des données sera effectuée. Mise en œuvre :
1.1.1.6
3.2.2 Les services
Accès distant pour les utilisateurs
Groupe de consignes : 14 cs 14-1 : Imposer un langage de bas niveau pour les échanges entre stations.
Niveau d'exigence : Objectif :
Niveau de gêne :
Restreindre les personnes aptes à accéder à une station distante.
Remarque : L’utilisateur ne doit pas voir toutes les stations lorsqu’il utilise l’Explorateur Windows, afin d’éviter de lister et chercher les serveurs parmi toutes les machines visibles. Cependant, une station distante doit rester accessible depuis une autre station pour les utilisateurs confirmés. Pour fournir une vision claire des ordinateurs accessibles sur le réseau, le service Serveur n’est pas implanté sur les stations de travail (invisibilité des stations par l’Explorateur Windows). Seul le service Station de travail est présent (accessibilité par un langage de bas niveau). Le service Station de travail apporte les fonctionnalités NetBIOS sur TCP/IP nécessaire au fonctionnement correcte de la station. De plus, les ordinateurs connectés au réseau sont accessibles par le Poste de travail ou par les commandes net “commande” sous DOS (exemple net send « nom de la station » « message envoyé »). Mise en œuvre :
Le 06/06/2000
3.2.2 Les services
version 1.0
Page 21
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.7
Limiter les échanges sur le réseau
Groupe de consignes : 15 cs 15-1 : Limiter la visibilité des machines (seuls les serveurs sont visibles sur le réseau).
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de pouvoir compter et identifier les stations présentes sur le réseau. Remarques : Cette consigne permet en outre de simplifier pour chaque utilisateur, le schéma représentatif du réseau. En effet l’Explorateur Windows et le Voisinage réseau présenteront uniquement les serveurs et les répertoires disponibles. Cette visibilité restreinte n’est qu’apparente puisque certaines commandes de bas niveau permettent de se connecter avec la permission de la station cible (si le service sollicité est activé) à un autre ordinateur. Mise en œuvre :
1.1.1.8
3.2.2 Les services
Protection des échanges sur le réseau
Groupe de consignes : 16 cs 16-1 : Chiffrer les échanges de mot de passe sur le réseau.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que le mot de passe d’un utilisateur circule en clair sur le réseau. Remarques : Les messages d’authentification lors de l’ouverture d’une session par un utilisateur ne circulent pas sur le réseau. Un protocole d’authentification par challenge permet de vérifier la cohérence du mot de passe et du nom de l’utilisateur. L’ouverture d’une session ne soulève pas de problèmes de confidentialité du mot de passe. Il est plus difficile de garantir la confidentialité du mot de passe lors de son changement. Le protocole de signature SMB-S (Server Message Block Signing, voir cs 163) permet de signer les transferts de données et le protocole Windows NT CR (Challenge Response) chiffre le mot de passe lors de son transfert au Contrôleur Principal de Domaine. Mise en œuvre : le CPD)
3.2.1.2 Installation du protocole SMB-S (sur les stations et
cs 16-2 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Interdire l’envoi d’un mot de passe compatible Lan-Manager de bas niveau en tant que requête.
Le 06/06/2000
version 1.0
Page 22
Manuel Windows NT 4.0 Workstation Station de travail
Remarques : Windows NT prend en charge deux protocoles d’authentification par un processus de challenge : Windows NT Challenge Response et Lan-Manager Challenge Response. Le protocole de chiffrement Lan-Manager est plus simple que celui de Windows. Un pirate peut renifler le réseau pour intercepter et casser le hachage du mot de passe de Lan-Manager. Sans l’interdiction explicite de ce protocole Windows NT tentera l’établissement d’une connexion via les deux protocoles. Cependant le protocole Lan-Manager apportera une sécurité minimale si le serveur contacté par la station utilise Netware. Une clé de registre permet d’activer, de désactiver ou d’utiliser les deux protocoles lors d’une connexion avec un serveur. La sécurisation des échanges par LanManager est désactivée sauf nécessité absolue. Si un serveur sous Netware est connecté au réseau, vous trouverez les modifications des clés pour les stations dans le manuel consacré à Netware. Mise en œuvre : le CPD)
3.2.1.2 Installation du protocole SMB-S (sur les stations et
cs 16-3 : Contrôler et protéger les communications client/serveur.
Niveau d'exigence : Objectif :
Niveau de gêne :
Sécuriser les échanges avec un serveur en signant et en chiffrant.
Remarque : La structure de base des réseaux Microsoft en environnement Windows NT s’appuie sur le protocole SMB (Server Message Block). Les services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire) sont implémentés par les services Serveur et Station de travail de Windows NT. Ces services sont disponibles sur les serveurs ainsi que sur les stations mais le service Serveur sera désactivé sur les stations pour éviter leur affichage dans le voisinage réseau. Ce protocole est sous-jacent aux services de partages de fichiers et d’imprimantes de Windows NT. Les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Une version plus performante des services offerts par SMB appelée protocole CIFS (Common Internet File Sharing) est disponible sur Internet et dans le Service Pack 3. Le SP 3 fournit aussi le protocole de signature SMB-S (Server Message Block Signing) pour authentifier les paquets et empêcher les attaques du type Men-in-the-Middle. SMB (service Station de travail) doit être activé sur le client et sur le serveur. Pour bénéficier des sécurités de signature, tous les serveurs (services Serveur et Station de travail) et toutes les stations (service Station de travail) activeront le service SMB du SP 3 (contenant SMB-S) en modifiant la valeur des clés de registre correspondante. Paramètres :
Créer et modifier la valeur de la clé du registre HKLM :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Pa rameters EnableSecuritySignature valeur 1 (type REG_DWORD) (active le protocole SMB-S) RequireSecuritySignature valeur 1 (type REG_DWORD) (seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur. Il faut une conformité globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se reporter à la mise en œuvre pour plus d’informations)
Le 06/06/2000
version 1.0
Page 23
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : le CPD)
2.4
3.2.1.2 Installation du protocole SMB-S (sur les stations et
Protection des ressources locales
2.4.1 Partitions du disque Groupe de consignes : 17 cs 17-1 : Protéger les fichiers systèmes.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Limiter la fragmentation de la partition système.
Remarques : créer une partition pour accueillir le système et les applications. La taille minimale de cette partition doit être de 1 Go pour les disques d’une capacité de 4 Go, et de 1,5 Go pour les disques de capacité supérieure. La création d’une partition dédiée aux applications est autorisée, mais elle ne doit jamais être déclarée primaire. Une fois l'installation terminée, le reste de l'espace disponible sur le disque sera configuré à l'aide de l'outil Administration du disque dur dans une session Administrateur. Cette configuration évite qu’une personne installe Windows NT 4.0 sur une seconde partition primaire. Le multi-boots de cet OS permettrait de modifier les valeurs des registres de la ruche. Cette configuration entraîne la perte définitive des données présentes sur la partition secondaire, si la partition primaire est détruite. Mise en œuvre :
3.1.3 Configuration du disque dur local
2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles Groupe de consignes : 18 cs 18-1 : Mise en œuvre du système de fichiers NTFS.
Niveau d'exigence :
Niveau de gêne :
Objectif : Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis en œuvre par NTFS. Remarques : La partition devra être formatée avec le système de fichiers NTFS afin de mettre en œuvre les contrôles d'accès aux répertoires et aux fichiers natifs du système de fichiers NTFS. Mise en œuvre :
3.1.3 Configuration du disque dur local
cs 18-2 : Empêcher l’utilisation de programmes ou services à risque.
Le 06/06/2000
version 1.0
Page 24
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
!
Niveau de gêne :
Objectif : Éviter que des programmes susceptibles de présenter des risques, soient exécutés par un utilisateur. Remarques : La solution la plus efficace consiste à effacer les exécutables du disque dur. Ce n’est pas pour autant que les applications et les services associés aux fichiers seront impossibles à exécuter sur cette station. Il suffit de les copier sur le disque dur (en C:\ ou en Z:\) et de les exécuter à partir de l’explorateur Windows ou avec la commande Net start "<nom du service>". Cette dernière méthode permet de lancer des services présentés comme Non démarrés et Désactivés par Démarrer Paramètres Panneau de configuration Services. Mise en œuvre :
3.2.2 Les services ,
cs 18-3 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux répertoires.
Niveau d'exigence :
Niveau de gêne :
Objectif : Gérer les accès à certains répertoires et fichiers susceptibles de présenter une faille de sécurité importante. Remarques : L’accès en écriture à certains fichiers (le fichier de données et d’exécutables de la ruche) permet de contourner les sécurités mises en place par l’administrateur. Il est très important de protéger ces fichiers ou leurs répertoires pour éviter le piratage de l’ordinateur. En annexe B, nous présentons la manière de déclarer les Permissions du Partage avec les Permissions du système NTFS. Mise en œuvre : répertoires
2.5
Annexe : B.3.2 Partage et sécurité sur des fichiers et
Points divers Groupe de consignes : 19 cs 19-1 : Modification des menus permettant d’accéder aux applications interdites aux utilisateurs.
Niveau d'exigence : Objectif :
Niveau de gêne :
Fixer les applications exploitables pour chaque utilisateur.
Remarques : Le répertoire Profil de l’utilisateur contient tous les raccourcis, les paramètres du bureau et les menus accessibles à l’utilisateur. Ce profil doit être déterminé par son appartenance à un groupe pour éviter qu’une personne utilise une application interdite. La gestion des profils doit être centralisée sur le serveur de fichiers, en attribuant des profils par défaut à la création des comptes. Ils seront stockés sur le serveur de fichier et appelés lors de l’ouverture de la session. Les profils ainsi utilisés sont dits « profils errants ». Un profil par défaut doit être prévu sur chaque station afin d’éviter qu’une panne du serveur de fichiers interdise le travail des utilisateurs.
Le 06/06/2000
version 1.0
Page 25
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur , Annexe : C Les profils
cs 19-2 : Éviter de sauvegarder des fichiers et des répertoires sur la station.
Niveau d'exigence :
Niveau de gêne :
Objectif : Permettre aux utilisateurs de sauvegarder des documents sur un ordinateur dédié (serveur de fichiers). Remarques : Cette consigne sera plus développée lors de l’étude du Serveur de Fichier et d’Impression. Précisons que le répertoire de sauvegarde par défaut est celui attribué à chaque utilisateur sur le serveur de fichiers. Le choix de ce répertoire de sauvegarde est établi à la création du compte par l’administrateur. La configuration de chaque application devra tenir compte de ce choix. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-3 : Interdire la modification des valeurs d’environnement de microprogrammation sauf pour l’administrateur.1
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de compromettre le bon fonctionnement de certaines applications. Remarques : Les valeurs d’environnement de microprogrammation sont des variables prédéfinies pour des programmes qui lui permettent de s’initialiser lors de certaines actions. Donnons comme exemple la variable ComSpec de la boîte de dialogue Propriété du Système (Menu : Démarrer Panneau de configuration Système Environnement) pointe par défaut sur CMD.EXE. Cette variable pourrait être modifiée pour pointer sur un programme de commandes qui créerait un nouveau compte avec les droits de l’administrateur. Ce droit ne peut être accordé qu’à l’administrateur. Paramètres : Ne pas accorder ce droit aux utilisateurs dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur : Modifier les valeurs d’environnement de microprogrammation Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-4 : Interdire la modification de l’heure système sauf pour l’administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Assurer la cohérence temporelle des macros instructions (date et heure automatiques de mise à jour ou d’impression de Word, etc.) et de la datation des événements de sécurité. Remarques : Choisir le fuseau horaire Paris, afin d'assurer la cohérence des dates et des heures dans les journaux d'événements de tous les postes de travail.
Le 06/06/2000
version 1.0
Page 26
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-5 : Interdire l’optimisation des processus sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter des conflits système sur des stations après une modification incorrecte des paramètres d’optimisation des processus. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-6 : Interdire d’ouvrir une session localement sauf pour l’Administrateur.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Seul l’Administrateur peut utiliser une station de travail sans être authentifié par le Contrôleur Principal de Domaine. Remarque : Les utilisateurs ne pourront pas utiliser une station de travail sans authentification auprès du Contrôleur Principal de Domaine. Si celui-ci s’arrête de fonctionner, les utilisateurs ne pourront plus ouvrir de sessions, hormis l’administrateur en local. La base de données des utilisateurs du Contrôleur Principal de Domaine, doit être dupliquée sur un Contrôleur Secondaire de Domaine. L’administrateur doit prévoir un plan de reprise. Mise en œuvre : 3.3.1.3 Stratégie des droits de l’utilisateur (CPD), 3.3.2 Définition des comptes ouverts sur une station
cs 19-7 : Interdire de prendre possession de fichiers ou d’objets sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un utilisateur puisse documents d’un autre utilisateur.
consulter
les
répertoires
et
Remarques : Ce droit est l’un des plus dangereux pour la sécurité des informations stockées sur le réseau et pour la configuration du système d’exploitation d’une station. Il permet de s’approprier des fichiers ainsi que de contourner les permissions accordées aux utilisateurs. La personne qui possède ce droit, est apte à s’attribuer des pouvoirs comparables aux Administrateurs (voir supérieurs en redéfinissant les droits du groupe administrateurs). Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Prendre possession des fichiers ou d’autres objets est accordé uniquement aux administrateurs (CPD). Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-8 : Interdire de régler les performances système.
Le 06/06/2000
version 1.0
Page 27
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un performances.
utilisateur
emploie
les
outils
d’analyse
des
Remarques : Ces outils de performance peuvent donner des indications très utiles pour connaître le moment approprié à une attaque : « pourcentage du temps total de l’utilisateur », « nombre de sessions fermées pour inactivité », etc. Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système n’est jamais sélectionné pour un utilisateur. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 19-9 : Interdire de restaurer des fichiers et des répertoires sauf pour l’Administrateur.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de restaurer des fichiers d’anciennes versions concernant la sécurité. Remarques : Les droits de Restaurer des fichiers et Restaurer des répertoires sont généralement attribués aux Opérateurs de Sauvegarde. Ils leurs permettent d’ajouter et de remplacer des fichiers détruits par inadvertance. Ces droits sont exécutés en passant outre la consultation des Listes de Contrôles d’Accès (les ACL). Ces utilisateurs ont donc des droits qui échappent aux contrôles de sécurité de Windows NT. Mise en œuvre :
2.6
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
Protéger les paramètres systèmes
2.6.1 Protéger les paramètres systèmes Groupe de consignes : 20 cs 20-1 : Protéger les registres (pertinents).
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger des registres contre une maladresse de l’utilisateur
Remarque : Il ne suffit pas d’effacer les deux éditeurs de registres (REGEDT32.EXE) pour interdire l’accès aux registres d’une station. Un utilisateur peut les copier sur le disque et au besoin les renommer pour les utiliser. Il est impératif de protéger les registres par des permissions NTFS. Mise en œuvre : 3.4.1 Sécurisation des fichiers de registres , 3.4.3 Sécurisation des registres , 3.4 Utilisation des registres
Le 06/06/2000
version 1.0
Page 28
Manuel Windows NT 4.0 Workstation Station de travail
cs 20-2 : Interdire la modification de la priorité de planification.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter qu’un processus ne soit pas exécuté et provoque un déni de service. Remarque : Si un utilisateur accorde une priorité trop importante à un processus par rapport à un autre, le système peut refuser d’exécuter le processus de faible priorité par manque de temps système. Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Augmenter la priorité de planification n’est jamais sélectionné pour un utilisateur. Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur
cs 20-3 : Interdire les modification du fichier d’échange de la mémoire virtuelle.
Niveau d'exigence : Objectif :
!
Niveau de gêne :
Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque : En environnement Windows NT, la mémoire virtuelle locale utilise un fichier d’échange (fichier C:\pagefile.sys). Un utilisateur ne doit pas posséder le droit de créer un fichier d’échange statique (cs 8-2) pour ne pas occuper plus de ressources que ce qui lui est attribué nominalement. De plus, le choix des paramètres de ce fichier risque de saturer le système d’exploitation et de le bloquer. Ce fichier à une valeur de 120 % environ de la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM) avec un seuil minimal de 64 Mo. Cette valeur dépend des besoins en ressources des applications. Sa taille minimum ne doit pas être inférieure à la taille recommandée. Le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo) Fixer la valeur) permet de régler les paramètres de la taille de cette mémoire. Ce menu permet de régler aussi la taille maximum du fichier des registres (120 % environ de la Taille actuelle du registre). Paramètres :
La clé correspondante devra être protégée en écriture :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale : C:\pagefile.sys 75 75 (Type REG_MULTI_SZ) Toutefois certaines situations exigent la création d’un fichier d’échange, la consigne suivante définit le cadre de sa création. Mise en œuvre :
3.4.2.1 Modifications
de
HKEY_LOCAL_MACHINE
(HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) , 3.4.1 Sécurisation des fichiers de registres
cs 20-4 : Restrictions pour la création d’un fichier d’échange.
Le 06/06/2000
version 1.0
Page 29
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter un déni de service par la saturation de la mémoire virtuelle du système local lors de la nécessité de créer un fichier d’échange. Remarque : Certaines situations exigent la modification de la taille du fichier d’échange de la mémoire virtuelle. Ces ajustements des tailles respectent des prescriptions et non des règles. La taille minimale de ce fichier est de 120 % environ de la taille de la mémoire RAM avec un seuil inférieur de 64 Mo. Elle ne doit pas être inférieure à la taille recommandée. Sa taille maximale est généralement identique à la taille minimale, mais elle peut être fixée au double de la Taille recommandée suivant le besoin. Les réglages des limites de la taille est effectué par le menu Mémoire virtuelle (clique droit sur l’icône Poste de travail Propriétés Performances Modifier cliquer sur le lecteur Taille initiale (Mo) et Taille maximale (Mo) Fixer la valeur). Ce menu permet de régler aussi la taille maximum du fichier des registres (entre 120 % environ et le double de la taille minimale). Ces paramètres entrés et fixés, l’administrateur doit protéger les rubriques correspondantes Les clés correspondantes devront être protégées en écriture : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management La valeur de la rubrique PagingFiles contient le nom du fichier, la taille minimale et maximale : C:\pagefile.sys 75 100 (Type REG_MULTI_SZ) Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur), le droit Régler les performances système n’est jamais sélectionné pour un utilisateur. Accorder éventuellement cette permission à l’administrateur (CPD). Mise en œuvre :
3.4.2.1 Modifications
de
HKEY_LOCAL_MACHINE
(HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) , 3.4.1 Sécurisation des fichiers de registres
2.6.2 Restriction des modifications des pilotes Groupe de consignes : 21 cs 21-1 : Empêcher l’installation d’un pilote de périphériques.
Niveau d'exigence :
Niveau de gêne :
Objectif : Assurer l’homogénéité et le suivi du matériel présent sur le réseau (imprimante, ZIP, etc.). Remarques : Un « Cheval de Troie » est considéré comme un pilote par le système d’exploitation. Le droit de charger et décharger un pilote permet d’activer un « Cheval de Troie » puis de le désactiver lorsque l’information désirée est obtenue. Pour remédier à ce type d’attaque une parade multiple est nécessaire. Il faut d’une part interdire aux utilisateurs de charger des pilotes et d’autre part désactiver l’exécution d’un AUTORUN.INF par le lecteur de CD-ROM (qui risque d’être vu comme un appel du système).
Le 06/06/2000
version 1.0
Page 30
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.2.2 Les services , 3.3.1.3 Stratégie des droits de l’utilisateur
cs 21-2 : Éviter de pouvoir imprimer sans utiliser les serveurs d’impression.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Éviter d’envoyer un fichier à une imprimante sans passer par le Contrôleur Principal de Domaine. Remarques : Si un utilisateur connaît l’adresse IP d’une imprimante connectée au réseau, il peut lui adresser un fichier qui sera imprimé. Cette méthode permet de contourner les contrôles d’accès aux imprimantes. Il est impossible d’éviter cette utilisation du réseau pour imprimer (excepté en connectant l’imprimante derrière un routeur). Cependant on peut changer souvent l’adresse IP de l’imprimante afin de gêner cette pratique. Mise en œuvre :
Annexe : B.3.1 Partage d’une imprimante locale
2.6.3 Protection de l'intégrité des données et des applications Groupe de consignes : 22 cs 22-1 : Protection antivirale.
Niveau d'exigence : Objectif :
Niveau de gêne :
Éviter la perte de données ou les dénis de services.
Remarque : Plus un site est sensible, plus il est nécessaire de se prémunir contre les attaques de virus, virus de macros et vers. Il est impératif d’installer l’antivirus de l’armée de terre sur les stations et d’effectuer une mise à jour mensuelle. Une station de test dite station blanche avec un antivirus différent peut éventuellement être mise en place sur un ordinateur non sensible. La station blanche est choisie parmi les ordinateurs souvent utilisés par un grand nombre de personnes afin de tester un maximum de fichiers et de provenances. Pour les stations présentant une sensibilité accrue, il convient d’adopter une solution drastique : Interdire l’utilisation des lecteurs de disquettes et de CD-ROM en désactivant les clés ou en débranchant ces lecteurs. Mise en œuvre :
3.1.3.1 Création de la partition principale C:
cs 22-2 : Interdire la modification des paramètres des applications.
Niveau d'exigence : Objectif :
Niveau de gêne :
Protéger les registres de l’utilisateur associés aux applications.
Remarque : Chaque installation d’une application modifie la ruche (contenant les registres). Il est donc nécessaire de restreindre les permissions d’accès et de modification des valeurs des clés de registres et de certains fichiers associés à des applications.
Le 06/06/2000
version 1.0
Page 31
Manuel Windows NT 4.0 Workstation Station de travail
Mise en œuvre : 3.4 Utilisation des registres , 3.7 Configuration des applications
cs 22-3 : Réduire le temps de remise en état de la configuration matérielle et logicielle d’une station de travail.
Niveau d'exigence :
Niveau de gêne :
Objectif : Restaurer rapidement la configuration (comportement périphériques, Système d’exploitation et applications) d’une station.
des
Remarque : Windows NT donne la possibilité de créer une disquette ERD de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cette disquette contient les fichiers compressés des registres et certains autres fichiers. À l’origine toutes les stations possèdent une configuration de base identique. A ce stade, il suffirait de créer une seule disquette de réparation d’urgence compatible avec toutes les stations. L’installation de nouvelles application modifie des registres et provoque l’apparition de nouvelles clés. Il impératif de créer une disquette de réparation d’urgence pour chaque ordinateur. À chaque modification de la configuration matérielle ou logicielle, la disquette sera recréée. Toutes les disquettes seront conservées par l’administrateur, dans un meuble fermant à clé (il suffit de copier une configuration particulière sur une disquette, pour prendre possession de la machine correspondante lors de sa restauration). Mise en œuvre :
2.7
3.2.1.5 Disquette de réparation
Audit
2.7.1 Date et heure Groupe de consignes : 23 cs 23-1 : Assurer la cohérence de datation des événements de sécurité.
Niveau d'exigence :
Niveau de gêne :
Objectif : Garantir que le journal des événements présente les messages d’audit dans un ordre chronologique. Remarque : L’Administrateur aura la certitude qu’aucun événement récent ne soit dissimulé parmi les événements consultés auparavant. Il est primordial de suivre la chronologie des alertes pour comprendre et réagir correctement lors d’une attaque. Paramètres : Ne pas accorder l’option Modifier l’heure système dans le Gestionnaire des utilisateurs Stratégie des droits de l’utilisateur (CPD). Mise en œuvre :
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
2.7.2 Protection de l’audit
Le 06/06/2000
version 1.0
Page 32
Manuel Windows NT 4.0 Workstation Station de travail
Groupe de consignes : 24 cs 24-1 : Empêcher le démarrage du système s’il est impossible de se connecter aux audits de sécurité.
Niveau d'exigence :
!
Niveau de gêne :
Objectif : L’Administrateur s’assure que tous les événements sont inscrits dans les journaux. Remarque : Cette contrainte risque de poser des problèmes lorsque le réseau « tombe ». Doit-on privilégier le travail en autorisant une session non authentifiée par le Contrôleur Principal de Domaine ou l’interdire ? La solution devant être adoptée dépend de la sensibilité des informations présentes sur cette station et du rôle que l’ordinateur assume. Le RSSI en liaison avec sa direction (PSI), est seul juge du degré de sensibilité de la station. Mise en œuvre :
3.6 Configuration de l’audit
cs 24-2 : Éviter les journaux trop volumineux.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’administrateur de la sécurité doit s’astreindre à dépouiller les journaux avant que les fichiers ne deviennent trop importants. Remarques : Lorsque beaucoup de stations sont connectées au réseau, les tailles allouées à chaque journal risquent d’être trop faibles. Il convient d’adapter les tailles respectives des journaux (par multiple de 64 ko) aux nombres de machines. Les dimensions retenues dans la mise en œuvre correspondent à 50 machines environ et pour une durée de 2 semaines. Paramètres : Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité, des applications et du système) dans le menu : Observateur d’événements Journal Paramètres du journal Taille Maximale du journal Le journal de sécurité :
1 Mo.
Le journal des applications :
1 Mo.
Le journal système :
1 Mo.
Mise en œuvre :
3.6.2 La gestion des journaux d’audits
cs 24-3 : Sauvegarde des journaux de l’audit.
Niveau d'exigence :
Niveau de gêne :
Objectif : Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour assurer une bonne réactivité contre une attaque éventuelle d’un compte ou du réseau. Remarques : L’utilisateur devra consulter son journal toutes les semaines au maximum. Une consultation journalière est une bonne habitude. Les
Le 06/06/2000
version 1.0
Page 33
Manuel Windows NT 4.0 Workstation Station de travail
journaux des événements seront sauvegardés tous les mois dans un sous-répertoire (appelé répertoire <nom de la section>\<nom de la machine>\
3.6.2.2 Sauvegarde des journaux d’événements
cs 24-4 : Gérer l’archivage des sauvegardes des journaux d’événements.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’archivage permet de garder et de comparer les journaux avec ceux des mois ou années précédentes. Remarque : Les utilisateurs conserveront leurs journaux pendant 6 mois au minimum puis pourront effacer les fichiers du serveur. Les journaux des administrateurs seront gravés sur CD-ROM (ou disquettes) tous les 6 mois ou tous les ans suivant le volume. Ces supports seront conservés sous clé et classés chronologiquement par l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de déterminer rapidement si des événements anormaux correspondent à une attaque ou à des problèmes épisodiques du réseau. Mise en œuvre :
3.6.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits Groupe de consignes : 25 cs 25-1 : Auditer l’accès aux objets système internes.
Niveau d'exigence :
Niveau de gêne :
Objectif : Les utilisateurs seront tenus au courant des configuration ou des attaques du système d’exploitation. Mise en œuvre :
erreurs
de
3.6.1 Les événements de l’audit
cs 25-2 : Messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Le 06/06/2000
Niveau de gêne :
version 1.0
Page 34
Manuel Windows NT 4.0 Workstation Station de travail
Objectif : L’administrateur doit être en mesure de tracer tous les événements inhabituels survenants pendant l’utilisation d’un compte. Il connaîtra ainsi toutes les tentatives d’accès à des fonctionnalités de la station qui ne sont pas accordées à un compte et toutes les anomalies survenues pendant l’ouverture d’un compte. Remarque : L’Administrateur pourra suivre tous les échecs des accès à un processus. Paramètres : Déclarer événements » :
qu’il
faut
Sujet figurant dans l’audit
inscrire
dans
Les échecs
le
« journal
des
Les réussites
Auditer les ouvertures de sessions
Administrateurs Administrateur et utilisateurs
Auditer la gestion des comptes
Administrateur
Auditer l’accès aux objets
Administrateur
Auditer le pistage des processus
Administrateur
Auditer les connexion
événements
de Administrateur
Auditer les événements de système Auditer stratégie
les
modifications
Administrateur
Administrateur
de Administrateur
Administrateur
Auditer l’utilisation des privilèges Auditer les registres Mise en œuvre :
modifications
Administrateur
Administrateur des Administrateur
Administrateur
3.6.1 Les événements de l’audit
2.7.4 Auto surveillance par l’utilisateur Groupe de consignes : 26 cs 26-1 : Présenter les messages d’exceptions du fonctionnement d’une station.
Niveau d'exigence :
Niveau de gêne :
Objectif : L’Utilisateur doit être mis au courant de toutes tentatives d’accès refusées à son compte par une tierce personne. Remarque : Cette information semble redondante puisque l’Administrateur sera prévenu de tous les échecs d’accès à un compte. Cependant une attaque sera plus vite découverte si les utilisateurs peuvent alerter l’Administrateur d’une tentative d’accès à un compte. L’utilisateur pourra en référer immédiatement à l’Administrateur de sécurité. Paramètres : Sélectionner Échecs de la rubrique « Auditer événements de connexion » du « journal des événements ». Mise en œuvre :
les
3.6.1 Les événements de l’audit
cs 26-2 : Auditer les processus internes.
Le 06/06/2000
version 1.0
Page 35
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Les utilisateurs utiliseront le Gestionnaire des tâches pour découvrir des programmes pirates. Remarque : Les principales attaques réussies d’un réseau, consistent en l’exécution d’un cheval de Troie en arrière tâche. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés (
2.8
Protection des applications bureautiques Groupe de consignes : 27 cs 27-1 : Protection des registres des applications.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Conserver l’intégrité des applications bureautiques d’une station de travail. Remarque : Seul l’Administrateur aura la possibilité d’installer de nouveaux logiciels. Cette contrainte permet une homogénéité et une maîtrise des logiciels mis en œuvre au sein du domaine. Mise en œuvre :
3.7.1 Les registres des applications
2.8.1 Protection des applications du Pack Office pro 97 Groupe de consignes : 28 cs 28-1 : Laisser apparaître les 9 derniers fichiers ouverts par une application.
Niveau d'exigence :
i
Niveau de gêne :
Objectif : Un utilisateur pourra détecter l’ouverture anormale de ses documents par une application bureautique en regardant la liste des documents précédemment ouverts.
Le 06/06/2000
version 1.0
Page 36
Manuel Windows NT 4.0 Workstation Station de travail
Remarque : Les documents portent des titres très souvent choisis en fonction de leur contenu. Un utilisateur risque de déduire le sujet et le niveau d’avancement d’un projet, en consultant les noms des documents ouverts sans même y accéder. Cependant il est préférable d’effectuer un contrôle visuel de documents ouverts sous sa session et de détecter un accès anormal à l’un de ses documents. Mise en œuvre :
3.7.2 Les documents antérieurs
cs 28-2 : Gérer le choix des répertoires par défaut.
Niveau d'exigence :
Niveau de gêne :
Objectif : Gérer convenablement les sauvegardes automatiques afin d’éviter qu’un document puisse être consulté par quelqu’un d’autre que son propriétaire. Remarque : Deux solutions s’offrent à l’Administrateur. La première consiste à utiliser le serveur de fichiers pour les sauvegardes de sécurité. Cette solution ralentit fortement les applications pendant les accès réseau. La seconde est plus souple mais elle demande de sensibiliser les utilisateurs aux atteintes possibles à la confidentialité et à l’intégrité des documents. Cette solution consiste à rapatrier le document et travailler localement puis à sauver le document sur le serveur de fichiers et détruire la copie locale du disque. Cette dernière est retenue pour bénéficier de la rapidité de travail et pour minimiser les échanges sur le réseau. Mise en œuvre :
3.7.3 Les répertoires de travail
cs 28-3 : Interdire l’exécution de virus de macros.
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire l’exécution d’un virus de macros dans un document Word.
Remarque : Les logiciels de Microsoft Office (Word, Excel et PowerPoint) ne peuvent pas détecter la présence de virus de macros dans leurs documents. Seuls certains logiciels antivirus peuvent les rechercher, les lire et les détruire. Ces logiciels ne sont pas toujours efficaces (les virus de macros ne possèdent pas de signatures comme les virus). Il est préférable de sensibiliser les utilisateurs aux risques des virus de macros. Les logiciels de Microsoft Office peuvent afficher un message d'avertissement à chaque fois que vous ouvrez un document contenant des macros. L’utilisateur pourra choisir d'ouvrir le document avec ou sans ses macros. Mise en œuvre :
3.7.4 Les protections contre les virus de macros
cs 28-4 : Interdire l’utilisation de Visual Basic et d’ActiveX..
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire la création et l’utilisation de virus de macros.
Remarque : Visual Basic et ActiveX offrent des possibilités semblables aux langages de programmation. Ces langages sont implémentés dans la
Le 06/06/2000
version 1.0
Page 37
Manuel Windows NT 4.0 Workstation Station de travail
plupart des logiciels de Microsoft Office. Pour éviter l’utilisation de ces langages il faut donc interdire l’accès à ces langages (ne pas cocher les cases correspondant au Visual Basic lors de l’installation des logiciels) et interdire la modification des fichiers contenant les macros (Normal.Dot de Word). Paramètres : Protéger en écriture le fichier "Normal.Dot" de Word contre toute modification. Mise en œuvre :
3.7 Configuration des applications
cs 28-5 : Interdire l’utilisation de l’enregistrement rapide de Word.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter de laisser la trace des modifications apportées à des documents. Éviter de travailler avec des documents trop volumineux, créés par l’enregistrement rapide de Word. Remarque : En activant Autoriser les enregistrements rapides (onglet Outils Options Enregistrement), Word enregistre les modifications apportées au document dans un fichier. Cette opération est plus rapide qu'un enregistrement normal (différence surtout sensible pour des documents très volumineux). La taille du fichier créé par l’enregistrement rapide est beaucoup plus importante qu’un enregistrement normal et ce fichier est créé uniquement sur le disque local. Si l’enregistrement rapide est activé, la confidentialité d’un document Word édité lors d’un arrêt brutal de la station, ne peut pas être garantie. Il faut nécessairement désactiver l’option Autoriser les enregistrements rapides. Mise en œuvre :
3.7.3 Les répertoires de travail
2.8.2 Protection « d'Internet Explorer V 4 ou V 5 » Groupe de consignes : 29 cs 29-1 : Interdire l’utilisation du langage interprété ActiveX.
Niveau d'exigence : Objectif :
Niveau de gêne :
Interdire l’ouverture d’une macro-instruction.
Remarque : Le langage interprété ActiveX est capable de lancer des processus sans demander un accord préalable. De plus certaines fonctionnalités de ce langage peuvent porter atteinte à l’intégrité de votre ordinateur. Paramètres : Click droit de la souris sur Internet Explorer Propriétés Sécurité puis désactiver : Contrôle ActiveX reconnus sûrs pour l’écriture de scripts. Attention : l’initialisation de la sécurité d’Internet Explorer (click droit de la souris sur Internet Explorer Propriétés Onglet Sécurité Personnaliser le niveau choisir Élevé du menu Rétablir bouton Rétablir) annule cette consigne. Il faudra modifier de nouveau le Contrôle AxtiveX après l’initialisation de la sécurité d’Internet Explorer. Mise en œuvre : 3.7.4 Les protections contre les virus de macros 3.7.5 Paramétrage d’Internet Explorer
Le 06/06/2000
version 1.0
Page 38
Manuel Windows NT 4.0 Workstation Station de travail
cs 29-2 : Effacer les fichiers entre 2 ouvertures d’Internet Explorer.
Niveau d'exigence :
Niveau de gêne :
Objectif : Interdire la consultation de fichiers personnels entre l’ouverture de deux sessions. Remarque : Internet Explorer est un outil de communication multimédias. Par définition il inclut des assistances et des aides qui sous-entendent le transfert d’informations personnelles parfois de façon transparente pour l’utilisateur. Il est donc très important d’effacer tous les fichiers créés par Internet Explorer (enregistrés dans le répertoire Temporary Internet Files). Il faut d’une part sauver les fichiers temporaires (enregistrés généralement dans le répertoire Temporary Internet Files) pendant 1 semaine dans le répertoire personnel et effacer ceux qui restent accessibles sur le disque dur. Mise en œuvre :
3.7.5 Paramétrage d’Internet Explorer
cs 29-3 : Ne pas inciter l’utilisateur à télécharger des mises à jour.
Niveau d'exigence :
Niveau de gêne :
Objectif : Interdire la présentation d’une fenêtre informant l’utilisateur de la nécessité d’une mise à jour (la configuration pour le compte Administrateur ne tiendra pas compte de cette consigne). Remarque : Il est nécessaire que l’administrateur homogénéise les logiciels employés sur le réseau. Il doit prendre en charge les mises à niveau des logiciels pour ne pas être obligé de gérer plusieurs versions. Mise en œuvre :
3.7.5 Paramétrage d’Internet Explorer
2.8.3 Protection de « Outlook Express » Groupe de consignes : 30 cs 30-1 : Gérer le choix des répertoires par défaut.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que des fichiers personnels restent présents sur le disque dur de la station de travail après fermeture de la session. Mise en œuvre : 3.7 Configuration des applications , 3.7.3 Les répertoires de travail
2.8.4 Protection de « Winzip V 6.3 » Groupe de consignes : 31 cs 31-1 : Gérer le choix des répertoires par défaut.
Le 06/06/2000
version 1.0
Page 39
Manuel Windows NT 4.0 Workstation Station de travail
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter que des fichiers personnels restent présents sur le disque dur de la station de travail après fermeture de la session. Mise en œuvre : 3.7 Configuration des applications , 3.7.3 Les répertoires de travail
2.8.5 Protection de « Netscape Communicator » Groupe de consignes : 32 cs 32-1 : Vider le cache local du disque et de la mémoire de la station.
Niveau d'exigence :
Niveau de gêne :
Objectif : Effacer du disque dur, les informations concernant l’utilisation de Communicator. Remarque : Communicator utilise un cache mémoires et un cache disque en local sur le disque de la station. Ces fichiers comportent des informations sur l’utilisation de Communicator. Ils sont détruits uniquement lors du dépassement d’espace (mémoire ou disque). Ces informations peuvent présenter un caractère sensible ou confidentiel. Si un Proxy-cahe est connecté au réseau, les caches peuvent être mis à zéro. Les accès de Communicator, se feront sur ce Proxy sans laisser de trace sur les stations à l’exception de la page de démarrage qui peut être locale. Mise en œuvre :
3.7.6 Paramétrage de Communicator
cs 32-2 : Éviter le chargement de Cookies.
Niveau d'exigence : Objectif :
Niveau de gêne :
Ne pas télécharger des programmes non souhaités.
Mise en œuvre :
3.7.6 Paramétrage de Communicator
cs 32-3 : Éviter de conserver les cartes de visites localement.
Niveau d'exigence : Objectif :
Niveau de gêne :
Effacer du disque dur, les informations concernant les utilisateurs.
Remarque : Communicator conserve en mémoire locale (en l’absence de serveur LDAP ou HTTP) des informations personnelles pour faciliter l’écriture des e-mail et des requêtes pendant la consultation de certains sites. Ces renseignements constituent une source d’informations sur une cible potentielle (une station) pour une attaque. Mise en œuvre :
Le 06/06/2000
3.7.6 Paramétrage de Communicator
version 1.0
Page 40
Manuel Windows NT 4.0 Workstation Station de travail
2.8.6 Protection de « F-Secure Anti-Virus » Groupe de consignes : 33 cs 33-1 : Protection contre les virus.
Niveau d'exigence :
Niveau de gêne :
Objectif : Éviter l’infection des stations de travail et limiter la propagation de virus sur le réseau. Remarque : Il est impératif d’installer l’antivirus de l’armée de terre sur toutes les stations de travail. De manière à garantir un paramétrage correct et pour rendre impossible la désactivation du logiciel, l’installation doit être effectuée via le réseau. Mise en œuvre : 3.7 Configuration des applications 3.7.7 Protection contre les virus
Le 06/06/2000
version 1.0
Page 41
Manuel Windows NT 4.0 Workstation Station de travail
3.
MISE EN ŒUVRE Les modalités de mise en œuvre décrivent les actions concrètes qui doivent être réalisées en présentant les différents panneaux de configuration et les actions associées qui permettent à l'administrateur de sécurité d'appliquer les consignes définies précédemment. Les actions sont présentées dans un ordre logique applicable sur un poste de travail dans l'état suivant : Le système d'exploitation Windows NT 4 a été chargé et mis au niveau du SP 5 (attention les Services Pack ne sont pas cumulatifs, il faut installer ces services les uns après les autres). Les composants réseaux ont été installés lors de l'implantation de Windows NT 4.0.
3.1
Protection de la configuration matérielle du poste Consignes associées : cs 3-3 Une étiquette collée ostensiblement sur l’écran de la station indiquera le degré de sensibilité et le niveau de confidentialité. Les fonctions des personnes autorisées à ouvrir une session sur cette machine et les risques encourus de son utilisation frauduleuse peuvent figurer sur cette étiquette.
3.1.1 Protection physique du poste Consignes associées : cs 1-1, cs 1-2 Le moyen le plus simple consiste à disposer d’un verrou condamnant l’ouverture physique de l’ordinateur et empêchant le déplacement du poste (câble et cadenas reliant le capot, le boîtier et le bureau). Cependant les verrous offrent une résistance peu fiable. La serrure peut être forcée sans endommager le verrou, puis refermé après ouverture du capot de l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un poste. La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certain ordinateur peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS Consignes associées : cs 2-1, cs 2-2, cs 2-3, cs 2-4 Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel (possédant un système d’exploitation) afin de lire le disque installé par l’administrateur. Il est nécessaire que le disque dur installé par l’Administrateur soit déclaré maître (par un cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la carte mère.
Le 06/06/2000
version 1.0
Page 42
Manuel Windows NT 4.0 Workstation Station de travail
Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par le BIOS dépendent du constructeur. En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche
3.1.3 Configuration du disque dur local Consignes associées : cs 2-2, cs 17-1, cs 18-1 Pendant l’installation du disque dur local, l’administrateur vérifiera qu’il est bien connecté sur le premier port IDE (IDE 0) de la carte mère et que le cavalier à l’arrière du disque est bien sur la position Master. Ces précautions éviteront le multi-boots sur un disque dur ajouté frauduleusement par une personne. Une fois le BIOS modifié et validé, l’ordinateur lancera l’acquisition des paramètres des périphériques à son allumage. L’administrateur créera une partition (commande Fdisk du DOS) qui accueillera l’OS (Operating System : système d’exploitation) Windows NT. Cette partition du disque dur devra être suffisante pour accueillir l’OS et ses applications. Sa taille est de : Taille minimale : 1 Go pour les disques de 4 Go. Taille minimale : 1,5 Go pour les disques de capacité supérieure. Pendant l’installation de Windows NT, certains choix sont demandés. Notamment le choix entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT File System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des contrôles d’accès aux fichiers et aux répertoires. Les contrôles d’accès sont natifs au système de fichiers NTFS. Ils sont mis en œuvre de façon intrinsèque par NTFS. Ils prennent en charge : La protection des fichiers et des répertoires. La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises après un arrêt brutal de l’ordinateur (coupure de courant). La compression des fichiers. L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation. Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers NTFS par d’autres OS : Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98 échoueront.
Le 06/06/2000
version 1.0
Page 43
Manuel Windows NT 4.0 Workstation Station de travail
Par un accès réseau, les tentatives d’accès aux fichiers NTFS de Windows NT par les systèmes d’exploitation MS-DOS, UNIX ou Macintosh seront possibles. Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont : Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de OS/2 par des commandes du systèmes d’exploitation NTFS échoueront. Il sera donc nécessaire de formater l’espace disque restant en NTFS afin d’éviter le risque qu’un utilisateur ne crée un disque multi-boot (option prise en charge par Windows NT) et accède aux fichiers. La totalité de l’espace disque restant sera utilisé par une partition étendue afin d’éviter qu’elle soit déclarée système par la suite.
1.1.1.9
Création de la partition principale C: "Système"
Consignes associées : cs 22-1 La partition C: ("Système"), définie et formatée (NTFS) au cours de l'installation de Windows NT 4.0, contient toutes les ressources systèmes (boot, informations de configuration matérielle, pilotes de périphériques, utilitaires systèmes divers, etc.). Elle peut être utilisée pour installer les applications bureautiques fournies par le responsable informatique et mis en place par l'administrateur. Cette partition a pour but : d’éviter la fragmentation de la partition système, de garantir la disponibilité de l'espace disque nécessaire notamment pour les journaux d'audit, de conserver un espace disque "propre", où se trouve le système, garantir une zone propre pour l’antivirus de l’armée de terre. La création de cette partition avec la présence d’un antivirus, n’est pas suffisante pour protéger l’ordinateur contre les attaques virales. Il est recommandé (ou impératif) de : mettre à jour mensuellement les logiciels antiviraux.
Impératif,
diversifier les applications de détections virales. Recommandé Les logiciels ne reconnaissent pas toutes des signatures virales. Une station dite Station blanche avec un antivirus différent servira de station témoin. Cette station sera choisie pour son caractère non sensible, sa fréquence d’utilisation et la diversité des provenance des fichiers lus. rapporter immédiatement la détection d’un virus Impératif. Les administrateurs doivent encourager les utilisateurs à révéler l’apparition d’un virus plutôt que de prendre des sanctions contre des personnes. Les utilisateurs risqueraient de cacher cette détection. La menace d’une contamination serait plus importante.
1.1.1.10
Création de la partition étendue E: "Utilisateur"
Il s'agit de créer une partition logique (E: "Utilisateur") dans laquelle l'utilisateur aura la possibilité de travailler. L'intérêt, pour l'administrateur système et de sécurité, de définir une partition allouée à l'utilisateur est essentiellement : d'effacer l'ensemble des données de l'utilisateur en formatant la partition quand le poste doit être attribué à une autre personne, de n'opérer la défragmentation que sur la partition utilisateur, de pouvoir sauvegarder l'ensemble des données utilisateur en désignant cette partition. Les consignes relatives aux permissions d'accès aux fichiers ou aux répertoires sont définies au chapitre 3.5 et en Annexe B.
Le 06/06/2000
version 1.0
Page 44
Manuel Windows NT 4.0 Workstation Station de travail
Contexte initial : Sélectionner Démarrer Administrateur de disques
Programmes
Outils
d'administration
Actions : Créer une partition pour l'utilisateur. Sélectionner l'espace disponible. Créer une partition "étendue" (Menu : Partitions étendue).
créer une partition
Sélectionner la partition étendue. Créer une partition logique (lecteur logique lettre E par défaut) dans la partition "étendue" créée précédemment en lui attribuant tout l'espace disponible. (Menu : : Partitions créer) puis : (Menu : : Partitions appliquer les changements maintenant)
Formater la partition logique E: Sélectionner E:, puis (Menu : Outils Formater) Sélectionner NTFS comme système de fichier, donner un nom au volume (Utilisateur). Bouton Démarrer.
Le 06/06/2000
version 1.0
Page 45
Manuel Windows NT 4.0 Workstation Station de travail
3.2
Configuration de Windows NT 4.0 Works Station L’ordinateur est installé, le disque dur est formaté entièrement et Windows NT 4.0 est implanté. L’étape suivante consiste à mettre de niveau le système d’exploitation et à créer une disquette de réparation.
3.2.1 Les Services Pack Les Services Pack (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils ne sont pas cumulatifs (le SP 5 ne contient pas toutes les mises à jour du SP 4). Ils contiennent des correctifs aux protocoles, des modifications de logiciels et des applications facilitant l’utilisation des possibilités des OS. Pour éviter un travail fastidieux aux administrateurs système qui devront appliquer ces SP les uns après les autres, il est possible de les appliquer sur une station puis de faire une image disque sur un CD-ROM. Les autres stations seront configurées en restaurant cette image disque conforme en tous points aux consignes de sécurité sur les disques locaux. La présentation adoptée dans la suite de ce chapitre, comporte trois parties idées maîtresses (Défense contre les attaques réseau, Installation du protocole SMBS-S et Filtrage des mots de passe).
1.1.1.11
Défense contre les attaques réseau
Consignes associées : cs 10-2 Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le réseau. Ces attaques peuvent se traduire par un ralentissement de la station et pouvant aller jusqu’au déni de service, interrompant le travail de l’utilisateur. Les SP 2 et 3 permettent de se protéger contre les attaques les plus connues : Nom de l’attaque
Le 06/06/2000
Remède
version 1.0
Page 46
Manuel Windows NT 4.0 Workstation Station de travail
Telnet vers des ports inconnus Ping of death Ping of death 2 SYN Flood Out-of-Band Attaque sur port RPC de TCP/IP Land Teardrop, Teardrop 2, Bonk et Boink
Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer Appliquer
le le le le le le le le
SP SP SP SP SP SP SP SP
2 2 3 2 3 3 3 3
Les stations peuvent subir d’autres types d’attaques, il faut donc installer les SP les uns après les autres dans l’ordre chronologique et ceci jusqu’au SP 5. Pour améliorer la sécurité face à une attaque réseau, il est préférable de restreindre les ports ouverts par le protocole TCP/IP. Par défaut Windows NT ne filtre pas les paquets. Tous les ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des protocoles disponibles au sein de l’environnement système Windows NT (définis par le RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire %SystemRoot%\system32\drivers\etc). Windows NT et les applicatifs Microsoft Office utilisent un grand nombre de ports. Si vous désirez effectuer un filtrage de paquets vous devez tenir compte des fonctionnalités définies lors de l’installation des logiciels. Nous donnons dans ce chapitre la méthodologie pour effectuer ce filtrage de paquets. Les administrateurs système désirant mettre en œuvre cette sécurité, devront prendre garde à certains ports appelés dans certaines conditions. Le filtrage des paquets est effectué en accédant au menu : Sécurité TCP/IP (Panneau de configuration Réseau Protocoles). Double click sur TCP/IP, ouvre le menu Adresse IP bouton Avancé cocher Activer la sécurité Configurer...
Bouton Configurer…. Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à la place du choix par défaut (Autoriser tous).
Le 06/06/2000
version 1.0
Page 47
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 48
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 49
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.12
Installation du protocole SMB-S
Consignes associées : cs 16-1, cs 16-2, cs 16-3 Le protocole SMB (Server Message Block) assume la structure de base des réseaux Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas contraire). SMB authentifie un utilisateur par challenge en vérifiant la cohérence du mot de passe avec le nom de l’utilisateur. De plus, ce protocole est sousjacent aux services de partages de fichiers ou d’imprimantes sous Windows NT. Il est utilisé pour les échanges d’authentifications des utilisateurs sur les serveurs. Ces services sont implémentés par les services Serveur et Station de travail de Windows NT (Démarrage Paramètres Panneau de configuration Services). Ces services sont disponibles sur les serveurs ainsi que sur les stations de travail. Cependant, le service Serveur sera désactivé sur les stations pour éviter leur visibilité sur le voisinage réseau. Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou par interception/modification des messages. De plus, les ports d’accès utilisés par SMB (ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX) est connecté au réseau. Le SP 3 introduit une version plus performante des services offerts par le protocole SMB en incluant un protocole de signature SMB-S (Server Message Block Signing). Le protocole de signature SMB-S, également dénommé protocole de partage de fichiers CIFS (Common Internet File Sharing), n’évite pas l’écoute des paquets sur le réseau. Lors du changement du mot de passe par l’utilisateur auprès du Contrôleur Principal de Domaine, la confidentialité de la chaîne est protégée par le protocole Windows NT CR (Challenge Response) et le protocole de hachage de LM (Lan-Manager). Ce dernier est moins performant que Windows NT CR. Cependant certaines configurations du réseau nécessitent l’emploi du protocole de hachage de LM. Notamment si un serveur utilisant Windows 95 ou Netware est connecté sur le réseau. Les services SMB-S (pour les stations : service Station de travail uniquement ; pour les serveurs : services Serveur et Station de travail) devront être activés sur les stations et les serveurs. Suivant la configuration du réseau, deux cas de figure se présentent et deux solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regdt32.exe (dans le répertoire C:\WINNT\system32) pour créer la rubrique et modifier la valeur.
Le 06/06/2000
version 1.0
Page 50
Manuel Windows NT 4.0 Workstation Station de travail
Accéder au registre : HKEY_LOCAL_MACHINE
Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en ouvrant le menu Edition Ajouter une valeur entrer le nom de la rubrique et son type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en Décimal). Aucun serveur nécessite le protocole LM. Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM doivent ne pas accepter ce protocole sur le réseau et refuser de répondre : Pour les stations : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Le 06/06/2000
version 1.0
Page 51
Manuel Windows NT 4.0 Workstation Station de travail
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée)
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé sont autorisés à établir une connexion avec le serveur).
Pour les serveurs : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par ameters
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur).
se reporter au chapitre concernant les registres pour la modification des valeurs des clés Au moins un serveur nécessite le protocole LM. Il existe au moins un serveur ou une station sur le réseau utilisant Windows 95 ou Netware et nécessitant le protocole LM.
Pour les stations : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé sont autorisés à établir une connexion avec le serveur). Pour les serveurs : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par ameters
Le 06/06/2000
version 1.0
Page 52
Manuel Windows NT 4.0 Workstation Station de travail
Attribuer la valeur 1 (type REG_DWORD) EnableSecuritySignature (1 implique que la signature SMB-S est activée).
à
la
rubrique :
Attribuer la valeur 0 (type REG_DWORD) à la clé : RequireSecuritySignature (1 implique que les stations peuvent répondre par le protocole SMB-S ou par LM).
1.1.1.13
Filtrage des mots de passe
Consignes associées : cs 4-5 Par souci de simplicité, les utilisateurs utilisent souvent des mots de passe du langage commun et donc peu robustes face à des programmes du type Crack (il tente d’ouvrir une session avec les mots des dictionnaires français et étrangers). Le SP 3 offre une bibliothèque (Passfilt.dll) permettant de refuser les mots de passe trop simples. Il impose aux utilisateurs de choisir une chaîne respectant certains critères : Le mot de passe doit comprendre 6 caractères au minimum. Il doit comporter des caractères choisis dans trois des 4 groupes suivants minuscules : a, b, … z ; majuscules : A, B, … Z ; symboles spéciaux (ponctuation) : , ; : ! ?. , chiffres : 1,2, …0. Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du compte), il ne doit pas comprendre un sous-ensemble du nom de l’utilisateur. Pour mettre en œuvre ce filtrage des mots de passe, il faut vérifier que le fichier passfilt.dll est présent dans le répertoire C:\WINNT\system32 du Contrôleur Principal de Domaine. Lancer l’éditeur de registres : C:\WINNT\system32\regedt32 sur le Contrôleur Principal de Domaine. Accéder au registre : HKEY_LOCAL_MACHINE. Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA « Notification Package » apparaît dans la fenêtre à droite de la liste hiérarchique quand cette clé est sélectionnée. Double cliquer sur « Notification Package ». Attribuer la valeur « Passfilt » (type Chaîne multiple) à la rubrique Notification Packages sur la ligne suivante dans la fenêtre « Données ». Désactivez l’ancienne bibliothèque de contrôle « Fpnwclnt.dll » en effaçant FPNWCLNT de la fenêtre.
Le 06/06/2000
version 1.0
des
mots
de
passe
Page 53
Manuel Windows NT 4.0 Workstation Station de travail
Valider en cliquant sur OK. Vérifier que les options (menu Options de l’éditeur de registre) suivantes sont cochées : Actualisation automatique. Enregistrer la configuration en quittant. Quitter l’éditeur de registre. Redémarrer l’ordinateur .
1.1.1.14
Installation de divers programmes
Certains programmes disponibles dans les Services Pack doivent être installés localement sur les stations. Nous n’allons pas les décrire dans ce chapitre. L’utilisation du premier se fait au niveau de l’administration du réseau et au niveau des registres pour le second. Passprop : utilitaire inclus dans le SP du Kit de ressources. Installé et activé, ce programme permet de verrouiller le compte administrateur sur le réseau et non localement. Pour plus de renseignements ou pour son utilisation reportez-vous au manuel du CPD (Contrôleur Principal de Domaine). Syskey : utilitaire inclus dans le SP 3. Une Installé (dans le répertoire C:\WINNT\system32) et exécuté, ce programme chiffre sur 128 bits les mots de passe enregistrés dans le registre HKEY_LOCAL_MACHINE (voir le chapitre concernant « 3.4 Les registres »).
1.1.1.15
Le 06/06/2000
Disquette de réparation
version 1.0
Page 54
Manuel Windows NT 4.0 Workstation Station de travail
Consignes associées : cs 22-3 Toute les modifications apportées jusqu’à présent sont enregistrées dans la Ruche (base de données et de programmes). Windows NT donne la possibilité de créer une disquette ERD de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk (dans le répertoire C:\WINNT\System32). Cet exécutable copie la ruche dans un format compressés ainsi que certains fichiers. Initialement toutes les stations possèdent la même configuration, donc la même ruche et donc la même disquette de réparation. Chaque applications ajoute de nouvelles clés ou modifie certaines valeurs de rubriques (ces termes sont succinctement expliqués dans le chapitre concernant les registres). L’enregistrement des profils d’utilisateurs qui se connectent modifient aussi les clés. Les Ruches diffèrent rapidement en fonction des utilisateurs et des logiciels installés (et même après effacements). Il impératif de créer une disquette de réparation d’urgence pour chaque ordinateur. À chaque modification de la configuration matérielle ou logicielle, la disquette sera mise à jour ou recréée par le programme rdisk. Toutes les disquettes seront conservées par l’administrateur, dans un meuble fermant à clé (il suffit de copier une configuration particulière sur une disquette, pour prendre possession de la machine correspondante lors de sa restauration).
3.2.2 Les services Consignes associées : cs 10-1, cs 13-1, cs 14-1, cs 15-1, cs 18-2, cs 21-1 Par défaut Windows installe un nombre important de services (Avertissement, Serveur d'albums, Explorateur d'ordinateurs, Duplicateur de répertoires, Enregistrement d'événements, Messagerie, Accès réseau, DDE réseau, DSDM DDE réseau, Fournisseur de support de sécurité NT LM, Détecteur d'appel RPC, Service d'appel RPC, Planning, Serveur, Spooler, Station de travail et UPS). Outre ces services par défaut, il se peut que d'autres services soient répertoriés dans la boîte de dialogue Services d'un ordinateur. Beaucoup sont inutiles voire dangereux pour l’intégrité du réseau ou des stations locales. La liste des services et leur état est consultable par le Panneau de configuration en double cliquant sur Services : Double cliquez sur Services. La liste des services (nom, état et type de démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt (vide). La colonne Démarrage indique son mode de lancement :
Le 06/06/2000
version 1.0
Page 55
Manuel Windows NT 4.0 Workstation Station de travail
Automatique :
ce service démarre à l’allumage de l’ordinateur.
Manuel :
ce service démarre lorsqu’il est sollicité.
Désactivé : station.
ce service est arrêté même après le redémarrage de la
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante présente la dépendance des services sur une station de travail :
DSDM DDE réseau
DDE réseau
Album
Serveur
Aide TCP/IP NetBIOS
Station de travail
Accès réseau
Détecteur d’appel RPC
Messagerie
Avertissement
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour désactiver éventuellement les services qui suivent :
Le 06/06/2000
version 1.0
Page 56
Manuel Windows NT 4.0 Workstation Station de travail
Service réseau Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une session sur les domaines. Configuration : Ne pas modifier. Agent du moniteur réseau Ce service écoute le réseau. Il permet de capturer des trames et de les lire même si elles ne sont pas adressées assure à la station qui utilise ce service. Il peut être activé uniquement sur le Contrôleur Principal de Domaine. seul l’administrateur peut l’utiliser. Fichier exécutable : “nmagent.exe” Configuration : Ne pas modifier. Aide TCP/IP NetBIOS Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un ensemble de commandes permettant de demander les services de niveau inférieur requis pour établir des sessions entre des nœuds de réseau pour transmettre des informations). Configuration : Ne pas modifier. Album Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge le gestionnaire d’album pour l’implémenter sur le réseau. Il permet aux albums distants d’accéder et de visualiser des pages. Il peut également être démarré grâce à la commande net start album. Fichier exécutable : “clipsrv.exe” Configuration : Inutile. Avertissement Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se produit sur un ordinateur. Ce service est utilisé par le service Serveur et nécessite l'activation du service Messagerie. Il peut également être démarré grâce à la commande net start avertissement. Les messages d'alerte signalent les problèmes de sécurité et d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce service n’est pas mis en œuvre par l’administrateur, il peut être désactivé. Configuration : Uniquement sur les machines devant recevoir des alertes. DDE réseau Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les échanges dynamiques de données (mise à jour automatique entre différents documents) peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la confidentialité des documents, ce service ne doit pas être activé. Configuration : Non démarré Désactivé. Détecteur d’appel RPC Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge le service Détecteur d'appel RPC pour trouver les applications serveur compatibles actuellement disponibles. Fichier exécutable : “locator.exe” Configuration : Ne pas modifier. DSDM-DDE réseau
Le 06/06/2000
version 1.0
Page 57
Manuel Windows NT 4.0 Workstation Station de travail
Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau) est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit pas être activé. Fichier exécutable : “netdde.exe” Configuration : Non démarré Désactivé. Duplicateur de répertoires Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre. Ce service peut également être démarré grâce à la commande net start "duplicateur de répertoires". Ce service est mis en œuvre pour sauvegarder des données. Cependant, il autorise la duplication entre stations ce qui est contraire aux règles de sécurité : Fichier exécutable : “lmrepl.exe” Configuration : Non démarrer et Désactivé. Enregistrement d'événements Enregistre les événements dans les journaux système, sécurité et application. Ce service peut également être démarré grâce à la commande net start "enregistrement d'événements", mais ce service doit être activé avant de vous servir de l'Observateur d'événements pour afficher les événements enregistrés. Configuration : Ne pas modifier. Explorateur d'ordinateurs Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste aux applications qui la demandent. Ce service peut également être démarré grâce à la commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Configuration : Non démarré et désactivé. FTP Ce service fait partie de Internet Information Server (IIS). Le service FTP (File Trivial Protocol) autorise des transferts de fichiers sans se préoccuper véritablement de la sécurité. Configuration : Non démarré et Désactivé. Fournisseur de support de sécurité NT Lan-Manager Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC (Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de fichier LMHOST compatible NT Lan-Manager). Configuration : Ne pas modifier. Licence Logging Service Permet l’enregistrement, la vérification et la gestion des licences d’exploitations des applications présentes localement. Fichier exécutable : “llssrv.exe” Configuration : Inutile. Messagerie Ce service prend en charge l’émission et la réception des messages envoyés par les administrateurs ou par le service Avertissement. Configuration : Uniquement si le service Avertissement est activé.
Le 06/06/2000
version 1.0
Page 58
Manuel Windows NT 4.0 Workstation Station de travail
Service Planning Ce service permet de programmer l'exécution de commandes et de programmes sur un ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être démarré grâce à la commande net start planning. Le service Planning est configuré initialement dans le compte système de la station locale qui dispose d’un accès intégral à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte système local. Les tâches assurées par ce service ont un Accès réseau limité, du fait que le compte système local de la station est inconnu des autres ordinateurs. Cependant, il peut être configuré afin qu'il exécute sa tâche via un compte utilisateur. Les tâches exécutées par le service Planning sont alors gérées par l'accès réseau du compte utilisateur ce qui présente un risque supplémentaire. Pour éviter que des tâches soient effectuées sans l’accord de l’administrateur concerné (par exemple l’administrateur de sauvegarde) ce service doit être : Fichier exécutable : “atsvr.exe” Configuration : Non démarré et Désactiver Plug and Play Ce service prend en charge la reconnaissance et le chargement des pilotes des périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit installé à l’insu de l’administrateur, il convient de déclarer ce service : Configuration : Non démarré et Désactiver Serveur Le service Serveur permet à un ordinateur de se connecter aux ressources réseau et à les utiliser. De plus, ce service permet à un ordinateur de partager des ressources sur le réseau, c’est-à-dire qu’il prend en charge les appels de procédure à distance (RPC, Remote Procedure Call) ainsi que le partage des fichiers, imprimantes et canaux nommés. Cet ordinateur devient visible par le Voisinage réseau. Pour conserver l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas activer ce service. Les stations sont invisible dans le voisinage réseau mais elles sont toujours accessibles (avec l’autorisation de la station cible) par les commande de langage de bas niveau (exemple : net start avertissement ou net send « nom de la station » « message envoyé »). Configuration : Non démarré et Désactiver. Service d'appel RPC Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft Windows NT. Il comprend notamment le service de mappage de la base de données des points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient la correspondance des noms /numéros des mappages réseau). Le service d'appel RPC autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie serveur de l'application distribuée enregistre un point de sortie avec le service d'appel rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer si une application distribuée utilise le service de mappage de point de sortie, consultez la documentation de cette application. Ce service peut également être démarré grâce à la commande net start "service d'appel RPC". Configuration : Ne pas modifier. Service Téléphonique Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il est important qu’il apparaisse désactivé comme sur la figure suivante.
Le 06/06/2000
version 1.0
Page 59
Manuel Windows NT 4.0 Workstation Station de travail
Fichier exécutable : “tapisrv.exe” Configuration : Non démarré et Désactiver. Spooler Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est nécessaire si une imprimante est connectée à la station. Fichier exécutable : “spool.exe” Configuration : Suivant les circonstances. Station de travail Le service Station de travail permet à un ordinateur de se connecter aux ressources réseau et à les utiliser. Configuration : Ne pas modifier.
Le 06/06/2000
version 1.0
Page 60
Manuel Windows NT 4.0 Workstation Station de travail
UPS Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré uniquement si une alimentation de secours est installée. Dans tous les autres cas il ne sera pas autorisé. Configuration : Suivant les circonstances.
3.2.3 Remarques sur les services Consignes associées : cs 26-2 Windows NT permet de lancer des services sans pour autant les rendre visibles dans le menu Services (Panneau de configuration, double cliquer sur Services). Il suffit d’ouvrir une fenêtre dos et d’exécuter le programme correspondant au service. Ils sont activés en arrière tâche. Cette manière de procéder serait sans risque si ces services étaient parfaitement contrôler. L’une des principales causes d’attaques réussies, est l’exécution d’un cheval de Troie en arrière tâche. Ce programme écoute le travail mené sur une station et se réveille dans certaines conditions (généralement aux ouvertures de sessions). Généralement, il duplique le mot de passe lors de sa frappe au clavier et envoie une copie vers un poste espion. Le pirate récupère ainsi les mots de passe des utilisateurs (ou de l’Administrateur). il peut prendre possession du réseau sans être découvert. Windows NT ne permet pas de contrôler facilement les processus exécutés sur une station. Le Gestionnaire des tâches est la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la liste des processus exécutés (
3.2.4 Options de configuration de Windows NT Consignes associées : cs 3-1 Certaines fonctionnalités de Windows NT permettent d’accroître la sécurité du réseau par des actions locales. Ce chapitre explique la mise en œuvre de ces sécurités.
1.1.1.16
Le 06/06/2000
Message de mise en garde à l’ouverture d’une session
version 1.0
Page 61
Manuel Windows NT 4.0 Workstation Station de travail
La première mesure de sécurité à prendre est d’informer la personne accédant à l’ordinateur qu’elle doit avoir l’autorisation de l’utiliser. Windows NT propose de créer une fenêtre juste avant la demande du mot de passe. La création de cette fenêtre est obtenue en modifiant deux valeurs d’une clé du registre HKEY_LOCAL_MACHINE : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Créer le titre de la fenêtre en exécutant : Double click sur : LegalNoticeCaption, écrire la valeur : « Station de travail de l’Armée de terre » Créer le texte apparaissant dans la fenêtre : Double click sur : LegalNoticeText, écrire la valeur : « Vous devez être autorisé(e) pour poursuivre »
1.1.1.17
Verrouillage de la station pour inactivité
Consignes associées : cs 3-2, cs 7-1 Le piratage d’un compte est facile lorsque la session est laissée ouverte et l’utilisateur absent. Le pirate peut s’approprier le compte en installant un cheval de Troie qui copiera dans un fichier sur le disque dur le mot de passe à la prochaine ouverture de la session. Il faut donc prévoir un verrouillage de la station quand l’utilisateur est obligé de s’absenter. La procédure à suivre est : Démarrer Paramètres Panneau de configuration double cliquer sur Affichage Écran de veille.
Le 06/06/2000
version 1.0
Page 62
Manuel Windows NT 4.0 Workstation Station de travail
Cochez la case Protégé par un mot de passe. Écrire 15 minutes dans le champ Attente. Choisir : Message dans la fenêtre déroulante. Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
Cochez : Centré de l’option Position. Choisir : Lente de l’option Vitesse. Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond : noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran). Écrire la phrase : « Message de l’armée de terre » dans la plage Texte. La couleur et la police sont définissables en cliquant sur la touche Format texte… (choisissez une couleur voyante par rapport à la couleur du fond d’écran afin d’attirer l’œil). Sortir en validant par OK à chaque fois. Protéger les rubriques de la clé correspondantes à ce choix : HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent les rubriques associées à cette clé :
Le 06/06/2000
version 1.0
Page 63
Manuel Windows NT 4.0 Workstation Station de travail
Activation de l’économiseur d’écran : Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ) Programme exécuté par l’écran de veille : Valeur de la rubrique SCRNSAVE : « C:\WINNT\System32\ssmarque.scr » (Type REG_SZ) Activation de la protection par un mot de passe : Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ) Temps d’attente avant l’activation de l’écran de veille : Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type REG_SZ)
Protéger la clé correspondante à ce programme : HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee Protéger en écriture le C:\WINNT\System32\ssmarque.scr
1.1.1.18
programme
correspondant :
Fermeture de la session après 2 heures d’inactivité
Consignes associées : cs 7-2 Le verrouillage d’une station est le premier pas vers la sécurisation de l’ordinateur. Il implique que l’utilisateur ne s’absentera pas longtemps et qu’il reviendra pour ouvrir ou fermer sa session. Le rôle de l’administrateur sécurité est de prévoir l’imprévisible et notamment une absence prolongée de l’utilisateur. Il faut donc clore la session si l’utilisateur laisse sa station inoccupée plus de 2 heures (1 h ¾ après le verrouillage). Cette consigne est appliquée sur le CPD puisque les profiles sont définis sur le domaine (Profiles errants). La durée de temps est choisie lors de la définition des stratégies de comptes (Démarrer Programmes Outils d’administration Éditeur de stratégie système). Créer les stations, les serveurs, les groupes et les utilisateurs. Double cliquer sur la station pour afficher le menu Propriétés de « nom de l’ordinateur ». Cocher la case correspondante et entrer le temps en minutes.
Le 06/06/2000
version 1.0
Page 64
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.19
Interdire l’arrêt du système sans ouverture de session
Consignes associées : cs 4-7 Le dernier point de cette liste de mesures de sécurité contrôlant l’accès à la station, décrit la méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être authentifié. Ainsi seules les utilisateurs autorisés pourront éteindre une station. Dans la pratique, beaucoup d’administrateurs profitent des fonctionnalités du système de fichiers NTFS. Ils éteignent la station avec le bouton d’arrêt, sans sortir proprement. À l’allumage, Windows NT contrôle le disque dur et utilise le journal de la station pour revenir à son état précédant. Toutefois cette solution est peut recommandable car elle risque d’entraîner des pertes d’informations de configuration ou de données. Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé suivante : Lancer l’éditeur de registres : C:\WINNT\system32\regedt32. Accéder au registre : HKEY_LOCAL_MACHINE Dérouler l’arborescence pour atteindre la clé : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/Winl ogon Double click sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type : REG_SZ).
1.1.1.20
Précaution élémentaire contre l’écoute
Tous les administrateurs de réseaux possèdent des outils pour surveiller le trafic. Ces utilitaires permettent en général de capter toutes les trames qui circulent sur le réseau. Beaucoup de pirates utilisent ces outils pour s’emparer d’un paquet contenant le mot de passe d’un utilisateur (au moment de leur renouvellement). Dans notre cas, ils auraient 2 mois pour déchiffrer le mot de passe et créer un Cheval de Troie pour s’approprier les futurs changements. Windows NT possède cet outil : le moniteur réseau. Il est généralement exploité sur le Contrôleur Principal du Domaine, mais il est possible de le dupliquer sur une station. L’administrateur habilité à utiliser cet outil peut questionner le réseau pour connaître les stations qui utilisent cet outil. Il détecte ainsi d’éventuelles tentatives d’attaques. Le moniteur réseau n’est pas le seul outil d’écoute réseau. Il détecte les stations où il est en service mais pas celles avec d’autres outils d’écoute. Cette précaution doit être mise en œuvre pour éviter l’utilisation du Moniteur réseau. Elle ne garantie pas contre les écoutes réseau avec un autre utilitaire. Accéder au Moniteur réseau (Démarrer d’administration Moniteur réseau).
Programmes
Outils
Rechercher les duplications du programme : Outils Identifier les utilisateurs du moniteur réseau. Cette recherche est effectuée lors des changements des mots de passe.
3.3
Définition des comptes Les stations de travail ouvrent des sessions déclarées sur le domaine. La configuration des stations doit être adaptée aux choix retenus pour les utilisateurs. Pour une bonne compréhension des contrôles d’accès aux stations, nous devons décrire certaines déclarations de profils faites sur le domaine. La suite de ce chapitre est décomposé en deux partie : 2.3.1
Le 06/06/2000
Définition des comptes ouverts sur le domaine.
version 1.0
Page 65
Manuel Windows NT 4.0 Workstation Station de travail
(les points abordés sont mis en œuvre uniquement sur le Contrôleur Principal de Domaine) 2.3.2 Définition des comptes ouverts sur une station. (les points abordés sont mis en œuvre uniquement sur chaque station)
3.3.1 Définition des comptes ouverts sur le domaine
1.1.1.21
Création d’un nouvel utilisateur
Consignes associées : cs 4-8, cs 5-2, cs 8-3, cs 8-4, cs 19-1 Ouvrir l’application : Démarrer Programmes Outils d’administration Gestionnaire des utilisateurs Accéder à la fenêtre de création d’un nouvel utilisateur : Utilisateur Nouvel utilisateur ….
Entrer le descriptif de l’utilisateur : Nom d'utilisateur : (nom du compte sur 20 caractères maximum). Structure proposée :
Le 06/06/2000
version 1.0
Page 66
Manuel Windows NT 4.0 Workstation Station de travail
Compte désactivé : cocher la case (il sera activé à la prise en fonction de la personne). Déclarer son appartenance à un groupe en cliquant sur le bouton Groupes.
Ce nouvel utilisateur est Rattaché (par défaut) au groupe utilisateurs. Choisir les groupes au moyen des boutons Ajouter et Enlever . Sélectionner le groupe de l’utilisateur dans la fenêtre de droite Non membre de :, puis cliquer sur Ajouter. Cliquer sur le bouton Fixer groupe principal. Le groupe sélectionné (le groupe ajouter précédemment dans la fenêtre de gauche) devient le groupe par défaut de l’utilisateur. Si son groupe (Groupe section 1 dans notre cas) n’est pas fixé groupe principal, il est impossible d’enlever le groupe Utilisa. du domaine (groupe principal par défaut). Sélectionner le groupe Utilisa. du domaine dans la fenêtre de gauche, puis cliquer sur Enlever . Valider par la touche OK. Déclarer son profil personnel en cliquant sur le bouton Profil.
Le 06/06/2000
version 1.0
Page 67
Manuel Windows NT 4.0 Workstation Station de travail
Le profil errant de l’utilisateur (attaché au domaine et non à chaque station) sera enregistré dans le sous-répertoire
Cocher Connecter du menu Répertoire de base, entrer le volume logique E: et l’adresse (après le à) \\SFI\%USERNAME%. SFI est le Serveur de Fichier et d’Impression. Valider par la touche OK. Définir les heures d’ouverture de session en cliquant sur le bouton Horaires.
Le 06/06/2000
version 1.0
Page 68
Manuel Windows NT 4.0 Workstation Station de travail
Sélectionner les plages horaires et utiliser les boutons Autoriser, Interdire pour définir les heures ouvrables de l’utilisateur pendant une semaine (de 7 h à 20 h, du lundi au vendredi dans notre exemple). Valider par la touche OK. Définir les stations de travail auxquelles l’utilisateur est autorisé à se connecter en cliquant sur le bouton Accès depuis.
Choisir L’utilisateur peut ouvrir une session sur ces stations en remplissant les champs avec les noms des stations utilisées par le personnel de la section. Cette option soulève certains problèmes. Si une section dispose de plus de 8 stations, les utilisateurs devront disposer de 2 comptes différents ’au moins pour accéder à toutes les stations de la section. Valider par la touche OK. Définir la durée de validité du compte en cliquant sur le bouton Compte.
Remplir les champs de la Date d’expiration et du Type de compte. Cette option est fortement déconseillée pour deux raisons :
Le 06/06/2000
version 1.0
Page 69
Manuel Windows NT 4.0 Workstation Station de travail
•
Il est préférable de gérer convenablement les comptes et ne pas laisser le contrôleur de domaine s’occuper des fermetures des comptes.
•
Une erreur de validation (Compte local à la place de Compte global) peut créer un compte local sur le Contrôleur Principal de Domaine. Valider par la touche OK.
Vérifier que l’utilisateur ne possède pas la permission d'appel à distance (par téléphone). Cliquer sur le bouton Numérotation.
Ne pas cocher Accorder les permissions d’appel à l’utilisateur. Cocher Pas de rappel. Valider par la touche OK. Fixer les permissions sur le répertoire de base de l'utilisateur (Cf. Annexe B). Le compte utilisateur est créé, il faut réaliser un test en ouvrant une session avec le nom du nouvel utilisateur. Créer le répertoire de base, lui attribuer les permissions, créer le répertoire profil et copier dans ce répertoire un profil par défaut. Toutes ces opérations sont effectuées sur le serveur de fichiers SFI. Attendre que le bénéficiaire réceptionne son poste pour activer le compte.
1.1.1.22
Stratégie de compte
Consignes associées : cs 4-1, cs 4-2, cs 4-3, cs 4-4, cs 4-6 La stratégie de compte revêt une importance déterminante pour la sécurité. Elle définit les obligations des utilisateurs et par conséquence les limites de manœuvres des pirates. Il est donc nécessaire de contraindre les utilisateurs à respecter les consignes de sécurité et empêcher qu’un seul des utilisateurs mette en péril la sécurité globale du réseau. La stratégie de compte présentée ici concerne les utilisateurs du domaine. Ils travaillent sur les stations, mais la déclaration de leurs droits est faite sur LE CONTROLEUR PRINCIPAL DE DOMAINE. Plusieurs comptes prédéfinis sont créés automatiquement lors de l’installation de Windows NT. Ces comptes prédéfinis ne peuvent pas être détruits, ce sont :
Le 06/06/2000
version 1.0
Page 70
Manuel Windows NT 4.0 Workstation Station de travail
Administrateur. Invité. Le compte Administrateur est par défaut membre des groupes prédéfinis (Administrateurs, Administrateurs du réseau, Utilisateurs du domaine). Ce compte possède tous les droits et permissions par défaut ainsi qu’un mot de passe de validité illimitée. Il fournit la cible principale des attaques. Ce compte devra être désactivé sans pour autant le faire disparaître. Il sera remplacé par un autre compte (avec un nom moins évocateur) et possédera les droits suffisants pour assurer la fonction d’Administrateur du réseau. Les caractéristiques retenues pour tous les utilisateurs du réseau sont : Durée maximale du mot de passe à 60 jours. Durée minimale de validité du mot de passe à 5 jours. Interdiction de réutiliser les 6 derniers mots de passe. Longueur minimale du mot de passe à 8 caractères pour un utilisateur. Longueur minimale du mot de passe à 10 caractères pour un administrateur. Verrouillage du compte après 5 tentatives échouées. Attente de 60 minutes après 4 tentatives échouées. Limitation des heures d’utilisation du réseau.
Pour définir ces caractéristiques : Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis accéder au menu stratégies compte. Les valeurs par défaut doivent être modifiées selon les consignes visibles sur la figure suivante :
Valider par la touche OK.
Le 06/06/2000
version 1.0
Page 71
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.23
Stratégie des droits de l’utilisateur
Consignes associées : cs 8-2, cs 11-1, cs 19-2, cs 19-3, cs 19-4, cs 19-5, cs 19-6, cs 19-7, cs 19-8, cs 19-9, cs 20-2, cs 21-1, cs 23-1 Les 10 droits standards et les 17 droits avancés attribués aux utilisateurs, sont accessibles par : Ouvrir sur l’ordinateur le Gestionnaire Programmes Outils d’administration).
des
utilisateurs
(Démarrer
Sélectionner Droits des l’utilisateurs du menu stratégies. En bas de la fenêtre une case à cocher (Affiches les droits avancés des utilisateurs) permet d’afficher les droits d’accès standard ou avancé. Les droits repérés par un astérisque sont commun aux deux listes. Les deux listes qui suivent donnent les utilisateurs qui peuvent posséder ces droits. La troisième liste donne l’attribution normale et habituelle de ces droits. Les droits : Droits d’accès standard des utilisateurs :
Accéder à cet ordinateur depuis le réseau * Ajouter des stations de travail au domaine * utilisateurs. Arrêter le système * Charger et décharger des pilotes de périphériques * Forcer l’arrêt à partir d’un système distant * utilisateurs. Gérer le journal d’audit et de sécurité Modifier l’heure système * Ouvrir une session localement * Prendre possession des fichiers ou d’autres objets * Restaurer des fichiers et des répertoires * Sauvegarder des fichiers et des répertoires *
Seul l’administrateur. Interdire à tous
les
Tous les utilisateurs. Seul l’administrateur. Interdire à tous
les
Seul Seul Seul Seul Seul Seul
l’administrateur. l’administrateur. l’administrateur. l’administrateur. l’administrateur. l’administrateur.
Droits avancés des utilisateurs (cocher la case Affiches les droits avancés des utilisateurs) :
Le 06/06/2000
version 1.0
Page 72
Manuel Windows NT 4.0 Workstation Station de travail
Accéder à cet ordinateur depuis le réseau * Seul l’administrateur. Agir en tant que partie du système d’exploitation Interdire à tous les utilisateurs. Ajouter des stations de travail au domaine * Interdire à tous les utilisateurs. Arrêter le système * Tous les utilisateurs. Augmenter la priorité de planification Seul l’administrateur. Augmenter les quotas Seul l’administrateur. Charger et décharger des pilotes de périphériques * Seul l’administrateur. Créer des objets partagés permanents Interdire à tous les utilisateurs. Créer un fichier d’échange Interdire à tous les utilisateurs. Créer un objet-jeton Interdire à tous les utilisateurs. Déboguer des programmes Seul l’administrateur. Forcer l’arrêt à partir d’un système distant * Interdire à tous les utilisateurs. Générer des audits de sécurité Seul l’administrateur. Gérer un fichier d’échange Seul l’administrateur. Modifier les valeurs d’environnement de microprogrammation Seul l’administrateur. Modifier l’heure système * Seul l’administrateur. Optimiser un processus Seul l’administrateur. Outrepasser le contrôle de parcours Tous les utilisateurs. Ouvrir une session en tant que service Interdire à tous les utilisateurs. Ouvrir une session en tant que tâche Interdire à tous les utilisateurs. Ouvrir une session localement * Seul l’administrateur. Prendre possession des fichiers ou d’autres objets * Seul l’administrateur. Régler les performances système Seul l’administrateur. Remplacer un jeton niveau de processus Interdire à tous les utilisateurs. Restaurer des fichiers et des répertoires * Seul l’administrateur. Sauvegarder des fichiers et des répertoires * Seul l’administrateur. Verrouiller des pages mémoire Interdire à tous les utilisateurs. Attribution habituelle des droits :
Accéder à cet ordinateur depuis le réseau Arrêter le système Charger et décharger des pilotes de périphériques
Le 06/06/2000
version 1.0
Seul l’administrateur. Tous les utilisateurs. Seul l’administrateur.
Page 73
Manuel Windows NT 4.0 Workstation Station de travail
Générer des audits de sécurité Gérer le journal d’audit et de sécurité Modifier l’heure système Outrepasser le contrôle de parcours Ouvrir une session localement Prendre possession des fichiers ou d’autres objets Restaurer des fichiers et des répertoires Sauvegarder des fichiers et des répertoires
Seul l’administrateur. Seul l’administrateur. Seul l’administrateur. Tous les utilisateurs. Seul l’administrateur. Seul l’administrateur. Seul l’administrateur. Seul l’administrateur.
Valider par la touche OK.
3.3.2 Définition des comptes ouverts sur une station Consignes associées : cs 19-6 Dans ce chapitre, la définition des comptes n’est pas faite sur le Contrôleur Principal de Domaine et donc ces comptes (appelés comptes locaux) sont à définir pour chaque station.
1.1.1.24
Le compte local : « invité »
Consignes associées : cs 6-1 Ce compte ne peut pas être détruit. Il possède des droits suffisamment importants pour le rendre particulièrement attractif pour un pirate. Ce compte doit être désactivé (rendu inoffensif pour la sécurité). Pour désactiver ce compte : Ouvrir l’application "gestionnaire des utilisateurs" (Démarrer Programmes Outils d’administration) puis sélectionner Invité dans la liste des noms d'utilisateurs.
Les caractéristiques du compte Invité sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case L'utilisateur ne peut pas changer le mot de passe. Cocher la case Compte désactivé.
Le 06/06/2000
version 1.0
Page 74
Manuel Windows NT 4.0 Workstation Station de travail
Définir le groupe en cliquant sur la touche Groupes. Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et ne pouvant pas utiliser les stations :
Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
Bouton Numérotation : Ne pas cocher permissions d'appel à l'utilisateur.
la
case
Accorder
les
Valider par la touche OK. Sélectionner Menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte Invité est maintenant complètement inhibé.
1.1.1.25
Les autres comptes locaux prédéfinis ou habituels
Consignes associées : cs 6-1 Deux comptes prédéfinis et impossibles à supprimer sont créés par Windows NT. Tous les comptes locaux prédéfinis (à l’exception du compte administrateur et éventuellement le compte du RSSI), sont désactivés de la même manière. Les administrateurs créent souvent un compte particulier pour effectuer une tâche particulière (mise à jour de logiciels, sauvegarde, etc.). ces comptes représentent une faille importante à la sécurité de tout le réseau. Pour effectuer leurs tâches, ces comptes sont souvent dotés de pouvoirs similaires aux administrateurs. Si une personne s’empare de ce compte, elle a la possibilité de créer un compte, possédant tous les droits. avec le droit d’appropriation. Ce compte peut être dissimulé et utilisé pour prendre possession de tous les fichiers et répertoires des stations et des répertoires de base des utilisateurs. Dans certaines conditions, les administrateurs seront obligés d’ouvrir des comptes locaux afin de privilégier la pérennité du service par rapport à la sécurité. Ces conditions sont exceptionnelles et sont utilisées lorsque le personnel doit pouvoir travailler même si le Contrôleur Principal de Domaine est tombé. L’authentification des utilisateurs est assurée par un compte local sur chaque station. Ce mode de fonctionnement présente un grand risque pour la sécurité. Si un compte local est piraté, une personne peut utiliser les exécutables afin de tenter une communication directe avec les serveurs et contourner les sécurités. Il convient de prendre des précautions plus draconiennes pour ce mode de
Le 06/06/2000
version 1.0
Page 75
Manuel Windows NT 4.0 Workstation Station de travail
fonctionnement en supprimant 3.4.2 Modification des registres ) :
les
clés
et
des
exécutables
(voir
chapitre :
Débrancher le lecteur CD-ROM Débrancher le lecteur de disquettes Supprimer les fichiers POSIX et les fichiers associés. Supprimer le programme DHCP et les fichiers associés. Supprimer le programme Telnet et les fichiers associés. Supprimer la clé concernant le DCOM et les fichiers associés. Supprimer la clé concernant le FTP et les fichiers associés.
1.1.1.26
Le compte local : « Administrateur »
Consignes associées : cs 5-1, cs 5-2 Comme le précédent, ce compte ne peut pas être détruit. Il possède des droits particulièrement dangereux pour la sécurité même du réseau. Ce compte (et éventuellement le compte du RSSI) doit est conservé sous un aspect banalisé : Ouvrir l’application Gestionnaire des utilisateurs (Démarrer Programmes Outils d’administration) puis sélectionner Administrateur dans la liste des noms d'utilisateur. Les caractéristiques du compte « Administrateur » sont définies par : Changer le Nom détaillé : mettre un nom banal. Changer la Description : mettre une description banale. Changer le Mot de passe : mettre un mot de passe sur 10 caractères au minimum. Cocher la case Le mot de passe n'expire jamais, sinon il faudra le changer périodiquement (sur tous les postes tous les deux mois). Bouton Numérotation : ne pas cocher la case Accorder les permissions d'appel à l'utilisateur. Valider par la touche OK. Sélectionner menu :Utilisateur Renommer : mettre un nom difficile à deviner. Le compte « Administrateur » est maintenant caché.
3.4
Utilisation des registres Consignes associées : cs 3-1, cs 3-2, cs 4-1, cs 7-1, cs 8-1, cs 8-5, cs 9-1, cs 9-2, cs 20-1, cs 22-2 Les registres sont un ensemble de fichiers contenant des bases de données dont les enregistrements contrôlent l’ordinateur. Ils décrivent le comportement de Windows NT, les caractéristiques des accès réseau et aux ressources, les options de démarrage des applications, etc. Pour comprendre rapidement les termes employés, faisons un parallèle rudimentaire entre un disque dur et la ruche (ensemble des registres, clés, rubriques et valeurs) :
Disque dur Les
Le 06/06/2000
noms
La ruche des
partitions
version 1.0
Les registres
Page 76
Manuel Windows NT 4.0 Workstation Station de travail
(volumes) Les répertoires
Les clés
Les fichiers
Les rubriques
Les paramètres application
d’une
Les valeurs
Les registres contiennent des informations importantes pour le fonctionnement d’une station. Il est nécessaire de protéger les données de certains registres. La ruche possèdent cinq registres principaux et un registre fonctionnel (pas toujours présent) : HKEY_LOCAL_MACHINE :
Contient les données de la configuration matérielle et informatique du système local (les types de matériels installés, les paramètres des applications et la configuration des logiciels). Ce registre contient les mots de passe chiffrés des utilisateurs locaux. Il faut absolument que le chiffrement des mots de passe (dont celui de l’administrateur fait partie) utilise un code robuste. Le programme Syskey installé et activé (voir chapitre 3.2.1.4) chiffre sur 128 bits les mots de passe enregistrés dans ce registre. Pour bien comprendre l’importance de ce registre, nous détaillons un peu plus son contenu : HARDWARE : Contient les données matériel de l’ordinateur et des périphériques, des pilotes détectés par NTDETECT.COM (pour les ordinateurs à base de processeurs x86) lors du démarrage du système Windows NT. Cette base est rafraîchie à chaque démarrage de l’OS. Windows NT utilise cette base de données et non celle du BIOS. SAM : Contient toutes les informations concernant la sécurité. Ce sous-arbre est rempli à l’ouverture de session par une demande adressée au système. Cette base de données n’est pas consultable (en grisée) par tous les utilisateurs (y compris pour l’administrateur) pour éviter sa consultation et sa modification. SECURITY : Contient les informations concernant la sécurité du système local. Notons que SECURITY\SAM (lorsqu’il est défini) pointe sur SAM. Son contenu (en grisée) n’est pas consultable (y compris par l’administrateur). SOFTWARE : Contient les informations concernant la configuration logicielle de la station. On
Le 06/06/2000
version 1.0
Page 77
Manuel Windows NT 4.0 Workstation Station de travail
peut y lire notamment les paramètres des applications du Pack Office 97 dans SOFTWARE\Microsoft\Office. Le sous-registre SOFTWARE\Classes pointe sur le registre HKEY_CLASSES_ROOT contenant les associations logiciel/extension. Le sous-registre SOFTWARE\Microsoft\Windows NT contient les paramètres de configuration de l’OS. SYSTEM : Contient toutes les informations concernant le démarrage du système d’exploitation. On peut y lire les paramètres des périphériques et des services du système dans le sous-registre SYSTEM\ControlSet. Le sous registre SYSTEM\CurrentControlSet pointe sur tous les services et paramètres de SYSTEM\ControlSet en cours d’utilisation. HKEY_CLASSES_ROOT :
Pointe vers la partie de HKEY_LOCAL_MACHINE\SOFTWARE\Classes concernant les associations logiciel/extension pour la compatibilité Windows 3.1 et Windows NT. HKEY_DYN_DATA : Pointe vers la partie de HKEY_LOCAL_MACHINE concernant les informations des paramètres dynamiques des périphériques Plug and Play (PnP). Cette clé n’est pas toujours présente, de plus elle n’est pas utilisée dans certaines configurations. HKEY_USERS :
Le 06/06/2000
version 1.0
Page 78
Manuel Windows NT 4.0 Workstation Station de travail
Contient toutes les informations concernant les utilisateurs (profils, les préférences pour les applications, etc.). HKEY_CURRENT_USER :
Pointe vers la partie de HKEY_USERS concernant l’utilisateur en cours de session. HKEY_CURRENT_CONFIG :
Contient tous les paramètres de la session en cours. Il pointe vers le sous-registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profile\0001.
3.4.1 Sécurisation des fichiers de registres
Le 06/06/2000
version 1.0
Page 79
Manuel Windows NT 4.0 Workstation Station de travail
Consignes associées : cs 20-1, cs 20-3, cs 20-4 Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes pour la sécurité du système. Certains documents vous présenteront ces répertoires sous une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent l’expression %SystemRoot%\Systel32\Repair. Le répertoire %SystemRoot% est celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas). Pour déclarer les permissions (permissions NTFS) des fichiers et répertoires exécuter Explorer Click droit sur les répertoires Propriétés Sécurité, entrer les permissions du tableau suivant :
Fichiers liés à la ruche : Répertoires
Utilisateurs
Administrateur
Réseau
Système
Lecture
Contrôle total
Aucun
Contrôle total
C:\WINNT\Repair
Aucun
Contrôle total
Aucun
Aucun
C:\WINNT\REPL\IMPORT
Aucun
Contrôle total
Aucun
Contrôle total
C:\WINNT\REPL\EXPORT
Aucun
Contrôle total
Aucun
Contrôle total
C:\WINNT\System32\Config
3.4.2 Modification des registres Certaines clés sont inactivées lors de l’installation de l’OS (par exemple la clé du protocole DHCP). Les registres sont protégés en écriture afin d’éviter qu’une personne puisse implanter les programmes, langages ou protocoles correspondants. Pour plus de sécurité, il est possible de supprimer ces clés des registres. On ajoute l’absence des clés à l’interdiction de modifier la ruche. Par exemple : Suppression du sous-système DOS Supprimer la rubrique ComSpec (de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment ainsi que dans ControlSet002 et dans CurrentControlSet). Supprimer le fichier correspondant Cmd.exe (dans le répertoire C:\WINNT\System32). Suppression du sous-système OS2 Supprimer la rubrique Os2LibPath (de la clé : HKLM\SYSTEM\ControlSet001\Session Manager\Environment). Supprimer la rubrique Os2 (de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\SubSystem) Supprimer la clé HKLM\SOFTWARE\Microsoft\OS/2 Subsystem for NT Supprimer les fichiers correspondants Os2.exe, Os2srv.exe et Os2ss.exe (dans le répertoire C:\WINNT\System32) et le répertoire des librairie C:\WINNT\System32\OS2. Suppression du sous-système POSIX Supprimer la rubrique Posix (de la clé : HKLM\SYSTEM\CurentControlSet\Session Manager\SubSystem). Supprimer les fichiers correspondants Psxss.exe et Posix.exe (dans le répertoire C:\WINNT\System32). Suppression du service DCOM Supprimer la rubrique EnableDCOM (de la clé : HKLM\SOFTWARE\Microsoft\Ole). Supprimer la rubrique DCOM Protocols (de la clé : HKLM\SOFTWARE\Microsoft\Rpc).
Le 06/06/2000
version 1.0
Page 80
Manuel Windows NT 4.0 Workstation Station de travail
Suppression du protocole DHCP Supprimer la clé HKLM\SYSTEM\CurrentControlSet\Services\DHCP. Supprimer les fichiers correspondants Dhcpsvc.dll, Dhcpapi.dll (dans le répertoire C:\WINNT\System32) et le répertoire C:\WINNT\System32\DHCP.
1.1.1.27
Modifications de HKEY_LOCAL_MACHINE (HKLM)
Consignes associées : cs 20-3, cs 20-4 Clés utilisées lors de l’ouverture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique LegalNoticeCaption : valeur « INFORMATION SÉCURITÉ » (type REG_SZ) (création d’une fenêtre avant ouverture de session) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique LegalNoticeText : valeur : « Vous utilisez une station de travail du système d’information de l’armée de terre . Certains traitements ou données auxquels vous pourriez accéder, directement ou indirectement, pouvant être classifiés, vous devez posséder l’habilitation correspondante pour poursuivre l’utilisation. Si vous ne possédez pas l’habilitation requise, vous êtes succeptible de voir votre responsabilité engagée sur le fondement de l’article 323-1 et/ou 413-11 du Code pénal et encourir les peines d’amende et d’emprisonnement correspondantes.» (type REG_SZ) (affichage du texte dans la fenêtre précédente) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY) Cette clé peut éventuellement être effacée. Mieux vaut interdire plutôt que de ne pas donner la possibilité. (empêche l’ouverture automatique d’une session) HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique CachedLogonsCount : valeur 0 (type REG_SZ) (l’utilisateur ne peut s’authentifier qu’après une réponse du CPD) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD) (active le protocole de signature des échanges SMB-S) HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD) (impose que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées à établir une connexion avec le serveur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Créer RestrictAnonymous : avec la valeur : 1 (type REG_DWORD) (empêche l’ouverture d’une session non authentifiée par la commande net use) Clés utilisées lors de la fermeture d’une session HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ) (Interdit l’arrêt de la station sans ouverture d’une session) HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement
Le 06/06/2000
version 1.0
Page 81
Manuel Windows NT 4.0 Workstation Station de travail
Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD) (nettoyage du fichier d’échange d’une session) Clés utilisées pour la configuration matérielle de l’ordinateur. HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname Rubrique Autorun avec la valeur : 0 (type REG_DWORD) (empêche le démarrage en autorun du lecteur de CD-ROM) Clés utilisées pour la configuration de logiciels. HKLM\SYSTEM\CurrentControlSet\Services\CDROM Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD) (empêche le compte invité de consulter le journal des événements) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique SubmitControl : valeur 0 (type REG_DWORD) (la planification des tâches est utilisable uniquement par l’administrateur) HKLM\SYSTEM\CurrentControlSet\Control\LSA Rubrique Notification Packages remplacer FPNWCLNT par PASSFILT (Uniquement sur le CPD améliore le filtrage des mots de passe)
3.4.3 Sécurisation des registres Consignes associées : cs 20-1 Jusqu’à maintenant, nous avons vu la manière de protéger les fichiers de la Ruche. Nous décrivons ici les opérations nécessaires pour protéger les registres, les clés et leurs valeurs pendant une session. Lors des déclarations des permissions, l’administrateur vérifiera qu’il n’est pas possible d’éditer les clés de registres via le réseau. Ce verrouillage est assuré par la présence de la rubrique et de sa valeur : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winr eg (la créer si elle n’existe pas) Attribuer la valeur Registry Server ou Serveur de registre (type REG_SZ) à la rubrique : Description (la créer si elle n’existe pas). La sous-clé AllowedPaths (la créer si elle n’existe pas) Permet de spécifier les emplacements du registre échappant à ces restrictions. Pour sécuriser un registre, une rubrique et sa clé, il faut ouvrir la ruche avec REGEDT32.EXE, modifier les permissions des clés (Sécurité Permissions) puis décrire les permissions. Les chapitres suivant décrivent les permissions accordées sur les registres (Attention pour certaines clés, il faut cocher la case Remplacer la permission des sousclés existantes ) : Afin d’éviter qu’un utilisateur curieux modifie les registres en testant les éditeurs de registres, il est préférable d’effacer certains fichiers exécutables :
Nom du programme
Fonction
C:\WINNT\System32\regedt32.exe
Éditeur des registres
C:\WINNT\System32\Regedit.exe
Éditeur des registres
Le 06/06/2000
version 1.0
Page 82
Manuel Windows NT 4.0 Workstation Station de travail
L’effacement de ces fichiers exécutables n’est en aucune façon une protection des registres. Il suffit de copier ces programmes pour pouvoir les utiliser de nouveau. Cette consigne est une précaution contre des accidents involontaires. Nous récapitulons ici les MODIFICATIONS des permissions apportées et NON les permissions complètes pour chaque clé.
1.1.1.28
Permissions sur HKEY_CLASSES_ROOT (HKCR)
HKCR (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
1.1.1.29
Permissions sur HKEY_LOCAL_MACHINE (HKLM)
Consignes associées : cs 20-3, cs 20-4 Attention certaines modifications entraînent des messages d’erreur (plus exactement : de mise en garde). Ne tenez pas compte de ces messages et poursuivez en validant. HKLM\HARDWARE (et toutes ses sous-clés) (cette clé contient la description matérielle de l’ordinateur) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE (certaines sous-clés sont modifiées dans la suite de ce chapitre) (Cette clé autorise l’installation de nouvelles applications). Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\RPC (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Compatibility Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Embedding Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
Le 06/06/2000
version 1.0
Page 83
Manuel Windows NT 4.0 Workstation Station de travail
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Fonts Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontsSubstitutes Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontDrivers Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontMapper Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontCache Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\GRE_Initialize Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI Extensions Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\PerfLib (les deux déclarations suivantes permettent à la personne présente sur le poste, du groupe Interactif, de lire ce registre, mais celles qui interrogent la station via le réseau ne pourront pas lire le registre) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier). Groupe Interactif Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Port (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Windows3.1MigrationStatus (et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Type1Installer Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WOW
Le 06/06/2000
version 1.0
Page 84
Manuel Windows NT 4.0 Workstation Station de travail
(et ses sous-clés) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon (et ses sous-clés) (cette clé contient les paramètres exécutable à l’ouverture d’une session) Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Lecture. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (cette clé contrôle les applications exécutées au démarrage d’une session) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (cette clé est presque similaire à la précédente) Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\System\CurrentControlSet\Control\LSA Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Lecture. HKLM\System\CurrentControlSet\Services\Rdr\Parameters (et ses rubriques) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\System\CurrentControlSet\Control\SecurePipe server\WinReg (Voir en tête du chapitre) Administrateur Contrôle total. Tout le monde Aucun accès. HKLM\System\CurrentControlSet\Services (et ses sous-clés) (cette clé contient les paramètres des clés pour les services de la station : DHCP, DCOM, UPS, etc.) Administrateur Contrôle total. Créateur propriétaire Contrôle total. Système Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
1.1.1.30
Permissions sur HKEY_USERS (HKU)
HKU\Default Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle).
Le 06/06/2000
version 1.0
Page 85
Manuel Windows NT 4.0 Workstation Station de travail
3.5
Configuration des permissions d'accès (partage et sécurité) aux ressources locales
Permissions accordées aux utilisateurs : Administrate Répertoires Utilisateurs ur système Z:\ Modifier Contrôle total C:\ Lecture Contrôle total C:\WINNT Lecture Contrôle total C:\WINNT\System32 Lecture Contrôle total C:\WINNT\System32\Drivers Lecture Contrôle total C:\WINNT\System32\Spool Lecture Contrôle total C:\WINNT\System32\Config Lecture Contrôle total C:\WINNT\Profiles Lecture Contrôle total C:\WINNT\Repair Aucun Contrôle total C:\WINNT\System32\Repl Aucun Contrôle total C:\WINNT\System32\repl\Impor Aucun Contrôle total t C:\WINNT\System32\Repl\Expor Aucun Contrôle total t Lecture et Les applications (remarque 2) Contrôle total Exécution
Créateur propriétaire (remarque 1) (remarque 1) (remarque 1) (remarque 1) Contrôle total Contrôle total Contrôle total
Système
Contrôle total
Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle Contrôle
total total total total total total total total total total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Remarque 1 : Le créateur propriétaire est l’administrateur système. Cet administrateur possède le contrôle total, il est inutile de redéfinir ses droits sous un autre nom Créateur propriétaire. Remarque 2 : Si toutes les applications implantées sur la station, sont rangées dans le répertoire C:\Program Files,. alors la dernière ligne de ce tableau s’applique à ce répertoire.
3.6
Configuration de l’audit Consignes associées : cs 24-1 Les journaux des audits contiendront les événements apparus à l’ouverture et pendant une session. Ils servent à détecter une attaque ainsi qu’une simple erreur de manipulation. Les événements de l’audit concerneront les points protégés et ceux pouvant présenter un risque pour le bon fonctionnement de la station. Les journaux d’audit sont les traces des anomalies apparues sur le réseau, l’administrateur doit posséder une méthodologie de gestion des journaux (contre les journaux trop volumineux, un archivage et une sauvegarde). Ils informent aussi les utilisateurs du domaine des dysfonctionnements d’une station. Nous traiterons : Les événements de l’audit. La gestion des journaux d’audits.
Le 06/06/2000
version 1.0
Page 86
Manuel Windows NT 4.0 Workstation Station de travail
3.6.1 Les événements de l’audit Consignes associées : cs 25-1, cs 25-2, cs 26-1, cs 26-2
1.1.1.31
Audit sur les sessions
Pour inscrire les événements d’une session, ouvrir le Gestionnaire des utilisateurs (Démarrer Programmes Outils d'administration). Accéder au menu : Stratégie d’audit puis activer l’audit (bouton Auditer ces événements).
Créer les audits pour les auditeurs : Menu des événements de l’audit présente plusieurs événements avec les options Succès et/ou Échec : •
Ouverture et fermeture d’une session : Enregistre les ouvertures et les fermetures des sessions.
•
Accès fichier et objet : Enregistre les accès aux objets (par exemple l’accès à un fichier) soumis aux listes du contrôle ou aux permissions d’accès d’un partage.
•
Utilisation des droits de l’utilisateur : Enregistre les actions faisant appel à un droit des utilisateurs (sauf Sauvegarder et Restaurer).
•
Gestion des utilisateurs et groupes : Enregistre les actions modifiant la gestion des comptes et des groupes (ajouter, supprimer, modifier). Seul l’administrateur est autorisé à les gérer.
•
Modification stratégie sécurité : Enregistre les actions modifiant la stratégie d’audit ou de l’affectation de nouveaux droits d’utilisateurs. Seul l’administrateur est autorisé à gérer les permissions de la sécurité.
•
Redémarrage, arrêt et système : Enregistre les arrêt et les redémarrage de la station.
•
Suivi de processus : Enregistre les événements système concernant les processus.
Attribuer l’audit des événements suivants :
Le 06/06/2000
version 1.0
Page 87
Manuel Windows NT 4.0 Workstation Station de travail
•
Ouverture et fermeture d’une session : Succès (en cas de présomption d’attaques des comptes du domaine) Échecs
•
Accès fichier et objet : Échecs
•
Utilisation des droits de l’utilisateur : Succès Échecs
•
Gestion des utilisateurs et groupes : Succès Échecs
•
Modification stratégie sécurité : Succès Échecs
•
Redémarrage, arrêt et système : Succès Échecs
•
Suivi de processus : Échecs Valider par la touche OK.
1.1.1.32
Audit sur les fichiers et répertoires
Les événements d’audit sur les accès à des fichiers ou des répertoires (Access Control List) proviennent des sécurités NTFS. Pour les mettre en œuvre cliquer droit sur le fichier ou le répertoire, puis accéder Propriétés Sécurité Avancé la fenêtre Paramètre du contrôle d’accès pour <nom du fichier ou répertoire> s’ouvre. Cliquer sur l’onglet Audit, puis sur le bouton Ajouter sélectionner Administrateur (ou le groupe administrateur) et valider.
Le 06/06/2000
version 1.0
Page 88
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
Le menu des événements de l’audit présente plusieurs options dont certaines avec le choix Succès et/ou Échec : •
Remplacer l’audit des sous-répertoires : Attribue le même jeu d’événements inscrit dans les journaux des audits aux sous-répertoires du répertoire. Utiliser cette option pour les répertoires importants (exemple : ceux contenant les fichiers des registres).
•
Remplacer l’audit sur les fichiers existants : Attribue le même jeu d’événements inscrits dans les journaux des audits aux fichiers du répertoire (même remarque que précédemment).
•
Lire : Informe l’utilisateur d’une tentative de lecture du contenu d’un fichier ou de l’affichage du contenu d’un répertoire. Cet audit est utilisé pour laisser une trace dans les journaux des tentatives de lecture des fichiers et les répertoires importants (exemple : le répertoire et les fichiers des registres).
•
Écrire :. Informe la création et la modification d’un fichier ou d’un sous-répertoire.
•
Exécuter : Informe l’utilisateur de l’exécution de certains programmes contenus dans le répertoire spécifié.
•
Supprimer : Informe l’utilisateur de la suppression de fichiers ou de répertoires. Cet audit est utilisé pour prévenir et éviter des accidents involontaires sur les fichiers et les répertoires du disque système...
•
Modifier les permissions : Informe l’utilisateur d’une tentative de changement des permissions NTFS sur l’objet (ce droit est réservé dans tous les cas à l’administrateur).
•
Appropriation :
version 1.0
Page 89
Manuel Windows NT 4.0 Workstation Station de travail
Informe l’utilisateur d’une tentative de contrôle d’un objet par une personne non habilitée (ce droit est réservé à l’administrateur).
Le 06/06/2000
version 1.0
Page 90
Manuel Windows NT 4.0 Workstation Station de travail
Les modifications des fichiers et répertoires devant laisser une trace dans les journaux d’audits sont : Répertoires C:\WINNT\system32\Config C:\WINNT\system32\Repair
Rempl. Sous rép. et fich.
C:\WINNT\Repair C:\Program Files\Office\Macros C:\Program Files
Modif. Perm.
Appro.
Échec
Échec Réussie
Échec Réussie
Échec Réussie
oui
Échec
Échec Réussie
Échec Réussie
Échec Réussie
Échec
Échec Réussie
Échec Réussie
Échec
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Spool
C:\WINNT\system32\Export
Suppr.
oui
C:\WINNT\system32\Drivers
C:\WINNT\system32\Import
Écrire
oui
Échec
Échec Réussie
oui
Échec
oui
Échec
oui
Échec
Échec Réussie
Échec Réussie
oui
Échec
Échec Réussie
Échec Réussie
Échec Réussie
La dernière ligne du tableau permet de laisser des traces dans les journaux d’audits pour toutes modifications des logiciels installés sur la station. Elle sera efficace uniquement si toutes les applications installées, sont copiées dans le répertoire C:\Program Files.
Fichiers
Écrire
Exécuter
Suppr.
Modif. Perm.
Appro.
C:\WINNT\system32\Config\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Repair\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\system32\Drivers\*.*
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\WINNT\Poledit.exe C:\WINNT\Regedit.exe C:\WINNT\system32\addgrpw.exe C:\WINNT\System32\addusrw.exe C:\WINNT\System32\at.exe
Le 06/06/2000
version 1.0
Page 91
Manuel Windows NT 4.0 Workstation Station de travail
C:\WINNT\System32\Ftp.exe C:\WINNT\System32\Net.exe C:\WINNT\System32\Net1.exe C:\WINNT\System32\regedt32.exe C:\WINNT\System32\Restore.exe C:\WINNT\System32\telnet.exe
Échec Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\Program Files\Microsoft Office\Modèles
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
C:\Program Files\Communicator
Échec Réussie
Échec Réussie
Échec Réussie
Échec Réussie
1.1.1.33
Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit – Clé de registre (Sécurité Audit). Créer les audits et les auditeurs : Bouton Ajouter. Choisir les utilisateurs : Groupe administrateur, Utilisateurs du domaine. Valider par la touche OK. Menu des événements de l’audit pour chaque personne :
Le 06/06/2000
•
Retrouver la valeur : (Simple lecture de la valeur d’une clé)
•
Positionner la valeur (Tente de définir une rubrique dans une sous-clé)
•
Créer une sous-clé : (Tente de créer une nouvelle clé dans le registre. Cette manipulation est réservée à l’administrateur)
•
Énumérer les sous-clés : (Tente d’identifier toutes les clés)
•
Notifier : (Tente de recevoir les notifications d’audit générés par une clé)
•
Créer la liaison : (Tente de créer des liaisons symboliques avec une sous-clé. Cette manipulation est réservée à l’administrateur)
•
Supprimer : (Tente de supprimer une sous-clé. Cette manipulation est réservée à l’administrateur)
•
Écrire le DAC : (Tente de modifier la liste de Contrôle d’Accès Discrétionnaire d’une clé. Cette manipulation est réservée à l’administrateur)
•
Lecture de contrôle :
version 1.0
Page 92
Manuel Windows NT 4.0 Workstation Station de travail
(Tente de lire les informations relatives à la sécurité dans une clé) Répéter cette méthode sur les clés contenant toutes les informations sur le matériel et sur les utilisateurs. Par prudence, les utilisateurs seront avertis des modifications des registres. Les manipulations des clés : HKEY_LOCAL_MACHINE, HKEY_CURRENT_CONFIG et HKEY_USERS devront laisser une trace dans les journaux d’audits : •
•
•
Le 06/06/2000
HKEY_LOCAL_MACHINE/SOFTWARE Positionner la valeur : Utilisateur : Succès Administrateur : Succès Créer une sous-clé : Utilisateur : Succès Administrateur : Succès Notifier : Administrateur : Succès Créer la liaison : Administrateur : Succès Supprimer : Utilisateur : Succès Administrateur : Succès Écrire le DAC : Utilisateur : Succès Administrateur : Succès HKEY_LOCAL_MACHINE/SYSTEM Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur : HKEY_CURRENT_CONFIG Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur :
version 1.0
Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Page 93
Manuel Windows NT 4.0 Workstation Station de travail
•
HKEY_USERS Positionner la valeur : Utilisateur : Administrateur : Créer une sous-clé : Utilisateur : Administrateur : Notifier : Administrateur : Créer la liaison : Utilisateur : Administrateur : Supprimer : Utilisateur : Administrateur : Écrire le DAC : Utilisateur : Administrateur :
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès
Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Succès Succès
Échecs Échecs
Fermer la ruche.
3.6.2 La gestion des journaux d’audits Consignes associées : cs 24-2
1.1.1.34
Tailles des journaux d’événements
Il convient d’adapter les tailles respectives des journaux aux conditions d’emploi de la station de travail. Si un ordinateur est utilisé couramment ou par des personnes curieuses de connaître l’informatique, les journaux risquent de devenir très volumineux. Il est nécessaire de limiter ces tailles. A contrario, il est inutile de prévoir des tailles trop importantes et d’utiliser qu’une partie de l’espace réservé. Les tailles allouées pour les journaux sont modifiables dans le menu : Démarrer Programmes Outils d’administration Observateur d’événements Journal Paramètres du journal Taille Maximale du journal. Elle sont toujours des multiples de 64 ko. Les dimensions retenues dans la mise en œuvre correspondent à une durée de 2 semaines entre chaque consultation :
Journal sécurité
1024 ko.
Journal système
1024 ko.
Journal applications
1024 ko.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser les plus anciens événements. Il suffit de cocher la case Écraser les événements si nécessaire de la même fenêtre.
Journal sécurité
Écraser les événements si nécessaire.
Journal système
Écraser les événements si nécessaire.
Journal applications
Écraser les événements si nécessaire.
Le 06/06/2000
version 1.0
Page 94
Manuel Windows NT 4.0 Workstation Station de travail
1.1.1.35
Sauvegarde des journaux d’événements
Consignes associées : cs 24-3, cs 24-4 Les informations contenues dans les journaux des événements doivent impérativement être consultées et comparées pour détecter :
Une attaque éventuelle.
Les problèmes matériels.
Les problèmes informatiques.
Les journaux de la station seront consultés chaque semaine (de préférence le lundi matin afin de découvrir une attaque pendant les deux jours de la fin de semaine). Il est recommandé de consulter les journaux chaque jour pour détecter immédiatement toute tentative d’intrusion. Suivant les possibilités, la personne qui consultera les journaux sera :
Un utilisateur (celui qui se connecte le plus souvent à la station).
Un responsable de la section.
L’administrateur (si personne ne peut assurer cette vérification).
Tous les mois, les journaux seront sauvegardés dans un sous répertoire <nom de la section>\<nom de la machine>\
Le 06/06/2000
version 1.0
Page 95
Manuel Windows NT 4.0 Workstation Station de travail
Après la sauvegarde des journaux sur le serveur de fichiers, les journaux présents sur la station sont effacés et de nouveaux journaux des événements vierges sont exploités. Les anciens journaux enregistrés sur le serveur de fichiers (de plus de 6 mois) seront effacés. Les journaux du domaine seront sauvegardés tous les mois sur le serveur de fichiers (sur la partition réservée aux Administrateurs (Journaux\
Le 06/06/2000
version 1.0
Page 96
Manuel Windows NT 4.0 Workstation Station de travail
3.7
Configuration des applications Consignes associées : cs 22-2, cs 28-4, cs 30-1, cs 31-1
3.7.1 Les registres des applications Consignes associées : cs 27-1 Les applications bureautiques ne doivent pas entrer en conflit avec les consignes de sécurité adoptées jusqu’à présent. Les sous-clés protégeant les applications du Pack Office 97sont dans le registre HKEY_LOCAL_MACHINE : HKLM\SOFTWARE\Microsoft\Office (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\VBA (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Internet Explorer (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Microsoft\Windows (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés, Notifier, Lecture du contrôle). HKLM\SOFTWARE\Data Fellows\F-Secure (et ses sous-clés) Administrateur Contrôle total. Tout le monde Accès spécial (Retrouver la valeur, Notifier).
3.7.2 Les documents antérieurs Consignes associées : cs 28-1 Les utilisateurs doivent être en mesure de contrôler la cohérence des documents ouvert pendant leurs sessions. Pour permettre cette vérification, les 9 derniers documents ouverts (le maximum) seront disponibles dans la rubrique Fichier dans la barre des menus de chaque application.
Application
Méthode
valeur
Word
Outils utilisés
Options
Général
Derniers
fichiers 9
Excel
Outils
Options
Général
Derniers
fichiers 9
Le 06/06/2000
version 1.0
Page 97
Manuel Windows NT 4.0 Workstation Station de travail
utilisés PowerPoint
Outils utilisés
Options
Général
Derniers
fichiers 9
3.7.3 Les répertoires de travail Consignes associées : cs 28-2, cs 28-5, cs 30-1, cs 31-1 Les sauvegardes (volontaires et automatiques) des documents des utilisateurs seront faites sur le serveur de fichier.
Application
Intitulés
valeur
Outils Options Dossiers par défaut
Word
Documents
Sur le serveur SFI
Fichiers d’images
Sur le serveur SFI
Modèles utilisateurs
Sur le serveur SFI
Modèles groupe de travail
Vide
Options utilisateur
Vide
Récupération automatique de fichiers
Vide
Outils Fichier de démarrage
C:\Program Files\Microsoft Office\Office\DEMARRE
Outils Options Général Excel
Dossier par défauts
Sur le serveur SFI
Autre dossier de démarrage
Vide
Outils Options Outlook Express
Autoarchivage Fichier archive par défaut :
Sur le serveur SFI
Journal Autoarchiver les entrées du journal Autoarchivage Déplacer les anciens éléments vers:
Sur le serveur SFI
Options
WinZip
PowerPoint
Le 06/06/2000
Répertoire de démarrage
Z:
Répertoire d’extraction par défaut.
Z:
Répertoire d’ajout par défaut.
Z:
Répertoire de travail
C:\TEMP
Répertoire de contrôle de base
C:\TEMP
Répertoire temporaire
Z:
Outils Options Options avancées Emplacement du fichier par défaut :
version 1.0
Sur le serveur SFI
Page 98
Manuel Windows NT 4.0 Workstation Station de travail
Word utilise deux méthode de sauvegardes des documents. L’enregistrement rapide de Word crée un fichier contenant les modifications apportées au texte. Cette méthode permet de copier à la suite toutes les modifications et ainsi de diminuer les accès disque nécessaires aux changements du passage concerné. Cette opération est plus rapide qu'un enregistrement normal (surtout sensible pour des documents très volumineux). Cette rapidité accrue se fait au détriment du volume. La taille de ce fichier est beaucoup plus importante. Il faut désactiver l’option Autoriser les enregistrements rapides (onglet Outils Options Enregistrement).
3.7.4 Les protections contre les virus de macros Consignes associées : cs 28-3, cs 28-4, cs 29-1 Les virus de macros sont indécelables par tous les logiciels et notamment par les applications de Microsoft Office (Word, Excel et PowerPoint). La seule option disponible est la mise en garde à l’ouverture d’un document contenant une macro instruction. L’utilisateur pourra choisir d’ouvrir le document avec ou sans macros. Cette mise en garde n’est pas suffisante et il convient de sensibiliser les utilisateurs aux risques des virus de macros. Pour activer l’affichage du message d’alerte :
Application
Méthode
Valeur
Outils Options Général Word
Protection contre les virus contenus Cocher la case dans les macros Outils Options Général
Excel
Activer l’alerte macro
Cocher la case
Outils Options PowerPoint
Protection contre les virus contenus Cocher la case dans les macros
Certains virus de macros sont écrit en Visual Basic ou ActiveX. Ces langages sont implémentés par défaut dans la majorité des logiciels de Microsoft Office (notamment pour créer et exécuter des macros instructions). Il faut interdire ces langages dès l’installation de Microsoft Office en ne cochant pas les cases correspondant à Visual Basic.
Le 06/06/2000
version 1.0
Page 99
Manuel Windows NT 4.0 Workstation Station de travail
3.7.5 Paramétrage d’Internet Explorer Consignes associées : cs 29-1, cs 29-2, cs 29-3 Internet Explorer inclus des assistances, des aides et des fichiers temporaires qui sousentendent parfois la divulgation d’informations personnelles. Il est donc très important d’effacer tous les fichiers créés par Internet Explorer (enregistrés dans le répertoire Temporary Internet Files).
Click droit de la souris sur Internet Explorer Propriétés puis : Général : -
Limiter le nombre de jours pendant lesquels ces pages sont conservées à 5 jours (suivant les besoins).
-
Paramètres (de Temporary Internet Files) Déplacer le dossier choisir C:\WINNT\Profiles\« le nom de l’utilisateur »\Temporary Internet Files.
Sécurité : -
Le 06/06/2000
Initialiser les choix avec un niveau de sécurité élevé (Personnaliser le niveau choisir Élevé du menu Rétablir puis cliquer sur Rétablir et valider).
version 1.0
Page 100
Manuel Windows NT 4.0 Workstation Station de travail
-
Interdire l’exécution automatique des commandes ActiveX. Ce langage peut ouvrir une multitude de fenêtres et provoquer un déni de service en saturant les ressources de la station. Click droit de la souris sur Internet Explorer Propriétés Sécurité Personnaliser le niveau…, puis désactiver : Contrôles ActiveX reconnus sûrs pour l’écriture de scripts.
Contenu : -
Ne jamais remplir : Informations personnelles Profil.
-
Désactiver : semi-auto… Noms d’utilisateurs et mots de passe sur les formulaires et Demander l’enregistrement des mots de passe (de Utiliser la saisie semiautomatique pour).
Avancées : -
Désactiver : Activer les éléments disponibles connexion à synchroniser (du chapitre Navigation).
hors
-
Désactiver : Vérifier automatiquement les mises à jour de Internet Explorer (du chapitre Navigation).
-
Désactiver : Fortezza et SSL 2.0 (du chapitre Sécurité).
-
Activer : Ne pas enregistrer les pages cryptées sur le disque (du chapitre Sécurité).
-
Activer : Vider le dossier Temporary Internet Files lorsque le navigateur est fermé (du chapitre Sécurité).
3.7.6 Paramétrage de Communicator V4 Consignes associées : cs 32-1, cs 32-2, cs 32-3 La fenêtre es paramètres de Communicator sont réglables par le menu Edition Préférences…. Les paramètres importants sont : Navigator :
Le 06/06/2000
version 1.0
Page 101
Manuel Windows NT 4.0 Workstation Station de travail
-
Conserver un Historique de 5 jours maximum.
-
Ne pas afficher une page extérieure au réseau lors du démarrage du navigateur. Le champ Page d’accueil est laissé vierge ou remplit avec le nom d’une page locale.
-
Sous menu Applications : •
Éviter l’utilisation du langage Visual Basic en supprimant Fichier script VBscript de la liste.
•
Éviter l’utilisation du langage Java en supprimant JavaScript Program de la liste.
•
Éviter les appels des macros instructions. Supprimer de la liste Raccourci macro Microsoft Access.
Courrier et Forums : -
Identité : laisser tous les champs de l’identité supplémentaires (bouton Modifier la carte …) vides.
et
les
champs
-
Serveur de courrier : tous les messages seront stockés sur un serveur POP si ce serveur existe. Accéder à Modifier, puis cocher la case Laisser les messages sur le serveur. Copies et dossiers :
-
Vider tous les champs et enlever les options sélectionnées. Espace disque :
-
Cocher la case Ne pas stocker localement les messages qui dépassent 0 Ko. Serveur L-DAP et HTTP : (uniquement si l’un de ces serveurs existe)
-
Le 06/06/2000
Accès distant Activer l’accès itinérant pour ce profil : ne pas cocher cette case pour éviter qu’un utilisateur puisse lancer Communicator depuis toutes les machines du réseau.
version 1.0
Page 102
Manuel Windows NT 4.0 Workstation Station de travail
-
Accès distant Se souvenir de mon mot de passe pour l’accès itinérant : ne pas cocher cette case pour éviter de stocker le mot de passe localement.
-
Sélection d’une rubrique Accepter uniquement : •
Signet.
•
Filtres du courrier.
•
Carnet d’adresses.
•
Préférences de l’utilisateur.
Avancées : -
Le 06/06/2000
Désactiver les options : Activer Java, Activer JavaScript (en désactivant aussi Activer JavaScript pour le courrier et les forums).
version 1.0
Page 103
Manuel Windows NT 4.0 Workstation Station de travail
Cache :
-
Mettre 0 pour le Cache en mémoire (attention tous les accès se feront au travers du serveur). Il est possible de vider cette mémoire en appuyant sur le bouton Vider le cache en mémoire.
-
Mettre 0 pour le Cache sur disque (attention toutes les pages seront rechargées à chaque fois). Il est possible de vider cette mémoire en appuyant sur le bouton Vider le cache sur disque.
-
Cocher la case Ne pas stocker de fichier SSL (les messages SSL, sont stocker en clair dans le cache sur disque). SmartUpdate :
-
Ne pas cocher Activer SmartUpdate.
3.7.7 Protection contre les virus (F-Secure) Consignes associées : cs 33-1 L’installation du logiciel antivirus de l’armée de terre F-Secure doit être effectuée par un répertoire partagée du réseau qui a été crée par l’administrateur avec des options de sécurité pour éviter une mauvaise manipulation du logiciel par les utilisateurs et sa désactivation Le scan des disques durs doit être effectué tous les jours ouvrables Click droit sur scan de disque dur en veille puis : Général : « choisir comme cible tous les disques durs » Avancé : Méthode
Le 06/06/2000
F-PROT +AVP
version 1.0
Page 104
Manuel Windows NT 4.0 Workstation Station de travail
Chercher Cocher les deux cases « Virus et Chevaux de Troie et Virus macro de document » Dans Cocher les trois cases « Exécutables Archives (ZIP, LZH), et Secteur de Boot » Action
et
documents,
Désinfecter
Lancement du logiciel en double cliquant sur l’icône violet dans la barre des tâches Onglet Editer Préférences puis : Protection : -
Valider la protection dynamique en cochant la case « valider F-Secure Gatekeeper
-
L’action « désinfecter » doit être choisi pour l’action sur un fichier infecté.
Restriction : « en mode utilisateur » Invalider la modification ou la création de tâches Invalider le scan réseau en mode utilisateur Administration : Cacher à l’utilisateur « les restrictions, la mise à jour, le réseau et administration » L’installation en réseau permet une mise à jour régulière des fichiers de signatures depuis le poste administrateur et la distribution sur les stations clientes.
Le 06/06/2000
version 1.0
Page 105
Manuel Windows NT 4.0 Workstation Station de travail
ANNEXE Annexe A :
Schéma d’un réseau Windows NT 4.0
Annexe B :
Permissions/Droits et Sécurité/Partage
Annexe C :
Les profils
Le 06/06/2000
version 1.0
Page 106
Manuel Windows NT 4.0 Workstation Station de travail
A. 4.0
SCHÉMA D’UN RÉSEAU WINDOWS NT
Cette annexe donne une vision simple des comptes globaux et locaux, ainsi que la portée des éléments associés à ces comptes.
Portée de : - l ’Administrateur du domaine - les utilisateurs du domaine - les invités du domaine - les groupes du dom aine Les utilisateurs définis sur le CPD sont défin is sur le domaine entier Portée de : - l ’administrateur local - l ’Utilisateur local - l ’Invité local
Poste Serveur de fichiers
CPD
Poste Serveur Windows NT 4.0
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local Poste Client NT 4.0 Workstation
Imprimante partagée
Imprimante locale
Portée de : - l ’Administrateur local - l ’Utilisateur local - l ’Invité local
Poste Client NT 4.0 Workstation
Le terme local indique un caractère lié à la station et donc non reconnu par le réseau. Le terme global indique un caractère lié au réseau et donc commun à toutes les stations sauf dans un cas explicitement précisé (par le profil de l’utilisateur).
Les caractéristiques définies sur la station sont donc locales (administrateur local) et les caractèristiques définies sur le Contrôleur Principal de Domaine sont donc globales (administrateur global ou du réseau ou du domaine).
Le 06/06/2000
version 1.0
Page 107
Manuel Windows NT 4.0 Workstation Station de travail
Réseau Les utilisateurs définis su r le CPD sont définis su r le domaine entier
Contient : - les fichiers utilisateurs - la stratégie système - les définitions des m achines vues du réseau
Contient : - les profiles com muns - les applications - les définitions des m achines autonomes
Contient : - les répertoires de base - les répertoires partagés - les profiles errants CPD
Section 1
Serveur de fichiers
Section 2
Contient : - les profiles com muns - les applications - les définitions des m achines autonomes
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Poste Client NT 4.0 Workstation
Ce dessin présente la localisation des fichiers, profils et répertoires communs. L’ouverture d’une session permet de transférer les différentes informations vers la station utilisée.
Le 06/06/2000
version 1.0
Page 108
Manuel Windows NT 4.0 Workstation Station de travail
A. PERMISSIONS/DROITS ET SÉCURITÉ/PARTAGE Consignes associées : cs 11-1
A.1 Les Permissions NTFS Les permissions de la sécurité sont intrinsèquement liées au système de fichiers NTFS. Cette remarque prend tout son sens lorsqu’on compare les permissions d’un partage avec les permissions de la sécurité : Les permissions d’un partage : Elles portent sur les permissions accordées aux utilisateurs. Elles sont généralement appelées droits. Les permissions de la sécurité : Elles sont attribuées aux objets. Elle sont généralement appelées permissions par opposition aux droits. C’est en jouant sur ces deux séries de critères que l’on obtient les possibilités et les interdictions voulues pour un utilisateur. Les permissions de la sécurité sont accessibles par : Click droit sur l’objet Propriétés Sécurité
Ces permissions se déclinent en Permissions standards et en Permissions spéciales. La liste déroulante du Type d’accès présente ces permissions pour le type d’utilisateur sélectionné dans la fenêtre supérieure (voir figure suivante).
Le 06/06/2000
version 1.0
Page 109
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions standards :
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Affiche les attributs
Permet l’accès aux sous-répertoires
Permissions d’accès spécial à un répertoire
Afficher les noms des sous-répertoires
Accès standards à un répertoire
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 110
Permissions d’accès spécial à un fichier
Aucun accès (Aucun) (Aucun) Lire (RX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
version 1.0 Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Permet l’accès aux sous-répertoires
Affiche les attributs
Afficher les noms des sous-répertoires
Manuel Windows NT 4.0 Workstation Station de travail
Accès standards à un fichier
Annule toutes les autres permissions
Donne toutes les permissions
Page 111
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions spéciales pour un répertoire : Les Permissions spéciales sont accessibles en fin de liste des permissions. Elles reprennent les permissions standards en les regroupant différemment :
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer les sous-répertoires vides
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet de créer des sous-répertoires
Permet de modifier les attributs
Affiche les attributs
Permet l’accès aux sous-répertoires
Permissions d’accès spécial à un répertoire
Afficher les noms des sous-répertoires
Accès spécial d’un répertoire à un répertoire
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 112
Manuel Windows NT 4.0 Workstation Station de travail
(Tous) (Tous) Contrôle total (Tous) (Tous)
Le 06/06/2000
Donne toutes les permissions
version 1.0
Page 113
Manuel Windows NT 4.0 Workstation Station de travail
Aucun accès (Aucun) (Aucun) Lister (RX) (Non spécifié) Lire (RX) (RX) Ajouter (WX) (Non spécifié) Ajouter et Lire (RWX) (RX) Modifier (RWXD) (RWXD) Contrôle total (Tous) (Tous)
Le 06/06/2000
Permet de s’attribuer des permissions
Permet de modifier les permissions du fichier
Permet de supprimer le fichier
Permet de modifier le fichier
Permet de modifier les attributs des fichiers
Permissions d’accès spécial à un répertoire
fichiers Affiche le propriétaire et les permissions des
Exécute les fichiers programmes
Afficher les attributs des fichiers
Afficher le contenu des fichiers
Afficher les noms des fichiers
Accès spécial d’un répertoire à un fichier
Annule toutes les autres permissions
Donne toutes les permissions
version 1.0
Page 114
Manuel Windows NT 4.0 Workstation Station de travail
Le 06/06/2000
version 1.0
Page 115
Lire
R
Écrire
W
Exécuter
X
Supprimer
D
Changer des permissions
P
Prendre possession
O
Le 06/06/2000
version 1.0 Permet de s’attribuer des permissions
Permet de modifier les permissions
Permet de supprimer le répertoire
Affiche le propriétaire et les permissions
Permet l’accès aux sous-répertoires
Permet de modifier les attributs
Permet d’ajouter des fichiers ou des sous-répertoires
Permissions d’accès spécial à un répertoire Affiche les attributs
Affiche les noms des fichiers contenus
Manuel Windows NT 4.0 Workstation Station de travail
Les permissions spéciales pour un fichier :
Page 116
Manuel Windows NT 4.0 Workstation Station de travail
Contrôle total
Le 06/06/2000
RWXDPO
version 1.0
Page 117
Manuel Windows NT 4.0 Workstation Station de travail
Accès standards Règles générales pour la partition de travail (Z: sur la station) : Pour les fichiers Contrôle total Modifier Lire Ajouter Écriture
Pour les répertoires
Uniquement l’administrateur Utilisateurs
Règles générales pour la partition du système (C: sur la station) : Pour les fichiers Contrôle total Modifier Lire Ajouter Écriture
Le 06/06/2000
Pour les répertoires
Uniquement l’administrateur Utilisateurs
version 1.0
Page 118
Manuel Windows NT 4.0 Workstation Station de travail
A.2 Les permissions d’un partage Les permissions d’un partage ne sont pas vues à partir du fichier mais à partir des utilisateurs. Ces permissions sont données pour un utilisateur ou un groupe. Chaque partage porte un nom unique sur le réseau. L’utilisateur verra ce partage en accédant au répertoire ou au fichier par le voisinage réseau. Cependant, si le nom du partage se termine par &, l’utilisateur pourra accéder à ce partage mais sera invisible par le voisinage réseau.
Cliquer sur le bouton Permissions
Le 06/06/2000
version 1.0
Page 119
Manuel Windows NT 4.0 Workstation Station de travail
Remarques : Aucun accès : cette option prime sur toutes les autres permissions. Si l’utilisateur fait partie de 2 groupes. L’un possède le Contrôle total sur ce fichier ou répertoire et l’autre Aucun accès, alors il n’aura pas accès. Le Contrôle total n’est donné qu’à l’administrateur. Les utilisateurs ne doivent jamais posséder le droit de prendre possession, ou de partager. Les fichiers seront uniquement échangés au travers du serveur de fichiers.
A.3 Exemples A.3.1
Partage d’une imprimante locale
Consignes associées : cs 12-1, cs 21-2 Une imprimante connectée à un ordinateur est créée non partagée par défaut. Pour que plusieurs stations utilisent cette imprimante, l’administrateur doit créer une permission de sécurité sur l’imprimante. Clique droit sur l’imprimante Propriétés Sécurité Permissions. Ajouter comme pour des permissions sur un répertoire les utilisateurs et les permissions accordées. Les permissions accordées sont : Contrôle total Imprimer
pour l’administrateur. pour les utilisateurs.
Les groupes ne devant pas utiliser l’imprimante sont précisés avec la permission Aucun accès.
A.3.2
Partage et sécurité sur des fichiers et répertoires
Consignes associées : cs 18-3
Le 06/06/2000
version 1.0
Page 120
Manuel Windows NT 4.0 Workstation Station de travail
Le tableau suivant présente un résumé de la manière d’attribuer les permissions de la sécurité. Il n’y a pas une méthode générale pour déterminer les couples utilisateurs/permissions. Cependant des réflexe permettent de simplifier la tâche : Enregistrer toutes les applications sous le répertoire Program Files. Laisser les utilisateurs organiser à leur façon la partition étendue. Les données sont copiées uniquement sur la partition étendue. Attribuer les permissions pour des groupes. Éviter l’attribution des permissions pour des utilisateurs.
Le 06/06/2000
version 1.0
Page 121
Manuel Windows NT 4.0 Workstation Station de travail
Dans ce schéma d’organisation, les permissions d’accès sont :
Permissions d’accès standard Type d’utilisateur
Pour les applications Fichiers
Pour les données
Répertoires
Fichiers
Répertoires
Administrateur
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Système
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Lire
Lire
Modifier
Modifier
Groupes du domaine
(parfois Ajouter)
Permissions d’accès spécial Type d’utilisateur
Pour les applications Fichiers
Répertoires
Pour les données Fichiers
Répertoires
Administrateur
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Système
Contrôle total
Contrôle total
Contrôle total
Contrôle total
Exécuter
Lire, Exécuter
Lire, Écrire, Exécuter, Supprimer
Lire, Écrire, Exécuter, Supprime
Groupes du domaine
Le 06/06/2000
version 1.0
Page 122
Manuel Windows NT 4.0 Workstation Station de travail
B. LES PROFILS Consignes associées : cs 19-1 Les profiles sont enregistrés sur le disque dur dans le répertoire dans C:\WINNT\Profiles. Le profile complet d’un utilisateur est composé d’une partie commune à toutes les personnes et d’une partie spécifique à cet utilisateur. La première partie est résidente sur la station et propose généralement les applications présentes sur le disque dur local. La seconde partie du profile est dénommée profile errant (puisque dans notre cas il est importé sur la station à l’ouverture d’une session). Le nom de son répertoire est celui de l’utilisateur. La station utilise la variable appelée %USERNAME% pour créer et gérer les profils. Répertoire du profile de All Users
Répertoire du profile de %USERNAME% (sur la figure suivante %USERNAME%=“Sec1_Util1”)
Le 06/06/2000
version 1.0
Page 123
Manuel Windows NT 4.0 Workstation Station de travail
Le menu démarrer se décompose en 2 groupes d’applications, plus le groupe contenant Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes : Nouveau office Ouvrir un office Programmes Documents Paramètres Rechercher Aide Exécuter Arrêter…
document document
Contenu dans All Users\Menu Démarrer Voir le sous menu suivant Contenu de %USERNAME%\Recent Contenu dans C:\Panneau de configuration Exécute certaines applications locales et globales Exécute WINHLP32.EXE Renvoi la variable ComSpec (Poste de travail Propriété Environnement Sert à arrêter l’ordinateur.
Local
Global Local Local Local Local
Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur et il donne la portée de ces deux groupes : Accessoires Démarrage Mes outils d’administration Startup Documents en ligne Explorateur Windows NT Internet Explorer Invite de commandes Démarrage Outils d’administration Microsoft Access Microsoft Excel Microsoft Outlook Microsoft Photo Editor Microsoft PowerPoint Microsoft Word
Concerne le profil %USERNAME% Contenu de Démarrer\Programmes
%USERNAME%\Menu
Globa l
Concerne le profil All USERS Local Contenu dans All USERS\Menu Démarrer\Programmes
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes rend cette application disponible par tous les utilisateurs. Le raccourci d’une application copié dans %USERNAME %\Menu Démarrer\Programmes rend cette application disponible pour un seul utilisateur. Le profile Default User est utilisé pour des clients DHCP ou pour une personne inconnue (ces deux utilisateurs sont interdits sur le réseau).
Le 06/06/2000
version 1.0
Page 124
Related Documents
Station De Travail
June 2020 6
L'environnement De La Station Du Travail
June 2020 4
Travail
July 2020 21
Travail
July 2020 28
Travail, Prison, Travail
June 2020 26