Les contre-mesures techniques
Les moyens intégrés au monde Microsoft
Microsoft fait d’énormes efforts pour donner aux administrateurs les moyens de sécuriser ses systèmes. On peut dire que depuis quelques années, ces efforts sont payants et donnent aux utilisateurs finaux des outils remarquablement bien protégés. Il reste bien sûr aux administrateurs à prendre en main ces outils et à les configurer correctement. Ce livre n’est pas dédié à l’apprentissage complet de ces moyens de protection, mais davantage à l’approfondissement de certains points importants en prenant en compte le fait que vous connaissez déjà, du moins en partie, l’administration des systèmes Windows. Vous aurez avec ces éléments au moins les clés essentielles pour mieux sécuriser votre environnement.
Les moyens d’installation et de configuration des produits peuvent varier suivant la version du produit que vous utilisez. Si certaines explications vous paraissent trop brèves et peut-être insuffisantes ou ne correspondent pas à la version de logiciel que vous avez, nous vous invitons alors à consulter les nombreux ouvrages des Éditions ENI qui traitent des sujets comme Active Directory ou l’administration des serveurs Windows Server 2012. Ces livres vous donneront de plus amples informations sur la configuration des services et des moyens de défense dans le monde Windows Server.
Certains termes sont restés volontairement en anglais pour vous faciliter la recherche de documentation sur Internet, les informations pertinentes n’étant pas traduites systématiquement.
1. Empêcher le boot du système
Vous avez pu remarquer que si un utilisateur peut démarrer sa machine avec un DVD aussi inoffensif que celui permettant d’installer Windows, il pourra devenir système ou administrateur de l’ordinateur qu’il convoite. Il faut dans la mesure du possible faire en sorte qu’il ne puisse pas modifier un serveur offline ou pire, pirater un contrôleur de domaine.
a. SysKey
Pour empêcher un autre utilisateur de démarrer un serveur sans autorisation, il est possible d’activer le Syskey. Cette clé est utilisée par le système pour lire le hash des mots de passe dans Windows. Par défaut...
Configurer une authentification forte
Nous avons démontré que le mot de passe n’est pas fiable car il est plus ou moins facile de l’obtenir par divers moyens : extraction de la SAM, d’AD, fausse boîte de dialogue, keylogger, faux proxy, écoute du réseau, etc. Configurer la sécurité en utilisant un mot de passe complexe réduit uniquement le risque de pouvoir le cracker s’il a été compromis dans une forme non réversible (MD4, NTLM, etc.). Dans les autres cas, le mot de passe est très souvent en clair. Il est quasiment impossible d’empêcher un hacker d’obtenir un mot de passe d’un site web, d’une application d’entreprise, de la session, si l’utilisateur clique sur un fichier infecté en entreprise ou sur son ordinateur personnel.
Les entreprises mettent de plus en plus en place un SSO (Single Sign On) qui permet, une fois la session ouverte, d’accéder à tous les fichiers et toutes les applications. Le SSO est confortable pour l’utilisateur puisque son identité n’est validée qu’une seule fois, c’est donc globalement une bonne chose.
Il y a cependant un énorme risque si le mot de passe de la session est compromis. Une personne malintentionnée aura alors accès à tous les fichiers et toutes les applications de l’entreprise sans restriction. Les applications d’entreprise qui utilisent un mot de passe fixe ont le même risque d’être compromises par un keylogger, un faux proxy, l’écoute du réseau, une fausse boîte de dialogue, etc.
Il est très important de comprendre que l’identité doit être fortement contrôlée que celui-ci un cas de SSO ou même sans SSO. C’est grâce à l’identité de l’utilisateur que celui-ci reçoit ses droits et ses accès aux fichiers et aux applications. C’est pour cela que certaines applications doivent également demander une authentification plus forte qu’un mot de passe ou un SSO afin de ne pas être accessible par une personne malintentionnée (applications de RH, finance, salaires, recherche, etc.).
Pour sécuriser au mieux une infrastructure, il faut prendre en compte que le mot de passe utilisé seul est peu fiable...
Les autres moyens techniques
1. La dissociation
Pour réduire les tentatives réussies d’attaques, vous pouvez en termes plus physiques séparer les réseaux des utilisateurs, ceux des serveurs et pourquoi pas, ceux des serveurs encore plus importants. Vous pourrez alors à travers ces séparations mettre un pare-feu ou des règles d’accès directement sur les répéteurs. Pensez aussi à mettre des switchs dédiés si cela peut augmenter la sécurité.
a. Dissociation des réseaux physiques
Pour créer des séparations physiques distinctes, vous pouvez travailler avec des routeurs et des pare-feu, le but étant d’empêcher certaines machines ou utilisateurs de se connecter sur des services sensibles comme les finances ou les ressources humaines.
Il est alors important dans ce cas de bien définir les règles de routage et de pare-feu, pour que la sécurité soit garantie, mais aussi, pour être certain que toutes les applications communes (Mail, Lync, partage de fichiers, intranet, etc.), ainsi que les applications propres aux métiers fonctionnent correctement.
b. Utilisation de VLAN
Pour éviter d’avoir une infrastructure trop coûteuse, il n’est pas rare de voir l’utilisation de VLAN (Virtual LAN) pour sécuriser et séparer des environnements dédiés. Toutefois, prenez garde au comportement de vos commutateurs s’ils devaient subir une attaque de type flood. Dans la plupart des cas, quand le switch est dépassé par les événements, il se transforme en hub ou définit tous ses ports avec le VLAN par défaut, généralement le VLAN 1. Toutes les machines peuvent alors discuter ensemble sans aucune restriction.
Malgré ce risque, les VLAN restent un moyen fiable et peu coûteux pour configurer une séparation des environnements.
Pour configurer un VLAN particulier sur un ordinateur virtuel Hyper-V, vous pouvez configurer un nouveau commutateur avec le VLAN voulu, puis attribuer celui-ci à la machine virtuelle concernée. Ou vous pouvez directement définir le VLAN sur les paramètres de la carte réseau de l’ordinateur virtuel.
c. Antivirus
Du côté du client, vous pouvez déjà installer un certain...