<% ‘article_numero = 320 article_numero = 18667 %>

sécurité du poste de travail.

L’enjeu d’une sécurité autour du poste de travail à été longuement abordé lors des Journées Microsoft de la Sécurité, par Stéphane Saunier. Celui-ci a insisté sur le fait que le poste de travail avait beaucoup évolué ces dernières années et qu’ils étaient devenus des cibles « parfaites » pour les attaques de type virus, vers, spyware, malware et autres types d’attaques malveillantes. Cette conférence a permit de faire le point sur la façon de défendre son poste de travail en environnement entreprise ainsi que dans l’utilisation familiale d’un ordinateur de bureau. La présentation a couvert tous les moyens de protection actuellement disponible mais aussi quelques éléments qui feront parti du nouveau système d’exploitation Windows Vista. Le poste de travail d’aujourd’hui évolue dans un système connecté. Celui-ci peut être connecté au réseau de l’entreprise, au réseau Internet voir même des connexions plus complexe comme le VPN (Virtual Private network). C’est pour cette raison que la sécurité du poste de travail a son importance.

L’accès physique à la machine

Chaque poste de travail doit posséder un accès restreint et sécurisé. Pour cela certains produits sont présent sur le marché comme les badges d’accès aux bâtiments ou les caméras de surveillance. De plus, pour permettre une authentification la plus sécurisé au niveau des utilisateurs la carte à puce ainsi que les PKI (Public Key Infrastructure) permettront une authentification très sécurisée. Il ne faut pas oublier que des mots de passe robustes et régulièrement changés renforcent la sécurité autour du poste de travail.

Les lecteurs de smart cards commencent à faire leur apparition dans de nombreuses sociétés, ils permettent d’authentifier les utilisateurs mais peuvent aussi servir de carte d’accès à certains bâtiments sécurisés.

Les clés publiques permettent de s’affranchir de la nécessité d’avoir recours systématiquement à un canal sécurisé pour s’échanger les clés. En revanche, la publication de la clé publique à grande échelle doit se faire en toute confiance pour assurer que : La clé publique est bien celle de son propriétaire ; Le propriétaire de la clé est digne de confiance ; La clé est toujours valide.

L’environnement du poste de travail

La sécurisation du réseau d’entreprise au niveau des communications externe peut être très sécurisé grâce à des serveurs de type ISA 2004/2006. Celui-ci va pouvoir sécuriser les éléments réseaux de tous types (mobile, poste de travail,…). Il est possible via un service de quarantaine d’isoler du réseau les nouveaux périphériques qui intègrent le réseau. Pour les postes nomades qui se connectent à l’entreprise ils seront interconnectés à travers ISA 2004/2006, une fois connecté à ce réseau ils sont ensuite connectés aux différents serveurs de l’entreprise grâce à une connexion VPN. Un projet nommé NAP (Network Access Protection) permettra nativement d’intégrer la mise en quarantaine directement sur les switchs et les routeurs. La segmentation du réseau garantit une communication isolée des utilisateurs et cette solution peut être couplée avec une isolation du domaine et des politiques de communication inter-site restreintes.

Intrusion Détection System

IDS permet de vérifier le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir une action de prévention sur les risques d’intrusion. Deux type d’IDS peuvent être utilisés : un qui permettra de vérifier le trafic sur le réseau et un autre qui sera situé sur le poste de travail et qui vérifiera l’activité de celui-ci.Trois types de vérifications existent pour parer à différentes attaque:

Vérifications Analyse de la pile protocolaire Vérification des protocoles applicatifs Reconnaissance des attaques par « Pattern Matching »
Actions Vérifie les paquets valides et non valides. Vérifie les protocole de type NETBIOS Il s’agit de l’identification d’une intrusion par le seul examen d’un paquet et la reconnaissance dans une suite d’octets du paquet d’une séquence caractéristique d’une signature précise.
Attaques contrées Ping-Of-Death » et « TCP Stealth Scanning » WinNuke,Back Orifice PING ,Back Orifice COMPROMISE Intrusions suspectes

Les différentes actions des IDS :

Les principales méthodes utilisées pour signaler et bloquer les intrusions sur les IDS sont les suivantes :

  • Reconfiguration d’équipement tierces (firewall, ACL sur routeurs) : Ordre envoyé par le IDS à un équipement tierce (filtreur de paquets, pare-feu) pour une reconfiguration immédiate dans le but de bloquer un intrus source d’intrusions. Cette reconfiguration est possible par passage des informations détaillant une alerte (en tête(s) de paquet(s)).
  • Envoi d’une trap SNMP à un hyperviseur tierce : Envoi de l’alerte (et le détail des informations la constituant) sous format d’un datagramme SNMP à une console tierce comme HP OpenView.
  • Envoi d’un e-mail à un ou plusieurs utilisateurs : Envoi d’un e-mail à une ou plusieurs boîtes au lettre pour notifier d’une intrusion sérieuse.
  • Journalisation (log) de l’attaque : Sauvegarde des détails de l’alerte dans une base de données centrale comme par exemple les informations suivantes: timestamp, @IP de l’intrus, @IP de la cible, protocole utilisé, payload).
  • Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des paquets réseaux (raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte.
  • Démarrage d’une application : Lancement d’un programme extérieur pour exécuter une action spécifique (envoi d’un message sms, émission d’une alerte auditive…).
  • Envoi d’un « ResetKill » : Construction d’un paquet TCP FIN pour forcer la fin d’une connexion (uniquement valable sur des techniques d’intrusions utilisant le protocole de transport TCP
  • Notification visuelle de l’alerte : Affichage de l’alerte dans une ou plusieurs console(s) de management.

Windows Defender

L’interface utilisateur de Windows defender a été revue afin de facilité son utilisation:

Windows Defender protège les PC contre les logiciels espions et publicitaires, les fenêtres publicitaires et autres nuisances provenant d’Internet. Selon les statistiques de Microsoft, ce logiciel serait actuellement employé par plus de 25 millions d’internautes.L’interface de Windows Defender permet de regroupée les différents éléments de sécurité intègre a Windows Vista:

  • General settings
  • AntiSpyware Community
  • Quarantined items
  • Software Explorer
  • Allowed items
  • Windows Defender website.
  • MSRT (Microsoft Malicious Software Removal Tool) intégré permet de supprimer virus, bots, et chevaux de Troie pendant une mise à jour et sur une base mensuelle

Sécurité des applications

Code Integrity (Revu du code)Code Integrity protège les fichiers du système d’exploitation lorsque celui-ci est en cours d’exécution Signature de tous les exécutables et DLL du système d’exploitation et vérification de la validité des signatures lors du chargement en mémoire Le but est ici de s’assurer qu’un logiciel malveillant ne remplace pas un fichier du système d’exploitation ou n’injecte pas un pilote non signé afin de compromettre une partie du système d’exploitation. Pour cela le binaire est vérifié (hash):

  • Ceux chargés en mode noyau (tout le binaire)

  • Ceux chargés dans un processus protégé – un seul : Media Foundation PMP (par page)

  • Les DLL installées par le système qui implémentent des fonctions cryptographiques (par page)

En cas d’échec de la vérification :

  • Comportement dicté par la politique CI (Code integrity)

  • System Recovery gère les échecs pour les fichiers nécessaires au boot

  • Si échec de vérification d’une page en mode utilisateur, exception levée qui résulte souvent en l’échec de l’application

  • Enregistrement d’événements dans Event Viewer / Application Logs / Microsoft / Windows / CodeIntegrity

SDL (Sécurity Developpement Lifecycle):L’expérience en matière de sécurité des logiciels réels a conduit à un ensemble de principes de haut niveau pour la création de logiciels plus sécurisés. Microsoft a désigné ces principes SD3+C – Secure by Design (sécurisé par conception), Secure by Default (sécurisé par défaut), Secure in Deployment (sécurisé dans le déploiement) et Communications.

Si chaque élément de SD3+C impose un certain nombre d’exigences sur le processus de développement, les deux premiers éléments (sécurisé par conception et sécurisé par défaut) sont ceux qui contribuent le plus à la sécurité. La règle « sécurisé par conception » impose des processus destinés à éviter l’introduction de failles en premier lieu, tandis que la règle « sécurisé par défaut » implique que l’exposition par défaut du logiciel, sa « surface d’attaque », soit réduite. Cette fiche d’évolution résume bien l’objectif de SDL pour améliorer la sécurité des applications:

Stratégie de groupe ou GPO (Group Policy Object)

La stratégie de groupe est un composant essentiel de gestion de Windows Server 2003. Une partie de la puissance de la stratégie de groupe réside dans sa capacité à déléguer certaines tâches de stratégie de groupe à d’autres administrateurs.

Ainsi, la création, la liaison et l’édition d’objets de stratégie de groupe sont associées à des autorisations indépendantes qui peuvent être déléguées séparément.

Grâce aux stratégies de groupe l’administrateur peut réduire le champs d’action des utilisateurs en lui supprimant par exemple le menu Exécuter de la barre de démarrage.

Il est aussi possible de déployer des applications par le biais d’une stratégie de groupe. Cette application (ou package) pourra:

  • Soit s’installer au redémarrage de la machine
  • Soit être disponible à l’installation dans le menu Ajout/suppression de Programmes dans le Panneau de configuration.

(System Management Server)

Microsoft Systems Management Server 2003 (Systems Management Server 2003, SMS 2003) est une solution complète d’administration de parc informatique, d’inventaire et de gestion des applications et de mises à jour de sécurité.

La prise en main de SMS 2003 est beaucoup plus compliquée que WSUS mais les objectifs de ces deux logiciel ne sont pas les mêmes.

Je vous conseille pour une prise en main rapide et complète cet article intitulé Présentation et implémentation de System Management Server 2003 (SMS 2003). Ce logiciel a pour principal intérêt la gestion avancé du parc informatique à travers une unique interface. Il permet entre autres de :

  • Réaliser un inventaire matériel et logiciel avec SMS 2003
  • Assistance à distance avec SMS 2003
  • Distribution et gestion des logiciels et mises à jour à l’aide de SMS 2003
  • Analyse, maintenance et sauvegarde de SMS 2003

WSUS (Windows Server Update Service)

Microsoft Windows Server Update Services (WSUS) est une solution complète de gestion des mises à jour sur votre réseau. Un article complet réalisé par Nicolas MILBRAND présente les différentes méthodes de mise a jour via SMS ou WSUS qui ont été présenté lors des Journées Microsoft de la Sécurité ici

L’objectif est simple et résumé dans cette image:

Conclusion

L’ordinateur de bureau est une cible pour toutes les attaques malveillantes qui se développent aujourd’hui. Microsoft se penche depuis plusieurs années sur des solutions efficaces pour contrer les attaques de plus en plus nombreuses. Des outils facile à prendre en mains et parfois gratuit (WSUS) peuvent aider au maintient du parc informatique à jour et sain.