1 / 81

Bienvenue

Bienvenue. Sécurisation du poste de travail. Nom du présentateur. Partenaire Officiel. Logistique. Vos questions sont les bienvenues. N’hésitez pas !. Pause en milieu de session. Feuille d’évaluation à remettre remplie en fin de session. Cédérom. Merci d’éteindre vos téléphones.

cindy
Download Presentation

Bienvenue

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bienvenue

  2. Sécurisation du poste de travail Nom du présentateur Partenaire Officiel

  3. Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

  4. Qu’est-ce que TechNet ? • Un site Web très orienté technique • http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable • http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France • http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des Webcasts accessibles à tout instant • http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement • http://www.microsoft.com/france/technet/presentation/cd/default.mspx

  5. Conditionspréalablespourlasession • ExpériencepratiquedesoutilsdegestionWindows2000ouWindowsXP. • Connaissanced'ActiveDirectoryetdelastratégiedegroupe.

  6. Programme • Introduction • Sécuritédebasedesclients • Sécurisationdesclientsàl'aided'ActiveDirectory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  7. Importancedelasécurité • Protégerlesinformations. • Protégerlescanauxdecommunication. • Réduirelespériodesd'indisponibilité. • Protégerlechiffred'affaires. • Protégerlesprocessusdessalariés. EnquêteCSI/FBI2003surlacriminalitéetlasécuritéinformatiques(ComputerCrimeandSecuritySurvey)

  8. Structured'organisationpourlasécurité • L'utilisationd'uneapprocheencouches: • Augmenteleschancesdedétecterunintrus, • Réduitleschancesdesuccèsd'unintrus. Stratégies,procédures,&sensibilisation Sécuritéphysique ACL,cryptage. Données Renforcementdelasécuritédesapplications,logicielantivirus. Application Renforcementdelasécuritédusystèmed'exploitation,gestiondesmisesàjour,authentification,HIDS. Hôte Réseauinterne Segmentsréseau,IPSec,NIDS. Pare-feu,miseenquarantainedesVPN. Périmètre Protections,verrous,dispositifsdesuivi. Éducationdesutilisateurs.

  9. Programme • Introduction • Sécurité de base des clients • Sécurisationdesclientsàl'aided'ActiveDirectory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  10. Composantsdelasécuritédesordinateursclients

  11. Gestiondesmisesàjourdelogiciel • Implémentezunesolutiondegestiondesmisesàjourpourévitertoutevulnérabilité. • Assistezàunesessiondeformationsurlagestiondescorrectifsouconsultezlesinformationsd'aidefourniessurlesitesuivant : http://www.microsoft.com/france/technet/themes/secur/default.asp

  12. Méthodesconseilléespourlesmotsdepasse Instruirelesutilisateurssurlabonneutilisationdesmotsdepasse. Utiliserdesexpressionsdemotdepassecontenantdesespaces,deschiffresetdescaractèresspéciauxetnondesimplesmots. Utiliserdesmotsdepassedifférentspourdesressourcesdifférentesetprotégerlalistedemotsdepasse. Configurerdesécransdeveilleprotégésparmotdepasseetverrouillerlesstationsdetravailavantdeleslaissersanssurveillance. Utiliseruneauthentificationàplusieursfacteurspourajouterdesniveauxdesécurité.

  13. Informatiquemobile • L'utilisationd'équipementsinformatiquesmobilesgénèredenouveauxproblèmesdesécurité. • Leséquipementsmobilesétendentlepérimètrelorsqu'ilssontconnectésauxressourcesdel'entreprise. • Descouchesdeprotectionsupplémentairessontnécessaires: • MotsdepasseBIOS, • Contrôled'accèsdistantauserviceIAS, • Protocolesd'authentificationsansfil, • Protectiondesdonnées.

  14. Désactivation ou suppression de tout ce qui est inutile : Services, Comptes, Partages. Vérifier que le compte « Invité » est désactivé. Stratégie de mots de passe forts. Stratégie de verrouillage de compte. Configurer le compte Administrateur. Mots de passe très forts pour l’administrateur. Paramètrage – Windows XP

  15. Mot de passe très fort • Eviter les attaques de dictionnaires et hybrides : • Ne jamais commencer par son nom ou un mot. • Mieux : ne contient aucun nom ou mot. • Symboles/chiffres/accents aussi au début. • 15 caractères (si l’on n’a pas désactivé le LMHash, sinon 10 caractères). • Position sur le clavier (attention aux espions) : • ex : « àço09O_èu87U-(t ». • Initiales d’une phrase, plus d&f0rm@tions non triviales : • ex : « Tc:1j,jr&àNYat! ».

  16. Tous les disques en NTFS. Mise en place de permissions : Fichiers, Répertoires, Partages. Protéger le registre contre l’accès anonyme. Limiter l'accès aux informations publiques sur l'autorité de sécurité locale (LSA) : Restrict Anonymous = 2, Attention aux contrôleurs de domaine, Attention : préférer Everyone includes anonymous. Paramétrage – Windows XP

  17. Antivirus et mises à jour (non fournis). Se tenir à jour des correctifs de sécurité (AutoUpdate). Pare-feu (ICF). Activer l’audit (évaluer l’utilisation d’un IDS). Principe du moindre privilège (et logon secondaire : RunAs). Avancé : SYSKEY de niveau supérieur (2 ou 3). Paramétrage – Windows XP

  18. Démonstration Centre de sécurité Windows XP SP2

  19. Programme • Introduction • Sécurité de base des clients • Sécurisation des clients à l'aide d'Active Directory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  20. ComposantsActiveDirectory • Forêt : • FrontièredesécuritédansActiveDirectory. • Domaine : • Ensembled'objets(ordinateurs,utilisateurs,groupes)définiparl'administrateur. • Unitéd'organisation : • ConteneurActiveDirectoryutiliséauseindesdomaines. • Stratégiedegroupe : • Infrastructurequipermetl'implémentationetlagestiondelasécuritéréseau.

  21. Établissementd'unehiérarchied'unitésd'organisation • Lastratégiedegroupesimplifiel'applicationdesparamètresdesécuritéauxclients. • Modèledehiérarchieéclatée : • GuidedelasécuritédeWindowsXP, • SéparationdesUOd'utilisateursetd'ordinateurs, • ApplicationdesparamètresdestratégieappropriésàchaqueUO. Domaineracine UOcontrôleurdedomaine UOdépartement UOUtilisateursXPsécurisé UOWindowsXP UOBureau UOPortables

  22. Méthodesconseilléespourimplémenterlasécuritéàl'aided'ActiveDirectoryMéthodesconseilléespourimplémenterlasécuritéàl'aided'ActiveDirectory Créezunestructured'unitésd'organisationpourlasécuritédesclients. Créezunehiérarchied'unitésd'organisationpourséparerlesutilisateursetlesordinateursenfonctiondeleurrôle. Appliquezunestratégiedegroupecontenantlesparamètresdesécuritéappropriésàchaquerôled'ordinateur.

  23. Démonstration Mise en œuvre de stratégie de groupe

  24. Programme • Introduction • Sécurité de base des clients • Sécurisation des clients à l'aide d'Active Directory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  25. Utilisationdemodèlesdesécurité • Lesmodèlesdesécuritésontdesensemblespréconfigurésdeparamètresdesécurité. • LeguidedelasécuritédeWindowsXPfournit lesmodèlessuivants: • 2modèlespourdomaine(Domain)quicontiennentdesparamètresapplicablesàtouslesordinateursdudomaine, • 2modèlescontenantdesparamètrespourordinateursdebureau(Desktop), • 2modèlescontenantdesparamètrespourordinateursportables(Laptop). • ChaquemodèleexisteenversionEnterprise(entreprise)etHighSecurity(hautesécurité). • Lesparamètrescontenusdansunmodèledesécuritépeuventêtremodifiés,enregistrésetimportésdansunobjetdestratégiedegroupe.

  26. Utilisationdemodèlesd'administration • Lesmodèlesd'administrationcontiennentdesparamètresduregistrepouvantêtreappliquésàdesutilisateursetàdesordinateurs : • Lesmodèlesd'administrationWindowsXPSP1contiennentplusde850paramètres. • LeguidedelasécuritédeWindowsXPcomprenddixautresmodèlesd'administration. • Leséditeursdelogicielstierspeuventfournirdesmodèlessupplémentaires. • Vouspouvezimporterdesmodèlessupplémentaireslorsquevousmodifiezunobjetdestratégiedegroupe.

  27. Quelssontlesparamètresdesécurité?

  28. Leshuitprincipauxparamètresdesécuritéclient • Parmilesparamètresdesécuritédesordinateursclients,lesplusfréquemmentmodifiéssont: • Permettreleformatageetl'éjectiondessupportsamovibles, • ÉnumérationanonymedescomptesSAM, • Activerl'audit, • Lecompte “Toutlemonde”inclutl'ouverturedesessionanonyme, • Niveaud'authentificationLANManager, • Stratégiedemotdepasse, • SuppressiondeshachagesLANManager, • SignatureSMB.

  29. Domaineracine Stratégiededomaine UOcontrôleurdedomaine UOdépartement EnterpriseClient Domain.inf Stratégieordinateursdebureau EnterpriseClient Desktop.inf UOutilisateursXPsécurisé UOWindowsXP UObureau StratégieutilisateursXPsécurisé EnterpriseClient Laptop.inf Stratégieportables UOportables Commentappliquerdesmodèlesdesécuritéetdesmodèlesd'administration

  30. Méthodesconseilléespoursécuriserdesclientsàl'aidedelastratégiedegroupeMéthodesconseilléespoursécuriserdesclientsàl'aidedelastratégiedegroupe Utilisezlesmodèlespourclientd'entreprise(EnterpriseClient)commelignedebaseetmodifiez-lesenfonctiondevosbesoins. Implémentezdesstratégiesdecompteetd'auditstrictes. Testezsoigneusementlesmodèlesavantleurdéploiement. Utilisezdesmodèlesd'administrationsupplémentaires.

  31. Démonstration Application d’un modèle de sécurité

  32. Programme • Introduction • Sécuritédebasedesclients • Sécurisationdesclientsàl'aided'ActiveDirectory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  33. Paramètresdestratégiedegroupelocale • Lorsquelesclientsnesontpasmembresd'undomaineActiveDirectory,utilisezlastratégiedegroupepourconfigurerdesordinateursclientsautonomes : • LesclientsWindowsXPautonomesutilisentuneversionmodifiéedesmodèlesdesécurité. • ChaqueclientWindowsXPProfessionnelutiliseunGPOlocaletl‘éditeurd'objetsdestratégiedegroupeoudesscriptspourappliquerlesparamètres.

  34. Modèlesdesécuritéprédéfinis • SilesclientsseconnectentàundomaineWindowsNT4.0,utilisez: • SilesclientsneseconnectentpasàundomaineWindowsNT4.0,utilisezlesmodèlesdesécuritéautonomes.

  35. Méthodesconseilléespourl'applicationdeparamètresdestratégiedegroupelocaleMéthodesconseilléespourl'applicationdeparamètresdestratégiedegroupelocale UtilisezlemodèleautonomefourniparleguidedelasécuritédeWindowsXPcommelignedebase. Utilisezl'outil “secedit”pourautomatiserladistributiondumodèleautonome. Développerdesprocédurespourledéploiementdesstratégies. Implémentezdesmécanismesdemiseàjour desclients.

  36. Programme • Introduction • Sécurité de base des clients • Sécurisation des clients à l'aide d'Active Directory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  37. Modèlesd'administrationInternetExplorer • AppliquentlesparamètresdesécuritérequisparlesstationsdetravailWindowsXP. • Empêchenttoutéchangedecontenusindésirables : • UtilisezlesparamètresfournisparlesmodèlesEnterpriseClient. • Utilisezlafonctionnalité“MaintenanceInternetExplorer”(IEM)ducomposantStratégiedegroupepourconfigurerdeszonesdesécuritépourlessitesapprouvés.

  38. ZonesInternetExplorer

  39. MicrosoftOutlook • UtilisezOutlookAdministratorPackpourpersonnaliserlasécuritédeMicrosoftOutlook. • Utilisezlemodèled'administrationOutlookpourconfigurerlasécuritédeMicrosoftOutlook. • AméliorationsdelasécuritédansMicrosoftOutlook2003 : • L'utilisateurestavertiavantd'ouvrirdesfichiersprésentantundangerpotentiel, • Exécutiondescontenusexécutables danslazonesitesrestreints, • LescontenusHTMLnesontpaschargés automatiquement.

  40. Modèlesd'administrationMicrosoftOffice • LesmodèlesdestinésàOfficeXPsontfournisavecleguidedelasécuritédeWindowsXP. • LesmodèlesdestinésàOfficeversion97,etultérieures,sontdisponibleslorsquevouschargezlaversionapplicabledukitderessourcestechniquesOffice.

  41. Méthodesconseilléespourlasécurisationdesapplications Apprenezauxutilisateursàtéléchargerdesfichiersàpartird'Internetetàouvrirlespiècesjointesàleurcourrierélectroniqueentoutesécurité. Installezuniquementlesapplicationsdontlesutilisateursontbesoinpourleurtravail. Implémentezunestratégiepourlamiseàjourdesapplications.

  42. Démonstration Sécurisation Internet Explorer et Office 2003 par le biais des stratégies de groupe

  43. Programme • Introduction • Sécurité de base des clients • Sécurisation des clients à l'aide d'Active Directory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

  44. Protection de documentsWindows XP • Permissions sur les fichiers (NTFS). • Chiffrement de fichiers stockés sur le disque dur (EFS) : • Vous, et vous seulement, pouvez déchiffrer les documents chiffrés via EFS. • Utile sur les portables en cas de vol. • Possibilité de partager des fichiers chiffrés avec plusieurs personnes identifiées. • Agent de récupération de données configurable. • Tire avantageusement parti d’Active Directory.

  45. Protection de documentsOffice • Confidentialité et préservation des informations personnelles : • Chiffrement de document, • Contrôle d’accès au contenu (niveau objets), • Suppression des méta-données du document. • Signatures numériques de documents et de macros : • Protection contre la modification du contenu d’un document ou d’une macro (intégrité), • Authentification du créateur du document, de la macro ou de l’expéditeur d’un message électronique.

  46. Démonstration Windows XP EFS, options de protection de documents (chiffrement, signature) avec Word, Excel et Outlook

  47. Protection des documents mobiles IRM : Information Rights Management • Microsoft Office 2003 : • Politique de restriction au niveau applicatif. • Client Windows Rights Managements : • Une API cliente est utilisée entre l’application et le service RM. • Service Windows Rights Management : • Execute les requêtes du client RM : • Peut utiliser le service RM hébergé par l’organisation ou le service fourni par Microsoft Office. • Add-on Rights Management pour Internet Explorer (RMA) : • Pour les utilisateurs sans Office 2003.

  48. IRM dans Office 2003 • 2 domaines d’applications : • E-mail : • IRM optimisé pour être aussi facile d’accès que la fonction “importance haute” (un seul clic). • Documents : • Des utilisateurs spécifiques peuvent se voir affecter des droits en lecture, modification ou contrôle total : • Des options plus granulaires peuvent être spécifiées. • A la fois, les documents et l’e-mail supportent l’expiration et la possibilité d’appliquer des “Permission Policies” définies par l’administration.

  49. Stratégie de permission IRM • Stratégie par défaut : • E-mail : “Ne pas faire suivre”. • Documents : “Ne pas distribuer”. • Stratégie Corporate : • “Company Confidential”. • “Marketing – Tous”. • “Expire dans 60 jours”. • Stratégie serveur pour spécifier les permissions par utilisateur et groupe.

  50. Programme • Introduction • Sécurité de base des clients • Sécurisation des clients à l'aide d'Active Directory • Utilisationd'unestratégiedegroupepoursécuriserlesclients • Paramètresdestratégiedegroupelocalepourlesclientsautonomes • Sécurisationdesapplications • Protection des documents • Stratégiederestrictionlogicielle • Protection antivirus • Pare-feuclients

More Related