190 likes | 300 Views
Conception de la sécurité pour un réseau Microsoft. Pascal Manni. Sommaire. Sécurité PKI Service: DNS Authentifications: Kerberos Données: NTFS Mot de passe Mise à jour Sauvegarde. Les principes de la sécurité. Séparations des fonctions Privilèges au minima
E N D
Conception de la sécuritépour un réseau Microsoft Pascal Manni
Sommaire • Sécurité • PKI • Service: DNS • Authentifications: Kerberos • Données: NTFS • Mot de passe • Mise à jour • Sauvegarde Pascal Manni
Les principes de la sécurité • Séparations des fonctions • Privilèges au minima • Réduction de la surface d’attaque • Diversifications des mécanismes • Choisir la solution par défaut la moins risquée • Choisir des solutions simples, connues et reconnues • Médiation • Acceptabilité • Confiance par l’audit • Mise à jour Pascal Manni
La sécurité d’information • Authentification • Autorisation • Confidentialité • Intégrité • Non répudiation Pascal Manni
Les applications avec PKI • Certificat • Ordinateur (IPSec) • Autorisations d’accès au fichier (Kerberos) • Transactions inter-machines (Kerberos) • Confidentialité (EFS) • Réplication des AD (SMTP) • Requêtes LDAP (AD) • Utilisateurs (carte à puce) • Permet • Intégrité des données (Signature) • Non répudiation des données (horodatage) • Autorité de Certification • Signature des listes de révocation Pascal Manni
Analyse de l’existant • Pourquoi sécuriser les données? • Catégorisations des données : • But ? • Intégrité? • Degré de sensibilité? • la schématisation des flux de données • Existe-t-il un Mr Sécurité? Pascal Manni
Un charte de sécurité • Prévention, Détection, Isolation • Général et réutilisable • Modélisation des menaces • Facteur humain • Réponse aux incidents (ou aux attaques) • Récupération sur incident • Durée de vie limitée Pascal Manni
Vulnérabilités : facteur humain • Partage involontaire de données • Mot de passe trop faible • Cheval de Troie • Réduction de sécurité: productivité / performance • Partage des comptes administrateurs • Mauvaise assignation de pouvoir • Vol de session • Récupération de session distante • Modification ou suppression de données Pascal Manni
DNS • Nom machine vers adresse IP • Contrôleurs de domaine • Serveurs Web, Messagerie,… Pascal Manni
Les attaques sur le DNS • Inventaire • Redirection • Déni de Service (DoS) • Modification de données / usurpation d’adresse IP • Pollution du cache Pascal Manni
La sécurisation du DNS • DNS Publique (extérieur) • Vue différente • Zone non visible de l’Internet local.mon-entreprise.fr • Multiplications des serveurs DNS • Restriction du transfert de zone (requête AXFR) • Crypter les réplications • Enregistrements sécurisés dynamiques Pascal Manni
Les échanges • VPN (2 réseaux) • IPSec (2 machines) Pascal Manni
Kerberos HASH Local Security Authority Kerberos Distribution Center Pascal Manni
Mot de passe • Stratégie de mot de passe • Comprendre et faire comprendre (charte, formation, …) • Identifier les techniques de contrôle • Facteur humain • Plusieurs stratégies par population d’utilisateurs • Stratégie de verrouillage des comptes? Des accès? • Carte à puce, biométrie,.. Pascal Manni
NTFS • Permissions (groupe) • Refuser permission • Quota • Héritage • Possession • Audits • Crypter les données (EFS) Pascal Manni
Concevoir une mise à jour • Identifier les changements • Ou est l’information? • Lister les manières de mettre à jour • En choisir une • Utiliser SUS ou WUS Pascal Manni
Plan de sauvegarde • Responsable • Transport des données • Support des données {SAN (Storage Area Networks)} • Sécurisation des supports • Lieu de stockage sur site et/ou hors site • Quoi? (Système, données, …) • Type de sauvegarde • Planification • Procédure de sauvegarde et restauration • Audit et vérification • Continuité opérationnelle • Récupération après désastre • Sauvegarde du catalogue de sauvegarde Pascal Manni
Conclusion • Vaste • Le rôle serveur • Génère du travail Pascal Manni