1 / 34

La sécurité du poste de travail

La sécurité du poste de travail. Stephane Saunier TSP Sécurité Microsoft France. Rappel de la complexité de la tâche. Du périmètre réseau … Au poste utilisateur. Serveurs. Un environnement connecté. Client distant. Siège. Partenaire. Agence. Base sur un environnement physique.

timothy-davidson
Download Presentation

La sécurité du poste de travail

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La sécurité du poste de travail Stephane Saunier TSP Sécurité Microsoft France

  2. Rappel de la complexité de la tâche Du périmètre réseau … Au poste utilisateur

  3. Serveurs Un environnement connecté Client distant Siège Partenaire Agence

  4. Base sur un environnement physique • Contrôle d’accès • badges • Caméras • Dispositifs de suivi (RFID / Wifi Tracker) • Protection en cas de vol de matériel • Limiter la durée de réattribution des ressources • Se prévenir contre le vol d information • Plan de redémarrage

  5. Un périmètre a contrôler • Pare-feu avec filtrage applicatif (ISA Server 2004) • Mise en quarantaine des clients • VPN (Windows Server 2003 ou ISA Server 2004) • En connexions filaire (NAP) • Publication de serveurs (reverse proxy), DMZ

  6. Un réseau a segmenter et surveiller • Segmentation (802.1x, VLAN) • IPSec • Isolation de machines • Isolation de domaines • Filtre actif sur Routeurs • IDS

  7. Un parc de machines a gérer • Durcissement de chaque poste • Déploiement par GPO • Gestion des mises à jour de sécurité (WSUS) • Déploiement des correctifs • pilotage • Authentification forte • PKI + Carte a Puce

  8. … Sur lesquels tournent des applications • Revue de code • Signature des applications • Réduction de la surface d’attaque • Education … • … SDL (Security Development Lifecycle)

  9. Utilisant des données • ACL • Chiffrement (EFS / S/MIME) • Gestion de droits numériques en entreprise (DRM)

  10. Le tout s’organisant autour d une politique de sécurité • Définition des grandes lignes de protection • Éducation / formation des utilisateurs • Principe du moindre privilège • Principe du besoin de savoir

  11. Bases du durcissement de Windows XP

  12. Sécurité de base Windows XP • Le minimum : • Pare-feu personnel • Application des mises à jour de sécurité • Antivirus à jour • Windows XP SP2 (Renforce la sécurité de composants comme IE) • Logiciel de protection contre les SpyWare (Windows Defender) • Anti Phishing (Navigateur ou protection au niveau proxy)

  13. Guide de sécurité Windows XP http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en

  14. Menaces et contre-mesures http://www.microsoft.com/downloads/details.aspx?FamilyId=1B6ACF93-147A-4481-9346-F93A4081EEA8&displaylang=en

  15. Durcissement XP • Positionner/déployer les options de sécurité qui correspondent au type de poste. • Principe du moindre privilège. • Réduction de la surface d’attaque ( USB Key ) • Pas de mise en veille prolongée (hibernation)

  16. Control des comportement de Logon • Interactive Logon: Do not display last user name • Interactive Logon: Number of previous logons to cache (in case domain controller is not available) • Interactive Logon: Require Domain Controller authentication to unlock workstation • Interactive Logon: Smart card removal behavior

  17. Control des options de sécurité Réseau • Network access: Do not allow anonymous enumeration of SAM accounts and shares • Network access: Do not allow storage of credentials or .NET Passports for network authentication • Network security: Do not store LAN Manager hash value on next password change • Network security: LAN Manager authentication level (Send NTLMv2 response only\refuse LM and NTLM) • Network security: Minimum session security for NTLM SSP based (including secure RPC) clients / servers : (Require message integrity - Require message confidentiality - Require NTLMv2 session security - Require 128-bit encryption)

  18. System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing • Détermine si on restreint la couche Transport socket sécurise (TL/SS) au support unique de la suite crypto TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  19. Paramètres de gestion des mots de passe (Au niveau domaine)

  20. Paramètres de verrouillage

  21. Template administrative • Pour contrôler et durcir • Internet Explorer • Netmeeting • Messenger • Media Player • certain composants du system

  22. … Par exemple • IE: Disable Automatic Install of Internet Explorer components • IE: Do not allow users to enable or disable add-ons • IE: Allow software to run or install even if the signature is invalid • TS: Set client connection encryption level • OS: Turn off Autoplay • OS: Restrictions for Unauthenticated RPC clients • OS: Prompt for password on resume from hibernate / suspend

  23. Setting additionnelles • … Par modification de Sceregvl.inf et réenregistrement de Scecli.dllvous aller Controller de nouvelles options localement ou a déployer sur des cibles

  24. … Mais aussi le Pare-feu • Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/depfwset/default.mspx • Appendix B: Netsh Command Syntax for the Netsh Firewall Context(Deploying Windows Firewall Settings Without Group Policy) • Réglage des paramètres de Windows Firewall dans le Service Pack 2 Windows XPhttp://support.microsoft.com/default.aspx?kbid=875357

  25. Clés USB (PodPhreaking) • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \StorageDevicePolicies\WriteProtect • DWORD= 0 – Disabled 1 – Enabled • Transforme les clés USB en lecture seule (attention, marche uniquement avec les clés USB qui utilisent le driver USB Microsoft) • D’autres solutions existent (3ces parties)

  26. Désactivation CD, disquette, USB • Par désactivation de leurs pilotes (KB555324) • HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivershttp://support.microsoft.com/default.aspx?scid=kb;en-us;555324&sd=rss&spid=3198

  27. Réduction de la surface d attaque • Contrôler service par service ce que vous voulez démarrer sur le poste par GPO. • Computer Configuration\Windows Settings\Security Settings\System Services • N utilisez pas vos postes avec des droits administrateurs

  28. Installer des rootkits en mode noyau Installer des keyloggers au niveau système (pour capture les mots de passe, y compris ceux saisis à l’ouverture de session) Installer des contrôles ActiveX, y compris des extensions de l’explorateur ou d’IE (activité courante pour les spywares) Installer et démarrer des services Arrêter des services existants (comme le pare-feu par exemple) Accéder à des données qui appartiennent à d’autres utilisateurs Faire en sorte que du code s’exécute lorsqu’un autre utilisateur ouvrira une session Remplacer des fichiers d’applications ou du système d’exploitation par des chevaux de Troie Accéder aux secrets LSA (dont les mots de passe des comptes de service du domaine servant) Désactiver ou désinstaller l’anti-virus Créer ou modifier des comptes utilisateurs Réinitialiser des mots de passe Modifier le fichier hosts et d’autres paramètres de configuration du système Éliminer ses traces dans le journal des événements Rendre votre machine incapable de démarrer … Juste un rappel de ce qu’un compte Administrateur peut faire s’il est compromis :

  29. Protection de documents • Confidentialité et préservation des informations personnelles : • Chiffrement de document, • Contrôle d’accès au contenu (niveau objets), • Suppression des métadonnées du document.(http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=144E54ED-D43E-42CA-BC7B-5446D34E5360) • Signatures numériques de documents et de macros : • Protection contre la modification du contenu d’un document ou d’une macro (intégrité), • Authentification du créateur du document, de la macro ou de l’expéditeur d’un message électronique.

  30. Messagerie sécurisée • S/MIME • Implique un déploiement de PKI (génération et distribution des clés). Assure le chiffrement et la signature des échanges. • IRM (RMS) • Adresse les problématiques de droit d usage de l information. « Ne pas transférer » • RPC over HTTPS • Disponibilité étendue de la messagerie sans avoir a déployer des solutions de type VPN.

  31. Protection des données • Permissions • Audit • EFS (Encrypting File System) • Force liée à celle du mot de passe de session de l’utilisateur • Gestion de droits numériques IRM/RMS (présentation séparée)

  32. Et finalement ne pas négliger le durcissement de l’authentification • Associer un moyen que l on connaît a un moyen que l on possède pour prouver son identité. • Carte à puce • Doit faire partie des éléments nécessaires à la vie d entreprise (Ouverture des portes, Moyen de paiement) • Authentification bi facteur (SecureID Token)

  33. Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

More Related