Download
1 / 44
460 likes | 662 Views
Sécurité Windows NT. Introduction. Un système informatique sûr doit garantir La disponibilité : Le système doit être disponible à tout moment, aucun déni ou aucune dégradation de service L ’intégrité des données :
E N D
Sécurité Windows NT Ciefa Poly-informatique
Introduction Un système informatique sûr doit garantir • La disponibilité : Le système doit être disponible à tout moment, aucun déni ou aucune dégradation de service • L ’intégrité des données : L’information est modifiable uniquement par l’action volontaire d’un sujet autorisé • La confidentialité des données : L’information est tenue secrète et seuls les sujets autorisés peuvent y accéder Ciefa Poly-informatique
Plan du cours • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Partie 1 • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Architecture Sécurité NT (1/2) Ciefa Poly-informatique
Architecture Sécurité NT (1/2) • Local Security Authority (LSA) : • Cœur du sous-système de sécurité • Crée les jetons d’accès • Gère les règles de sécurité • Contrôle les règles d’audit et consigne les messages d’audit (journal) • Security Account Manager (SAM) : • En charge de la maintenance de la Security Account Database (SAD) qui contient les infos des comptes des utilisateurs et des groupes • Lui permet de valider les connexions en fournissant un identificateur de sécurité (SID) • Security Reference Monitor (SRM) : • Vérifie les droits d’accès aux différents objets (fichiers, imprimantes, répertoires…) • Utilise pour cela les listes de contrôle d’accès (ACL) qui sont associées à chaque objet Ciefa Poly-informatique
Identification et authentification NT Ciefa Poly-informatique
Le Contrôle d’Accès Discrétionnaire • Domaine de protection : • Définition des sujets ayant accès aux objets • Droit d’accès des processus • Domaine de protection restreint • Aucune interaction entre les processus • Les objets appartiennent chacun à un utilisateur spécifique • Les propriétaires contrôlent la liste des utilisateurs habilités à accéder à leurs objets • Sécurité individuelle ou de groupe • Différents types de permissions : • Pour autoriser ou interdire un type d’accès précis à l’objet Ciefa Poly-informatique
Les jetons d’accès (access token) • Lors de l’initialisation d’une session, un jeton est construit puis assigné à l’utilisateur. Tout processus lancé sous le contrôle de l’utilisateur recevra une copie de ce jeton • Chaque jeton contient des informations concernant un utilisateur afin de pouvoir retrouver ses droits dans la SAD • Les SID (identificateur de sécurité) de l’utilisateur et du propriétaire • Le SID du groupe du propriétaire du jeton • Les SID des groupes de rattachement • Les privilèges associés au jeton • Une ACL par défaut associée à tout fichier créé • … Ciefa Poly-informatique
Listes de Contrôle d’Accès (ACL) • ACL discrétionnaire : • Contrôlé par le propriétaire d’un objet • Spécifie les accès des utilisateurs ou des groupes du système sur l’objet • En l’absence d’ACL, l’objet est accessible par tous • ACL système : • Contrôlé par l’administrateur du système • Association d’une information de sécurité de niveau système sur l’objet • Un ACL est constitué de plusieurs entrées ACE • ACE discrétionnaire : access_allowed ou access_denied • ACE système : system_audit ou system_alarm • Granularité des actions avec les “Access Mask” Ciefa Poly-informatique
Validation de l’accès • Le jeton d’accès est comparé successivement à chaque ACE contenu dans l’ACL de l’objet sur lequel un accès est demandé, jusqu’à ce que : • L’accès soit explicitement refusé • Le cumul des droits obtenus de chaque ACE autorise l’accès • La fin de la liste soit atteinte • Les ACE de refus doivent donc être de préférence en tête de liste => les outils d’administration garantissent cet ordonnancement • Les droits obtenus des ACE sont cumulatifs • Objet 0 : • ACE1 : Read for group G1 • ACE2 : Write for user U1 • Conséquence : si accédant U1 appartient à G1 : • U1 : Read et Write sur objet O Ciefa Poly-informatique
Partie 2 • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Concept de domaine • Entité administrative • Administration centralisée offrant un niveau de sécurité uniforme • Gestion des utilisateurs du domaine • Gestion des droits d’accès dans le domaine • Gestion des services de n’importe quel système du domaine • Centralisation des environnements et profils utilisateurs • Centralisation des audits • … • Séparation des fonctions • Serveur d’authentification • Autorisation : locale au poste ou au serveur d’application • Sûreté de fonctionnement • Serveurs de secours • Mécanisme de réplication / disponibilité des bases Ciefa Poly-informatique
Les ressources du domaine NT • Le poste / le serveur • Authentification : • Locale • Dans le domaine d’accueil • Rôles : • Le poste peut être autonome et autorise les connexions locales • Le serveur est associé à un domaine et n’autorise pas les connexions locales • Le contrôleur du domaine • Authentification • Dans le domaine • Délégation dans un domaine tiers dit « de confiance » • 2 rôles : • Contrôleur Primaire ou PDC (unique à un instant donné) • Contrôleur Secondaire ou SDC (multiples instances autorisées) • Sûreté de fonctionnement : • Réplication régulière de la totalité de la base • Spécialisation possible du SDC en « serveur cache » Ciefa Poly-informatique
Les utilisateurs • Local User => Compte défini sur un poste NT • Base d’annuaire locale des comptes utilisateurs et des groupes locaux • Dispose d’un environnement local • Répertoire d’accueil • Variables d’environnement • Profil et configuration • Accès aux ressources locales • Domain User => Compte défini sur le contrôleur de domaine NT • Base d’annuaire centrale des comptes utilisateurs et des groupes domaine • Dispose d’un environnement centralisé • Répertoire d’accueil • Variables d’environnement • Profil et configuration • Accès aux ressources centrales Ciefa Poly-informatique
L’authentification => Préalable à l’ouverture d’une session • Directe • Interface graphique activée par la séquence SAS (Secure Attention Sequence) • Compte local : • Traité par le processus WinLogon • Restriction aux ressources du poste • Forme : USER • Compte de domaine : • Déléguée au processus distant NetLogon • Restriction aux ressources du domaine • Forme : \\DOMAINE\USER • Distante • Commande « Net Use » • Déléguée au processus distant NetLogon • Restriction aux ressources du domaine • Forme : Identifiant / Mot de passe Ciefa Poly-informatique
Les comptes : caractéristiques • Utilisateur • Nom, Prénom • Identifiant d’ouverture de la session • Authentifiant : Mot de passe, Politique de gestion du cycle de vie • Propriétés du compte • Accès : horaire, durée de vie, restrictions / postes autorisés • Authentification : gestion du mot de passe • Délégation :approuvée ou refusée • Chiffrement :algorithme DES • Profil du compte • Localisation • Local • Errant personnel ou obligatoire Ciefa Poly-informatique
Les groupes (1/2) • Regroupe des utilisateurs qui partagent des mêmes droits sur le domaine (ex : les accès aux fichiers) • Permet de simplifier le paramétrage des comptes • Possibilité d’appartenir à différents groupes, dans ce cas les permissions sont cumulatives sauf pour « aucune permission » • Chaque groupe est identifié de manière unique par un SID contenu dans le jeton affecté à chaque utilisateur • Il existe des groupes locaux et globaux • LOCAUX : servent à gérer les droits des utilisateurs dans leur domaine d’origine ou sur l’ordinateur NT où le compte a été créé. Ils peuvent comporter d’autres groupes locaux/globaux • GLOBAUX : servent à organiser des groupes d’utilisateurs du même domaine que l’on peut exporter vers d’autres domaines. Les groupes globaux peuvent être ajoutés aux groupes locaux d’autres domaines. Ciefa Poly-informatique
Les groupes (2/2) • « Local » • Entité non exportable => appliquer des permissions • Local Group • Contient • des utilisateurs définis sur le système • Des « domain global groups » de n’importe quel domaine • Ne peut être utilisé en dehors du système => droits restreints au système • Domain Local Group • Contient • Des utilisateurs définis dans le domaine • Des « domain global groups » de n’importe quel domaine • Ne peut être utilisé en dehors de ce domaine => droits restreints au domaine • « Global » • Entité exportable => gérer des utilisateurs • Domain Global Group • Contient • Des utilisateurs définis dans le domaine • Des « domain global groups » du domaine • Est utilisable par l’ensemble des domaines partageant un lien de confiance Ciefa Poly-informatique
Partie 3 • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Les privilèges (ou droits) • Les droits s’appliquent à l’ensemble du système (ne sont pas définis objet par objet), contrairement aux permissions qui s’appliquent aux objets • Droits de base : • Accéder à cet ordinateur à partir du réseau • Sauvegarder des fichiers et des répertoires • Changer l’heure système • Gérer les fichiers d’audit et de sécurité (choix des évènements à auditer) • Arrêter le système • … • Fonctionnalités prédéfinies (liées aux groupes prédéfinis) : • Formater le disque dur du serveur (admin) • Verrouiller le serveur (tt le monde) • Outrepasser le verrouillage du serveur (admin, op de serveur) • … Ciefa Poly-informatique
Le partage de fichiers • Mettre à la disposition des utilisateurs du réseau (domaine pour NT) des fichiers stockés sur différents ordinateurs selon leurs permissions • Définition d’un nom de partage par ressource partagée => chemin réseau : \\ordi\partage ou \\nom ordi\partage • Disponible avec tous les types de partitions reconnues (FAT, NTFS, HTFS) contrairement aux permissions (NTFS seulement) Ciefa Poly-informatique
Gérer les partages • Dans propriétés des fichier, onglet « partage », on peut spécifier pour chaque fichier/répertoire un nom de partage, un commentaire, et les permissions de partage par utilisateur ou groupe • Permissions : ce que les utilisateurs peuvent faire sur les ressources. Elles sont définies dans les ACL par utilisateur. La LSA compare les ACL avec la copie du jeton attaché à tous les programmes lancés par l’utilisateur • Distinction entre permissions de partage (à travers le réseau) et permissions d’accès à partir de l’ordinateur où on est connecté (accès local) => sessions distante /session locale => 2 ACL différentes / ressource partagée Ciefa Poly-informatique
Permissions de partage • Aucun accès :aucune permission (=> Invité) • Lire :Afficher le contenu des répertoires Ouvrir les sous répertoires Afficher les données des fichiers Exécuter les programmes • Modifier :Créer des fichiers et des sous répertoires Modifier des fichiers Supprimer des sous répertoires et fichiers • Contrôle total :Changer de permissions Prendre le statut de propriétaire Par défaut : accès complet à tout le monde Ciefa Poly-informatique
Permissions des répertoires/fichiers • Semblable aux permissions de partage : Lire/Écrire/Exécuter/Supprimer/Modifier les permissions R/W/X/D/O • Nombreuses combinaisons => permissions standards de NT : Aucun accès / Lire (RX), Modifier (RWXD), Contrôle total Possibilité de les définir soi même… • Lors de la tentative d’accès, la LSA vérifie l’identité de l’utilisateur et son appartenance aux groupes => cumul des permissions pour obtenir accès • Se gère dans « propriétés » des fichiers, onglet « sécurité » => propre à NTFS !! Attention : « aucun accès » est une permission qui annule toutes les autres Ciefa Poly-informatique
Le système de fichiers NTFS • Permissions permettant le contrôle d’accès aux fichiers et aux répertoires mais aussi à tous les objets • Permissions sur la Base de Registre • Permissions accordées à des utilisateurs individuels • Permissions d’appartenance à des groupes • Permissions d’héritage des répertoires parents Ciefa Poly-informatique
La protection de la mémoire • Les systèmes d’adressage dynamiques vérifient la validité des adresses virtuelles avant de les traduire en adresses physiques • Protection contre tout programme d’avoir accès au code ou à des données utilisées par un autre programme ou par le système • Chaque processus s’exécute dans son propre espace de mémoire partagée Ciefa Poly-informatique
Audit de sécurité • Les évènements survenus sur le système : • Tentatives réussies ou non d’accès aux objets, fichiers • Détection d’activité de la part des utilisateurs, de leurs droits • Modification des stratégies de sécurité • Comptabilité du système • Événement de gestion des utilisateurs et des groupes • Évènements d’ouverture et de fermeture de session • Événement système affectant le système • Les évènements de Gestion de Fichier • Les évènements de la Base de Registre NT => Outil d’exploitation : Event Viewer Ciefa Poly-informatique
Event Viewer • 3 journaux : Système / Applications / Sécurité • Pour chaque événement on dispose de • la source qui est le logiciel qui a signalé l’événement • la catégorie qui précise la nature de l’événement • le nom de l’utilisateur en session qui a déclenché l’événement • le nom de l’ordinateur sur lequel s’est produit l’événement • une icône qui représente le type d’évènements (Informations/Avertissement/Erreur critique(panneau stop)/Auditer succès (clé)/Auditer échec (cadenas) Ciefa Poly-informatique
Partie 4 • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Installation de Windows (1/3) • Installer une version US : les patches pour la version française arrivent tardivement - quand ils arrivent. • Concernant le mode d'installation du serveur : ni en PDC, ni en BDC, mais en standalone, i.e. installé hors de tout domaine - membre d'un groupe de travail donc : On fait de la sécurisation par hôte. • Concernant le partitionnement : on partitionne en NTFS impérativement toutes les partitions ! Ciefa Poly-informatique
Installation de Windows (2/3) • Une partition système, contenant les fichiers "système". => On adoptera d'ailleurs un nom différent de winnt/ pour ce répertoire. "ntsystem" par exemple. • Une partition pour les applications. • Une partition pour les données - voire une partition pour les données de chaque application => exemple : pour un ftp et un serveur web sur une même machine, on créera une partition pour les données du ftp, et une partition pour les données du serveur web. • L'objectif étant d'effectuer un cloisonnement applicatif (détermination des domaines de confiance qu'il s'agit de cloisonner via des contrôles d'accès forts) Ciefa Poly-informatique
Installation de Windows (3/3) • Une sécurisation supplémentaire, très utile, consiste à changer de répertoire l'interpréteur de commande DOS (cmd.exe), puis à changer la variable d'environnement correspondante (liste des variables d'environnement et leurs valeurs : taper "set" sous DOS). • Ainsi, dans le cas du bug Unicode, toute attaque se soldera par un échec, cmd.exe ne se trouvant pas dans le répertoire par défaut "/winnt/system32". • On appelle ça de la sécurité par l'obscurité. Il ne faut pas compter sur ce genre de mesures pour décourager les attaquants expérimentés - et déterminés - cependant ce type de mesures suffit largement à dissuader 99,99% des pirates sévissant sur Internet. Ciefa Poly-informatique
Configuration de base (1/2) • Mise en place des ACLs : Appliquer récursivement les droits "Contrôle Total" pour l'administrateur et le compte système à chaque partition. Ne laisser aucun droit pour les autres groupes ou utilisateurs. Un serveur doit avoir pour seuls comptes : le compte système, le compte administrateur et le compte anonyme IIS, les droits d'accès de ce compte anonyme devant être particulièrement stricts. • Une fois de plus, le principe retenu est celui de la simplicité : si un service ne sert pas, on le désactive impérativement. => Un problème est susceptible de se poser : les dépendances entre les services. Consulter la base de registres pour consulter ces dernières, dans HKLM\System\CurrentControlSet\Services. Ciefa Poly-informatique
Configuration de base (2/2) • A partir de la console d'administration du serveur IIS, désactiver le site par défaut. Créer un répertoire sur le disque Données, contenant une page index.html. En faire le nouveau site par défaut. • Dans les propriétés de ce nouveau site, on désactivera tout mapping (association) inutile : .hta, .htr, .idc, .idq, shtml etc. afin de ne laisser *que* l'extension .html. (Chercher dans les propriétés du site). Evidemment, laisser tout type d'extension présent sur le site. • Au final, mettre en lecture seule les répertoires (mais pas leur contenu - ie ne pas appliquer ces ACLs de façon récursive) qui suivent pour l'utilisateur anonyme IIS : • C: • C:\le_repertoire_systeme • le répertoire racine du site ("inetpub\wwwroot" en général). • La simplicité d'installation du serveur IIS est un *leurre*. Il ne faut en aucun cas négliger le nombre et la *lourdeur* des modifications à opérer pour obtenir une configuration "à peu près statisfaisante" - entendre par là celle qu'offre *de base* un serveur Apache sous Unix. Ciefa Poly-informatique
Base de Registres • Concernant la base de registres, de nombreuses clés sont à modifier. Cela va de la modification futile visant à désactiver le lecteur de disquette ou le lecteur de CD-ROM à des modifications plus subtiles telles que l'interdiction des "null sessions" (le IPC$ qui apparait souvent dans le moniteur réseau de Windows). • Néanmoins, ne PAS installer Netbios un nombre considérable de dangers potentiels sont écartés ...Exemple : on établit une "null session", on récupère le nom de l'administrateur via nbtstat - nom modifié en général, mais une fois de plus il s'agit de sécurité par l'obscurité - puis on fait de la force brute (ou on utilise un dictionnaire) sur son mot de passe en ouvrant des sessions sur le partage de fichiers... les partages par défaut - qui sont activés automatiquement- comme C$, D$ ou PRINTER$ qui est en fait le répertoire système etc.). Ciefa Poly-informatique
Installation sécurisée serveur NT (1/x) • S'assurer que TCP/IP est bien le seul protocole installé. De même, supprimer toute référence à NetBios, IPX, … • Dans les propriétés avancées de TCP/IP, concernant la sécurité : • activer les options de filtrage • n'autoriser les connexions TCP que sur le port 80 (éventuellement 443, si le serveur est amené à établir des connexions chiffrées en SSL - et que le port utilisé est le port standard) • ne pas autoriser le protocole UDP (propice aux dénis de service). • Pour les protocoles IP, accepter les types 6 (TCP) et éventuellement 1 (ICMP). • liste des services et différents protocoles se trouve dans les fichiers "services" et "protocols" du répertoire : %systemroot%\system32\drivers\etc". Ciefa Poly-informatique
Stratégie de compte • Les politiques concernant les mots de passe sont - très - variables. On peut - à titre d'exemple - appliquer la politique suivante : Limitation du mot de passe : • Expiration : 40 jours • Modification : 3 jours • Longueur minimale : 8 caractères • Historique : 3 mots de passe • Verrouillage du compte au bout de 5 tentatives infructueuses, pendant 30 minutes. • Activer l'option de renforcement des mots de passe (utilisation de passfilt.dll). • Evidemment, un compromis doit être trouvé (ne pas forcer un historique de 30 mots de passe par exemple, avec ces derniers de plus de 14 lettres ...), l'objectif étant de ne pas trouver les mots de passe sur des Post-It collés sur l'écran (ce qui s'est déjà vu)... • Pour renforcer la SAM (Service Account Manager), appliquer syskey (disponible depuis le ServicePack 3, chiffrant avec l'algorithme DES la SAM - clé secrète de 128 bits). Ciefa Poly-informatique
Partie 5 • La sécurité locale : système de sécurité de NT • La sécurité distribuée : domaine, groupe, … • Politique de sécurité : permissions et partages • Installation sécurisée d’un serveur NT • Quelques vulnérabilités et conseils Ciefa Poly-informatique
Configuration • Administration : • Gestion des versions complexes • Des patchs • Des versions • Configuration des accès distants • Protection complexe • Gestion des versions complexes • Pas d’outil natifs de réinitialisation des permissions • Aucun support pour aider à définir les permissions système optimales • Permissions par défauts : • Incorrectement positionnées • Entrées de la registry • Applications complémentaires : Internet Explorer, IIS, … • Incorrectement organisées • Absence de réelle standardisation • Variants et invariants dans les mêmes répertoires Ciefa Poly-informatique
Architecture (1/2) • Administration : • Sid spécifiques • Null Sid => faille « Null Session Share » • RPC (Remote Procedure Call) Administratifs • Non Secured Named Pipes => prise de contrôle à distance • Domaine Browsing => acquisition d’informations • Réseau : • Netbios (TCP 139) • Grand fournisseur d’informations privées • Réallocation de ports • Possibilité de placer un service en écoute sur un port déjà utilisé (scripts perl …) => détournement d’un quelconque service • Fragilité de la pile TCP/IP • Absence de contrôle sur la conformité des paquets (DoS, …) • Absence de contrôle sur les séquences ou les états du protocole (Sync overflow, DoS, …) Ciefa Poly-informatique
Architecture (2/2) • Applicative : • Langages de scripting => de moins en moins de protections • Interpréteur Universel : Visual Script, Java Script, Windows Host Scripting • De moins en moins de protections (virus….) • Buffer Overflow • Absence de gestion et de contrôle de la taille des buffers • Exemple sous NetMeeting : certaines chaînes de caractères provoquaient débordement de buffer, et un code quelconque pouvait alors être exécuté dans la pile…. • Sécurité : • Protection des certificats • Fonction de chiffrement inversible => outil de déchiffrement publié • Protection des mots de passe • Accès à l’information • Directe : lecture de la SAM via fonctions tq SamDump • Indirecte : lecture de la SAM via utilisation détournée des dll (PwDump2) ou de LanManager sur Netbios (SMB Packet Capture + L0phtcrack) • Fragilisée par la comptabilité LanManager (algo de hachage des mots de passe) • Mots de passe de 7 ou 14 caractères ! Ciefa Poly-informatique
Quelques conseils (1/2) • Fermer tous les ports 135 à 139 en TCP et UDP • N’autoriser que les ports et protocoles nécessaires au fonctionnement du système lors de l’exécution de TCP/IP • Règles strictes d’utilisation des mots de passe (contrôle par ‘passfilt’) • Activer la fonction évoluée de cryptage ‘SYSKEY’ sur la SAM (ralentira au moins un peu les pirates) • Vérifier que les autorisations d’accès à la base de registre sont sécurisées, notamment via un accès distant au moyen de la clé : HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths • Activer l’option Hidden Registry (registre masqué) sur les serveurs sensibles : HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\Hidden, REG_DWORD = 1 (=> supprime l’hôte de la liste de navigation du réseau ‘Voisinage Réseau’ tout en gardant les fonctions d’avant…) • Ne pas travailler sous Administrator • Créer un compte spécifique avec privilèges Administrator Ciefa Poly-informatique
Quelques conseils (2/2) • Bien gérer les Patchs Level, Roll Up et Hot-Fixes • Activer et exploiter les Audits • Activer les filtres et alertes • Surveiller la liste des processus (netcat -> nc.exe) • Commande « at » utilisée pour lancer un destructeur de processus à heure fixe C:\> at 6A /e:1 ‘‘ ‘‘kill nc.exe’’ (=> ts les jours à 6 heures….) • Surveiller régulièrement la base de registres • Clés de démarrage Windows standards : HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Run • Se tenir informé des alertes et attaques au jour le jour • Configurer les paramètres de sécurité et de la base de registre • Penser groupe, puis privilège, puis utilisateur • Administration => SID unique • Sécurité => gestion des audits • … Ciefa Poly-informatique
