Conception de la sécurité pour un réseau Microsoft

1. Conception de la sécuritépour un réseau Microsoft Pascal Manni

2. Sommaire • Sécurité • PKI • Service: DNS • Authentifications: Kerberos • Données: NTFS • Mot de passe • Mise à jour • Sauvegarde Pascal Manni

3. Les principes de la sécurité • Séparations des fonctions • Privilèges au minima • Réduction de la surface d’attaque • Diversifications des mécanismes • Choisir la solution par défaut la moins risquée • Choisir des solutions simples, connues et reconnues • Médiation • Acceptabilité • Confiance par l’audit • Mise à jour Pascal Manni

4. La sécurité d’information • Authentification • Autorisation • Confidentialité • Intégrité • Non répudiation Pascal Manni

5. Les applications avec PKI • Certificat • Ordinateur (IPSec) • Autorisations d’accès au fichier (Kerberos) • Transactions inter-machines (Kerberos) • Confidentialité (EFS) • Réplication des AD (SMTP) • Requêtes LDAP (AD) • Utilisateurs (carte à puce) • Permet • Intégrité des données (Signature) • Non répudiation des données (horodatage) • Autorité de Certification • Signature des listes de révocation Pascal Manni

6. Analyse de l’existant • Pourquoi sécuriser les données? • Catégorisations des données : • But ? • Intégrité? • Degré de sensibilité? • la schématisation des flux de données • Existe-t-il un Mr Sécurité? Pascal Manni

7. Un charte de sécurité • Prévention, Détection, Isolation • Général et réutilisable • Modélisation des menaces • Facteur humain • Réponse aux incidents (ou aux attaques) • Récupération sur incident • Durée de vie limitée Pascal Manni

8. Vulnérabilités : facteur humain • Partage involontaire de données • Mot de passe trop faible • Cheval de Troie • Réduction de sécurité: productivité / performance • Partage des comptes administrateurs • Mauvaise assignation de pouvoir • Vol de session • Récupération de session distante • Modification ou suppression de données Pascal Manni

9. DNS • Nom machine vers adresse IP • Contrôleurs de domaine • Serveurs Web, Messagerie,… Pascal Manni

10. Les attaques sur le DNS • Inventaire • Redirection • Déni de Service (DoS) • Modification de données / usurpation d’adresse IP • Pollution du cache Pascal Manni

11. La sécurisation du DNS • DNS Publique (extérieur) • Vue différente • Zone non visible de l’Internet local.mon-entreprise.fr • Multiplications des serveurs DNS • Restriction du transfert de zone (requête AXFR) • Crypter les réplications • Enregistrements sécurisés dynamiques Pascal Manni

12. Les échanges • VPN (2 réseaux) • IPSec (2 machines) Pascal Manni

13. Kerberos HASH Local Security Authority Kerberos Distribution Center Pascal Manni

14. Mot de passe • Stratégie de mot de passe • Comprendre et faire comprendre (charte, formation, …) • Identifier les techniques de contrôle • Facteur humain • Plusieurs stratégies par population d’utilisateurs • Stratégie de verrouillage des comptes? Des accès? • Carte à puce, biométrie,.. Pascal Manni

15. NTFS • Permissions (groupe) • Refuser permission • Quota • Héritage • Possession • Audits • Crypter les données (EFS) Pascal Manni

16. Concevoir une mise à jour • Identifier les changements • Ou est l’information? • Lister les manières de mettre à jour • En choisir une • Utiliser SUS ou WUS Pascal Manni

17. Plan de sauvegarde • Responsable • Transport des données • Support des données {SAN (Storage Area Networks)} • Sécurisation des supports • Lieu de stockage sur site et/ou hors site • Quoi? (Système, données, …) • Type de sauvegarde • Planification • Procédure de sauvegarde et restauration • Audit et vérification • Continuité opérationnelle • Récupération après désastre • Sauvegarde du catalogue de sauvegarde Pascal Manni

18. Conclusion • Vaste • Le rôle serveur • Génère du travail Pascal Manni

19. Questions