Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 5 : renforcement de Microsoft Windows 98
Paru le 22 novembre 2004
La plupart des organisations équipées d'anciennes versions du système d'exploitation Windows possèdent de nombreux ordinateurs de bureau et de PC portables exécutant Microsoft Windows 98, Windows 98 Deuxième Édition ou Windows Millennium Edition (Me). (Ces versions sont collectivement appelées "Windows 98" dans le présent chapitre.) Ce chapitre explique ce que vous pouvez faire pour améliorer (ou renforcer) la sécurité de ces clients afin d'améliorer la sécurité globale de votre réseau.
Des clients Windows 98 sont déployés dans de nombreux rôles où la mise à niveau du système d'exploitation n'est pas réalisable. Par exemple, Windows 98 sert souvent de plate-forme pour des kiosques et des terminaux de points de vente, des applications personnalisées et des stations de travail réservées aux étudiants dans les salles de classe. Une configuration correcte des paramètres de sécurité sur ces ordinateurs permet de garantir la fiabilité continue des applications métier sans exposer la station de travail proprement dite ni les autres ordinateurs sur le réseau.
Ce chapitre explique comment exécuter les tâches suivantes :
Installer Windows 98 et fournir une base de correctifs.
Installer un pare-feu Internet.
Renforcer la séquence d’amorçage.
Déployer les configurations de base de Microsoft Internet Explorer.
Installer les extensions client du service d'annuaire Microsoft Active Directory®.
Configurer la signature du bloc de message serveur (SMB)
Choisir le niveau d'authentification de Windows NT LAN Manager (NTLM) ;
Définir des stratégies de mot de passe efficaces.
Sur cette page
Conception de la sécurité Windows 98
Implémentation
Testez la solution.
Résumé
Conception de la sécurité Windows 98
La conception d'une installation Windows 98 sécurisée implique l'identification de paramètres de configuration pouvant être facilement modifiés. Dans un environnement sécurisé, ces paramètres sont configurés en fonction d'une spécification d'entreprise et verrouillés pour que la configuration ne change pas.
Installation de Windows 98 et fourniture d'une base de correctifs
Un déploiement de base de Windows 98 avec des correctifs de sécurité à jour donne un point de départ connu pour la mise en œuvre d'une stratégie de plate-forme sécurisée. Pour une liste complète des correctifs Windows 98, consultez le site de téléchargement de Microsoft Windows 98, à l'adresse http://www.microsoft.com/windows98 /downloads/corporate.asp. (Les correctifs sont étudiés plus en détail dans le chapitre 6 de ce guide, "Gestion des correctifs"). Votre déploiement initial de station de travail Windows 98 dans un réseau doit inclure des mesures de protection contre les vulnérabilités connues. Exemple :
Toutes les stations de travail Windows 98 doivent être configurées uniquement avec les options requises pour que les performances du réseau soient correctes. Par exemple, si les partages de fichiers et d'imprimantes locaux ne sont pas requis, les options de partage de fichiers et d’imprimantes ne doivent pas être spécifiées dans la configuration du réseau.
Assurez-vous que vous avez appliqué toutes les mises à jour critiques disponibles sur le site Web aux stations de travail et installé les mises à jour recommandées si elles s'appliquent à l'environnement informatique local.
Microsoft Internet Explorer 6 Service Pack 1 (SP1) intègre les derniers perfectionnements et correctifs pour une navigation sécurisée. Installez-le sur tous les ordinateurs qui se connectent à Internet. Vous pouvez l'installer directement à partir du site Web Microsoft Internet Explorer, à l'adresse http://www.microsoft.com/ie, le commander sur CD-ROM ou l'installer dans une configuration personnalisée avec le Kit d'Administration Internet Explorer (IEAK).
Une méthode très efficace pour installer une configuration de base sécurisée récente consiste à utiliser le CD Microsoft Windows Security Update, que vous pouvez vous procurer sur le site Web Microsoft Trustworthy Computing, à l'adresse http://www.microsoft.com/security/protect/, ou en appelant les services de Support technique Microsoft.
Trey a essayé de fabriquer ses ordinateurs à partir d'une image commune appliquée aux nouvelles stations de travail avec l'outil d'imagerie Ghost. L'image commune a été créée en installant Windows 98, Internet Explorer 6.0, avec tous les correctifs et service packs publiés, ainsi que le contenu du CD Windows Security Update.
Installation d’un pare-feu Internet
Un pare-feu est une solution de sécurité qui sépare une portion d'un réseau d'une autre portion, ne laissant passer que le trafic réseau autorisé, en fonction de règles de filtrage du trafic. Les pare-feu peuvent être soit matériels soit logiciels. Un pare-feu Internet est un pare-feu présent entre votre ordinateur local et Internet qui assure une protection contre les attaques malveillantes en refusant l'accès au trafic réseau entrant non spécifiquement approuvé. Dans un environnement réseau, le réseau proprement dit doit être équipé d'un pare-feu matériel ou d'un produit de sécurité similaire, tel Microsoft Internet Security and Acceleration (ISA) Server, pour assurer une protection contre les menaces externes. Vous pouvez protéger des stations de travail individuelles en installant des produits pare-feu logiciels, disponibles chez plusieurs fournisseurs ; reportez-vous à la section "Informations complémentaires", à la fin de ce chapitre.
Renforcement de la séquence d'amorçage
Autre point faible potentiel de la sécurité dans Windows 98 : la séquence d'amorçage, qui peut être interrompue pour autoriser l'accès au système avant la mise en place des stratégies. Pour éviter que le système ne puisse être compromis de la sorte, sécurisez la procédure d'amorçage en modifiant le fichier système Msdos.sys avec le Bloc-notes ou un autre éditeur de texte (vous trouverez des instructions détaillées plus loin dans ce chapitre). Les administrateurs système doivent être conscients que ce paramètre ne permettra plus de redémarrer l'ordinateur en mode sans échec, ce qui est souhaitable pour empêcher les utilisateurs malveillants de contourner les mesures de sécurité. Toutefois, ce paramètre rendra le dépannage du système plus difficile et il faudra le réinitialiser pour utiliser d'autres séquences d'amorçage dans le cadre de la maintenance du système.
Comme il est possible d'interrompre la procédure d'amorçage en démarrant à partir d'un stockage amovible, la configuration du BIOS (Basic Input/Output System) de l'ordinateur doit être définie pour démarrer uniquement à partir du disque du principal. La plupart des ordinateurs permettent d'accéder aux paramètres du BIOS avec une touche de commande pendant le démarrage du système. Après avoir configuré le BIOS pour sécuriser l'amorçage, vous pouvez renforcer davantage encore la sécurité en définissant un mot de passe administratif. Cette approche n'est pas entièrement sûre ; en effet, il est possible de réinitialiser de nombreux paramètres du BIOS système avec une séquence de touches "d'urgence" qui est souvent publiée sur les sites Web ; vous pouvez également les réinitialiser presque tous en ouvrant le boîtier du système en en changeant la position d'un cavalier. Dans les installations où la sécurité physique de l'ordinateur n'est pas assurée, il convient de verrouiller physiquement le châssis du système.
Les ingénieurs de Trey on modifié la valeur du délai de démarrage pour chaque ordinateur exécutant Windows 98 dans le domaine. Tous les utilisateurs d'ordinateurs de bureau et d'ordinateurs mobiles ont reçu des câbles de verrouillage. De plus, sur les ordinateurs qui le permettent, les paramètres du BIOS ont été modifiés pour interdire les autres modes de démarrage (alternate booting).
Déploiement des configurations de base de Microsoft Internet Explorer.
Le Kit d'Administration Internet Explorer (IEAK) contient de nombreux outils pour personnaliser, déployer et gérer Internet Explorer 6. Avec l'IEAK, les administrateurs réseau peuvent identifier les configurations sécurisées à déployer sur les clients du réseau. Les déploiements peuvent inclure des applications personnalisées, des listes de favoris prédéfinies, des paramètres confidentialité et de sécurité, la spécification d'un serveur proxy et presque tous les autres éléments de personnalisation d'Internet Explorer. Le maintien de ces configurations simplifie la mise à jour des composants de la sécurité au fur et à mesure que de nouvelles vulnérabilités apparaissent sur Internet.
Internet Explorer permet de configurer des zones de sécurité pour autoriser ou bloquer les téléchargements ou le contenu actif. Les quatre zones pouvant être configurées sont les suivantes :
Internet. Contient tous les sites Web non inclus dans les autres zones.
Intranet local. Contient tous les sites au sein des réseaux locaux.
Sites de confiance. Contient les sites Web dignes de confiance, sans contenu malveillant.
Sites sensibles. Contient les sites Web qui sont susceptibles d'inclure un contenu malveillant.
Vous pouvez définir des configurations de sécurité personnalisées dans chacune de ces quatre zones de sécurité ou sélectionner des niveaux de sécurité prédéfinis allant de "faible" à "élevé" à partir d'une liste déroulante.
Pour déployer Internet Explorer 6.0, Trey a créé une configuration personnalisée avec le Kit d'Administration Internet Explorer (le processus est décrit en détail dans la documentation de l'IEAK, disponible à l'adresse http://www.microsoft.com/windows/ieak/fr/), qui inclut une liste complète de paramètres de zone de sécurité pour les hôtes approuvés.
Un code malveillant peut provenir d'un contenu actif qui appelle de nouvelles sessions Internet Explorer ou de fenêtres "pop-up". De nombreux pop-ups essaient d'amener les utilisateurs à installer des chevaux de Troie (programmes qui semblent avoir une certaine utilité, mais qui contiennent un code caché pour exploiter ou endommager les systèmes informatiques), des virus (programmes conçus pour se reproduire sur plusieurs ordinateurs) ou des logiciels espions (programmes qui exécutent certaines activités sur un ordinateur sans obtenir le consentement de l'utilisateur). Un moyen simple d'endiguer le flux des pop-ups consiste à installer un « pop-up blocker ». Vous pouvez notamment vous en procurer un auprès de Microsoft en téléchargeant MSN Toolbar à l'adresse http://toolbar.msn.com. Trey a déployé la barre d'outils MSN dans le cadre de la mise à jour de l'image Windows 98.
Installation des extensions client Active Directory
Les clients Windows 98 ne possèdent pas toutes les fonctionnalités des systèmes d'exploitation plus récents, conçus pour tirer avantage des services Active Directory. Microsoft a publié le complément Active Directory Client Extension (DSClient) pour Windows 98 afin de fournir un accès aux réseaux Active Directory. Les fonctions d'Active Directory suivantes deviennent disponibles pour les clients Windows 98 par le biais de l'utilisation de DSClient :
Connaissance des sites Active Directory. Cette connaissance permet au client d'ouvrir une session sur le contrôleur de domaine le plus proche du client sur le réseau, plutôt que sur le contrôleur principal de domaine (PDC) ou le détenteur du rôle d'émulateur PDC. Elle donne également au client la possibilité de réinitialiser les mots de passe pour n'importe quel contrôleur de domaine. Dans les domaines Windows NT version 4.0, le contrôleur principal de domaine gère tous les changements de mot de passe, mais dans Active Directory, n'importe quel contrôleur de domaine peut répondre à ces requêtes. DSClient étend cette fonctionnalité aux clients Windows 98. Ces améliorations contribuent à réduire le trafic réseau et la charge sur le contrôleur principal de domaine (PDC).
Authentification NTLM version 2 (NTLMv2). L'authentification NTLMv2 est beaucoup plus sûre que l'authentification LAN Manager (LM) fournie avec Windows 98. NTLMv2, bien que moins fiable que l'authentification Kerberos, est beaucoup plus sûre que LM.
ADSI (Active Directory Service Interface). ADSI fournit une interface de programmation d’application commune (API) aux applications et permet d'utiliser une interface d'exécution de scripts pour Active Directory.
Tolérance de pannes du système de fichiers distribués (DFS) DSClient donne accès aux partages de basculement DFS Windows 2000 et Microsoft Windows Server™ 2003, comme spécifié dans Active Directory.
Propriétés du Carnet d'adresses Windows Active Directory. DSClient étend l'environnement Windows 98 pour exposer les éléments de schéma Active Directory étendus par l'intermédiaire de la commande Rechercher du menu Démarrage. Il permet également aux utilisateurs qui possèdent des autorisations de modifier les propriétés sur des objets utilisateur dans Active Directory.
Les fonctions d'Active Directory suivantes ne sont pas accessibles par l'intermédiaire des extensions client Active Directory :
Prise en charge de Kerberos. Une prise en charge complète de Kerberos est disponible seulement sur Windows 2000 et les clients ultérieurs.
Prise en charge des stratégies de groupe. La participation aux stratégies de groupe et la gestion des objets IntelliMirror ne sont pas disponibles pour les clients équipés de systèmes d'exploitation correspondant à d'anciennes versions.
Prise en charge d'IPSec (Internet Protocol Security) et de L2TP*.* Ces protocoles réseau sûrs évolués ne sont pas disponibles.
SPN (Service Principle Name) ou authentification mutuelle*.* Ces possibilités ne sont pas activées par le biais de DSClient.
Il est important de se procurer la dernière version de DSClient auprès des services de Support technique Microsoft. DSClient 2003 est disponible sous la forme d'un correctif ; pour un complément d'informations, reportez-vous à l'article de la Base de connaissances 323455, "Directory Services Client Update for Windows 98", à l'adresse http://support.microsoft.com/kb/323455. Avant d'installer DSClient, assurez-vous que vos stations de travail exécutent Internet Explorer 6 avec SP1 ou une version ultérieure.
L'équipe informatique de Trey a déployé manuellement DSClient sur chacun des ordinateurs exécutant Windows 98 dans le domaine. Elle a procédé ainsi pour autoriser l'intégration avec l'authentification Kerberos et pour permettre à tous les ordinateurs exécutant Windows 98 d'utiliser un niveau d'authentification NTLM supérieur.
Configuration de la signature SMB
La signature SMB est une technique cryptographique qui permet de signer numériquement chaque paquet envoyé entre un client et un serveur pour vérifier son authenticité. Cette technique empêche l'usurpation de l'identité des clients ou des serveurs sur le réseau par des ordinateurs qui essaient de d'immiscer au milieu des communications et vérifie la source de toutes les communications réseau.
La signature SMB, introduite avec Windows NT 4.0 Service Pack 3 (SP3), est décrite dans l'article de la Base de connaissances 161372, "How to Enable SMB Signing in Windows NT", à l'adresse http://support.microsoft.com/kb/161372. Pour l'activer dans Windows 98, vous devez créer une entrée de Registre DWORD dans la clé HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup soit pour exiger la signature, soit pour la prendre en charge si le partenaire de communications l'exige. L'utilisation de la signature SMB est contrôlée par deux valeurs DWORD :
Si vous affectez la valeur 1 à EnableSecuritySignature et la valeur 0 à RequireSecuritySignature, la signature SMB sera utilisée, à condition qu'elle soit prise en charge à la fois par le client et le serveur. Ce paramètre permet d'utiliser opportunément la signature, mais n'empêche pas le client de se connecter à d'autres clients ou serveurs qui ne prennent pas en charge la signature.
Si vous affectez la valeur 1 à RequireSecuritySignature et la valeur 0 à EnableSecuritySignature, le client communiquera uniquement avec les serveurs qui prennent en charge la signature SMB.
La signature SMB, lorsqu'elle est utilisée, doit être configurée sur tous les ordinateurs qui participent à un réseau. Ceux qui ne possèdent pas ces entrées de Registre ne pourront pas communiquer avec les autres hôtes du réseau. La surcharge associée à la signature SMB entraîne normalement une baisse de 10 à 15 pour-cent des performances du réseau.
Trey a choisi de désactiver l'utilisation de la signature SMB pour ses clients Windows 98 afin d'offrir une compatibilité totale avec leur environnement existant. La signature SMB est activée, mais non exigée, pour les serveurs et les contrôleurs de domaine, ainsi que pour les clients Windows NT et Windows 2000. Sur ses clients Windows 98, Trey a utilisé les paramètres client EnableSecuritySignature=0 et RequireSecuritySignature=0, qui empêchent les clients Windows 98 de demander ou d'accepter des connexions signées. Bien qu'une telle approche prive ces clients d'une sécurité renforcée contre les usurpations d'identité et les attaques du type "man-in-the-middle" (l'homme au milieu), le fait de désactiver la signature SMB préserve la compatibilité ; Trey a jugé que cette solution était préférable à une sécurité renforcée pour ses activités. Ce changement a également obligé Trey à modifier la configuration sur ses contrôleurs de domaine Windows Server 2003, car Windows Server 2003 active la signature SMB par défaut.
Choix du niveau d'authentification NTLM
Par défaut, Windows 98 utilise le cryptage de l'authentification LM, moins sûr et plus ancien. Les vulnérabilités et les possibilités d'exploitation ont été publiées, et Microsoft a renforcé les protocoles de sécurité d'authentification pour atténuer ces vulnérabilités. Une fois que le client DS Add-On a été configuré, vous pouvez le configurer pour utiliser la méthode d'authentification NTLMv2, plus sûre.
Lorsque DSClient est installé, Windows 98 prend en charge deux niveaux d'authentification NTLM et NTLMv2 qui sont contrôlés par la valeur de Registre LMCompatibility décrite plus loin dans ce chapitre. Ces valeurs sont les suivantes :
0 (Envoyer les réponses LM et NTLM) Offre une interopérabilité maximale. Les clients peuvent utiliser LM ou l'une des versions de NTLM pour s'authentifier.
3 (Envoyer uniquement les réponses NTLMv2) Utilisez cette valeur uniquement si tous les clients équipé d'une ancienne version d'un système d'exploitation ont installé DSClient.
Trey a initialement déployé la clé de Registre avec une valeur égale à 0, ce qui crée une image-miroir de l'environnement existant. Après avoir mis à niveau ses serveurs Windows NT 4.0 comme indiqué dans le chapitre 4, "Renforcement de Windows NT 4.0", Trey a réglé de nouveau la valeur de LMCompatibility sur 3 pour les ordinateurs exécutant Windows 98.
L'installation par défaut du cryptage NTLMv2 fournit des longueurs de clés de 56 bits sur les systèmes où la version 56 bits d'Internet Explorer a été installée. Les systèmes où Internet Explorer a été installé après 1999 sont probablement équipés de la version 128 bits ; vous pouvez mettre à niveau les clients plus anciens pour installer le cryptage 128 bits en suivant la procédure décrite dans le chapitre précédent. Si la version 128 bits d'Internet Explorer est installée avant l'installation de DSClient, l'authentification NTLMv2 128 bits sera activée. Trey a installé la mise à jour 128 bits sur ses ordinateurs exécutant Windows 98 et déployé la prise en charge de l'authentification NTLMv2 pour tous ses ordinateurs, comme cela est décrit dans le chapitre 4, "Renforcement de Microsoft Windows NT 4.0". Une fois ces modifications effectuées, Trey a pu procéder à l'activation de la prise en charge de NTLMv2 sur les serveurs et les contrôleurs de domaine.
Définition de stratégies système efficaces.
Les stratégies système vous permettent de centraliser l'application de stratégies de sécurité pour remplacer les paramètres par défaut dans le Registre de l'ordinateur local. Les administrateurs réseau peuvent identifier des zones de vulnérabilité dans les ordinateurs exécutant Windows 98 et configurer de nombreux paramètres pour une sécurité optimale.
Les clients Windows 98 appliquent les stratégies du fichier Config.pol situé dans le partage Netlogon du contrôleur principal de domaine (PDC) (car les ordinateurs exécutant Windows 98 ne peuvent énumérer les appartenances aux groupes d'un utilisateur de domaine qu'à partir du contrôleur principal, et non à partir des contrôleurs secondaires de domaine (BDC)). Étant donné que les contrôleurs de domaine chez Trey exécutent Windows Server 2003, cela ne pose pas de problème pour l'environnement ; les sites qui continuent d'exécuter des contrôleurs de domaine Windows NT® 4.0 peuvent être en mesure de déployer des stratégies spécifiques aux utilisateurs en utilisant les recommandations de l'article de la Base de connaissances 150687, "Group Policies Not Applied on Windows NT Domain", à l'adresse http://support.microsoft.com/kb/150687.
La plupart des stratégies Windows 98 visent à limiter la capacité de l'utilisateur à changer l'environnement du bureau. Au lieu d'utiliser ces stratégies, qui apportent peu de sécurité effective, Trey a choisi d'appliquer des paramètres de stratégie qui empêcheraient dans la mesure du possible un pirate malveillant de provoquer des dégâts ou un utilisateur innocent, mais peu expérimenté, d'interrompre accidentellement une fonctionnalité requise. Trey a choisi d'appliquer des stratégies pour :
Exiger une sécurité des connexions et présenter une bannière d'ouverture de session qui décrit les stratégies de l'organisation.
Définir une stratégie de mot de passe qui cache les mots de passe des utilisateurs lors de la saisie et exige des mots de passe alphanumériques longs.
Désactiver le partage de fichiers et d'imprimantes, ainsi que l'accès à distance.
Empêcher les utilisateurs d'exécuter les outils d'édition du Registre.
N'oubliez pas qu'une erreur peut facilement entraîner une sécurisation excessive de l'ordinateur et un blocage d'une fonctionnalité nécessaire à son utilisation ou à son administration. La méthode conseillée consiste donc à utiliser un ordinateur qui n'est pas une station de travail principale et qui peut être reconfiguré. Vous avez également intérêt à créer des stratégies spécifiques à un groupe ou à un utilisateur qui assouplissent certaines restrictions pour les administrateurs afin qu'ils puissent accéder facilement aux outils d'édition et de dépannage du Registre. Trey a mis au point un programme de tests qui déployait les paramètres de stratégie proposés dans un environnement de laboratoire avec des ordinateurs fabriqués de façon à représenter fidèlement ses hôtes de production ; ce programme a été utilisé pour vérifier que les stratégies fonctionnaient selon les prévisions sans effets secondaires involontaires.
Implémentation
Windows 98 ne possède pas la plupart des outils de configuration et de gestion qui ont été introduits dans les versions ultérieures de Windows. Cette limitation a obligé l'équipe de Trey Research à faire un choix entre créer une configuration Windows 98 sécurisée, puis la déployer par le biais d'une image sur toute ses stations de travail actuelles, et appliquer les paramètres de sécurité manuellement. Comme elle prévoyait déjà de déployer Windows XP Service Pack 2 pour tous les ordinateurs dans le cadre de son plan de modernisation informatique, elle a choisi d'utiliser une configuration manuelle pour éviter d'avoir à reconstituer deux fois les ordinateurs concernés, bien que cela implique un niveau de complexité supérieur à court terme.
Conditions requises pour l'implémentation
Pour que cette implémentation fonctionne correctement, vous devez avoir mis en œuvre une infrastructure Trey Research de base, comme indiqué dans le chapitre 2, "Application d'une discipline de gestion du risque de sécurité au scénario Trey Research".
Présentation de l'implémentation
Pour mettre en œuvre une solution correspondant à ce scénario, vous devez exécuter les opérations suivantes :
Installation de Windows 98 et fourniture d'une base de correctifs
Installation d'un pare-feu Internet.
Renforcement de la séquence d'amorçage.
Déploiement de Microsoft Internet Explorer.
Installation des extensions client Active Directory pour Windows 98.
Configuration de la signature SMB.
Choix du niveau d'authentification NTLM.
Définition de stratégies système efficaces.
Installation de Windows 98 et fourniture d'une base de correctifs
Trey a mis au point une configuration Windows 98 standard en réinstallant Windows 98 avec ses paramètres par défaut standard sur un ordinateur test, en installant les correctifs à partir du kit de mise à jour de la sécurité (Security Update Kit), puis en ajoutant les tout derniers jeux de correctifs à partir de Windows Update. Une fois l'installation terminée, Trey a utilisé l'outil de catalogage de Windows Update pour analyser le système test et imprimer un rapport répertoriant les correctifs appliqués. Cette liste de correctifs a ensuite été utilisée pour mettre à jour les autres systèmes Windows 98 par rapport à la même ligne de base.
Installation d’un pare-feu Internet
Après avoir évalué différents produits pare-feu personnels, le responsable informatique de Trey en a choisi un qui permettait de centraliser la configuration et les rapports sur les tentatives de piratage et de pénétration. Ce produit pare-feu a ensuite été déployé sur tous les ordinateurs de bureau et mobiles exécutant Windows 98. Microsoft ne recommande aucun produit pare-feu spécifique, mais certains produits disponibles sont répertoriés dans la section "Informations complémentaires", à la fin de ce chapitre.
Renforcement de la séquence d'amorçage
Pour protéger un ordinateur exécutant Windows 98 contre les interruptions au démarrage du système d'exploitation, vous devez modifier le fichier système Msdos.sys et configurer le BIOS de l'ordinateur pour désactiver l'accès aux supports amovibles en tant que périphériques d'amorçage.
Sécurisation du processus d'amorçage
Pour empêcher toute interruption de la séquence d'amorçage avant l'application des stratégies de sécurité, vous devez modifier le fichier système Msdos.sys de façon à rendre impossibles le changement du comportement au démarrage et le contournement des stratégies. L'article de la Base de connaissances 118579, "Contents of the Windows Msdos.sys File", à l'adresse http://support.microsoft.com/kb/118579 explique comment localiser et modifier ce fichier.
Dans la mesure où le fichier Msdos.sys est caché et marqué en lecture seule, vous devez le modifier de façon à supprimer ces attributs jusqu'à ce qu'il soit modifié.
Pour modifier le fichier Msdos.sys avec le Bloc-notes
Cliquez sur Démarrer, pointez sur Rechercher, puis cliquez sur Fichiers ou Dossiers.
Dans la zone Nommé, tapez msdos.sys.
Dans la zone Regarder dans, cliquez sur votre lecteur d'amorçage (en général , le lecteur C).
Cliquez sur le bouton Rechercher maintenant.
Cliquez avec le bouton droit sur le fichier Msdos.sys et sélectionnez Propriétés.
Désactivez les cases à cocher Lecture seule et Caché pour supprimer ces attributs du fichier, puis cliquez sur OK.
Cliquez avec le bouton droit sur le fichier Msdos.sys et sélectionnez Ouvrir avec.
Dans la zone Choisissez le programme à utiliser, cliquez sur Bloc-notes, puis cliquez sur OK.
Ajoutez les deux lignes suivantes à la section [Options] :
BootKeys=0
BootSafe=0
La valeur booléenne BootKeys spécifie si les touches de fonction du clavier sont autorisées au démarrage du système. Dans la mesure où plusieurs de ces clés peuvent être utilisées pour interrompre le processus d'amorçage, un système sécurisé désactive les touches en leur affectant une valeur égale à 0.
BootSafe est un autre paramètre booléen qui autorise l'amorçage en mode sans échec. Si vous affectez à BootSafe une valeur égale à 0, l'amorçage en mode sans échec est bloqué sur l'ordinateur.
Enregistrez le fichier et fermez le Bloc-notes.
Cliquez avec le bouton droit sur le fichier Msdos.sys et sélectionnez Propriétés.
Activez les cases à cocher Lecture seule et Caché afin de définir ces attributs pour le fichier, puis cliquez sur OK. Fermez la boîte de dialogue Rechercher.
Redémarrez l'ordinateur pour que les changements prennent effet.
Remarque : vous trouverez un complément d'informations sur le contenu du fichier Msdos.sys dans l'article de la Base de connaissances référencé plus haut.
Suppression de l'accès aux supports amovibles en tant que périphériques d'amorçage
S'il est possible de démarrer un ordinateur à partir de supports amovibles, les paramètres de sécurité du système peuvent être entièrement contournés et reconfigurés. Consultez les instructions du fabricant de votre système pour plus d'informations sur l'accès au BIOS système.
Pour désactiver l'amorçage à partir d'un support amovible
Définissez le disque dur principal comme premier périphérique d'amorçage.
Désactivez l'amorçage à partir des lecteurs de disquettes et de CD-ROM.
Songez à désactiver les ports USB (Universal Serial Bus) et FireWire s'ils ne sont pas requis dans votre environnement professionnel.
Définissez le mot de passe du BIOS (le cas échéant) pour empêcher la réinitialisation de ces mesures de sécurité.
Déploiement de Microsoft Internet Explorer.
Les administrateurs de réseaux importants peuvent créer des installations personnalisées d'Internet Explorer 6.0 SP1 avec le Kit d'Administration Internet Explorer (disponible à l'adresse http://www.microsoft.com/windows/ieak/fr/) pour s'assurer que les stations de travail exécutent la dernière version sécurisée d'Internet Explorer. L'IEAK autorise les administrateurs à définir des profils administratifs pour préconfigurer les paramètres de sécurité d'Internet Explorer, verrouiller Microsoft NetMeeting® et Microsoft Outlook® Express, et contrôler les fonctionnalités que les utilisateurs peuvent modifier.
Remarque: la toute dernière version des extensions client Active Directory requiert Internet Explorer 6.0, comme indiqué dans l'article de la Base de connaissances 555038, "How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains", à l'adresse http://support.microsoft.com/kb/555038.
Installation des extensions client Active Directory pour Windows 98
Microsoft a créé des extensions pour Windows 98 afin d'autoriser la participation aux domaines Active Directory. Ce client doit être installé sur toutes les stations de travail Windows 98 dans de tels environnements. Bien que les extensions client Active Directory pour Windows 98 fussent distribuées avec Windows 2000, une nouvelle mise à jour est disponible auprès des services de Support technique Microsoft sous forme d'un correctif gratuit.
Configuration de la signature SMB pour les communications réseau
La signature SMB garantit que chaque paquet transmis à travers un réseau est signé numériquement, ce qui assure un niveau de sécurité élevé, mais risque d'entraîner une baisse des performances du réseau comprise entre 10 et 15 pour-cent. Si la signature SMB est configurée, tous les systèmes du réseau doivent être configurés pour l'utiliser. Toutefois, afin d'assurer une compatibilité maximale au détriment d'une partie de la sécurité, Trey a choisi de forcer ses clients Windows 98 à désactiver la signature SMB. Leur configuration peut être mise en œuvre de la façon suivante.
Pour désactiver la signature SMB sur le client Windows 98
Démarrez l'Éditeur du Registre en tapant Regedit.exe à une invite de commande et en appuyant sur ENTRÉE.
Recherchez la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\VNetsup
Ajoutez deux valeurs à cette clé :
Nom de la valeur : EnableSecuritySignature
Type de données : REG_DWORD
Value : 0 (désactive l'utilisation de la signature lorsqu'elle est prise en charge par le serveur)
Nom de la valeur : RequireSecuritySignature
Type : REG_DWORD
Valeur : 0 (autorise la communication, y compris lorsque le serveur ne peut pas prendre en charge la signature)
Fermez l'Éditeur du Registre.
Redémarrez l’ordinateur.
Pour changer le paramètre par défaut de Windows Server 2003 qui exige la signature SMB
Ouvrez une session sur le contrôleur de domaine Windows Server 2003 en utilisant un compte disposant de droits d'administration sur le domaine.
Lancez la console MMC (Microsoft Management Console, MMC.exe), puis ajoutez le composant logiciel enfichable Éditeur d'objets de stratégie de groupe. Ciblez l'objet Stratégie des contrôleurs de domaine par défaut pour le domaine dans le composant logiciel enfichable Éditeur d'objets de stratégie de groupe, puis cliquez sur Terminer.
Dans l'objet Stratégie des contrôleurs de domaine par défaut, développez Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité, Stratégies locales \ Options de sécurité.
Double-cliquez sur Serveur réseau Microsoft : signer numériquement les communications (toujours).
Activez la case à cocher Définir ce paramètre de stratégie, puis assurez-vous que le bouton Désactivé est sélectionné. Cliquez sur OK.
Fermez la fenêtre de la console MMC (Microsoft Management Console).
Choix du niveau d'authentification NTLM
Après avoir installé les extensions client Active Directory, vous devez activer l'authentification NTLMv2. L'article de la Base de connaissances 239869, "How to enable NTLM 2 authentication", fournit des conseils pour activer ces paramètres.
Pour définir le niveau d'authentification NTLMv2
Démarrez l'Éditeur du Registre en tapant Regedit.exe à une invite de commande et en appuyant sur ENTRÉE.
Recherchez la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control, puis cliquez dessus.
Créez une nouvelle sous-clé de Control nommée LSA.
Créez une valeur DWORD nommée LMCompatibility attribuez-lui la valeur 3 (pour un examen des valeurs admissibles, voir "Choix du niveau d'authentification NTLM", plus haut dans ce chapitre).
Redémarrez l’ordinateur.
Remarque: n'affectez pas à LMCompatibility une valeur égale à 3 avant d'avoir mis à jour vos serveurs Windows NT pour autoriser l'utilisation de NTLMv2. Si l'environnement contient des ordinateurs qui ne sont pas configurés pour utiliser NTLMv2, les communications échoueront. Vérifiez que vous avez planifié ces paramètres à travers votre entreprise pour assurer une communication ininterrompue. Pour plus d'informations sur la limitation du niveau de compatibilité LM sur Windows NT, reportez-vous au chapitre 4, "Renforcement de Microsoft Windows NT 4.0".
Configuration de stratégies système pour la sécurité
L'Éditeur de stratégie système est outil puissant que vous pouvez utiliser pour limiter de façon précise l'accès à un ordinateur exécutant Windows 98, en empêchant les utilisateurs de changer les paramètres de sécurité, tout en les autorisant à effectuer leur travail. Vous devez créer des stratégies système pour contribuer à protéger vos stations de travail contre les falsifications et appliquer des paramètres de sécurité personnalisés.
Installation de l'Éditeur de stratégie système
Vous devez impérativement installer l'Éditeur de stratégie système sur la plate-forme pour laquelle vous voulez créer des stratégies. Autrement dit, si vous souhaiter créer des stratégies pour les systèmes Windows 98, vous devez modifier et sauvegarder le fichier de stratégie à partir d'une station de travail Windows 98.
Pour installer l'Éditeur de stratégie système à partir du CD-ROM de Windows 98
Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
Cliquez sur Ajout/Suppression de programmes.
Cliquez sur l'onglet Installation de Windows, puis sur Disquette fournie.
Insérez le disque Windows 98 dans votre lecteur de CD-ROM.
Dans la boîte de dialogue Installer à partir de la disquette, naviguez jusqu’au dossier \Tools\Reskit\Netadmin\Poledit sur le CD, sélectionnez le fichier Poledit.inf, puis cliquez sur OK.
Dans la boîte de dialogue Disquette fournie, sélectionnez le composant Éditeur de stratégie système, puis cliquez sur Installer.
Cette installation copie Poledit.exe dans le dossier Windows et Windows.adm, Common.adm et Poledit.inf dans le dossier \Windows\Inf. Elle effectue également les modifications requises dans votre Registre et ajoute une option de démarrage dans votre dossier Programmes\Accessoires\Outils système.
Avertissement : avant de modifier le Registre, créez des copies de sauvegarde des fichiers du Registre (System.dat et User.dat), qui correspondent à des fichiers cachés dans le dossier système Windows.
Paramètres de stratégie recommandés
Après avoir installé l'Éditeur de stratégie système, vous pouvez l'utiliser afin de créer une stratégie pour l'installation ou la distribution locale. Comme vous pouvez le remarquer, lorsque vous changez les paramètres de stratégie, les cases à cocher correspondant à chaque paramètre peuvent avoir trois états : sélectionné, désactivé et grisé. Si la case à cocher est sélectionnée, la stratégie s'appliquera conformément aux spécifications. Si la case à cocher est grisée, le paramètre de stratégie sera ignoré. Si la case à cocher est désélectionnée, les paramètres de Registre de cette stratégie risquent d'être supprimés involontairement.
Pour créer une stratégie avec les paramètres au niveau utilisateur recommandés
Double-cliquez sur C:\Windows\poledit.exe.
Cliquez sur Fichier, puis sur Nouvelle stratégie.
Double-cliquez sur l'icône Ordinateur par défaut. La boîte de dialogue Propriétés de Ordinateur par défaut s'affiche.
Développez le nœud Réseau Windows 98. Les paramètres suivants sont recommandés pour les propriétés du réseau.
Sous Ouverture de session, sélectionnez les cases à cocher suivantes :
Bannière d'ouverture de session. Ajoute une bannière de démarrage décrivant la stratégie organisationnelle relative à l'utilisation des ordinateurs.
Nécessite une validation par réseau pour l'accès Windows. Exige que les utilisateurs s'authentifient sur le réseau plutôt que sur leurs ordinateurs locaux.
Ne pas afficher le dernier nom d'utilisateur à l'ouverture de session. Oblige les utilisateurs à taper un nom d'utilisateur valide au lieu d'afficher la valeur précédente.
Ne pas afficher la progression de l'ouverture de session. Masque la progression de l'ouverture de session.
Sous Mot de passe, sélectionnez les cases à cocher suivantes :
Masquer les mots de passe de partage par des astérisques. Masque les mots de passe lors de la saisie.
Désactiver la mise en antémémoire du mot de passe. Force le client à s'authentifier sur un contrôleur de réseau plus sûr au lieu de stocker les mots de passe localement dans un cache moins sécurisé.
Nécessite un mot de passe alphanumérique d'ouverture de session. Applique de force un niveau de complexité supérieur pour les mots de passe locaux.
Longueur minimale du mot de passe Windows. Vous permet de spécifier le nombre de caractères requis pour un mot de passe. Une valeur de 8 correspond à la longueur d'un mot de passe relativement fort.
Sous Client Microsoft pour réseaux Windows, sélectionnez les cases à cocher suivantes :
Ouverture de session sur Windows NT. Permet à l'administrateur de coder de manière irréversible le domaine sur lequel la station de travail est autorisée à ouvrir une session.
Désactiver la mise en antémémoire de mot de passe de domaine. Minimise l'exposition des mots de passe mis en cache localement.
Groupe de travail. Permet à l'administrateur de coder de manière irréversible le domaine sur lequel la station de travail ouvrira une session. Ce paramètre est requis pour la connexion au domaine.
Désactivez la case à cocher Autre groupe de travail afin que l'utilisateur ne puisse pas se connecter aux groupes de travail spécifiés.
Sous Partage de fichiers et d'imprimantes pour les réseaux Microsoft, désactivez toutes les cases à cocher. En règle générale, les fonctions de partage de fichiers et d'imprimantes doivent être désactivées sur les stations de travail locales. Si les utilisateurs ont besoin de partager des fichiers ou des imprimantes, utilisez des serveurs dédiés et sécurisez-les correctement.
Sous Accès réseau à distance, sélectionnez la case à cocher Désactiver la réception d'appel pour vous assurer que l'ordinateur n'est pas accessible à distance.
Cliquez sur OK.
Pour créer une stratégie en utilisant les paramètres au niveau utilisateur recommandés
Cette procédure nécessite que vous exécutiez la procédure précédente et que l'Éditeur de stratégie système soit déjà ouvert. Windows 98 prend en charge le téléchargement d'une seule stratégie à partir du contrôleur de domaine ; les paramètres au niveau utilisateur et au niveau ordinateur doivent donc être combinés.
Double-cliquez sur Utilisateur par défaut.
Dans la boîte de dialogue Propriétés de Utilisateur par défaut, double-cliquez sur Système Windows 98.
Double-cliquez sur Panneau de configuration.
Développez Réseau, puis cliquez sur Restreindre le panneau de configuration Réseau.
Développez Système, puis cliquez sur Restreindre le panneau de configuration Système.
Développez Restrictions, puis cliquez sur Désactiver les outils d'édition de la base de registres.
Cliquez sur OK.
Enregistrez la stratégie à l'emplacement approprié.
Déploiement de stratégies
Après avoir configuré les stratégies pour votre organisation, exécutez les opérations suivantes pour nommer le fichier de stratégie Config.pol et l'enregistrer à l'emplacement réseau correct afin que les stations de travail clientes puissent télécharger et appliquer automatiquement les paramètres.
Pour déployer des stratégies
Dans le menu Fichier, sélectionnez Enregistrer sous.
Nommez le fichier Config.pol et stockez-le à l'un des emplacements suivants :
Pour les contrôleurs de domaine Windows NT 4.0, enregistrez le fichier sous %racine_système%\WINNT\System32\Repl\Import\Scripts\Config.pol
Pour les contrôleurs de domaine Windows 2000 et Windows Server 2003, enregistrez le fichier sous %racine_système%\sysvol\sysvol\domainName\scripts\Config.pol
Pour activer le téléchargement automatique des stratégies pour le client Windows 98
Ouvrez une session sur l'ordinateur exécutant Windows 98.
Ouvrez le Panneau de configuration.
Double-cliquez sur Réseau.
Dans la liste déroulante Ouverture de session réseau principale, assurez-vous que Client pour les réseaux Microsoft est sélectionné.
Cliquez sur l'onglet Identification , assurez-vous que la valeur du champ Groupe de travail correspond au nom du domaine, puis cliquez sur OK.
Testez la solution.
Lorsque l'implémentation du scénario est terminée, vous pouvez la valider pour vous assurer qu'elle répond aux exigences.
Validation
Vous pouvez utiliser les informations du tableau suivant pour tester le scénario Trey et valider la façon dont vous avez mis en œuvre ces conseils.
Tableau 5.1 : Tests de validation
| Description | Étapes du test | Résultat escompté |
|---|---|---|
| Valider l'installation des correctifs | Exécutez l'utilitaire QFECheck.exe (situé dans le dossier d'installation de Windows). | Vous avez la possibilité d'obtenir une liste des correctifs actuels qui correspondent à la base établie. |
| Valider l'installation de Microsoft Internet Explorer 6 SP1 | Démarrez Internet Explorer et, dans le menu ? (Aide), cliquez sur À propos de Internet Explorer. | Les informations de version doivent indiquer 6.0.2800.xxxx. |
| Valider l'installation de DSClient | Cliquez sur Démarrer, puis sur Rechercher et sur Des personnes. | La possibilité de rechercher Active Directory indique que DSClient a été installé correctement. |
| Valider l'authentification NTLMv2 | Configurez le contrôleur de domaine pour qu'il exige l'authentification NTLMv2. | Le client parvient à ouvrir une session. |
| Valider la signature SMB | Configurez les ressources réseau de façon à exiger la signature SMB pour les communications. | Le client peut accéder correctement aux ressources réseau. |
| Valider les stratégies système | Essayez d'accéder à des ressources auxquelles l'accès est limité par les stratégies système. | Vous n'avez pas accès aux ressources protégées. |
| Valider la sécurité du BIOS système | Essayez d'accéder au BIOS système avec la séquence d'échappement spécifiée par le fabricant. | Vous êtes invité à saisir un mot de passe de stimulation. |
| Essayer de contourner le périphérique d'amorçage | Insérez une disquette et un CD amorçables. | Le client ne démarre pas à partir d'un support amovible. |
| Essayer de contourner la séquence de démarrage | Appuyez sur F5 ou F8 pendant le démarrage du système. | Le client ne propose pas de menu autorisant un autre type de démarrage. |
| Essayer de contourner l'ouverture de session réseau | Essayez d'appuyer sur ECHAP lorsque la fenêtre d'ouverture de session apparaît. | Bureau Windows 98 non accessible avant la présentation des informations d'identité du domaine. |