Windows XP et la sécurité : guide de découverte des nouveautés

L'ensemble de la sécurité dans Windows XP a été amélioré afin de répondre aux nouvelles exigences du monde informatique actuel.

Windows XP offre différentes fonctionnalités de sécurité en fonction de son mode d'installation : en workgroup ou dans un domaine.

• Un contrôleur de domaine Windows 2000 Server SP2

• Trois stations Windows XP Professionnel

  • deux installées en WorkGroup

  • Une installée dans le domaine

  • Une connexion Internet

  • Un modem sur l'une des stations Windows XP en Workgroup

• Smart card (si le client est équipé de ce matériel).

Il s'agit de montrer sur le poste Windows XP installé en workgroup la gestion de plusieurs utilisateurs. La nouvelle interface de "Logon" n'est pas disponible quand le poste est dans un domaine.

• Nouvelle interface de logon :

  

  • Gestion des utilisateurs :

  • Start/Control Panel/User Accounts

    

  • Création d'utilisateurs

  

  

  

• Utilisation du "Fast User Switching"

Dans Internet Explorer 6, il est possible de gérer les cookies des sites WEB P3P d'une manière globale ou site par site. On peut montrer cette fonctionnalité en se connectant à www.msn.fr :

• Exécuter Internet Explorer 6

• Dans le menu Tools\Internet Options, choisir "Privacy" puis "Advanced"

  

• Dans le menu Tools\Internet Options, choisir "**Privacy ** " puis "**Edit ** " dans la section "Web sites"

  

• Montrer la création des cookies quand on se connecte à www.msn.fr

  

• Bloquer la création des cookies

  

• Se reconnecter avec Internet Explorer 6. La fenêtre suivante apparaît :

  

• Cliquer sur l'icône pour visualiser le paramétrage sur ce site :

  

ICS permet à partir d'un poste Windows XP ayant une connexion Internet de la partager avec d'autres postes installés dans un workgroup.

• Ajouter une connexion Internet au poste : Start/Control Panel/Network and Internet Connections

• Exécuter l'assistant pour installer un réseau local : Start/Control Panel/Network and Internet Connections/Set up or change your home or small office network

  

• Paramétrage du poste pour l'ICS : Start/Control Panel/Network and Internet Connections /Network Connections et clic droit sur la connexion Internet

  

• Exécuter l'assistant pour installer un réseau local : Start/Control Panel/Network and Internet Connections/Set up or change your home or small office network

  

Sur cette configuration, il s'agit de montrer les fonctionnalités de Firewall de Windows XP :

• Paramétrage du poste pour l'ICS : Start/Control Panel/Network and Internet Connections /Network Connections et clic droit sur la connexion Internet

• Cliquer sur l'onglet "Advanced" et cocher "Protect my computer and network…"

  

• Cliquer sur Settings

  

Windows XP permet la prise de main à distance sur d'autres stations Windows XP. Il s'agit de montrer les différents paramètres de sécurité liés à cette fonctionnalité.

Paramétrages :

Dans "Remote", on peut donner l'accès à distance de cette station et définir quelles sont les personnes habilitées à le faire :

Dans une MMC avec le snap-in "Policies", on peut définir des stratégies au niveau du domaine pour l'accès à distance aux stations :

Par défaut, Windows XP force l'authentification sur un partage réseau avec le compte "Guest". Ceci permet de sécuriser l'accès à des ressources sur le poste et de ne pas faire circuler des mots de passe sur le réseau.

Pour montrer ce paramétrage :

• Ouvrir une MMC avec le snap-ins "Group Policy"

• Se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options

• Désactiver l'option "Guest account status"

  

• Se connecter à un partage réseau

• La fenêtre suivante montre que la connexion est réalisée avec le compte "Guest" mais qu'aucun autre compte n'est possible à utiliser

  

• Pour pouvoir s'authentifier avec un compte spécifique, il faut se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options et choisir l'option "Classic – Local users authenticate as themselves" au niveau de "Sharing and security model for local accounts"

  

• Redémarrer la station pour que la prise ne compte soit immédiate.

Par défaut, Windows XP ne permet pas l'accès à un partage réseau à un compte n'ayant pas de mot de passe.

On peut modifier cette option :

• Exécuter le snap-in "Group Policy"

• Se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options

• Choisir l'option "Limit local account use of blank passwords to console logon only"

Pour montrer la gestion des mots de passe dans un domaine :

• Ajouter une des stations Windows XP professionnel dans un domaine

• Cliquer sur Start/Control Panel/User Accounts

• Montrer l'assistant de .NET Passport afin d'utiliser Hotmail, Windows Messenger…

  

Ce chapitre va permettre de montrer la gestion du chiffrement des dossiers et des fichiers sous Windows XP avec notamment le cryptage des "dossiers Offline".

• Installer les services de certificats :

  

• Choisir une autorité racine d'entreprise (lié à l'Active Directory)

  

• Renseigner les informations de l'autorité de certification

  

  

• Montrer dans "Active Directory Sites and Services" la publication des modèles de certificats et modifier les permissions sur les modèles afin de pouvoir les utiliser: ajouter le groupe "Tout le monde" (attention prendre le mode d'affichage pour visualiser les "nœuds".

  

On peut chiffrer des dossiers et fichiers sans autorité de certification :

• Clic droit sur le dossier à chiffrer

• Cliquer sur Advanced

• Cocher "Encrypt contents to secure data"

Les fichiers du dossier change de couleur. Un autre utilisateur ne peut ouvrir les fichiers du dossier.

En effet lors du chiffrement, un certificat a été créé automatiquement par Windows XP pour l'utilisateur qui a chiffré le dossier. Ce certificat est indispensable pour pouvoir lire les fichiers chiffrés sur un autre poste. Pour le visualiser ou l'exporter afin les fichiers sur un autre poste, la MMC avec le snap-in "Certificates" doit être exécutée:

Visualisation :

Exportation :

• Clic droit sur le certificat

• Cliquer sur "All tasks" puis sur Export

  

  

  

1ère étape  : faire la demande d'un certificat pour le chiffrement de dossiers

• Exécuter une MMC avec le snap-ins "Certificates"

• Clic droit sur "**Personnal ** " puis "Request New Certificat"

  

  

  

• On obtient des certificats attribués par la CA pour chiffrer des dossiers et fichiers

2ième étape  : chiffrer un dossier

• Clic droit sur le dossier à chiffrer

• Cliquer sur Advanced

• Cocher "Encrypt contents to secure data"

3ième étape : créer un profil errant afin de montrer que le certificat de chiffrement de l'utilisateur est disponible sur tous les postes

On peut chiffrer maintenant dans Windows XP des "dossiers Offline .

• Lancer l'explorateur

• Clic sur le menu Tools/Folder Options

• Cliquer sur l'onglet "Offline Files"

  

• Activer le chiffrement

*Remarque * : pour un poste Windows XP en Workgroup, il est indispensable de désactiver le "Fast User Switching" pour pouvoir chiffrer des dossiers Offline.

Cette étape va permettre de montrer les nouvelles possibilités qu'apporte Windows XP pour définir des stratégies de groupe (GPO).

Windows XP est capable de mettre à jour les fichiers ADM d'un contrôleur de domaine (System.adm, Conf.adm, Inetres.adm, Wmplayer.adm). Plus de 400 clés de registre supplémentaires sont ajoutées pour administrer les postes Windows XP.

Les postes Windows 2000 ne prendront pas en compte ces fonctionnalités.

Dès que Windows XP ouvre une stratégie de groupe, il met à jour les fichiers adm de cette stratégie :

• Sur le poste Windows XP, créer une MMC avec le snap-in "Policies"

  

• Ouvrir une stratégie de groupe du domaine Windows 2000

  

On peut constater sur le contrôleur de domaine que les fichiers ADM de la stratégie de groupe ont été mis à jour

Certains administrateurs ne souhaitent pas mettre à jour les fichiers ADM des stratégies de groupe de leur domaine. Dans ce cas, il est possible de désactiver cette option au niveau de la stratégie de groupe du  domaine en activant l'option suivante:

User Config \ Admin Temp \ System \ Group Policy \ Turn off automatic update of ADM files

Les fichiers adm du répertoire c:\winnt\inf utilisés lors de la création des stratégies de groupe ne sont pas mis à jour. Une simple copie des fichiers ADM de Windows XP peut être réalisée. Dans ce cas, toutes les nouvelles stratégies de groupe auront les modèles d'administration de Windows XP.

Il s'agit de montrer les nouveautés apportées par la mise à jour des fichiers ADM au niveau sécurité:

• Software restriction Policies : montrer que l'on peut bloquer l'exécution de code spécifique:

  

• Security Options

  

• Autoenrollment settings (fonctionnalité disponible avec une CA .NET SERVER)

  

Ce chapitre permet de montrer l'authentification à un domaine avec une SmartCard. Les différentes étapes à suivre pour mettre en place cette architecture sont :

• Infrastructure PKI : celle-ci a été installée plus haut dans ce document

• Ajouter les "policy setting" suivante au niveau de la CA ROOT avec la MMC "Certification Authority:

  • Clic droit sur "Policy Settings" puis choisir "New" et enfin "Certificate to Issue"

  • Choisir Smartcard User, Smartcard Logon, Enrollment Agent

  

• Mettre la permission Lire pour le groupe d'utilisateurs habilité à utiliser ces Smart card dans "**Active Directoty Sites and Services ** "

  

  • Faire la demande d'un certificat "Enrollment Agent"

  • Se connecter à la page web http://serveur/certsrv

  • Choisir l'option "Request a certicate" puis "**Advanced ** "

  • Choisir "Submit a "certificate request to this CA using a form"

  • Choisir "Enrollment Agent" puis l'installer

• Faire enfin une demande pour un certificat de Smart card

  • Se connecter à la page web http://serveur/certsrv

  • Choisir l'option "Request a certicate" puis "Advanced"

  • Choisir "Request a certificate for a smart card…"

• Sélectionner l'utilisateur et le Cryptographic Service Provider de la smart card

  

• Saisir le mot de passe pour cette smart card.