Windows XP et la sécurité : guide de découverte des nouveautés

  • Article

Téléchargez guide de decouverte securite winxp.doc
710 Ko
Fichier Microsoft Word

Introduction

L'ensemble de la sécurité dans Windows XP a été amélioré afin de répondre aux nouvelles exigences du monde informatique actuel.

Windows XP offre différentes fonctionnalités de sécurité en fonction de son mode d'installation : en workgroup ou dans un domaine.

Configuration matérielle

  • Un contrôleur de domaine Windows 2000 Server SP2

  • Trois stations Windows XP Professionnel

    • deux installées en WorkGroup

    • Une installée dans le domaine

    • Une connexion Internet

    • Un modem sur l'une des stations Windows XP en Workgroup

  • Smart card (si le client est équipé de ce matériel).

1er jour

"Login" personnalisé

Il s'agit de montrer sur le poste Windows XP installé en workgroup la gestion de plusieurs utilisateurs. La nouvelle interface de "Logon" n'est pas disponible quand le poste est dans un domaine.

  • Nouvelle interface de logon :

    Nouvelle interface de logon

    • Gestion des utilisateurs :

    • Start/Control Panel/User Accounts

      User Accounts

    • Création d'utilisateurs

    Création d'utilisateurs

    Création d'utilisateurs

    Création d'utilisateurs

  • Utilisation du "Fast User Switching"

Gestion des cookies

Dans Internet Explorer 6, il est possible de gérer les cookies des sites WEB P3P d'une manière globale ou site par site. On peut montrer cette fonctionnalité en se connectant à www.msn.fr :

  • Exécuter Internet Explorer 6

  • Dans le menu Tools\Internet Options, choisir "Privacy" puis "Advanced"

    Advanced Privacy Settings

  • Dans le menu Tools\Internet Options, choisir "**Privacy ** " puis "**Edit ** " dans la section "Web sites"

    Per Site Privacy Actions

  • Montrer la création des cookies quand on se connecte à www.msn.fr

    Montrer la création des cookies

  • Bloquer la création des cookies

    Bloquer la création des cookies

  • Se reconnecter avec Internet Explorer 6. La fenêtre suivante apparaît :

    Fenêtre Privacy

  • Cliquer sur l'icône pour visualiser le paramétrage sur ce site :

    Visualiser le paramétrage sur ce site

Partage d'une connexion Internet (Internet Connection Sharing)

ICS permet à partir d'un poste Windows XP ayant une connexion Internet de la partager avec d'autres postes installés dans un workgroup.

Paramétrage du poste partageant la connexion Internet (Host)

  • Ajouter une connexion Internet au poste : Start/Control Panel/Network and Internet Connections

  • Exécuter l'assistant pour installer un réseau local : Start/Control Panel/Network and Internet Connections/Set up or change your home or small office network

    Assistant réseau local

  • Paramétrage du poste pour l'ICS : Start/Control Panel/Network and Internet Connections /Network Connections et clic droit sur la connexion Internet

    Paramétrage du poste pour l'ICS

Paramétrage du poste utilisant la connexion Internet partagée

  • Exécuter l'assistant pour installer un réseau local : Start/Control Panel/Network and Internet Connections/Set up or change your home or small office network

    Assistant réseau local

Le Pare-feu de connexion Internet

Sur cette configuration, il s'agit de montrer les fonctionnalités de Firewall de Windows XP :

  • Paramétrage du poste pour l'ICS : Start/Control Panel/Network and Internet Connections /Network Connections et clic droit sur la connexion Internet

  • Cliquer sur l'onglet "Advanced" et cocher "Protect my computer and network…"

    Protect my computer and network...

  • Cliquer sur Settings

    Settings

Prise de main à distance

Windows XP permet la prise de main à distance sur d'autres stations Windows XP. Il s'agit de montrer les différents paramètres de sécurité liés à cette fonctionnalité.

Paramétrages :

Dans "Remote", on peut donner l'accès à distance de cette station et définir quelles sont les personnes habilitées à le faire :

Remote

Dans une MMC avec le snap-in "Policies", on peut définir des stratégies au niveau du domaine pour l'accès à distance aux stations :

Stratégies au niveau du domaine pour l'accès à distance aux stations

2ème jour

Connexion réseau

Par défaut, Windows XP force l'authentification sur un partage réseau avec le compte "Guest". Ceci permet de sécuriser l'accès à des ressources sur le poste et de ne pas faire circuler des mots de passe sur le réseau.

Pour montrer ce paramétrage :

  • Ouvrir une MMC avec le snap-ins "Group Policy"

  • Se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options

  • Désactiver l'option "Guest account status"

    Désactiver

  • Se connecter à un partage réseau

  • La fenêtre suivante montre que la connexion est réalisée avec le compte "Guest" mais qu'aucun autre compte n'est possible à utiliser

    Connexion réalisée avec le compte

  • Pour pouvoir s'authentifier avec un compte spécifique, il faut se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options et choisir l'option "Classic – Local users authenticate as themselves" au niveau de "Sharing and security model for local accounts"

    Sharing and security model for local accounts

  • Redémarrer la station pour que la prise ne compte soit immédiate.

Restrictions sur les mots de passe

Par défaut, Windows XP ne permet pas l'accès à un partage réseau à un compte n'ayant pas de mot de passe.

On peut modifier cette option :

  • Exécuter le snap-in "Group Policy"

  • Se placer sur Local Computer Policy\Windows Settings\Security Settings\Local policies\Security Options

  • Choisir l'option "Limit local account use of blank passwords to console logon only"

Limit local account use of blank passwords to console logon only

Gestion des mots de passe dans un domaine

Pour montrer la gestion des mots de passe dans un domaine :

  • Ajouter une des stations Windows XP professionnel dans un domaine

  • Cliquer sur Start/Control Panel/User Accounts

  • Montrer l'assistant de .NET Passport afin d'utiliser Hotmail, Windows Messenger…

    Montrer l'assistant de .NET Passport

Encrypting File System

Ce chapitre va permettre de montrer la gestion du chiffrement des dossiers et des fichiers sous Windows XP avec notamment le cryptage des "dossiers Offline".

Installation d'une autorité de certification (CA)

  • Installer les services de certificats :

    Installer les services de certificats

  • Choisir une autorité racine d'entreprise (lié à l'Active Directory)

    Choisir une autorité racine d'entreprise

  • Renseigner les informations de l'autorité de certification

    Renseigner les informations de l'autorité de certification

    Renseigner les informations de l'autorité de certification

  • Montrer dans "Active Directory Sites and Services" la publication des modèles de certificats et modifier les permissions sur les modèles afin de pouvoir les utiliser: ajouter le groupe "Tout le monde" (attention prendre le mode d'affichage pour visualiser les "nœuds".

    Ajouter le groupe

Chiffrement des dossiers et fichiers sans CA

On peut chiffrer des dossiers et fichiers sans autorité de certification :

  • Clic droit sur le dossier à chiffrer

  • Cliquer sur Advanced

  • Cocher "Encrypt contents to secure data"

Les fichiers du dossier change de couleur. Un autre utilisateur ne peut ouvrir les fichiers du dossier.

En effet lors du chiffrement, un certificat a été créé automatiquement par Windows XP pour l'utilisateur qui a chiffré le dossier. Ce certificat est indispensable pour pouvoir lire les fichiers chiffrés sur un autre poste. Pour le visualiser ou l'exporter afin les fichiers sur un autre poste, la MMC avec le snap-in "Certificates" doit être exécutée:

Visualisation :

Visualisation

Visualisation

Exportation :

  • Clic droit sur le certificat

  • Cliquer sur "All tasks" puis sur Export

    Exportation

    Exportation

    Exportation

Chiffrement des dossiers et fichiers avec une CA

1ère étape  : faire la demande d'un certificat pour le chiffrement de dossiers

  • Exécuter une MMC avec le snap-ins "Certificates"

  • Clic droit sur "**Personnal ** " puis "Request New Certificat"

    Request New Certificat

    Request New Certificat

    Request New Certificat

  • On obtient des certificats attribués par la CA pour chiffrer des dossiers et fichiers

On obtient des certificats attribués par la CA

2ième étape  : chiffrer un dossier

  • Clic droit sur le dossier à chiffrer

  • Cliquer sur Advanced

  • Cocher "Encrypt contents to secure data"

3ième étape : créer un profil errant afin de montrer que le certificat de chiffrement de l'utilisateur est disponible sur tous les postes

Chiffrement des "dossiers Offline"

On peut chiffrer maintenant dans Windows XP des "dossiers Offline .

  • Lancer l'explorateur

  • Clic sur le menu Tools/Folder Options

  • Cliquer sur l'onglet "Offline Files"

    Chiffrement des

  • Activer le chiffrement

*Remarque * : pour un poste Windows XP en Workgroup, il est indispensable de désactiver le "Fast User Switching" pour pouvoir chiffrer des dossiers Offline.

Stratégies de groupe (GPO)

Cette étape va permettre de montrer les nouvelles possibilités qu'apporte Windows XP pour définir des stratégies de groupe (GPO).

Mise à jour

Windows XP est capable de mettre à jour les fichiers ADM d'un contrôleur de domaine (System.adm, Conf.adm, Inetres.adm, Wmplayer.adm). Plus de 400 clés de registre supplémentaires sont ajoutées pour administrer les postes Windows XP.

Les postes Windows 2000 ne prendront pas en compte ces fonctionnalités.

Dès que Windows XP ouvre une stratégie de groupe, il met à jour les fichiers adm de cette stratégie :

  • Sur le poste Windows XP, créer une MMC avec le snap-in "Policies"

    Créer une MMC avec le snap-in

  • Ouvrir une stratégie de groupe du domaine Windows 2000

    Ouvrir une stratégie de groupe

On peut constater sur le contrôleur de domaine que les fichiers ADM de la stratégie de groupe ont été mis à jour

Les fichiers ADM ont été mis à jour

Certains administrateurs ne souhaitent pas mettre à jour les fichiers ADM des stratégies de groupe de leur domaine. Dans ce cas, il est possible de désactiver cette option au niveau de la stratégie de groupe du  domaine en activant l'option suivante:

User Config \ Admin Temp \ System \ Group Policy \ Turn off automatic update of ADM files

Il est possible de désactiver cette option

Les fichiers adm du répertoire c:\winnt\inf utilisés lors de la création des stratégies de groupe ne sont pas mis à jour. Une simple copie des fichiers ADM de Windows XP peut être réalisée. Dans ce cas, toutes les nouvelles stratégies de groupe auront les modèles d'administration de Windows XP.

Les nouveautés

Il s'agit de montrer les nouveautés apportées par la mise à jour des fichiers ADM au niveau sécurité:

  • Software restriction Policies : montrer que l'on peut bloquer l'exécution de code spécifique:

    Software restriction Policies

  • Security Options

    Security Options

  • Autoenrollment settings (fonctionnalité disponible avec une CA .NET SERVER)

    Autoenrollment settings

Authentification par Smart card

Ce chapitre permet de montrer l'authentification à un domaine avec une SmartCard. Les différentes étapes à suivre pour mettre en place cette architecture sont :

  • Infrastructure PKI : celle-ci a été installée plus haut dans ce document

  • Ajouter les "policy setting" suivante au niveau de la CA ROOT avec la MMC "Certification Authority:

    • Clic droit sur "Policy Settings" puis choisir "New" et enfin "Certificate to Issue"

    • Choisir Smartcard User, Smartcard Logon, Enrollment Agent

    Enrollment Agent

  • Mettre la permission Lire pour le groupe d'utilisateurs habilité à utiliser ces Smart card dans "**Active Directoty Sites and Services ** "

    Active Directoty Sites and Services

    • Faire la demande d'un certificat "Enrollment Agent"

    • Se connecter à la page web http://serveur/certsrv

    • Choisir l'option "Request a certicate" puis "**Advanced ** "

    • Choisir "Submit a "certificate request to this CA using a form"

    • Choisir "Enrollment Agent" puis l'installer

Choisir

  • Faire enfin une demande pour un certificat de Smart card

    • Se connecter à la page web http://serveur/certsrv

    • Choisir l'option "Request a certicate" puis "Advanced"

    • Choisir "Request a certificate for a smart card…"

Choisir

  • Sélectionner l'utilisateur et le Cryptographic Service Provider de la smart card

    Sélectionner l'utilisateur et le

  • Saisir le mot de passe pour cette smart card.