Guide de sécurisation d'ISA Server 2006
Alan Maddison
En un coup d'œil :
- Méthodes recommandées pour sécuriser vos serveurs
- Installation de l'Assistant Configuration de la sécurité
- Description de l'Assistant Configuration de la sécurité
- Attribution des rôles administratifs
Sommaire
Sécurisation de vos serveurs
Installation de l'Assistant Configuration de la sécurité
Exécution de l'Assistant Configuration de la sécurité
Rôles Administratifs
Si de nombreux professionnels de l'informatique font confiance à ISA Server 2006 (Internet Security and Acceleration Server 2006) pour sécuriser leurs ressources technologiques, peu d'entre eux prennent la peine de sécuriser ISA Server lui-même. Si vous
avez installé ISA Server 2006 récemment, vous vous rappelez peut-être qu'il était recommandé de le faire tout de suite après l'installation. Malheureusement, peu de professionnels de l'informatique prennent (ou ont) le temps d'effectuer cette étape importante, qui finit par conséquent sur la liste de choses à faire qui ne sont jamais faites.
Dans le paysage de la sécurité actuel en constante évolution, ce défaut de sécurisation d'ISA Server n'est plus acceptable. Heureusement, les outils utilisés pour sécuriser ISA Server ont progressé considérablement. Vous ne devez plus affronter les nombreux problèmes rencontrés dans les Assistants de renforcement de la sécurité proposés dans les versions antérieures à ISA Server 2004. Aujourd'hui, vous pouvez vous reposer sur une procédure et des outils bien définis, comme l'Assistant Configuration de la sécurité fourni avec Windows Server® 2003.
Dans cet article je fournirai un bref récapitulatif des meilleures pratiques générales pour sécuriser les serveurs. J'examinerai ensuite point par point les stratégies de renforcement d'ISA Server, en utilisant l'Assistant Configuration de sécurité pour réduire la surface d'exposition aux attaques d'ISA Server et les rôles administratifs pour limiter l'accès à ISA Server.
Sécurisation de vos serveurs
De nombreux éléments et meilleures pratiques sont impliqués dans la sécurisation des serveurs, qu'ils soient situés dans un centre de données ou dans la salle des serveurs située à côté de votre bureau. En tant qu'administrateur, il est de votre responsabilité de comprendre ce que sont ces meilleures pratiques et de faire de votre mieux pour implémenter ces exigences de manière pratique pour votre organisation. Du fait de la plus grande importance accordée à la sécurité dans les dernières années, la plupart d'entre nous sont aujourd'hui familiarisés avec les tâches qui composent l'essentiel de ces exigences ; je ne reviendrai donc pas sur ces points mais fournirai seulement une brève présentation.
La première mesure à prendre pour sécuriser votre environnement consiste à vous assurer que vos serveurs sont physiquement sécurisés. Ce que cela signifie dans la pratique, c'est que vous devez limiter l'accès physique à vos serveurs. Dans les plus petits environnements, cela signifie s'assurer que la porte de la salle des serveurs reste verrouillée et que la liste des personnes pouvant accéder à cette salle reste très restreinte. Dans les plus grands environnements, cette exigence fondamentale reste quasiment identique, mais elle peut être implémentée de façon plus sophistiquée. Un grand nombre d'entreprises utilisent la surveillance électronique, par exemple. Cela leur permet d'auditer l'entrée dans les salles de serveurs et même de limiter l'accès aux racks ou aux cages individuels en fonction de la façon dont les responsabilités sont structurées.
Certains facteurs uniques sont à prendre en compte lorsque l'on est confronté au vol ou à la violation physique d'un ordinateur ISA Server ou d'un serveur de stockage de configurations d'ISA. La nature des informations qui peuvent être obtenues à partir du serveur volé peut potentiellement compromettre tous les ordinateurs ISA Server et l'ensemble du trafic (y compris le trafic chiffré) dans votre environnement.
Si vous soupçonnez qu'un serveur a été compromis, a subi une violation, ou autre, retirez le serveur concerné immédiatement, (s'il est toujours sur le site) et suivez les procédures standard pour sécuriser les preuves. Après avoir pris les mesures nécessaires, vous devez entamer le processus de modification de toutes les informations confidentielles : tous les certificats installés sur le serveur doivent être révoqués et toutes les clés prépartagées et les secrets partagés doivent être modifiés. Par ailleurs, si vous maintenez un réplica de serveur de stockage de configuration, assurez-vous que toutes les données liées au serveur compromis sont supprimées.
Une fois vos serveurs physiquement sécurisés, l'étape suivante consiste à s'assurer qu'il existe une méthodologie structurée pour l'application des correctifs sur tous les logiciels, notamment la couche de virtualisation, le système d'exploitation et les applications. Les correctifs, les mises à niveau et les correctifs de sécurité doivent être vérifiés et appliqués régulièrement. Mais n'oubliez pas de tester ces mises à jour avant de les appliquer aux systèmes de production. Un correctif ne sera d'aucune utilité s'il finit par entraîner un problème qui compromet l'intégrité de l'application ou des données.
Si l'intégrité des données est compromise, vous devrez faire appel à vos sauvegardes. Ceci m'amène à un autre élément essentiel pour la sécurisation de votre infrastructure. Si vous ne pouvez pas restaurer les données rapidement et complètement en cas de besoin, les périodes d'interruption peuvent avoir un impact significatif sur vos opérations et, par conséquent, augmenter le coût d'une intrusion.
Deux autres éléments à prendre en compte sont la surveillance et l'audit. La surveillance de vos applications et systèmes est un élément critique de tout bon plan de sécurité. Si vous ne prenez pas le temps de consulter les journaux, notamment les journaux liés à la sécurité, Il est peu probable que vous trouviez des tentatives d'intrusion avant que le mal ne soit déjà fait.
De même, l'audit revêt une importance fondamentale. Pour de nombreuses organisations, en particulier les grands environnements, le processus d'audit est souvent formalisé et même requis par la législation. Quoi qu’il en soit, il est important dans n'importe quel environnement de consulter régulièrement les contrôles et la méthodologie utilisés pour sécuriser vos ressources afin que vos efforts ne soient pas vains.
Enfin, puisque vous exécutez Isa Server 2006 sous Windows Server® 2003, il est important que vous consultiez le Guide de sécurité Windows Server 2003 et que vous implémentiez les recommandations nécessaires. Vous pouvez trouver ce Guide de sécurité à l'adresse microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.
Microsoft recommande actuellement d'implémenter le modèle de stratégie de sécurité de référence, mais vous ne devez pas implémenter les filtres IPSec (Internet Protocol Security).
Installation de l'Assistant Configuration de la sécurité
Donc comment pouvez-vous renforcer la sécurité d'ISA Server ? L'outil principal de sécurisation d'ISA est l'Assistant Configuration de la sécurité. Il s'agit d'un outil de réduction de la surface d'exposition aux attaques. Il crée des stratégies de sécurité qui ciblent les services d'un serveur, la sécurité réseau, le Registre et la stratégie d'audit, en configurant le système uniquement pour les services et les fonctionnalités qui lui sont nécessaires. Il est important de noter que vous devez configurer uniquement les services ISA Server que vous souhaitez utiliser. Par exemple, le service de proxy Web est activé par défaut, mais vous devez désactiver cette fonctionnalité si vous ne souhaitez pas l'utiliser. Ainsi, vous devez porter une attention toute particulière aux options de configuration proposées par l'Assistant Configuration de la sécurité.
Par défaut, l'Assistant Configuration de la sécurité n'est pas installé dans Windows Server 2003. La première étape consiste donc à l'installer vous-même en utilisant l'applet Ajouter/Supprimer des composants Windows® du panneau de configuration Ajout/Suppression de programmes. (Notez que l'Assistant Configuration de la sécurité est installé par défaut dans Windows Server 2008.) Une fois l'écran Composants Windows chargé, faites défiler vers le bas et activez la case à cocher correspondant à l'Assistant Configuration de la sécurité.
Une fois l'installation terminée, l'application se trouve sous Outils d'administration. Avant de commencer à utiliser l'Assistant, vous devez mettre à jour l'Assistant Configuration de la sécurité en téléchargeant une mise à jour pour ISA Server 2006 (disponible à l'adresse go.microsoft.com/fwlink/?LinkId=122532). Cette mise à jour ajoute les rôles pour ISA Server 2006 Édition Standard, ISA Server 2006 Édition Entreprise et le serveur de stockage de configurations ISA Server.
Après avoir téléchargé la mise à jour, vous devez exécuter le package et en extraire les fichiers. Après avoir extrait ces fichiers, copiez les deux fichiers .xml (isa.xml et isaloc.xml) dans le dossier de bases de connaissances de l'Assistant Configuration de la sécurité, qui sera c:\windows\security\msscw\kbs dans une installation par défaut de Windows Server.
Lorsque vous copierez les fichiers, vous serez invité à remplacer deux fichiers existants du même nom. Ces deux fichiers sont pour ISA Server 2004, donc vous devez les sauvegarder avant de les remplacer. La dernière étape consiste à copier le fichier isascwhlp.dll dans le dossier bin, qui se trouve généralement dans c:\windows\security\msscw\bin. Une fois que vous aurez terminé l'ajout des rôles ISA à l'Assistant Configuration de la sécurité, vous serez prêt à commencer l'installation.
Microsoft recommande généralement de n'exécuter l'Assistant Configuration de la sécurité qu'après avoir terminé la configuration d'ISA Server. Si vous exécutez l'Édition Entreprise, cela inclut la configuration de tous les groupes et tous les membres des groupes.
Exécution de l'Assistant Configuration de la sécurité
La première étape consiste à lancer l'Assistant Configuration de la sécurité à partir des Outils d'administration ; souvenez-vous que vous avez besoin des autorisations administratives pour terminer le processus de l'Assistant Configuration de la sécurité avec succès.
La figure 5 présente le premier écran de l'Assistant. Si vous lisez le texte sur cet écran, notamment l'avertissement indiquant « Cet Assistant détecte les ports entrants écoutés par ce serveur », vous pouvez comprendre pourquoi il est important qu'ISA Server et les groupes soient entièrement configurés avant de commencer ce processus.
Figure 1 Démarrage de l’Assistant Configuration de sécurité (Cliquez sur l'image pour l'agrandir)
Si votre environnement n'est pas entièrement configuré, il y a de fortes chances que vous deviez mettre à jour la configuration de l'Assistant Configuration de la sécurité après avoir terminé la configuration d'ISA. L'écran suivant, illustré à la figure 2, demande quelle action vous voulez exécuter. Vous devez sélectionner l'option permettant de Créer une nouvelle stratégie de sécurité.
Figure 2 Création d'une nouvelle stratégie de sécurité (Cliquez sur l'image pour l'agrandir)
Vous êtes alors invité à sélectionner le serveur qui servira de référence pour la stratégie. Puisque vous créez une nouvelle stratégie, la sélection par défaut propose d'utiliser l'ordinateur sur lequel vous exécutez l'Assistant Configuration de la sécurité. Ce comportement change, cependant, en fonction de l'action que vous choisissez d'effectuer sur l'écran précédent. Quoi qu'il en soit, il est recommandé d'installer l'Assistant Configuration de la sécurité sur le serveur que vous souhaitez utiliser comme référence. Si l'Assistant Configuration de la sécurité n'est pas installé sur le serveur cible, les informations utilisées pour effectuer la stratégie seront manquantes. Ainsi, pour simplifier la tâche, installez et exécutez l'Assistant Configuration de la sécurité à partir du serveur qui servira de référence.
Lorsque vous appuyez sur Suivant, l'Assistant Configuration de la sécurité commence l'analyse de votre ordinateur ISA Server. Cette analyse inclut la détermination des rôles déterminants qui sont installés sur le serveur, des rôles qui sont probablement installés sur le serveur, des services qui sont installés et des informations de base sur les réseaux. Une fois le traitement terminé, vous pouvez afficher la base de données en sélectionnant Afficher la base de données de configuration. Cette base de données contient un grand nombre d'informations, notamment tous les rôles de serveur, fonctionnalités client et ports pris en charge.
L'Assistant Configuration de la sécurité commence ensuite à vous guider dans la configuration des services selon les rôles. En cliquant sur Suivant, vous accédez à l'écran suivant où vous êtes invité à sélectionner les rôles de serveur, comme illustré à la figure 3. L'analyse initiale effectuée par l'Assistant Configuration de la sécurité est fiable, et les rôles de serveur corrects devraient déjà avoir été identifiés. Cependant, il est très important de revérifier et de supprimer les éventuels rôles inutiles. Et si le serveur remplit plusieurs rôles, assurez-vous que tous les rôles appropriés sont sélectionnés.
Figure 3 Spécification des rôles de serveur (Cliquez sur l'image pour l'agrandir)
Il est important de rappeler, si vous exécutez ISA Server 2006 Édition Entreprise, que vous devez prendre en compte le serveur de stockage de configurations. Si celui-ci est installé sur un serveur qui joue également le rôle d'un serveur ISA Server (cela n'est pas conforme aux meilleurs pratiques mais cela se fait néanmoins fréquemment), vous devrez vous assurer que le rôle de serveur de stockage de configurations est également sélectionné. Vous ne devez pas utiliser une analyse de référence d'un serveur qui héberge les deux rôles pour les serveurs qui possèdent uniquement le rôle ISA Server 2006.
Ensuite, vous êtes invité à sélectionner les fonctionnalités client du serveur. En d'autres termes, vous devez spécifier les services requis par le serveur. Par exemple, presque tous les serveurs nécessiteront le client DNS, et si un serveur est membre d'un domaine, il nécessitera la fonctionnalité de membre du Domaine.
Une fois cette opération terminée, l'écran Options d'administration et autres options s'affiche. C'est là que vous indiquez les options d'application, d'administration et de système d'exploitation qui utilisent des services ou s'appuient sur la connectivité réseau. Tous les services non sélectionnés à ce stade seront désactivés. Mais une fois que vous avez effectué vos sélections et appuyé sur Suivant, vous pouvez sélectionner les services supplémentaires que vous souhaitez autoriser.
Continuez ensuite en configurant la manière dont les services non spécifiés doivent être prise en charge. Cela vous permet de définir ce qui doit arriver lorsque l'on trouve des services non inclus dans la base de données principale ou installés sur le serveur de référence lorsque la stratégie est appliquée. Il est généralement recommandé de désactiver les services non spécifiés car cela limite les vecteurs d'attaque imprévus. Malheureusement, cette option peut avoir des conséquences négatives si vos serveurs comportent des différences significatives ; n'oubliez pas ce paramètre si vous ajoutez des applications ou services réseau à l'avenir.
La section suivante de l'Assistant, qui est illustrée à la figure 4, vous permet d'examiner les services qui sont modifiés par l'Assistant Configuration de la sécurité. Cet écran de confirmation présente un affichage comparatif de l'état actuel et de l'état modifié des services après l'application de la stratégie.
Figure 4 Examinez et confirmez les modifications des services (Cliquez sur l'image pour l'agrandir)
Après la confirmation des services qui seront modifiés, vous devez passer à la section Sécurité réseau. C'est ici que l'Assistant Configuration de la sécurité vous permet généralement de modifier les paramètres de Pare-feu Windows et IPSec. Mais puisque vous configurez ISA Server 2006, vous n'avez pas d'autre choix que d'ignorer cette section, comme illustré à la figure 5.
Figure 5 Ignorez les paramètres de sécurité réseau (Cliquez sur l'image pour l'agrandir)
L'Assistant passe ensuite à la configuration des paramètres de Registre qui portent sur les méthodes d'authentification de réseau et la sécurité. Le premier écran de cette section implique la signature du bloc de message serveur (SMB). Le protocole SMB est un protocole réseau Microsoft de base et ces paramètres permettent des communications signées pour réduire la probabilité d'attaques d'intercepteur.
Les paramètres par défaut, comme illustré à la figure 6, fournissent un bon niveau de sécurité pour vos communications SMB ISA Server. Mais vous devez prendre en compte l'impact de la signature de toutes les communications. Si vous ne disposez pas de cycles processeur disponibles, vous devez désélectionner la deuxième option. Et pensez à tous les serveurs auxquels cette stratégie sera appliquée ; si vous disposez de serveurs avec des charges de travail différentes, le serveur ayant une plus forte sollicitation du processeur doit vous servir de guide pour savoir si vous devez sélectionner cette option.
Figure 6 Spécifiez si vous souhaitez des communications signées (Cliquez sur l'image pour l'agrandir)
La série d'écrans suivants concerne le niveau de compatibilité LM (Lan Manager) que l'ISA Server doit utiliser. Le premier de ces écrans présente trois choix. À moins d'avoir des clients Windows hérités (comme Windows 95 ou Windows 98) ou d'utiliser les comptes locaux pour le contrôle d'accès, vous devez laisser l'option par défaut Comptes de domaine sélectionnée.
Sur le deuxième écran qui gère le niveau de compatibilité LM, fournissez des informations sur vos contrôleurs de domaine. Si vous ne disposez pas de domaines Windows NT® 4.0, vous pouvez conserver le choix par défaut (Systèmes d'exploitation Windows NT 4.0 Service Pack 6a ou ultérieurs) sélectionné. Dans cette boîte de dialogue, vous devez également indiquer que les horloges doivent être synchronisées en sélectionnant l'option d'horloge du serveur. En sélectionnant Suivant, vous accédez à certaines options de configuration supplémentaires pour la communication LAN Manager (LM) entrante, comme illustré à la figure 7.
Figure 7 Indiquez les méthodes d'authentification entrantes (Cliquez sur l'image pour l'agrandir)
Ce troisième écran concernant le niveau de compatibilité LM déterminera si la version 2 de Windows NT LAN Manager (NTLM) est nécessaire et si les hachages LM sont stockés. Vous devez vous assurer qu'aucune de ces options n'est sélectionnée, pourvu que votre environnement prenne en charge cette configuration, puisqu'en désélectionnant ces deux options, vous améliorez la sécurité de façon significative. Un résumé des paramètres du Registre s'affiche. Examinez chaque entrée et confirmez que les paramètres de stratégie sont corrects.
Ensuite, l'Assistant vous fait accéder à la dernière section : Audit. Il est important de noter à propos des options de configuration que vous choisissez dans cette section qu'elles ne peuvent pas être restaurées. Mais puisque l'audit n'affecte pas la fonctionnalité de système, vous ne devez pas ignorer cette section.
La sélection par défaut de « Effectuer un audit des activités réussies » ne vous fournira pas les entrées de journal des événements pour les échecs de connexion. Toutefois, les échecs de connexion peuvent fournir des informations précieuses sur les tentatives d'intrusion. C'est pourquoi il est généralement recommandé de sélectionner « Effectuer un audit des activités ayant réussi ou échoué ».
Vous pouvez ensuite vérifier votre configuration d'audit et appuyer deux fois sur Suivant pour enregistrer votre stratégie de sécurité. Tout ce qui est demandé sur cet écran illustré à la figure 8, est un nom de fichier, mais vous pouvez également fournir une brève description. Cette description peut se révéler utile dans les grands environnements où plusieurs administrateurs partagent les responsabilités de sécurité.
Figure 8 Fournissez un nom et une description pour votre stratégie de sécurité (Cliquez sur l'image pour l'agrandir)
Une fois le fichier enregistré, vous pouvez appliquer la stratégie immédiatement ou plus tard. Si vous choisissez de l'appliquer plus tard, le processus est terminé. Si vous vous rendez compte que vous avez commis des erreurs dans la configuration de la stratégie, vous pouvez annuler la stratégie, à l'exception des paramètres d'audit.
Rôles administratifs
La réduction de la surface d'exposition aux attaques de votre ordinateur ISA Server est une étape essentielle pour réduire le risque de violations provenant de sources externes. Cependant, il est également important de vérifier l'attribution des rôles administratifs dans ISA Server pour limiter le risque de compromissions provenant de sources internes. Les rôles administratifs et une liste partielle de tâches courantes associées sont illustrés aux figures 9 et 10.
Figure 9 Rôles et tâches associés à l'Édition Standard
| Tâche | Auditeur de surveillance | Auditeur | Administrateur complet |
|---|---|---|---|
| Afficher le tableau de bord, les alertes, la connectivité, les sessions et les services | Autorisé | Autorisé | Autorisé |
| Reconnaître les alertes | Autorisé | Autorisé | Autorisé |
| Afficher les informations des journaux | – | Autorisé | Autorisé |
| Créer des définitions d’alerte | – | – | Autorisé |
| Créer des rapports | – | Autorisé | Autorisé |
| Arrêter et démarrer des sessions et des services | – | Autorisé | Autorisé |
| Afficher la stratégie de pare-feu | – | Autorisé | Autorisé |
| Configurer la stratégie de pare-feu | – | – | Autorisé |
| Configurer le cache | – | – | Autorisé |
| Configurer un réseau privé virtuel (VPN) | – | – | Autorisé |
Figure 10 Rôles et tâches associés à l'Édition Entreprise
| Activité | Auditeur de surveillance de groupe | Auditeur de groupe | Administrateur de groupe |
|---|---|---|---|
| Afficher le tableau de bord, les alertes, la connectivité et les sessions | Autorisé | Autorisé | Autorisé |
| Reconnaître et réinitialiser les alertes | Autorisé | Autorisé | Autorisé |
| Afficher les informations des journaux | – | Autorisé | Autorisé |
| Créer des définitions d’alerte | – | - | Autorisé |
| Créer des rapports | – | Autorisé | Autorisé |
| Arrêter et démarrer des sessions et des services | – | Autorisé | Autorisé |
| Afficher la stratégie de pare-feu | – | Autorisé | Autorisé |
| Configurer la stratégie de pare-feu | – | – | Autorisé |
| Configurer le cache | – | – | Autorisé |
| Configurer un réseau privé virtuel (VPN) | – | – | Autorisé |
| Purger/arrêter NLB | – | Autorisé | Autorisé |
| Afficher la configuration locale (dans le registre d'un membre de groupe) | – | Autorisé | Autorisé |
| Modifier la configuration locale (dans le registre d'un membre de groupe) | – | – | – |
Comme vous pouvez le constater, le niveau de segmentation des tâches administratives associées à ISA Server est important. Cela devrait simplifier l'attribution des rôles corrects aux utilisateurs au sein de votre organisation.
Par ailleurs, vous devez vous rappeler que la meilleure approche de l'attribution de rôles consiste à employer le concept de moindre privilège. Chaque utilisateur doit disposer de la quantité minimale de privilèges nécessaires pour lui permettre d'effectuer son travail.
Il est également important de se rappeler que les membres du groupe d'administrateurs locaux d'ISA Server 2006 Édition Standard disposent des mêmes droits qu'un administrateur complet ISA Server. Avec l'Édition Entreprise, les membres du groupe d'administrateurs locaux disposant du rôle de serveur de stockage de configurations possèdent un contrôle total sur la configuration d'Entreprise. Cela signifie que vous devez soigneusement examiner l'appartenance au groupe Admins du domaine, en supposant que votre ISA Server est membre d'un domaine, ainsi qu'à tout autre groupe qui est membre du groupe d'administrateurs locaux d'ISA Server.
Alan Maddison est consultant senior, spécialisé dans les technologies Microsoft, chez Strategic Business Systems, une division de Brocart.