Sécuriser son réseau d'entreprise
Par Stanislas Quastana, Pascal Saulière et Fabrice Meillon
Sécuriser son réseau d'entreprise, en utilisant les technologies intégrées à Windows Server 2003 et ISA Server 2004
.gif){kind=small} |
Sur cette page
.gif){kind=icon} |
Q: Est ce que la commande Syskey est utile pour sécuriser la base SAM? |
|
Q : Est ce nécessaire de l'employer? |
|
Q : Bonjour, je souhaite installer un (ou deux : Back-End / Front-End) serveurs exchange en utilisant RPC sur http. Quels ports ouvrir ? |
|
Q : Je souhaite installer un (ou deux : Back-End / Front-End) serveurs exchange en utilisant RPC sur http. Quels ports ouvrir ? |
|
Q : "RPC d'Exchange" : pouvez vous préciser ? |
|
Q : Parfois j'utilise Ghost pour m'authentifier sur le domaine et descendre des images, sous NT4 ca marche sous 2003 ca marche pas. Le SMB est désactivé nativement. Que faire pour que mon authentification passe? |
|
Q : Qu'apporte de plus le modèle de sécurité "Hisecws.inf" au poste client ? |
|
Q : Quels sont les protections contre les rootkits cachant les backdoor, notamment lors d'un simple netstat -ano (NT5) ? |
|
Q : Le service pack 1 de Windows server 2003 est indispensable ? |
|
Q : Quels sont les protections pour empêcher un reboot du server 2003 , j'ai souvent eu ce problème qui est lié au service LSASS.exe , j'ai scanné à l'antivirus , rien trouvé |
|
Q : Apres une récente upgrade par SUS, certaines machines XP/SP2 étaient inutilisables car le winlogin.exe prenait 99% du CPU, mais pas sur d'autre machines, et bien que ces dernières sont exactement les mêmes |
|
Q : Winlogon pardon |
|
Q : Est ce que Network Access Protection sera bientôt disponible avec la sortie de Windows 2003 R2 ? |
|
Q : NAP existe-t-il sous 2003 ou faut il attendre Longhorn server? Si oui ou puis je le trouver? |
|
Q : On peut installer ISA server 2004 sur un server 2003 ayant simplement une seule carte réseau ? |
|
Q : Est ce compliqué à mettre en œuvre ? |
|
Q : Avec l'installation de futur Windows Vista sur de nouveaux postes, faudra t'il modifier les paramètres de sécurité du réseau ? |
|
Q : Quel sera l'interaction entre NTSF et le nouveau format de sécurité des fichiers sur Longhorn et vista, pourrons nous sous 2000 ou 2003 changer de ntfs -> nouveau format( je me souviens plus du nom :-o NFS je pense) |
|
Q : Vous préconiser quoi pour protéger un serveur Windows 2003 Entreprise qui fait office de serveur de fichier? |
|
Q : Quand est-ce que Windows Vista est sensé sortir ? Beaucoup de site internet se contredisent à ce sujet |
|
Q : J'ai un serveur Windows 2003 Entreprise , la société a acheté 40 cal utilisateurs , je les ai inscrit , tout à l'air de bien fonctionner, tout est bien configurer en licence par utilisateur, mon problème est le suivant, y a quelques jours , je me suis rendu comptes, que toutes mes licences étaient temporaires, et pourtant, j’ai bien une rangé 40 Cal users avec 40 disponibles. Que va-t-il se passer après l’expiration des licences ? Mes utilisateurs ne vont plus pouvoir se connecter ? |
|
Q : Quels sont les avantages pour que je fasse passer mon CISCO Pix 506E vers un ISA 2004 dans un environnement ou' le VPN in et out et l'accès internet sont utiliser uniquement |
|
Q : Sur mon réseau, ISA serveur permet le VPN pour des postes clients. L'adressage se fait par le DHCP de mon DC. Peut on spécifier a ISA serveur une des plages IP a octroyer pour les postes ou alors certaines adresses au niveau de mon DHCP? |
|
Q : Est possible de crypter les données qui transit entre un serveur 2003 (DC + server de fichiers) et des postes xp en utilisant IPSec ? Si oui, comment le faire? |
|
Q : On voit la téléphonie sur IP se répandre de plus en plus dans le réseau informatique.que pensez-vous des risque que cela peut induire dans le futur, des opérateur font des reboot des téléphones ce qui implique possibilité de s'introduire dans le réseau... |
|
Q : Quelles sont les méthodes pour sauvegarder des serveurs"à chaud"; backup de type Ghost ? |
|
Q : Comment activer dans le gestionnaire de taches (xp) la commandes "débogguer" (un processus) , il est grisé , pourtant j'ai bien fait drwtsn32 -i :s ....??? |
|
Q : La restauration ASR sous XP sauvegarde les fichiers systèmes, les fichiers de boot, les certificats, c’est tout ? |
|
Q : Nous avons des clients Wifi, nous avons donc installé nos AP (avec filtrage des adresses MAC) en utilisant du WAP avec authentification via un serveur Radius délivrant des certificats est ce suffisant ou faut envisager du VPN en plus ? |
|
Q : Quels sont les moyens pour conter une attaque de type « Man In the Middle » dans un environnement win2000 ? |
|
Q : Je suis dans un environnement Workgroup, alors comment faire pour verrouiller mes OS XP (Genre bloquer l’accès aux paramètres réseaux, disque Dur, Disquette, console CMD etc…) c’est possible ? Avec des outils Microsoft ? Merci. |
|
Q : Plusieurs postes +DHCP avec IP attribuée par rapport à l’adresse MAC, ma question est comment interdire l'accès à internet dans le cas d'un reformatage ? |
|
Q : Peut-ont lié ISA Server & Active Directory pour que une machine en dehors du domaine ne puisse accéder a Internet ? |
|
Q : Peut on authentifier des postes Mac OSX avec un DC AD ? |
|
Q : Y-aurait-il sur le site TechNet, les ressources de Windows xp pro ? |
|
Informations |
Q: Est ce que la commande Syskey est utile pour sécuriser la base SAM?
R: Syskey sert à protéger la base SAM contre les attaques offline (lecture du disque depuis un autre système). Il chiffre les entrées de la SAM avec une clé qui est soit dans le registre (mode 1) soit dans la tête de l'administrateur (mode 1), soit sur une disquette (mode 3). Les modes 2 et 3 sont les plus sécurisés.
.gif "Haut de page"){kind=icon} |
Haut de page |
Q : Est ce nécessaire de l'employer?
R : Syskey est actif en mode 1 par défaut sur Xp et 2003
|
Haut de page |
Q : Bonjour, je souhaite installer un (ou deux : Back-End / Front-End) serveurs exchange en utilisant RPC sur http. Quels ports ouvrir ?
R : Bonjour. Si j'ai bien compris votre question, vous souhaitez savoir quels sont les ports à ouvrir pour utiliser le RPC sur HTTP depuis Internet. Entre Internet et votre Serveur Front End, il faut ouvrir HTTP (TCP 80) ou HTTPS (TCP 443). Bien entendu, il n'est pas recommandé de faire du HTTP non chiffré donc on conserve uniquement HTTPS (TCP 443). Entre le Front End et le Back-End il faut ouvrir les RPC d'Exchange
|
Haut de page |
Q : Je souhaite installer un (ou deux : Back-End / Front-End) serveurs exchange en utilisant RPC sur http. Quels ports ouvrir ?
R : En complément de ma réponse précédente, il est recommandé d'utiliser un reverse proxy ou un firewall applicatif entre le client Outlook 2003 (sur internet) et le serveur Exchange Frontal. Au niveau de cet équipement, il faut filtrer les méthodes HTTP utilisées (uniquement RPC_IN_DATA et RPC_OUT_DATA) et les extensions (uniquement .DLL)
|
Haut de page |
Q : "RPC d'Exchange" : pouvez vous préciser ?
R : Les RPC avec les UUIDS définies pour un serveur Exchange. La liste des UUIDs nécessaires est fournie dans ISA Server
https://www.microsoft.com/technet/prodtechnol/isa/2000/maintain/rpcwisa.mspx . Il est possible de les lister via un outil tel que RPCDump (disponible dans le Resource Kit de Windows) ou RPCScan (disponible sur www.securityfriday.com)
Je publierai demain sur mon blog (https://blogs.technet.com/stanislas) la liste des UUIDs des RPC d'Exchange (je ferai une extraction de la liste fourni dans ISA Server 2004)
En complément de ma réponse sur les UUIDs des RPC d'Exchange, la fiche technique suivante les liste :-)
https://support.microsoft.com/default.aspx?scid=kb;en-us;304948
|
Haut de page |
Q : Parfois j'utilise Ghost pour m'authentifier sur le domaine et descendre des images, sous NT4 ca marche sous 2003 ca marche pas. Le SMB est désactivé nativement. Que faire pour que mon authentification passe?
R : Il s'agit probablement d'un problème de signature SMB activé par défaut sur 2003 et non supporté par Ghost.
Voir https://support.microsoft.com/kb/325379 pour le désactiver.
|
Haut de page |
Q : Qu'apporte de plus le modèle de sécurité "Hisecws.inf" au poste client ?
R : Pour le savoir utiliser la MMC et ajouter un fichier enfichable puis Modèles de sécurité et enfin sélectionner le fichier en question : paramétrage au niveau stratégie de mots de passes, services etc.., la liste est longue
|
Haut de page |
Q : Quels sont les protections contre les rootkits cachant les backdoor, notamment lors d'un simple netstat -ano (NT5) ?
R : Comme pour tout code malveillant, il faut déjà éviter qu'il arrive et s'exécute sur votre machine.. (et il faut être administrateur pour installer un rootkit) : antivirus, version et patches de sécurité à jour, firewall activé, utilisateur non administrateur. S'il est trop tard, il existe des outils comme Rootkit Revealer (disponible sur www.sysinternals.com) qui peuvent dans certains cas détecter des rootkits.
|
Haut de page |
Q : Le service pack 1 de Windows server 2003 est indispensable ?
R : Le SP1 apporte de nombreuses nouveautés au niveau de la sécurité et d'Active Directory. Notamment un assistant de configuration de la sécurité, un outil de protection lors de l'installation d'un nouveau serveur, pare feu etc, le CR d'un chat sur le sujet
https://www.microsoft.com/france/technet/seminaires/CRchat\_20050601\_sp1\_winserver2003.mspx . Personnellement je le recommande. Un Webcast sera prochainement disponible en français sur le site
https://www.microsoft.com/france/technet/seminaires/webcasts-infrastructure.mspx
|
Haut de page |
Q : Quels sont les protections pour empêcher un reboot du server 2003 , j'ai souvent eu ce problème qui est lié au service LSASS.exe , j'ai scanné à l'antivirus , rien trouvé
R : Tout dépend de la cause du plantage de lsass. Il s'agit parfois de tentatives d'attaques par le réseau, auquel cas il faut revoir la configuration du firewall.
|
Haut de page |
Q : Apres une récente upgrade par SUS, certaines machines XP/SP2 étaient inutilisables car le winlogin.exe prenait 99% du CPU, mais pas sur d'autre machines, et bien que ces dernières sont exactement les mêmes
R : Il n'y a pas de process Winlogin sur un poste Windows, cela peut être un virus
|
Haut de page |
Q : Winlogon pardon
R : Il faudrait savoir quels patchs ont été installés, dans quelle configuration, machine identique: qu'est-ce qui vous permet de la dire, il y certainement un problème lié à un patch il faudrait regarder si les programmes qui démarrent à l'ouverture de session sont les mêmes
|
Haut de page |
Q : Est ce que Network Access Protection sera bientôt disponible avec la sortie de Windows 2003 R2 ?
R : NAP qui était effectivement à l'origine prévu dans Windows 2003 R2 a été retiré des spécifications et sera finalement disponible dans la version serveur de Longhorn. Plus d'informations sur www.microsoft.com/nap
|
Haut de page |
Q : NAP existe-t-il sous 2003 ou faut il attendre Longhorn server? Si oui ou puis je le trouver?
R : Il faut attendre Longhorn server
|
Haut de page |
Q : On peut installer ISA server 2004 sur un server 2003 ayant simplement une seule carte réseau ?
R : Ou c'est tout à fait possible, par contre on perd plein de fonctionnalité : VPN, certains filtres applicatifs.... Et ce n'est pas compliqué à mettre en œuvre :-) Si vous souhaitez vous former sur le produit, j'ai réalisé une trentaine de e-démos sur le produit et disponibles sur :
|
Haut de page |
Q : Est ce compliqué à mettre en œuvre ?
R : Non
|
Haut de page |
Q : Avec l'installation de futur Windows Vista sur de nouveaux postes, faudra t'il modifier les paramètres de sécurité du réseau ?
R : Si la question concerne les ACL des firewalls classiques, il est possible que les nouvelles fonctions peer to peer nécessitent certains changements. Mais il est un peu tôt pour approfondir ce sujet.
|
Haut de page |
Q : Quel sera l'interaction entre NTSF et le nouveau format de sécurité des fichiers sur Longhorn et vista, pourrons nous sous 2000 ou 2003 changer de ntfs -> nouveau format( je me souviens plus du nom :-o NFS je pense)
R : Le nouveau format WinFS n'est pas inclus dans Vista, par contre des nouveautés avec Vista (évolution de NTFS, mais pas encore d'informations publiques sur le sujet)
|
Haut de page |
Q : Vous préconiser quoi pour protéger un serveur Windows 2003 Entreprise qui fait office de serveur de fichier?
R : Le mieux, c'est de le paramétrer selon les bonnes pratiques définies dans le Windows 2003 Hardening Guide
(https://www.microsoft.com/technet/security/prodtech/windo
|
Haut de page |
Q : Quand est-ce que Windows Vista est sensé sortir ? Beaucoup de site internet se contredisent à ce sujet
R : Pas de date officielle, plus d'informations sur https://www.microsoft.com/technet/windowsvista/default.mspx
|
Haut de page |
Q : J'ai un serveur Windows 2003 Entreprise , la société a acheté 40 cal utilisateurs , je les ai inscrit , tout à l'air de bien fonctionner, tout est bien configurer en licence par utilisateur, mon problème est le suivant, y a quelques jours , je me suis rendu comptes, que toutes mes licences étaient temporaires, et pourtant, j’ai bien une rangé 40 Cal users avec 40 disponibles. Que va-t-il se passer après l’expiration des licences ? Mes utilisateurs ne vont plus pouvoir se connecter ?
R : Vous devriez faire un appel au 0 825 827 829 pour pendre contact avec Microsoft et notamment un responsable Licence ou Support
|
Haut de page |
Q : Quels sont les avantages pour que je fasse passer mon CISCO Pix 506E vers un ISA 2004 dans un environnement ou' le VPN in et out et l'accès internet sont utiliser uniquement
R : Bonjour, le Cisco Pix 506e est déjà un pare-feu tout à fait correct et répondant déjà à pas mal de menaces existantes (il fait du filtrage applicatif plus ou moins granulaire sur une douzaine de protocoles, du VPN....). ISA Server 2004 offre par rapport à ce type de solution des aspects assez intéressants comme (1) le prix qui est calculé au nombre de processeur physique et donc indépendant du nombre de clients, @IP... (2) en terme de montée en charge, il est possible facilement de remplacer un serveur par un plus puissant ce qui n'est pas possible avec un équipement Hardware. De plus il est possible avec ISA 2004 EE de créer des fermes jusqu'à 31 membres (3) ISA 2004 est extensible par achat de solutions tierces (plus d'une quarantaine de partenaires) ou par développement (le SDK est fourni dans le CD) (4) l'interface d'administration a été conçue pour éviter les erreurs de configurations (5) la partie VPN d'ISA 2004 permet de faire de la mise en quarantaine des postes non conformes (6) Le filtre RPC ou encore le filtre Web pour l'authentification OWA par formulaire sont des fonctions quasi exclusives d'ISA Server 2004
|
Haut de page |
Q : Sur mon réseau, ISA serveur permet le VPN pour des postes clients. L'adressage se fait par le DHCP de mon DC. Peut on spécifier a ISA serveur une des plages IP a octroyer pour les postes ou alors certaines adresses au niveau de mon DHCP?
R : Je pense que cela doit pouvoir + ou - se définir en sachant qu'il faudra penser à exclure du réseau Interne la plage d'adresse IP utilisée par les clients VPN
|
Haut de page |
Q : Est possible de crypter les données qui transit entre un serveur 2003 (DC + server de fichiers) et des postes xp en utilisant IPSec ? Si oui, comment le faire?
R : Oui pour cela se rapporter aux articles https://support.microsoft.com/default.aspx?scid=kb;en-us;254949 , https://support.microsoft.com/default.aspx?scid=kb;en-us;888266 et https://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/4f05f853-2eed-4ff8-b16f-e6228c050a6b.mspx
|
Haut de page |
Q : On voit la téléphonie sur IP se répandre de plus en plus dans le réseau informatique.que pensez-vous des risque que cela peut induire dans le futur, des opérateur font des reboot des téléphones ce qui implique possibilité de s'introduire dans le réseau...
R : La téléphonie IP et les impacts que cela a (ou va avoir) sur la sécurité des systèmes d'informations est un vaste problème. Problème posé déjà par un éparpillement des rôles (les responsables des PABX et ceux des équipements réseaux n'étant pas toujours les mêmes personnes). Je vous encourage fortement à lire les documents sur ce sujet disponible sur le site de Hervé Schauer Consultants (HSC) :
http://www.hsc.fr/ressources/presentations/csm05-voip/index.html.fr
|
Haut de page |
Q : Quelles sont les méthodes pour sauvegarder des serveurs"à chaud"; backup de type Ghost ?
R : Windows Serveur 2003 supporte pour certaine application la notion de snapshot (clichés instantanés) et notamment pour les fichiers partagés, pour l'OS pas de support pour l'instant
|
Haut de page |
Q : Comment activer dans le gestionnaire de taches (xp) la commandes "débogguer" (un processus) , il est grisé , pourtant j'ai bien fait drwtsn32 -i :s ....???
R : Peut être quelques bonnes infos sur ce sujet ici :
https://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnvsdev05/html/vs05e1.asp
|
Haut de page |
Q : La restauration ASR sous XP sauvegarde les fichiers systèmes, les fichiers de boot, les certificats, c’est tout ?
R : ASR sauvegarde plus de choses que cela. Voir https://support.microsoft.com/kb/818903 pour plus d'infos.
|
Haut de page |
Q : Nous avons des clients Wifi, nous avons donc installé nos AP (avec filtrage des adresses MAC) en utilisant du WAP avec authentification via un serveur Radius délivrant des certificats est ce suffisant ou faut envisager du VPN en plus ?
R : Si je lis WPA à la place de WAP, tout va bien. WPA n'est pas cassé à ce jour. Par ailleurs, le filtrage de MAC est inutile, puisqu'il suffit de sniffer et de "spoofer" la bonne adresse MAC.
Et ce n'est pas nécessaire de faire du VPN. Par contre, pensez à authentifier la machine et l'utilisateur de façon à bien recevoir les GPO machines.
|
Haut de page |
Q : Quels sont les moyens pour conter une attaque de type « Man In the Middle » dans un environnement win2000 ?
R : Utiliser IPSec en mode AH ou ESP !!! Un document intéressant expliquant l'intérêt de IPSec :
https://www.microsoft.com/downloads/details.aspx?FamilyID=d9aef757-f528-41be-a01f-99a60c9a855d&displaylang=en
|
Haut de page |
Q : Je suis dans un environnement Workgroup, alors comment faire pour verrouiller mes OS XP (Genre bloquer l’accès aux paramètres réseaux, disque Dur, Disquette, console CMD etc…) c’est possible ? Avec des outils Microsoft ? Merci.
R : En workgroup, la seule possibilité native est de bloquer le poste par les stratégies locales, par contre elles sont valables pour tous les utilisateurs du poste même l'administrateur, un serveur est un domaine Active Directory simplifierait cela avec les stratégies de groupe
Egalement le Shared Computer Toolkit peut vous aider information sur
https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sct/default.mspx
et Windows XP security guide https://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch05.mspx
|
Haut de page |
Q : Plusieurs postes +DHCP avec IP attribuée par rapport à l’adresse MAC, ma question est comment interdire l'accès à internet dans le cas d'un reformatage ?
R : L'adresse MAC étant liée au poste, le reformatage ne changera pas l'affectation de cette adresse IP à cette station. Dans ce cas, il est toujours possible de bloquer l'IP donnée sur le firewall ou le proxy. Bon perso, je me baserais plutôt sur une authentification des utilisateurs
|
Haut de page |
Q : Peut-ont lié ISA Server & Active Directory pour que une machine en dehors du domaine ne puisse accéder a Internet ?
R : Oui tout à fait, il suffit de créer dans ISA un ensemble d'utilisateurs qui contient un groupe AD (ex: Groupe des utilisateurs Internet) et pour les règles d'accès à Internet, limiter l'accès à cet ensemble. On active ensuite l'authentification obligatoire. Et pour compléter ma réponse, il est possible en complément de l'authentification de bloquer les accès pour les postes n'ayant pas des @IP affectées aux stations reconnues (via réservation par MAC sur le DHCP)
|
Haut de page |
Q : Peut on authentifier des postes Mac OSX avec un DC AD ?
R : Il me semble qu'il y a un client AD dans Mac OS X (je ne sais quelle version) de base... La société Vintela fait un client plus évolué avec GPO et intégration dans SMS.
|
Haut de page |
Q : Y-aurait-il sur le site TechNet, les ressources de Windows xp pro ?
R : Oui sur https://technet.microsoft.com/fr-fr/windows/cc526060.aspx
|
Haut de page |
Informations
Informations : Et bien voilà c'est terminé. J'espère que vous avez trouvé ce chat intéressant et si vous souhaitez renouvelez ce type de sujet dans des futurs chats, n'hésitez pas à nous poster vos remarques via nos blogs :
https://blogs.technet.com/Stanislas & https://blogs.technet.com/fabricem_blogs
|
Haut de page |