• Article

Vigilance sécuritéUtilisation de l'Assistant Configuration de la sécurité dans Windows Server 2008

Jesper M. Johansson

Cet article se base sur une version préliminaire de Windows Server 2008. Toutes les informations contenues dans cet article sont susceptibles d’être modifiées.

En 2005, Microsoft a publié Windows Server 2003 SP1. Ce Service Pack a introduit le premier outil de gestion de la sécurité basé sur les rôles pour Windows : l'Assistant Configuration de la sécurité (SCW). Microsoft a conçu l'Assistant Configuration de la sécurité comme étant avant tout un outil de réduction de la surface d'attaque. Son but était d'analyser ce que vous faisiez

effectivement avec votre ordinateur et de le configurer automatiquement pour prendre en charge les rôles dont vous aviez besoin, tout en désactivant les rôles et les services qui n'étaient pas utilisés.

Windows Server® 2008 conserve l'Assistant Configuration de la sécurité, qui a été mis à jour avec de nouveaux rôles et une nouvelle intégration avec le nouveau Pare-feu Windows®. Cependant, il reste un outil d'administration aussi sophistiqué qu'il l'a toujours été.

Windows Server 2008 inclut également le nouvel outil Gestionnaire de serveur basé sur les rôles et ses comparses, les Assistants Ajout de rôles et Ajout de fonctionnalités. Dans Windows Server 2008, au lieu d'ajouter des composants individuels par le biais de l'ancien panneau de configuration Ajouter ou supprimer des composants Windows, vous utilisez maintenant les outils de gestion de rôles pour configurer votre serveur. Byron Hynes décrit ces outils dans l'article « Configuration des rôles avec le Gestionnaire de serveur », qui fait également partie de cette édition de TechNet Magazine.

Les Assistants Ajout de rôles et Ajout de fonctionnalités sont conçus pour configurer votre serveur avec les composants voulus pour prendre en charge les rôles que vous avez choisis. Ils configurent également le pare-feu incorporé pour assurer le bon fonctionnement de ces rôles. Cela étant dit, vous pouvez vous demander si vous avez encore besoin de l'Assistant Configuration de la sécurité. D'accord, bon nombre d'administrateurs n'auront plus besoin de l'Assistant Configuration de la sécurité. Cependant, pour deux types de personnes l'Assistant Configuration de la sécurité peut être un outil très appréciable. Le premier groupe est composé des paranoïaques de la sécurité. Ces personnes apprécient les améliorations de la sécurité fournies par l'Assistant Configuration de la sécurité.

Vous pouvez envisager les Assistants Ajout de rôles et Ajout de fonctionnalités comme des outils qui prennent un serveur par défaut et le configurent de manière sécurisée afin de prendre en charge les rôles et les fonctionnalités que vous voulez. L'Assistant Configuration de la sécurité, d'autre part, est l'outil qui configure votre serveur pour ne prendre en charge que les rôles et les fonctionnalités que vous voulez. Il a également un effet pédagogique dans la mesure où il vous aide à mieux comprendre comment le serveur est configuré. Donc, je vous recommande fortement d'exécuter l'Assistant Configuration de la sécurité une fois le serveur configuré avec son complément de rôles et de fonctionnalités.

Le deuxième groupe est constitué des utilisateurs qui veulent comprendre les relations entre les divers composants. L'Assistant Configuration de la sécurité est fourni avec une série de fichiers XML qui décrivent les relations entre les rôles et les fonctionnalités, les services et les ports réseau. Si vous vous intéressez aux besoins des divers composants, l'Assistant Configuration de la sécurité est un outil très appréciable.

Dans cet article, je décrirai comment fonctionne l'Assistant Configuration de la sécurité et comment vous pouvez l'utiliser pour protéger votre serveur. Et je fournirai une comparaison entre l'Assistant Configuration de la sécurité et les outils du Gestionnaire de serveur. Notez que cet article est adapté de mon livre, Windows Server 2008 Security Resource Kit (Microsoft Press® 2008).

Présentation de l'Assistant Configuration de la sécurité

Voici quelques chiffres sur Windows Server 2008. Avant que vous ne configuriez un serveur en ajoutant votre sélection personnelle de rôles et de fonctionnalités, il compte déjà un nombre relativement lourd de services. Par défaut, Windows Server 2008 inclut 105 services, dont 42 sont définis pour démarrer automatiquement, 55 sont manuels et 8 sont désactivés. Comparez cela à une installation propre de Windows Server 2003 R2 SP2, qui compte 86 services installés par défaut : 34 sont définis pour démarrer automatiquement, 32 sont définis pour exiger un démarrage et 20 sont désactivés.

Malgré la métaphore de rôles et la réduction des rôles par défaut pris en charge, Windows Server 2008 présente toujours un plus grand encombrement et nécessite un soin supplémentaire pour le renforcement de vos serveurs. L'Assistant Configuration de la sécurité vous guidera dans la création d'une configuration de sécurité personnalisée pour vos différents serveurs.

Il suit une approche complètement différente pour le renforcement de serveur par rapport aux outils existants. Il utilise une métaphore de rôles pour configurer le système afin de prendre en charge ces rôles et peu d'autres choses, voire rien d'autre. Tandis que l'Assistant Configuration de la sécurité vous aide à configurer le pare-feu, tout comme les Assistants Ajout de rôles et Ajout de fonctionnalités, il désactive également les services inutiles et configure quelques paramètres de sécurité supplémentaires. Enfin, alors que les Assistants Ajout de rôles et Ajout de fonctionnalités sont seulement capables d'installer et de configurer des rôles qui sont intégrés dans Windows, l'Assistant Configuration de la sécurité est extensible. Un développeur ou un administrateur peut écrire un rôle personnalisé ou un fichier de configuration de fonctionnalité et utiliser l'Assistant Configuration de la sécurité pour configurer n'importe quel produit.

L'Assistant Configuration de la sécurité est conçu pour être utilisé après avoir installé tous les rôles et les fonctionnalités que le serveur est supposé avoir. Si vous avez également des applications tierces sur votre serveur, vous devez aussi les installer avant d'exécuter l'Assistant Configuration de la sécurité.

Pour démontrer le fonctionnement de tout ceci, j'ai configuré un serveur avec trois rôles (le serveur d'applications, le serveur DNS et le serveur Web) et deux fonctionnalités (fonctionnalités Microsoft® .NET Framework 3.0 et service d'activation des processus Windows). Il ne s'agit pas d'un ensemble particulièrement logique de rôles et de fonctionnalités, mais il constitue un bon exemple.

Pour démarrer l'Assistant Configuration de la sécurité, exécutez-le à partir du menu Outils d'administration. Vous verrez la boîte de dialogue affichée dans la figure 1.

Figure 1 L'Assistant Configuration de la sécurité commence par vous demander ce que vous voulez faire

Figure 1** L'Assistant Configuration de la sécurité commence par vous demander ce que vous voulez faire **(Cliquer sur l'image pour l'agrandir)

La première étape consiste à choisir si vous voulez créer une nouvelle stratégie de sécurité, modifier ou appliquer une stratégie existante ou restaurer une stratégie pour que le système rétablisse les paramètres originaux. Les choix sont relativement explicites.

Lorsque vous choisissez de créer une nouvelle stratégie de sécurité, l'Assistant Configuration de la sécurité crée une nouvelle stratégie en utilisant un ordinateur comme modèle de ce que la stratégie doit prendre en charge. Il analyse l'ordinateur et détermine quelles fonctionnalités et quels rôles sont pris en charge, en s'assurant qu'ils fonctionnent mais également que beaucoup de fonctionnalités inutiles ne sont pas activées.

L'Assistant Configuration de la sécurité utilise un modèle prototype. Il utilise des fichiers XML pour spécifier à quoi ressemblent les rôles et les fonctionnalités en termes de fichiers installés, de services configurés et ainsi de suite. C'est pourquoi tout doit être installé sur l'ordinateur pour lequel vous développez la stratégie. Si vous avez des programmes tiers qui installent des définitions SCW à l'installation, ceux-là s'intégreront de façon transparente. Cependant, si vos programmes tiers n'installent pas de définitions SCW, vous devrez les configurer manuellement.

Comme vous pouvez le voir, vous pouvez créer une stratégie sur un système et l'appliquer à un grand nombre d'autres. Si vous créez un réseau avec beaucoup de systèmes, vous devez d'abord définir des classes d'hôte qui sont toutes configurées séparément. Vous pouvez alors créer une stratégie en utilisant l'une d'elles comme prototype et l'appliquer facilement à toutes les autres classes en effectuant peu ou pas de modifications.

Lorsque vous cliquez sur Suivant (dans la boîte de dialogue illustrée à la figure 1), l'assistant demande quel ordinateur vous voulez utiliser comme base, ou prototype, pour cette nouvelle stratégie. Vous choisissez généralement l'ordinateur local, mais vous avez également la possibilité d'utiliser un ordinateur distant comme prototype.

Après avoir spécifié le système à utiliser, vous entrez dans la phase d'analyse. Ici, l'Assistant Configuration de la sécurité énumère les rôles et les fonctionnalités que vous avez installés et il les compare avec la base de données de rôles et de fonctionnalités. La base de données contient des informations sur les services qui sont utilisés par chaque rôle et fonctionnalité, les ports réseau dont ils ont besoin et d'autres informations de configuration importantes. Une fois l'analyse terminée, vous pouvez afficher la base de données de configuration pour voir ce que l'Assistant Configuration de la sécurité a trouvé. Notez qu'il s'agit d'un affichage en lecture seule qui présente des informations complètes sur la configuration de l'ordinateur. En fait, si vous souhaitez vraiment comprendre ce qui se trouve sur votre ordinateur, vous pouvez passer de longues heures à étudier ces informations.

Configuration de votre serveur avec l'Assistant Configuration de la sécurité

Lorsque vous cliquez sur Suivant, vous accédez à la première des quatre sections de l'Assistant Configuration de la sécurité : configuration de services basés sur les rôles. Vous aurez peut-être remarqué que les rôles inclus dans l'Assistant Configuration de la sécurité, comme illustré à la figure 2, ne sont pas les mêmes que ceux de l'Assistant Ajout de rôles. La plupart des rôles disponibles dans l'Assistant Ajout de rôles sont également présents ici, et l'Assistant Configuration de la sécurité en offre également qui ne sont pas inclus dans l'Assistant Ajout de rôles. Par exemple, le rôle de serveur d'applications que j'ai sélectionné n'est pas présent. La raison en est que l'Assistant Configuration de la sécurité utilise une métaphore légèrement différente pour les rôles. J'aborderai ce sujet plus en détails bientôt.

Figure 2 Utilisation de l'Assistant Configuration de la sécurité pour sélectionner les rôles que votre serveur doit prendre en charge

Figure 2** Utilisation de l'Assistant Configuration de la sécurité pour sélectionner les rôles que votre serveur doit prendre en charge **(Cliquer sur l'image pour l'agrandir)

L'ensemble correct de rôles sera souvent déjà sélectionné dans cette boîte de dialogue. Il vous suffit de vérifier que l'analyse a bien détecté ce que vous pensez qu'elle aurait dû trouver. En cas de problème, vérifiez si le rôle a été installé et installez-le (s'il manque) avant de réexécuter l'Assistant Configuration de la sécurité. Si vous commettez une erreur, ce n'est pas la fin du monde. La fonctionnalité de restauration dans l'Assistant Configuration de la sécurité vous ramènera là où vous avez commencé en annulant toutes les modifications que la stratégie a opérées.

Les réponses que vous donnez dans cette section sont très importantes parce qu'elles déterminent ce que vous verrez plus tard dans la section relative au réseau. Heureusement, la logique de détection fonctionne bien. L'ensemble correct de rôles est généralement sélectionné.

Notez également que, par défaut, vous voyez les Rôles installés, c'est-à-dire les rôles que le serveur est capable de prendre en charge avec les informations stockées sur le disque. Les rôles sélectionnés sont ceux qu'il prend actuellement en charge. Vous pouvez également choisir de voir tous les rôles dans la base de données. Pour ce faire, sélectionnez Tous les rôles dans la liste déroulante. Ceci est utile principalement lorsque vous devez générer une stratégie en utilisant un serveur prototype où ne sont pas encore installés tous les rôles dont il a besoin.

Après la configuration des rôles, vous sélectionnez les fonctionnalités clientes que vous voulez prendre en charge. L'ensemble des fonctionnalités est similaire mais pas identique à celui de l'Assistant Ajout de fonctionnalités et il contient moins de fonctionnalités. Une fois encore, les métaphores ne sont pas exactement les mêmes, l'Assistant Configuration de la sécurité peut être étendu, donc ce que vous verrez sera différent de l'Assistant Ajout de fonctionnalités.

Lorsque vous cliquez sur Suivant sur la page des fonctionnalités clientes dans l'Assistant Configuration de la sécurité, vous accédez à la boîte de dialogue de sélection des options d'administration et d'autres options, illustrées à la figure 3. Les options de l'Assistant Configuration ne correspondent pas exactement à un rôle ou une fonctionnalité. Elle peut fournir une prise en charge administrative ou être seulement un service individuel, comme la Détection de services interactifs. Une fois encore, la plupart des options dont vous avez besoin doivent être sélectionnées ici. Il est judicieux également d'utiliser le menu déroulant. Il est rempli avec les options relatives aux rôles et aux fonctionnalités que vous avez sélectionnés précédemment et il sera différent en fonction des ordinateurs.

Figure 3 Sélection d'autres services et fonctionnalités dans l'Assistant Configuration de la sécurité

Figure 3** Sélection d'autres services et fonctionnalités dans l'Assistant Configuration de la sécurité **(Cliquer sur l'image pour l'agrandir)

Ensuite vient la boîte de dialogue Sélectionnez des services supplémentaires. Bien que l'Assistant Configuration de la sécurité possède une très grande base de données de services, tout n'est pas décrit ici. Les services que l'Assistant Configuration de la sécurité détecte sur un ordinateur et qui ne sont pas présents dans la base de données figurent sur la page Services supplémentaires. Tous les services intégrés doivent être décrits et vous ne devriez pas voir cette boîte de dialogue si vous n'avez pas installé de services tiers.

L'Assistant vous dit quoi faire avec les services que vous ne configurez pas. Cette option a été conçue pour appliquer la stratégie que vous avez créée à un ordinateur différent. Si cet ordinateur possède des services différents de ceux sur lesquels vous avez basé la stratégie, l'Assistant Configuration de la sécurité a besoin de savoir quoi en faire. Vous pouvez les laisser tels quels, ce qui est le paramètre par défaut. L'autre option consiste à les désactiver, ce qui est plus sûr mais peut causer des problèmes de fonctionnement. Mais si vous suivez le conseil d'appliquer seulement les stratégies à des serveurs qui sont identiques à celui sur lequel vous les avez créées, votre choix sur cette page n'aura aucun impact.

Vous avez maintenant terminé la portion de configuration des rôles de l'Assistant Configuration de la sécurité et l'assistant récapitule ce que vous avez fait. Comme vous pouvez le voir à la figure 4, même si vous avez juste cliqué sur Suivant tout le long, vous avez modifié de manière significative la surface d'attaque de l'ordinateur. Par exemple, parce que cet ordinateur n'est pas un serveur d'impression et qu'il n'a pas d'imprimantes installées, vous n'avez pas de raison d'exécuter le service Spouleur d'impressions. L'Assistant Configuration de la sécurité désactive tous les services qui ne sont pas nécessaires. Sur notre serveur test, l'Assistant Configuration de la sécurité désactive 17 services qui ont été définis pour un démarrage automatique et désactive 42 services de démarrage manuel. Vos résultats, bien sûr, varieront en fonction de la configuration de votre serveur mais vous pouvez voir que l'Assistant Configuration de la sécurité vous permet d'adapter facilement une stratégie spécifique à vos serveurs uniques, ce qui réduit radicalement leur surface d'attaque.

Figure 4 L'Assistant Configuration de la sécurité résume les modifications que vous avez apportées

Figure 4** L'Assistant Configuration de la sécurité résume les modifications que vous avez apportées **(Cliquer sur l'image pour l'agrandir)

Vous passez maintenant à ce qui est sans doute la section la plus importante de l'Assistant Configuration de la sécurité : le réseau. Après la page d'accueil initiale, vous voyez la boîte de dialogue Règles de sécurité réseau, illustrée à la figure 5. Elle contient une liste de toutes les règles de pare-feu proposées par l'Assistant Configuration de la sécurité, qui sont basées sur la prise en charge des rôles que vous avez sélectionnés dans les sections précédentes.

Figure 5 L'Assistant Configuration de la sécurité liste toutes les règles dont il estime que vous avez besoin

Figure 5** L'Assistant Configuration de la sécurité liste toutes les règles dont il estime que vous avez besoin **(Cliquer sur l'image pour l'agrandir)

Si vous ne modifiez pas la configuration de la section de mise en réseau, l'Assistant Configuration de la sécurité crée les règles de pare-feu qui verrouillent les interfaces de réseau de manière à ce que seuls les rôles et les fonctionnalités soient pris en charge mais que tous les clients puissent y accéder. Mais pour vraiment optimiser la sécurité de vos serveurs, vous devez utiliser l'Assistant Configuration de la sécurité comme un élément à part entière dans la création d'une stratégie d'isolation de serveur. Pour en savoir plus sur l'isolation de serveur (et l'isolation de domaine), consultez l'article technet.microsoft.com/network/bb545651.

Windows Server 2008 Security Resource Kit contient un chapitre sur la sécurisation du réseau avec l'isolation de serveur et de domaine. Il explique également comment vous pouvez utiliser la modélisation des menaces réseau pour analyser votre réseau et faciliter le déploiement de l'isolation de serveur. L'Assistant Configuration de la sécurité est un outil précieux dans ce processus.

Vous pouvez configurer des restrictions sur les règles proposées en sélectionnant la règle et en cliquant sur Modifier. Vous voyez alors apparaître la boîte de dialogue illustrée à la figure 6. Il s'agit de l'une des quatre pages qui vous permettent d'ajouter des restrictions aux règles de mise en réseau. Par exemple, vous pouvez exiger l'authentification IPSec. Si vous choisissez cette option, vous pouvez lier également le port à seulement certains points de terminaison. Par exemple, vous pouvez le configurer de manière à autoriser l'administration à distance seulement à partir de certains hôtes. Comme vous pouvez le voir, ceci est un avantage important sur les assistants Ajout de rôles et Ajout de fonctionnalités.

Figure 6 L'Assistant Configuration de la sécurité vous permet de générer des règles de pare-feu et IPSec

Figure 6** L'Assistant Configuration de la sécurité vous permet de générer des règles de pare-feu et IPSec **(Cliquer sur l'image pour l'agrandir)

Cette capacité à générer des règles de sécurité de connexion basées sur les rôles que vous avez sélectionnés dessert deux buts importants. D'abord, elle offre une formidable opportunité de comprendre les activités de vos serveurs. Vous n'avez pas même besoin de générer un serveur. Il vous suffit d'exécuter l'assistant, d'effectuer différentes sélections et de voir comment elles affectent les options sur les pages suivantes. Ensuite, elle vous permet de relier le concept très abstrait d'un port à un concept beaucoup plus logique d'un service et de configurer des restrictions réseau basées exactement sur les opérations réelles du système.

Si vous vous y prenez bien, ceci vous permet de développer une configuration très précise pour vos serveurs. La section Mise en réseau de l'Assistant Configuration de la sécurité est sans aucun doute l'endroit où vous devez passer la majorité de votre temps pendant la création de la stratégie de sécurité pour vos serveurs.

Le reste de l'Assistant Configuration de la sécurité vous permet de configurer l'audit et quelques paramètres de Registre. Les valeurs par défaut de ces paramètres sont suffisantes pour la plupart des organisations et, à moins d'avoir des exigences spéciales, vous ne devriez pas avoir besoin de faire grand-chose ici.

Une fois que vous avez créé votre stratégie, vous pouvez l'enregistrer et l'appliquer à l'ordinateur sur lequel vous travaillez. Ou vous pouvez l'appliquer à d'autres ordinateurs. Vous pouvez également convertir votre stratégie en Objet de stratégie de groupe (GPO) en utilisant la commande scwcmd.exe/transform.

Cependant, si votre stratégie contient des paramètres spécifiques à l'ordinateur, cette opération peut échouer ou donner des résultats très étranges. Par exemple, si vous créez des restrictions de point de terminaison incluant des adaptateurs locaux dans la section de mise en réseau, la stratégie est estimée spécifique à l'ordinateur et la transformation ne s'opèrera pas correctement. Ceci est dû au fait que ces adaptateurs doivent être spécifiés par le biais de GUID. Le GUID pour un adaptateur sur un ordinateur n'a aucune signification sur un autre ordinateur.

Donc, il est préférable d'utiliser l'Assistant Configuration de la sécurité serveur-par-serveur et comme un outil d'apprentissage. Pour les grandes batteries de serveurs, vous pouvez utiliser l'Assistant Configuration de la sécurité comme un moyen d'obtenir des informations sur les ordinateurs et de développer une stratégie fondamentale. Vous pouvez alors prendre cette stratégie et la recréer pour la distribuer à l'aide de n'importe quel outil que vous utilisez pour configurer les serveurs, notamment la Stratégie de groupe ou un système de gestion d'entreprise (tel que Microsoft Systems Center).

Comparaison entre l'Assistant Configuration de la sécurité et le Gestionnaire de serveur

Vous avez sûrement remarqué jusqu'ici que la métaphore utilisée pour les rôles et les fonctionnalités est différente. Une « fonctionnalité » dans l'Assistant Configuration de la sécurité est quelque chose que l'ordinateur fait pour agir en tant que client. Un « rôle », par contre, est quelque chose qu'il fait pour agir en tant que serveur.

Ceci diffère de la métaphore utilisée dans les outils Gestionnaire de serveur, où un rôle est une collection de services et de fonctionnalités qui peut être assimilée à une unité ; une fonctionnalité est quelque chose qui prend en charge des rôles. Pour l'essentiel, le Gestionnaire de Serveur considère un rôle comme étant l'activité pour laquelle vous avez acheté le serveur. Les fonctionnalités sont importantes, mais elles ne sont pas la raison pour laquelle vous avez acheté le serveur. Les deux métaphores et les deux usages différents de mêmes termes vont obligatoirement provoquer une confusion. Vous aurez besoin de bien y réfléchir avant de changer d'outil.

De plus, les outils Gestionnaire de serveur ne sont pas extensibles. Ils sont conçus pour gérer seulement les composants livrés avec Windows. À l'inverse, les programmes tiers que vous installez peuvent ajouter des rôles et des fonctionnalités à l'Assistant Configuration de la sécurité. Vous pouvez même écrire vos propres rôles et vos propres fonctionnalités. Le livre blanc « Extending the Security Configuration Wizard » (Extension de l'Assistant Configuration de la sécurité), disponible à l'adresse go.microsoft.com/fwlink/?LinkId=107397, explique comment faire.

L'Assistant Configuration de la sécurité désactive également les composants dont vous n'avez pas besoin. Les outils du Gestionnaire de serveur, d'un autre côté, déploient simplement les composants que vous demandez, ils ne touchent à rien d'autre sur l'ordinateur. Si vous avez besoin d'aide pour déterminer les composants qui ne sont peut-être pas nécessaires, l'Assistant Configuration de la sécurité est l'outil idéal.

De plus, même si les outils Gestionnaire de serveur et l'Assistant Configuration de la sécurité peuvent configurer votre réseau, l'Assistant Configuration de la sécurité est plus puissant dans ce domaine. Si vous générez une stratégie d'isolation de serveur, l'Assistant Configuration de la sécurité peut être une véritable mine d'informations et votre meilleur allié pour le déploiement. Ceci est évidemment un sujet avancé d'administration de la sécurité, mais l'Assistant Configuration de la sécurité est lui-même un outil de sécurité avancée.

Enfin, l'Assistant Configuration de la sécurité configurera également certains paramètres de sécurité supplémentaires que les outils de Gestionnaire de serveur ne définissent pas. Cependant, ceux-ci sont largement supplantés par des contrôles plus efficaces ou déjà définis par défaut dans Windows Server 2008.

Jesper M. Johansson est ingénieur de sécurité, chargé des problèmes de sécurité de logiciel et contribue à l’élaboration de TechNet Magazine. Il possède un doctorat MIS et compte plus de 20 ans d'expérience dans la sécurité.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.