menaces et contre-mesures

  • Article

Chapitre 11 : Contre-mesures supplémentaires

Dernière mise à jour le 27 décembre 2005

Ce chapitre explique comment implémenter certaines contre-mesures supplémentaires, telles que la sécurisation des comptes. Il fournit également des informations générales, des références ainsi que des conseils de configuration pour l'utilisation des filtres IPSec (IP Security) comme contre-mesure efficace contre les attaques réseau.

Sur cette page

Procédures de renforcement des serveurs membres
Configuration du pare-feu Windows
Informations complémentaires

Procédures de renforcement des serveurs membres

Même si vous pouvez appliquer la plupart des contre-mesures traitées dans ce guide via la stratégie de groupe, il existe des paramètres supplémentaires qui sont difficiles voire impossibles à appliquer de cette manière. Les sections suivantes fournissent des conseils sur la mise en œuvre de ces paramètres supplémentaires pour les serveurs membres du domaine.

Sécurisation des comptes

Microsoft® Windows Server™ 2003 avec Service Pack 1 (SP1) dispose de plusieurs comptes utilisateur intégrés qui ne peuvent pas être supprimés, mais qui peuvent être renommés. Parmi les comptes intégrés les plus connus de Windows Server 2003, citons les deux suivants : Invité et Administrateur.

Vulnérabilité

Par défaut, le compte Invité est désactivé sur les serveurs membres et les contrôleurs de domaine. Il est déconseillé de modifier cette configuration. De nombreuses variations de code malveillant font appel au compte Administrateur intégré dans une tentative initiale de compromettre un serveur. Vous devez renommer le compte Administrateur intégré et modifier sa description pour protéger les serveurs distants contre les attaques qui portent sur ce compte facile à identifier.

L’impact de ce changement de configuration s’est amenuisé au fil des dernières années avec l’apparition d’outils d’attaque qui ciblent l’identificateur de sécurité (SID, Security Identifier) du compte Administrateur intégré afin de déterminer son véritable nom et d'accéder ainsi au serveur. L'identificateur de sécurité correspond à la valeur qui définit de manière unique un compte d'utilisateur, de groupe ou d'ordinateur et une session en cours sur un réseau. Il est impossible de modifier l'identificateur de sécurité de ce compte intégré.

Contre-mesures

Renommez le compte Administrateur et modifiez son mot de passe en lui attribuant une valeur longue et complexe sur chaque serveur.

Remarque : Vous pouvez renommer le compte administrateur intégré à l'aide de la stratégie de groupe. Les stratégies de base fournies avec le Guide sur la sécurité de Windows Server 2003 n'appliquent pas ce paramètre, car chaque entreprise doit choisir un nom unique pour ce compte. Pour renommer le compte, configurez le paramètre Renommer le compte administrateur de la stratégie de groupe à l'emplacement suivant : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\
Options de sécurité.
Idéalement, les entreprises doivent utiliser des mots de passe différents sur chaque serveur, bien que ce type de configuration implique une surcharge de gestion significative. Cependant, il est à noter que si votre entreprise utilise les mêmes noms et mots de passe de compte sur tous les serveurs, un attaquant qui réussit à accéder à un serveur membre peut accéder à tous les autres. Enregistrez les modifications apportées dans un emplacement sécurisé.

Impact potentiel

Les utilisateurs qui gèrent les ordinateurs doivent assurer le suivi du nom de compte attribué à chaque ordinateur. Les utilisateurs qui doivent se connecter à un serveur donné à l'aide du compte Administrateur local doivent consulter cette documentation sécurisée pour retrouver le nom d'utilisateur et le mot de passe de ce serveur.

NTFS

Les partitions du paramètre NTFS prennent en charge les listes de contrôle d'accès (ACL) et éventuellement le cryptage (via le système de fichiers EFS) au niveau des fichiers et des dossiers. Cette prise en charge n'est pas disponible avec la table d'allocation de fichiers (FAT), FAT32 ou les systèmes de fichiers FAT32x. FAT32 est une version du système de fichiers FAT mise à jour pour autoriser des tailles de cluster par défaut beaucoup plus petites et prendre en charge des disques durs dont la capacité peut atteindre deux téraoctets. FAT32 est intégré à Microsoft Windows® 95 OSR2, Windows 98, Windows Me, Windows Server 2003 et Windows XP.

Vulnérabilité

Les fichiers que vous ne pouvez pas protéger à l'aide des listes de contrôle d'accès (ACL) peuvent être facilement affichés, modifiés ou supprimés par des utilisateurs non autorisés qui peuvent y accéder localement ou par l'intermédiaire du réseau. Les autres fichiers peuvent être protégés à l'aide des listes de contrôle d'accès, mais le chiffrement offre une protection bien plus efficace et constitue une option envisageable pour les fichiers qui doivent être accessibles par un seul utilisateur.

Contre-mesures

Formatez toutes les partitions de chaque serveur à l'aide du système de fichiers NTFS. Utilisez l'utilitaire de conversion pour convertir les partitions FAT en NTFS sans les détruire, mais gardez à l'esprit que l'utilitaire définit les listes de contrôle d'accès du lecteur converti sur Tout le monde : Contrôle total.

Pour les ordinateurs Windows Server 2003 et Windows XP, appliquez localement les modèles de sécurité suivants pour configurer les listes de contrôle d’accès par défaut des systèmes de fichiers :

  • Pour les postes de travail. %windir%\inf\defltwk.inf

  • Pour les serveurs. %windir%\inf\defltsv.inf

  • Pour les contrôleurs de domaine. %windir%\inf\defltdc.inf

Reportez-vous au chapitre 12, « Rôle du serveur bastion Internet », dans le Guide sur la sécurité de Windows Server 2003 pour prendre connaissance des instructions d'application locale des modèles de sécurité.

Remarque : Les paramètres de sécurité des contrôleurs de domaine par défaut sont appliqués lors de la promotion d'un serveur à un contrôleur de domaine.

Impact potentiel

Il n'existe aucun impact négatif.

Important : La configuration correcte des autorisations NTFS permet de protéger les données de votre entreprise contre les accès ou les modifications non autorisés. Il est également crucial de prendre en compte la sécurité physique. Si un attaquant a réussi à obtenir le contrôle physique d'un ordinateur, il peut le démarrer à partir d'un autre système d'exploitation avec un CD-ROM ou une disquette amorçable. S'il a supprimé un disque dur de l'un des ordinateurs de votre entreprise, il peut le déplacer vers un autre ordinateur non géré. Une fois que l'attaquant a obtenu le contrôle physique total du support de stockage, il est très difficile d'assurer la sécurité des données.

Ce problème fondamental de sécurité informatique existe également sur les systèmes de fichiers d'autres systèmes d'exploitation. Une fois qu'un attaquant obtient un accès physique au disque, il peut aisément contourner les autorisations NTFS, ainsi que la plupart des autres mesures de protection. Les mesures de sécurité physiques évidentes que votre entreprise peut mettre en place incluent la restriction de l'accès aux bâtiments, l'installation de systèmes de verrouillage magnétique dans les salles des serveurs, le verrouillage des racks des serveurs et l'utilisation de stations d'accueil verrouillées pour les ordinateurs portables. Outre ces mesures de sécurité, Microsoft recommande les technologies supplémentaires suivantes afin de réduire l'impact de ces types d'attaque :

  • Utilisez Syskey avec un mot de passe hors connexion pour empêcher le démarrage du système d'exploitation Windows par des personnes non autorisées.

  • Utilisez le système de fichiers EFS pour chiffrer les données utilisateur. Demandez aux utilisateurs d'utiliser leurs comptes de domaine et de ne configurer aucun agent de récupération, ou d'effectuer cette configuration pour les comptes administrateur de domaine plutôt que pour le compte administrateur local.

  • Utilisez des mots de passe BIOS pour empêcher les utilisateurs non autorisés de démarrer des ordinateurs de votre entreprise.

  • Configurez le BIOS du système pour désactiver le démarrage des ordinateurs à partir de lecteurs de CD-ROM et de disquettes. Cette configuration empêchera les utilisateurs non autorisés de démarrer des ordinateurs avec leur propre système d'exploitation.

Segmentation de données et d'applications

Il a toujours été recommandé de placer les fichiers de données, d'applications et du système d'exploitation sur des périphériques de stockage séparés afin d'améliorer les performances de l'ordinateur. Si vous séparez ces types de fichiers sur les serveurs, vous protégez les applications, les données et les systèmes d'exploitation contre les attaques de répertoire transversales.

Vulnérabilité

Il existe deux sortes de vulnérabilité lorsque vous placez les applications, les données et les fichiers journaux dans le même volume de stockage que le système d'exploitation. L'une de ces vulnérabilités est la possibilité pour un ou plusieurs utilisateurs de saturer délibérément ou accidentellement un fichier journal d'application ou de télécharger des fichiers sur le serveur et de remplir le volume de stockage avec des données.

La deuxième vulnérabilité est identifiée sous la forme d'une exploitation liée au parcours des répertoires, dans laquelle un attaquant profite d'un bogue dans un service réseau pour parcourir l'arborescence du répertoire jusqu'à atteindre la racine du volume du système. L'attaquant peut alors parcourir tous les dossiers des fichiers du système d'exploitation pour exécuter un utilitaire à distance.

Il existe des milliers de types d'attaques de pénétration des répertoires qui exploitent les applications et les systèmes d'exploitation vulnérables. Ces dernières années, IIS a fait l'objet de plusieurs attaques de ce type. Par exemple, les vers NIMDA et Code Red exploitaient les dépassements de la capacité de la mémoire tampon pour parcourir les arborescences de répertoire des sites Web et exécuter à distance le fichier Cmd.exe afin d'accéder à un environnement distant pour exécuter des commandes.

Contre-mesures

Déplacez autant que possible le contenu Web, les applications, les données et les fichiers journaux d'application dans une partition distincte du volume du système.

Impact potentiel

Pour les entreprises qui créent et gèrent des serveurs de manière cohérente, l'impact ne devrait pas être important. Pour les entreprises qui ne gèrent pas ces informations, l'impact est un peu plus important parce que les administrateurs doivent rechercher le mode de configuration de chaque ordinateur.

Configuration du nom de communauté SNMP

Le protocole SNMP (Simple Network Management Protocol) est une norme de gestion du réseau généralement utilisée dans les réseaux TCP/IP. Il fournit une méthode de gestion des nœuds du réseau (serveurs, postes de travail, routeurs, ponts et concentrateurs) à partir d'un hôte central. Il exécute ses services de gestion via une architecture distribuée de systèmes et d'agents de gestion. Les ordinateurs qui exécutent un logiciel de gestion de réseau sont appelés systèmes de gestion SNMP ou gestionnaires SNMP. Les nœuds de réseau gérés sont appelés agents SNMP.

Le service SNMP offre une forme de sécurité élémentaire à l'aide des noms de communauté et des interruptions d'authentification. Vous pouvez limiter les communications SNMP des agents et leur permettre de communiquer uniquement avec une liste spécifique de systèmes de gestion SNMP. Les noms de communauté peuvent être utilisés pour authentifier les messages SNMP. Bien qu'un hôte puisse appartenir à plusieurs communautés en même temps, un agent SNMP n'accepte pas de demandes provenant d'un système de gestion d'une communauté qui ne figure pas sur sa liste des noms de communauté acceptables. Il n'existe aucune relation entre les noms de communauté et les noms de domaine ou de groupe de travail. Un nom de communauté peut être considéré comme un mot de passe qui est partagé par les consoles de gestion SNMP et les ordinateurs gérés. Il vous appartient, en tant qu'administrateur système, de créer des noms de communauté difficiles à deviner lorsque vous installez le service SNMP.

Vulnérabilité

Le protocole SNMP est par essence faible en matière de sécurité. La plus grande vulnérabilité du protocole SNMP est que pratiquement tous les fournisseurs définissent des noms de chaîne de communauté par défaut et que ces derniers sont connus. Par exemple, Microsoft utilise le terme Public.

La seconde vulnérabilité est plus difficile à résoudre. Étant donné que le trafic SNMP est envoyé en texte clair, la chaîne de communauté est transmise sur le réseau sans cryptage ou hachage lorsqu'un périphérique de gestion SNMP se connecte à un client SNMP. Pour traiter cette deuxième vulnérabilité, vous pouvez chiffrer tout le trafic entre les serveurs. Cependant, cette contre-mesure dépasse les objectifs de ce guide.

Contre-mesures

À l'aide d'une valeur alphanumérique aléatoire, configurez la chaîne de communauté SNMP pour un accès en lecture sur tous les ordinateurs.

Pour configurer la chaîne de communauté SNMP

  1. Dans la console Services, double-cliquez sur Service SNMP.

  2. Cliquez sur l'onglet Security de la boîte de dialogue SNMP Service Properties.

  3. Sélectionnez Public dans la liste Accepted community names.

  4. Cliquez sur le bouton Edit, puis saisissez le nouveau nom de communauté dans la boîte de dialogue SNMP Service Community Name lorsqu'elle apparaît.

  5. Cliquez sur le bouton OK pour fermer les boîtes de dialogues.

N'activez pas l'accès en écriture via SNMP.

Remarque : Le nom de communauté est stocké dans le registre, sous forme de valeur de registre avec une valeur DWORD de 4. Ainsi, vous pouvez automatiser cette modification en créant un script ou en ajoutant une ligne à un modèle de sécurité, puis en important ce modèle dans une stratégie de groupe d'un domaine. La valeur est stockée dans : HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities.

Impact potentiel

Vous devez également reconfigurer la chaîne communautaire sur tous les outils de gestion qui utilisent le protocole SNMP.

Désactivation de NetBIOS et de SMB sur les interfaces publiques

Cette section traite des recommandations spécifiques aux serveurs situés sur les réseaux et qui ne peuvent pas être totalement contrôlés, comme les serveurs Web accessibles au public ou les passerelles de courrier électronique. Ces types de serveurs sont souvent appelés bastions Internet. Si vous êtes équipés de l'un de ces types de serveurs, vous devez prendre en considération les procédures recommandées dans cette contre-mesure. Cependant, vous devez tester chaque modification et comprendre que ce sera un véritable défi de gérer des ordinateurs sur lesquels NetBIOS a été désactivé.

Vulnérabilité

Pour aider à sécuriser un bastion Internet, vous pouvez réduire fortement sa surface d'attaque en désactivant le bloc de message serveur (SMB) et NetBIOS sur TCP/IP. Il sera difficile de gérer des serveurs qui fonctionnent sous cette configuration et ils ne pourront pas accéder à des dossiers partagés sur le réseau. Cependant, ces mesures protègent efficacement le serveur de toute compromission via les protocoles SMB et NetBIOS. Par conséquent, vous devez désactiver les protocoles SMB et NetBIOS sur TCP/IP pour les connexions réseau utilisées sur des serveurs accessibles depuis Internet.

Contre-mesures

La communication SMB sera toujours possible si vous désactivez NetBIOS. SMB utilisera le port TCP 445 (appelé hôte direct SMB ou port CIFS [Common Internet File System]) en l'absence de ports NetBIOS standard. Par conséquent, des mesures explicites doivent être prises pour désactiver séparément NetBIOS et SMB.

NetBIOS utilise les ports suivants :

  • UDP/137 (service de nom NetBIOS)

  • UDP/138 (service de datagramme NetBIOS)

  • TCP/139 (service de session NetBIOS)

SMB utilise les ports suivants :

  • TCP/139

  • TCP/445

Sur les serveurs accessibles à partir d'Internet, observez les procédures suivantes pour supprimer le partage de fichiers et d'imprimantes des réseaux Microsoft et Client pour les réseaux Microsoft.

Pour désactiver le protocole SMB, procédez comme suit :

  1. Dans Panneau de configuration, double-cliquez sur Connexions Réseau.

  2. Cliquez sur une connexion Internet avec le bouton droit de la souris, puis choisissez Propriétés.

  3. Dans la boîte de dialogue Propriétés, cliquez sur Client pour les réseaux Microsoft, puis cliquez sur Désinstaller.

  4. Suivez la procédure de désinstallation indiquée.

  5. Cochez la case Partage de fichiers et d'imprimantes pour les réseau Microsoft, puis cliquez sur Désinstaller.

  6. Suivez la procédure de désinstallation indiquée.

Pour désactiver NetBIOS sur TCP/IP

  1. Dans Panneau de configuration, double-cliquez sur Système, activez l'onglet Matériel, puis cliquez sur le bouton Gestionnaire de périphériques.

  2. Dans le menu Affichage, choisissez Afficher les périphériques cachés.

  3. Développez l**’entrée** Pilotes non Plug-and-Play.

  4. Cliquez sur l'entrée NetBIOS sur TCP/IP avec le bouton droit de la souris, puis cliquez sur Désactiver.

Ces étapes désactivent l'écoute d'hôte directe SMB sur TCP/445 et UDP 445.

Remarque : Cette procédure désactive le pilote Nbt.sys. Bien qu'elle désactive le service de session NetBIOS (qui écoute sur le port TCP 139), elle ne désactive pas complètement SMB. Pour ce faire, suivez les étapes de la procédure précédente « Pour désactiver le protocole SMB ».

Impact potentiel

Aucun ordinateur ne sera en mesure de se connecter au serveur par le protocole SMB. Les serveurs n'auront pas accès aux dossiers partagés sur le réseau Les outils de gestion qui dépendent de NetBIOS ou SMB pour la connectivité seront incapables de se connecter aux serveurs.

Configuration du port des services Terminal Server

Les services Terminal Server constituent un outil important pour les administrateurs réseau parce qu'ils permettent de gérer des ordinateurs utilisateur et des serveurs distants. Le client Bureau à distance est installé par défaut sur tous les ordinateurs Windows Server 2003 et Windows XP. Il est également disponible comme composant facultatif sur le support d'installation de Windows 2000. Il existe également un client Microsoft ActiveX® téléchargeable qui s'exécute sur Internet Explorer ou sur la console MMC (Microsoft Management Console). Les clients Bureau à distance et ActiveX sont connus ensemble sous le nom de TSAC (Terminal Services Advanced Client).

Vulnérabilité

Les services Terminal Server écoutent par défaut sur le port TCP 3389, et toutes les versions des clients Bureau à distance essaient de se connecter à ce port. Bien que la session entière (y compris l'authentification utilisateur) soit chiffrée, les clients des services Terminal Server n'effectuent pas d'authentification de serveur. Un attaquant qui a réussi à usurper un serveur Terminal Server légitime peut pousser les utilisateurs à se connecter à son serveur au lieu du serveur authentique. Pour réaliser cette usurpation, l'attaquant pourrait changer les enregistrements DNS pour rediriger les utilisateurs vers son serveur ou utiliser d'autres moyens.

Contre-mesures

Modifiez le port TCP utilisé par les services Terminal Server ou appliquez une stratégie IPSec pour exiger une approbation et négocier l'outil AH (Authentication Header) ou ESP (Encapsulation Security Payload) à l'aide du mode de transfert IPSec (et non du mode de tunnel IPSec). Dans certains scénarios, il est possible d'isoler les services Terminal Server derrière une passerelle VPN afin que le protocole PPTP (Point-to-Point Tunneling Protocol) ou les tunnels VPN sécurisés L2TP/IPSec soient requis pour accéder aux services Terminal Server.

Pour obtenir des informations sur la manière de modifier le port utilisé par les services Terminal Server et le client Bureau à distance, reportez-vous à l'article de la Base de Connaissances Microsoft « Comment faire pour modifier le port d'écoute du serveur Terminal Server » à l'adresse https://support.microsoft.com/kb/187623/fr. Cet article explique comment modifier le port d'écoute du client de bureau normal. Pour effectuer la modification dans le client Web du client avancé des services Terminal Server, vous devez ajouter la ligne de script suivante à la page Web :

MsRdpClient.RDPport = xxx

(xxx représente le numéro de port TCP souhaité.) Pour plus d'informations sur l'utilisation et la personnalisation d'une connexion Web Bureau à distance pour exécuter les sessions des services Terminal Server sous Microsoft Internet Explorer, reportez-vous à « Providing for RDP Client Security » à l'adresse https://msdn2.microsoft.com/fr-fr/library/
Aa382994.aspx.

Impact potentiel

L'implémentation du protocole IPSec à l'aide de l'outil AH n'a qu'un impact limité sur les performances de l'ordinateur, mais elle augmente le temps de gestion de la configuration IPSec des clients et des serveurs. Du temps supplémentaire est également requis pour gérer une méthode d'approbation mutuelle entre les ordinateurs clients et serveurs utilisés par la négociation de sécurité IKE (Internet Key Exchange) avant la mise en place des associations de sécurité IPSec. La stratégie IPSec doit être conçue pour protéger tout le trafic qui affecte le serveur, ou exiger le protocole IPSec uniquement pour les connexions au port TCP 3389. Si vous avez besoin du protocole IPSec côté serveur, les ordinateurs clients qui ne disposent pas d'une configuration et d'une approbation IPSec compatibles, se verront refuser l'accès. Reportez-vous à la section « Configuration des stratégies IPSec » abordée ultérieurement dans ce chapitre pour obtenir un complément d'informations sur l'utilisation des stratégies IPSec pour négocier la sécurité du trafic TCP/IP.

Si vous modifiez les ports par défaut sur les serveurs et les clients Terminal Server, les utilisateurs légitimes dont le logiciel client n'est pas configuré pour utiliser le nouveau port ne pourront pas se connecter aux ordinateurs dont les affectations de port ont été modifiées. Ainsi, il n'existe aucun moyen de modifier le port TCP dans la version actuelle de TSAC.

Désactivation de Dr. Watson : Désactivez l'exécution automatique du débogueur de système Dr. Watson

Les débogueurs de système facilitent le dépannage des ordinateurs et des applications. Ces programmes collectent des données et les présentent à l'administrateur système ou au développeur d'applications pendant que l'ordinateur s'exécute. L'outil Dr. Watson fourni avec Windows Server 2003 et Windows XP est un débogueur de système automatisé qui enregistre des informations sur l'état du système et les applications actives au moment d'une défaillance de programme.

Vulnérabilité

Certaines entreprises peuvent considérer qu'aucun débogueur ne doit être installé sur les ordinateurs de production critique. Il n'existe pas d'attaques connues associées à Dr. Watson qui peuvent être exécutées par des utilisateurs qui ne disposent pas de privilèges d'administration. En d'autres termes, un attaquant devrait appartenir au groupe Administrateurs local pour pouvoir utiliser Dr. Watson comme outil d'attaque contre les autres utilisateurs ou processus. Un attaquant qui a déjà obtenu des privilèges d'administration prend le contrôle total de l'ordinateur, les attaquants peuvent donc toujours suivre d'autres chemins si vous désactivez Dr. Watson.

Contre-mesures

Pour obtenir des instructions sur la désactivation du débogueur de système Dr. Watson, consultez l'article de la Base de Connaissances Microsoft « Comment faire pour désactiver Dr. Watson pour Windows » à l'adresse https://support.microsoft.com/kb/188296/fr.

Impact potentiel

Aucun débogueur de système ne s'exécutera et aucun rapport ne sera créé automatiquement si le programme tombe en panne. Les administrateurs de systèmes et les développeurs disposeront de moins d'informations pour diagnostiquer la cause de ces problèmes et la fonctionnalité de signalement d'erreurs ne fonctionnera pas.

Désactivation de SSDP/UPnP : Désactivez SSDP/UPnP

Si vous désactivez le service hôte périphérique Universal Plug and Play (UPnP™), les autres applications, telles que Windows Messenger, pourront toujours utiliser le processus de recherche du service de découverte SSDP (Simple Service Discovery Protocol) pour identifier les passerelles de réseau ou d'autres périphériques réseau.

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft « Le trafic est envoyé après la désactivation du service de découverte SSDP et de l'hôte périphérique Universal Plug and Play » à l'adresse https://support.microsoft.com/kb/187623/fr.

Vulnérabilité

Les fonctionnalités UPnP incluses dans Windows XP et Windows Server 2003 peuvent être extrêmement utiles pour les particuliers et les petites entreprises, car elles peuvent automatiser l'installation et la configuration de périphériques UPnP lorsqu'ils sont reliés au réseau local. Certaines entreprises peuvent vouloir s'assurer qu'aucun trafic UPnP ou SSDP ne traverse leur réseau. Bien qu'aucune vulnérabilité ne soit connue avec ces fonctionnalités à ce jour, un problème majeur a été découvert dans Windows XP il y a deux ans ; il a nécessité l'application d'un correctif.

Contre-mesures

Pour vérifier qu'aucune application n'utilise les fonctionnalités SSDP et UPnP incluses dans Windows XP, vous pouvez ajouter une valeur de registre REG_DWORD appelée UPnPMode à la clé de registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP\

et configurez sa valeur sur 2.

Impact potentiel

Les fonctionnalités UPnP et SSDP seront complètement désactivées. Lorsque les périphériques UPnP sont reliés au réseau, vous devrez les configurer et les gérer manuellement.

Configuration des stratégies IPSec

IPSec (présent dans Windows 2000, Windows XP et la famille des systèmes d'exploitation Microsoft Windows Server 2003) est un outil qui permet aux administrateurs chargés de la sécurité du réseau d'autoriser, de bloquer ou de négocier la sécurité pour le trafic TCP/IP. IPSec est indépendant et transparent par rapport aux applications. L'objectif de la conception de Windows 2000 était de permettre la sécurisation du trafic réseau avec le format AH du protocole IPSec ou le format ESP. La stratégie IPSec fournit des filtres statiques du trafic TCP/IP (également appelés sélecteurs) qui sont nécessaires pour négocier la sécurité via IKE.

Le chapitre 6, « Deploying IPSec » du Kit de déploiement de Windows Server 2003 : Deploying Network Services fournit des informations plus détaillées sur les dernières fonctionnalités d'IPSec. La section intitulée « Determining Your IPSec Needs » identifie les utilisations d'IPSec. Le kit de déploiement peut être téléchargé à l'adresse http://technet2.microsoft.com/windowsserver/en/library/
119050c9-7c4d-4cbf-8f38-97c45e4d01ef1033.mspx?mfr=true.

Pour la plupart des applications, le composant Pare-feu Windows fournit le niveau de protection hôte adéquat contre le trafic entrant malveillant. L'Assistant Configuration de la sécurité (SCW) de Windows Server 2003 avec SP1 simplifie grandement l'installation et la gestion des paramètres de pare-feu Windows pour les grands déploiements. IPSec devrait être utilisé pour sécuriser le trafic hôte-hôte et hôte-client le cas échéant. En règle générale, le pare-feu Windows devrait être largement déployé dans la plupart des entreprises, comme une couche défensive supplémentaire.

Vulnérabilité

Bien que la plupart des stratégies de sécurité du réseau soient axées sur la prévention contre les attaques externes sur le réseau d'une entreprise, les attaques internes peuvent causer la perte de nombreuses informations sensibles en interprétant des données sur le réseau ou en exploitant les points faibles de conception ou d'implémentation des protocoles de niveau supérieur, afin d'accéder à un ordinateur. Les attaquants peuvent utiliser les sessions NULL NetBT afin d'obtenir les informations nécessaires pour découvrir les mots de passe de l'administrateur (si d'autres paramètres de sécurité ne sont pas utilisés ou désactivés accidentellement).

Il suffit aux attaquants de localiser une vulnérabilité dans un port d'application pour accéder à l'ordinateur et éventuellement en prendre le contrôle total. Comme indiqué, dans la mesure où un grand nombre de types de données n'est pas protégé lors de transferts sur le réseau, les employés, les membres du personnel de support ou les visiteurs peuvent copier des données à des fins d'analyse ultérieure. Les pare-feu qui se trouvent entre le réseau interne et Internet n'offrent aucune protection contre ces menaces internes. Les pare-feu internes ne peuvent généralement pas fournir de contrôles d'accès authentifiés, nécessaires à la protection des clients et des serveurs, ni une sécurité de bout en bout du trafic réseau entre ordinateurs.

Contre-mesures

Les filtres IPSec reconnaissent le trafic TCP/IP en fonction de la source et de l'adresse IP de destination, en fonction du type de protocole et des ports TCP et UDP. Les filtres IPSec aident à maîtriser et à contrôler la propagation du code malveillant, car ils bloquent la circulation des vers et des virus. En outre, IPSec peut compliquer la tâche d'un attaquant qui souhaiterait utiliser des shells distants ou d'autres utilitaires de piratage pour accéder à l'ordinateur à partir d'une application infectée. Pour plus de détails sur l'application d'une stratégie IPSec dans Windows 2000 pour bloquer des ports, consultez l'article de la Base de connaissances Microsoft « Comment faire pour bloquer des ports et protocoles réseau spécifiques en utilisant IPSec » à l'adresse https://support.microsoft.com/kb/813878/fr. De plus, le livre blanc « Using IPSec to Lock Down a Server » à l'adresse technet.microsoft.com/fr-fr/library/bb726948.aspx fournit des conseils de configuration détaillés pour le filtrage d'autorisation/blocage IPSec dans Windows Server 2003 (similaire à ces conseils). Cependant, les paramètres de registre de NoDefaultExempt recommandés par l'article de la Base de connaissances doivent être ajoutés pour Windows 2000.

Windows Server 2003 fournit le composant logiciel enfichable de gestion de stratégie IPSec MMC, qui est une interface utilisateur graphique (GUI) que vous pouvez utiliser pour gérer la stratégie IPSec. Cet outil est très similaire à celui de Windows 2000 et Windows XP. Windows Server 2003 fournit le composant logiciel enfichable Moniteur IPSec MMC et l'utilitaire IPSec de ligne de commande NETSH, afin de montrer les filtres de la stratégie IPSec tels qu'ils sont appliqués à l'ordinateur. Les filtres d'autorisation et de blocage apparaissent dans la configuration du mode rapide IKE. Les filtres génériques du mode rapide IKE correspondent aux filtres définis dans la stratégie IPSec attribuée. Les filtres spécifiques au mode rapide IKE proviennent de la stratégie appliquée à la configuration IP particulière de l'ordinateur. Retenez que la fonction spécifique au mode rapide IKE, Rechercher les filtres correspondants, ne permet pas de faire correspondre les filtres d'autorisation et de blocage, mais uniquement les filtres capables d'actions de négociation.

Les termes suivants sont définis dans le reste de cette section :

  • Liste de filtres. Contient les ports, les protocoles et les directions. Les listes de filtres déclenchent une décision lorsqu'un trafic correspond à un élément de la liste. Une seule liste peut contenir plusieurs filtres.

  • Action de filtrage. Réaction requise lorsque le trafic correspond à une liste de filtres. Le blocage ou la permission de certains types de trafic font partie des actions spécifiques.

  • Règle. Une règle est une corrélation d'une liste de filtres avec une action de filtrage.

  • Stratégie de sécurité IP. Ensemble de règles. Une seule stratégie peut être active à un moment précis.

Le tableau appelé cartographie du trafic réseau constitue une méthode facile pour enregistrer ces informations. Il contient des informations de base sur le rôle du serveur, la direction et la destination du trafic, l'adresse IP de l'interface, le protocole IP, le port TCP et le port UDP (User Datagram Protocol) concerné. Un exemple de cartographie du trafic réseau est illustré dans le tableau suivant.

La cartographie du trafic réseau aide à comprendre le trafic réseau entrant et sortant de serveurs particuliers. Avant de créer des stratégies IPSec, il est essentiel de comprendre quel est le trafic nécessaire au serveur pour qu'il fonctionne correctement. Autrement, les filtres créés risquent d'être trop stricts, ce qui peut générer des pannes d'application.

Pour créer une cartographie du trafic

  1. Déterminez les services réseau de base nécessaires pour le rôle serveur ;

  2. identifiez les ports et protocoles requis par chaque service. Ce processus peut nécessiter l'utilisation du Moniteur réseau pour capturer le trafic réseau et l'analyser, afin de déterminer les adresses de destination, les protocoles et les ports. Vous pouvez également utiliser des outils tels que la commande Netstat.exe pour afficher les ports ouverts et les connexions actives ;

  3. décrivez les règles de filtrage IPSec nécessaires pour autoriser uniquement le trafic identifié.

Si vous démarrez avec les filtres IPSec les plus restrictifs et si vous ouvrez des ports supplémentaires uniquement lorsque cela est nécessaire, vous pouvez obtenir le meilleur niveau de sécurité avec ces paramètres. Ce processus est beaucoup plus facile si vous répartissez les services en services client et serveur. Les services serveur doivent être définis pour tous les services que l'ordinateur fournit aux autres hôtes.

Tableau 11.1 : Exemple de cartographie du trafic réseau

Service

Protocole

Port source

Port cible

Adresse source

Adresse destination

Action

Miroir

Serveur HTTP

TCP

TOUS

80

TOUS

MOI

AUTORISER

OUI

Serveur HTTPS

TCP

TOUS

443

TOUS

MOI

AUTORISER

OUI

Client DNS

TCP

TOUS

53

MOI

DNS

AUTORISER

OUI

Bloquer tout

TOUS

TOUS

TOUS

TOUS

TOUS

BLOQUER

OUI

Dans cet exemple de cartographie du trafic, le serveur Web fournit les services HTTP et HTTPS aux ordinateurs à partir de n'importe quelle adresse IP source, afin que le trafic acceptable soit autorisé. Le service IPSec interprète la destination MOI afin de créer un filtre pour chacune des adresses IP sur l'ordinateur. Chacun de ces filtres est mis en miroir pour permettre au trafic de retourner à l'ordinateur d'où il provient. Cette approche signifie que la règle du serveur HTTP autorise le trafic provenant de n'importe quel hôte présent sur n'importe quel port source à se connecter au port 80 du serveur IIS. Le miroir de cette règle autorise le trafic TCP provenant du port 80 du serveur IIS à accéder à n'importe quel port de tous les hôtes.

Un service client peut prendre la forme de tout service effectué par l'ordinateur, dans lequel les stratégies utilisent un autre hôte. Comme dans l'exemple de cartographie du trafic, le serveur peut nécessiter les services client DNS pour la recherche de noms pour une des applications Web. Dans cet exemple, un filtre a été créé pour autoriser le trafic vers et depuis le ou les serveurs DNS. Windows Server 2003 présente des améliorations de stratégie par rapport à Windows 2000 Server pour ce type de configuration, afin d'autoriser le trafic vers le serveur DNS et les serveurs d'infrastructure. Dans Windows 2000, la stratégie IPSec doit contenir chacune des adresses IP du serveur DNS dans la stratégie. Dans Windows Server 2003, la stratégie peut utiliser le nom logique DNS, qui sera développé dans un filtre pour chaque adresse IP du serveur DNS basée sur la configuration IP locale du serveur.

Remarque : Les stratégies IPSec qui utilisent les fonctionnalités de Windows Server 2003 comme celle-ci ne doivent pas être attribuées aux ordinateurs Windows 2000 ou Windows XP.

Le filtre de blocage en miroir de Toute adresse IP à Mon adresse IP bloque tout autre trafic IP monodiffusion en provenance ou à destination d'une adresse IP de l'ordinateur. Ce filtre est plus général que les filtres spécifiques au port et au protocole définis pour DNS, HTTP et HTTPS. Étant donné que les exemptions par défaut ont été supprimées pour Windows Server 2003, ce filtre sera adéquat et bloquera les paquets sortants multidiffusion et diffusion, dans la mesure où Mon adresse IP est l'IP source et l'adresse de destination correspond à Toute adresse IP. Retenez cependant que ce filtre ne reconnaît pas le trafic entrant multidiffusion et à diffusion générale. L'adresse source devrait être Toute adresse IP, mais l'adresse de destination d'un paquet multidiffusion ou diffusion n'est pas une adresse IP spécifique sur l'ordinateur, mais une adresse IP multidiffusion ou diffusion. Par conséquent, cette règle ne bloquera pas le trafic entrant multidiffusion ou diffusion sur Windows Server 2003 La définition de ce filtre est également prise en charge par Windows 2000 et Windows XP. Toutefois, il correspond uniquement au trafic IP monodiffusion. Ces plates-formes n'ont pas été conçues pour adapter les paquets multidiffusion et diffusion aux filtres IPSec. Par conséquent, les paquets sortants et entrants multidiffusion et diffusion seront autorisés même si ce filtre est appliqué aux ordinateurs exécutant Windows 2000 et Windows XP.

La dernière règle, Bloquer tout, illustre une autre amélioration du filtrage pour Windows Server 2003. Cette règle n'est pas prise en charge par Windows 2000, ni Windows XP. Cette règle bloque le trafic entrant et sortant multidiffusion et diffusion, ainsi que tous les autres trafics monodiffusion ne correspondant pas à un filtre plus spécifique. Si vous utilisez cette règle, la précédente règle « Toute IP vers Moi » n'est pas nécessaire.

Il est important de noter que si cette stratégie était appliquée, l'ordinateur ne pourrait pas communiquer avec son serveur DHCP afin de renouveler l'attribution, aux contrôleurs de domaines, aux serveurs WINS, aux sites de révocation de certificats ou aux stations de contrôle du serveur. De plus, cette stratégie n'autorise pas la gestion à distance par des administrateurs qui utilisent des composants logiciels enfichables MMC basés sur RPC ou une connexion client Bureau à distance. Sachez également que si le serveur IIS de l'exemple disposait de deux cartes d'interface réseau (une pour Internet et une pour l'accès interne), tout le trafic concernant les deux interfaces serait filtré de la même manière. Vous devez donc personnaliser significativement cette stratégie pour l'adapter aux environnements de production. Le trafic réseau doit être filtré différemment pour les adresses IP internes ou le sous-réseau. Les règles de filtrage utilisées pour exiger une gestion à distance chiffrée IPSec à partir de stations de gestion spécifiques doivent également être utilisées à chaque fois que cela est possible afin d'empêcher les autres serveurs atteints d'accéder aux serveurs via l'interface interne ou d'intercepter le trafic réseau de la session d'administration pour des attaques hors connexion.

Si un service client ne doit pas être limité aux connexions avec un serveur de destination donné ou à un nombre restreint de serveurs de destination, le niveau de sécurité qu'offrent les filtres IPSec peut être considérablement réduit. Dans l'exemple de cartographie du trafic réseau suivant, une règle a été ajoutée pour permettre à un administrateur d'utiliser un navigateur Web pour accéder à n'importe quel site Internet afin de rechercher des informations d'aide et télécharger des correctifs. Cette capacité nécessite un filtre statique entrant en miroir pour le trafic du port 80 de destination TCP.

Tableau 11.2 : Exemple de cartographie du trafic réseau permettant une navigation Web sortante

Service

Protocole

Port source

Port cible

Adresse source

Adresse destination

Action

Miroir

ICMP entrant pour PMTU TCP

ICMP

TOUS

TOUS

TOUS

MOI

AUTORISER

NON

HTTP Serveur IIS entrant:80

TCP

TOUS

80

TOUS

MOI

AUTORISER

OUI

Serveur IIS sortant FTP:21

TCP

TOUS

21

TOUS

MOI

AUTORISER

OUI

Terminal Server entrant

TCP

TOUS

3 389

TOUS

MOI

AUTORISER

OUI

Tout le trafic Moi vers contrôleurs de domaine

TOUS

TOUS

TOUS

MOI

Nom de domaine

AUTORISER

OUI

UDP/TCP DNS sortant

UDP

TOUS

53

MOI

DNS

AUTORISER

OUI

UDP/TCP DNS sortant

TCP

TOUS

53

MOI

DNS

AUTORISER

OUI

WINS sortant

UDP

137

137

MOI

WINS

AUTORISER

OUI

DHCP sortant

UDP

68

67

MOI

DHCP

AUTORISER

OUI

HTTP:80 sortant

TCP

TOUS

80

MOI

TOUS

AUTORISER

OUI

Bloquer tout

TOUS

TOUS

TOUS

TOUS

TOUS

BLOQUER

OUI

Bien que cet exemple de cartographie du trafic semble correctement configuré, la stratégie tout entière n'assure plus aucune protection contre un attaquant souhaitant établir une connexion entrante à partir de Toute adresse IP via le port source TCP 80. Cet attaquant pourrait accéder à n'importe quel port TCP ouvert par l'intermédiaire du filtre d'autorisation entrant et la réponse peut revenir par l'intermédiaire du filtre d'autorisation sortant vers le port de destination TCP 80.

Vous pouvez appliquer l'une des solutions suivantes pour bloquer une attaque entrante :

  • utiliser des règles de filtrage IPSec supplémentaires pour empêcher un pirate d'utiliser le port 80 afin d'accéder aux ports ouverts ;

  • utiliser un pare-feu ou un routeur de filtrage frontal et dynamique pour bloquer le trafic entrant provenant du port 80 source sauf s'il correspond à une connexion sortante.

  • Outre cette stratégie IPSec, configurez le pare-feu Windows sur la carte réseau externe du serveur pour permettre le filtrage dynamique de tout le trafic sortant autorisé par les filtres IPSec. Étant donné que le pare-feu Windows est situé au-dessus d'IPSec, il doit également être configuré pour autoriser les ports TCP 80 et 443 entrants (bien qu'il s'agisse de la configuration par défaut).

L'exemple de cartographie du trafic du tableau suivant utilise des filtres IPSec supplémentaires pour bloquer toute tentative d'accès à des ports ouverts à partir du port 80. Tout d'abord, la commande Netstat –ano est utilisée pour déterminer les ports TCP devant être ouverts sur le serveur auquel le pirate pourrait se connecter. La sortie de cette commande est similaire à l'élément suivant :

            C:\Documents and Settings\testuser.domain.000>netstat -ano
            Active Connections

            Proto  Local Address       Foreign Address     State         PID
            TCP    0.0.0.0:135         0.0.0.0:0           LISTENING     740
            TCP    0.0.0.0:445         0.0.0.0:0           LISTENING     4
            TCP    0.0.0.0:1025        0.0.0.0:0           LISTENING     884
            TCP    0.0.0.0:1046        0.0.0.0:0           LISTENING     508
            TCP    192.168.0.5:139     0.0.0.0:0           LISTENING     4
            UDP    0.0.0.0:445         *:*                               4
            UDP    0.0.0.0:500         *:*                               508
            UDP    0.0.0.0:1026        *:*                               816
            UDP    0.0.0.0:1029        *:*                               508
            UDP    0.0.0.0:1051        *:*                               452
            UDP    0.0.0.0:4500        *:*                               508
            UDP    127.0.0.1:123       *:*                               884
            UDP    192.168.0.5:123     *:*                               884
            UDP    192.168.0.5:137     *:*                               4
            UDP    192.168.0.5:138     *:*                               4

La règle est alors définie afin de bloquer l'attaque spécifique provenant du port source TCP 25 et lancée sur chaque port TCP ouvert, conformément au tableau suivant :

Tableau 11.3 : Exemple révisé de cartographie du trafic réseau permettant une navigation Web sortante

Service

Protocole

Port source

Port cible

Adresse source

Adresse destination

Action

Miroir

ICMP entrant pour PMTU TCP

ICMP

TOUS

TOUS

TOUS

MOI

AUTORISER

NON

HTTP Serveur IIS entrant:80

TCP

TOUS

80

TOUS

MOI

AUTORISER

OUI

Serveur IIS sortant FTP:21

TCP

TOUS

21

TOUS

MOI

AUTORISER

OUI

Terminal Server entrant

TCP

TOUS

3 389

TOUS

MOI

AUTORISER

OUI

Tout le trafic Moi vers contrôleurs de domaine

TOUS

TOUS

TOUS

MOI

Nom de domaine

AUTORISER

OUI

UDP/TCP DNS sortant

UDP

TOUS

53

MOI

DNS

AUTORISER

OUI

UDP/TCP DNS sortant

TCP

TOUS

53

MOI

DNS

AUTORISER

OUI

WINS sortant

UDP

137

137

MOI

WINS

AUTORISER

OUI

DHCP sortant

UDP

68

67

MOI

DHCP

AUTORISER

OUI

HTTP:80 sortant

TCP

TOUS

80

MOI

TOUS

AUTORISER

OUI

Minimisation à partir d'une attaque source 80 entrante

TCP

80

135

TOUS

MOI

BLOQUER

NON

Minimisation à partir d'une attaque source 80 entrante

TCP

80

139

TOUS

MOI

BLOQUER

NON

Minimisation à partir d'une attaque source 80 entrante

TCP

80

445

TOUS

MOI

BLOQUER

NON

Minimisation à partir d'une attaque source 80 entrante

TCP

80

1025

TOUS

MOI

BLOQUER

NON

Minimisation à partir d'une attaque source 80 entrante

TCP

80

1046

TOUS

MOI

BLOQUER

NON

Bloquer tout

TOUS

TOUS

TOUS

TOUS

TOUS

BLOQUER

OUI

Cet exemple démontre comment créer des filtres unilatéraux pour bloquer le trafic avec un port source 80 vers des ports actifs de l'ordinateur, ce qui bloquerait une attaque entrante. Il empêche la possibilité d'usurpation d'un port source 80 pour se connecter aux ports requis par RPC, NetBT et SMB (CIFS).

Vous pouvez appliquer les stratégies d'IPSec de plusieurs façons :

  • Appliquez-les sur un ordinateur individuel.

  • Associez-les à une UO ou à un domaine à l'aide d'une stratégie de groupe.

  • Ecrivez un script pour la commande IPSec NETSH et appliquez-le ensuite sur les ordinateurs sélectionnés.

Les stratégies IPSec peuvent être distribuées en fonction de la stratégie de groupe. Cependant, lorsque les stratégies IPSec doivent être adaptées à des ordinateurs spécifiques, il peut être préférable d'utiliser les stratégies locales. Vous pouvez également combiner une stratégie locale ou basée sur un domaine à une stratégie IPSec NETSH persistante pouvant être plus facile à gérer. En particulier, NETSH doit être utilisé pour définir une stratégie persistante pouvant assurer la sécurité lors du démarrage de l'ordinateur. Pour des informations plus détaillées, consultez la section « Assigning Domain-based, OU-Level, and Local IPSec Policies » du chapitre 6, « Deploying IPSec » qui figure dans le Kit de déploiement de Windows Server 2003 : Deploying Network Services.

Négociation de la protection IPSec pour le trafic

L'intégration du protocole IKE au filtrage IPSec autorise la négociation automatique basée sur les stratégies de la protection cryptographique IPSec pour le trafic IP monodiffusion correspondant aux filtres IPSec. Les paquets IPSec protégés peuvent utiliser le format AH ou le format ESP avec les options de sécurité définies dans la configuration de la stratégie. L'utilisation des stratégies IPSec pour négocier le transport IPSec sécurisé des applications et protocoles de niveau supérieur présente les avantages suivants :

  • Une protection approfondie contre les attaques réseau. IPSec est un protocole de sécurité récent et éprouvé conçu par l'IETF (Internet Engineering Task Force). Il vous permet d'ajouter un niveau de protection élevé à toutes les communications IP monodiffusion d'un niveau inférieur, afin d'améliorer la sécurité relative à l'application Ainsi, IPSec protège contre les vulnérabilités de la sécurité des protocoles de niveau supérieur et peut renforcer significativement la sécurité des communications. Par exemple, le protocole de partage de fichiers SMB est fréquemment utilisé pour la réplication du service d'annuaire Active Directory®, le transfert de fichiers, l'impression et le téléchargement des stratégies de groupes. Cependant, il ne préserve pas la confidentialité. L'observateur réseau passif peut visualiser toutes les données transmises dans SMB. SMB n'offre pas la signature numérique, même si dans certains cas cette requête est impossible parce qu'un seul paramètre affecte tous les chemins de communication SMB. Vous pouvez appliquer IPSec pour sécuriser un chemin réseau spécifique ou un ensemble de chemins. Deux problèmes de sécurité liés à SMB ont été identifiés dans Windows 2000 et Windows XP. Bien que des correctifs réglant ces problèmes de sécurité soient maintenant disponibles chez Microsoft, vous pouvez renforcer la sécurité en utilisant IPSec comme premier niveau de protection contre les attaques sur SMB ou sur les autres protocoles. Pour plus d'informations sur les deux vulnérabilités de sécurité SMB identifiées et les correctifs pris en charge pour Windows 2000 et Windows XP, consultez les articles de la Base de Connaissances Microsoft suivants :

  • Une authentification et un cryptage pour hôte pour tout le trafic entre deux ou plusieurs ordinateurs permettent au propriétaire administratif des données d'en garder le contrôle total lorsqu'elles voyagent sur le réseau. Les données du trafic réseau contiennent des informations vitales qui appartiennent à leurs propriétaires. Le vol de ces informations pendant qu'elles circulent dans le réseau pourrait entraîner des sinistres affectant les activités ou le fonctionnement de l'entreprise. Si les relations de confiance professionnelles et juridiques assurant la sécurité et l'intégrité du chemin réseau ne sont pas parfaitement appliquées ou sont compromises, les communications cryptées à l'aide d'IPSec restent sécurisées.

  • Parcours de pare-feu simple et sécurisé. Les pare-feu interprètent les nombreux protocoles qui sont utilisés dans les communications entre contrôleurs de domaine, serveurs ou entre serveurs et clients, uniquement comme du trafic IPSec au format ESP (protocole 50) ou au format AH (protocole 51). Les pare-feu peuvent être configurés pour n'autoriser que le trafic relatif à ces protocoles (ainsi que le trafic IKE), tandis que les protocoles sont renforcés pour résister aux attaques.

  • IPSec qui utilise l'algorithme de cryptage 3DES et l'algorithme d'intégrité SHA1 est certifié par le Common Criteria et FIPS 140-1. De nombreuses institutions gouvernementales, militaires, financières et de santé doivent nécessairement utiliser les algorithmes certifiés par le Common Criteria ou FIPS 140-1 pour sécuriser leur trafic. L'algorithme de chiffrement de flux RC4 est une option par défaut permettant de chiffrer le trafic sur la plupart des protocoles de Windows, tels que RPC, le protocole d'authentification Kerberos et LDAP (Lightweight Directory Access Protocol). RC4 ne fait pas partie des algorithmes certifiés par Common Criteria ou FIPS 140-1.

  • En tant que solution Windows logicielle, IPSec est plus rentable pour la sécurisation des communications hôte à hôte qu'une solution matérielle. Les solutions de sécurisation matérielles, telles qu'un réseau privé (VPN) ou une ligne allouée privée, peuvent se révéler plus coûteuses que l'utilisation de Windows IPSec.

  • IPSec permet de réduire l'utilisation du processeur par rapport à des mesures de sécurité spécifiques aux protocoles, comme la signature SMB. Les cartes réseau qui traitent les communications cryptées IPSec accélèrent les opérations cryptographiques utilisées pour sécuriser les paquets IPSec, ce qui réduit les coûts de performance du cryptage. En conséquence, les connexions TCP/IP sécurisées à l'aide d'IPSec peuvent atteindre le même débit que les connexions TCP/IP non sécurisées par IPSec, même si ces cartes sont susceptibles d'entraîner des coûts matériels supplémentaires. S'il est impossible d'utiliser ces cartes, le cryptage IPSec augmente alors la charge du processeur sur un contrôleur du domaine. Cette charge accrue peut éventuellement nécessiter l'augmentation de la capacité en processeurs, selon le volume du trafic réseau et les processeurs disponibles. Vous devrez effectuer des tests de performance pour évaluer l'impact sur les contrôleurs de domaine dans des scénarios spécifiques. Pour plus d'informations sur les avantages des cartes matérielles IPSec de réduction de charge, consultez « Intel PRO/100S Network Adapter, IPSec Offload Performance and Comparison » à l'adresse http://www.lionbridge.com/lionbridge/en-US/services/outsourced-testing/competitive-analysis/Intel.htm.

Impact potentiel

IPSec est un outil que vous pouvez utiliser pour renforcer un serveur contre les attaques réseau. Il ne doit pas être considéré comme l'unique outil ou une solution complète. Le filtrage IPSec n'a pas été conçu pour exécuter les fonctions d'un pare-feu de périmètre complet ou de filtres de routeur. Il est recommandé uniquement pour les scénarios simples de filtrage de paquets afin de renforcer les clients et les serveurs là où les filtres statiques peuvent être efficaces. En outre, le filtrage IPSec a été conçu pour une stratégie basée sur les répertoires, qui doit s'appliquer à de nombreux ordinateurs. Le composant logiciel enfichable MMC Gestion de stratégie IPSec ne peut donc pas, lors de la configuration, fournir d'informations détaillées sur la façon d'appliquer une stratégie à un ordinateur spécifique. Les limites du filtrage IPSec incluent les points suivants :

  • Les filtres IPSec ne peuvent pas être appliqués pour une application spécifique. Ils peuvent être définis uniquement pour les protocoles et les ports utilisés par l'application.

  • Les filtres IPSec sont statiques. Ils ne permettent pas un filtrage « dynamique » du trafic sortant. Pour autoriser le trafic réseau sortant, il faut en général un filtre d'autorisation statique entrant et sortant. Par conséquent, IPSec ne peut pas empêcher un attaquant d'accéder à n'importe quel port ouvert à l'aide du filtre d'autorisation statique entrant. Par conséquent, les filtres d'autorisation sortants doivent être spécifiques uniquement à l'adresse IP ou la plage requise.

  • Les filtres IPSec n'identifient pas les différents types de messages ICMP.

  • Ils n'examinent pas le contenu des paquets pour y détecter des intrusions.

  • Les filtres d'IPSec peuvent se superposer, mais ne peuvent pas être triés manuellement. Le service IPSec calcule en interne une pondération pouvant permettre un tri automatique des filtres. La partie des adresses du filtre a la priorité, puis vient le protocole et enfin les ports source et cible.

  • Les filtres IPSec ne sont pas spécifiques à l'interface. Ils peuvent être configurés pour être spécifiques à une adresse IP, mais tout le trafic sur chaque interface sera comparé à la liste de filtres.

  • Les filtres IPSec ne peuvent pas être explicitement configurés comme entrants ou sortants. La direction entrante ou sortante est automatiquement déterminée en fonction des adresses spécifiées dans le filtre. Dans certains cas, les filtres entrants et sortants sont automatiquement générés.

  • La stratégie IPSec ne prend pas en charge les filtres dupliqués.

  • Bien que Windows Server 2003 ait considérablement amélioré les performances du filtrage IPSec, le filtrage pour hôte peut augmenter la charge du processeur pour les gros volumes de trafic. Vous pouvez obtenir un filtrage du trafic plus rapide avec un routeur ou un pare-feu frontal optimisé.

Le blocage du trafic réseau par le filtrage IPSec (ou un autre périphérique réseau) peut entraîner un comportement anormal des applications et l'apparition de messages d'événement. Le filtrage IPSec ne fournit pas un journal du trafic entrant et sortant rejeté facile à lire. La capture du trafic réseau par le Moniteur réseau (Netmon) ne permet pas de visualiser le trafic sortant bloqué. Bien que Netmon puisse visualiser le trafic entrant bloqué, le fichier de capture ne fournit aucune indication quant au rejet d'un paquet particulier. L'efficacité des diagnostics dépend de la connaissance du comportement normal des applications, des évènements et des flux du trafic réseau lorsque la stratégie IPSec n'est pas attribuée.

Par ailleurs, une bonne conception des filtres IPSec pour le trafic des applications peut dépendre de l'analyse détaillée des flux du trafic réseau, afin de comprendre comment l'application utilise le réseau. Par exemple, le protocole SMB utilise le port TCP 139 pour le transfert des fichiers, le partage des fichiers et de l'impression. Si IPSec bloque ce port, SMB peut également utiliser le port TCP 445 Autre exemple : lorsqu'une application nécessite plusieurs flux de trafic réseau vers des destinations différentes. En principe, SMB et les autres protocoles authentifient l'utilisateur, ce qui peut amener l'ordinateur à localiser et à échanger de manière transparente le trafic Kerberos avec le contrôleur du domaine. Le protocole Kerberos utilise DNS UDP 53 ou TCP 53 pour trouver une liste des adresses IP du contrôleur de domaine, puis LDAP UDP 389, le port UDP et TCP 88 éventuellement vers des adresses IP du contrôleur de domaine. Par conséquent, le blocage d'un paquet à destination du contrôleur de domaine peut entraîner un échec d'impression. Certains protocoles, tels que RPC, utilisent une grande variété de ports TCP qui sont déterminés dynamiquement au démarrage d'un ordinateur ou lors de l'exécution d'une application. Cela signifie que les applications RPC ne peuvent pas être contrôlées efficacement par les filtres statiques sur les ports, sauf lorsque l'application RPC fournit la configuration exigeant l'utilisation d'un port statique.

Dans Windows 2000 et Windows XP, les exemptions par défaut des filtres qui sont spécifiés dans la configuration de la stratégie ont été conçues pour les types de trafic réseau IP qui ne peuvent pas être protégés avec IKE (paquets IP multidiffusion et diffusion), qui doivent être exemptés de qualité de service (QoS) à fournir au trafic IPSec (protocole RSVP) et qui doivent être requis par le système IPSec pour fonctionner (IKE et le protocole Kerberos en tant que méthode d'authentification IKE). Alors que la clé de registre a été fournie pour les supprimer, ces exemptions n'étaient pas souvent désactivées lorsque les filtres IPSec étaient utilisés pour autoriser et bloquer les scénarios de pare-feu. Par conséquent, Windows Server 2003 ne fournit qu'une exemption pour le trafic IKE. Microsoft recommande la suppression des exemptions par défaut pour tous les scénarios IPSec utilisant Windows 2000 et Windows XP. Pour plus d'informations sur les exemptions par défaut, reportez-vous à l'article de la Base de Connaissances Microsoft « LIPSec Default Exemptions Can Be Used to Bypass IPSec Protection in Some Scenarios » à l'adresse https://support.microsoft.com/?kbid=811832 et à l'article de la Base de connaissances Microsoft « IPSec default exemptions are removed in Windows Server 2003 » à l'adresse https://support.microsoft.com/?kbid=810207.

Lorsqu'un ordinateur exécutant Windows 2000 est connecté à Internet, un filtre d'autorisation sortant en miroir (comme pour le port 80 décrit précédemment dans ce chapitre) permet à un attaquant d'accéder à n'importe quel port TCP ouvert sur le serveur à partir d'Internet par le biais du port source. Ainsi, une erreur dans la configuration IPSec peut entraîner une perte de sécurité. Vous devez tester les configurations pour vérifier qu'elles fournissent la sécurité et la protection prévues contre les attaques.

Une défaillance de sécurité permettant à un attaquant d'obtenir un accès administrateur local ou système local pourrait lui permettre de désactiver ou de modifier la stratégie IPSec.

Dans Windows 2000, IPSec ne permet pas un filtrage complet lors du démarrage de l'ordinateur. Il existe une petite plage horaire pendant laquelle la pile TCP/IP est réactive. Une attaque automatisée peut potentiellement accéder aux ports d'application que la stratégie IPSec pourrait bloquer. Dans la plupart des cas, les applications ne peuvent pas démarrer les connexions de traitement avant la mise en place du filtrage IPSec. Pour atteindre le meilleur niveau de sécurité avec le filtrage IPSec, vous devez déconnecter l'ordinateur du réseau lors du redémarrage.

Windows Server 2003 fournit une stratégie de démarrage initial qu'utilise le pilote IPSec lorsqu'il est chargé par TCP/IP au démarrage de l'ordinateur. Lorsque le service IPSec démarre, il s'applique immédiatement à la stratégie persistante. Ensuite, lorsqu'une attribution de stratégie locale ou de domaine peut être déterminée, le service IPSec l'applique en plus de la stratégie persistante. Par conséquent, un script IPSec NETSH qui configure une stratégie persistante par défaut sécurisée (par exemple, en bloquant tout le trafic, sauf celui de gestion) peut fournir une protection complète pendant la transition entre le démarrage et la stratégie IPSec locale ou de domaine. Vous pouvez trouver plus d'informations dans l'aide en ligne de Windows Server 2003 et dans le kit de déploiement.

Cependant, ni Windows 2000, ni Windows Server 2003 ne sont conçus pour vous permettre de configurer les interdépendances entre services au démarrage du service de l'agent de stratégie IPSec. La configuration d'une interdépendance de services ne garantit pas efficacement la mise en place des filtres avant le démarrage du service dépendant.

Windows Server 2003 et Windows XP avec SP2 fournissent le service de pare-feu Windows qui exécute le filtrage dynamique du trafic sortant, ainsi que des contrôles de base de l'accès entrant aux ports et des types de message ICMP. Le pare-feu Windows offre également un journal lisible des paquets entrants et sortant bloqués. Les administrateurs doivent effectuer des recherches sur les capacités du pare-feu Windows pour déterminer s'il est mieux adapté au filtrage du trafic. Le filtrage dynamique fourni par le pare-feu Windows peut être utilisé avec le filtrage IPSec pour prévenir les situations où IPSec doit être configuré pour utiliser des filtres sortants en miroir afin d'autoriser le trafic. Le routeur ou pare-feu frontal doit être utilisé si possible comme première ligne de défense à chaque fois que cela est possible.

Un système de détection d'intrusion pour hôte et d'autres systèmes antivirus sont nécessaires pour détecter les infections et les attaques dans le trafic réseau autorisé et les applications, et éventuellement pour s'en défendre. Un pare-feu tiers périphérique ou pour hôte peut fournir la meilleure solution pour les besoins de filtrage complexes.

Négociation de la protection IPSec pour le trafic

Même si la protection IPSec de bout en bout ne peut pas améliorer la sécurité de façon significative, si vous déployez des communications sécurisées par IPSec sur votre réseau, vous devrez tenir compte de coûts supplémentaires liés à la formation et à l'administration. Des coûts matériels supplémentaires peuvent également être requis si vous devez acheter le matériel IPSec, les cartes réseau de déchargement ou une capacité en processeur accrue. Par conséquent, avant de déployer IPSec pour tout scénario spécifique, vous devez absolument prendre en compte et définir les menaces potentielles auxquels IPSec doit faire face, ainsi que vos besoins en matière de sécurité, les coûts du déploiement IPSec et les avantages escomptés.

L'implémentation d'IPSec avec le format AH introduit une nouvelle surcharge pour la gestion d'une configuration IPSec client/serveur, ainsi que pour la gestion d'une méthode d'approbation mutuelle entre les ordinateurs clients/serveurs. Si les deux ordinateurs sont toujours dans le même domaine ou dans des domaines approuvés mutuellement, alors la stratégie de groupe peut fournir les paramètres de stratégie IPSec nécessaires et l'authentification Kerberos peut établir l'approbation pour les associations de sécurité IPSec. Si les ordinateurs ne peuvent pas utiliser l'authentification Kerberos, vous pouvez utiliser les certificats des ordinateurs ou une clé d'authentification pré-partagée. Cependant, ce guide ne recommande pas l'utilisation des clés d'authentification pré-partagées puisque la valeur de la clé est stockée sans protection dans la configuration de la stratégie IPSec.

Même si la stratégie IPSec locale ne peut être lue que par les administrateurs qui ont défini la stratégie, tous les ordinateurs du domaine doivent pouvoir accéder à la stratégie stockée dans Active Directory. Il est donc difficile de conserver la confidentialité de la valeur de la clé pré-partagée. Microsoft recommande l'utilisation de certificats numériques lorsque le protocole Kerberos ne peut pas être appliqué pour l'authentification IKE. La stratégie IPSec doit être conçue pour protéger tout le trafic ou pour négocier IPSec uniquement pour les ports TCP ou UDP spécifiques. En principe, la stratégie IPSec côté client doit être configurée avec l'adresse IP statique du serveur. Si vous avez besoin d'IPSec côté serveur, l'accès pourrait être refusé aux ordinateurs clients n'ayant pas une configuration compatible de la stratégie IPSec et une méthode d'approbation mutuelle.

Pour plus d'informations sur l'implémentation IPSec de Windows consultez le site Web Windows 2000 IPSec à l'adresse https://technet.microsoft.com/fr-fr/library/Bb742429.aspx.

Configuration du pare-feu Windows

Un pare-feu Internet peut aider à empêcher les accès non autorisés à votre ordinateur via Internet. Windows XP avec SP2 et Windows Server 2003 avec SP1 incluent le pare-feu Windows, un pare-feu incorporé capable de fournir à bon nombre d'entreprises une couche de protection supplémentaire contre les attaques réseau, telles que les vers et le refus de service.

  1. Cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Cliquez sur Pare-feu Windows.    

  3. Cliquez sur le bouton radio Activé (recommandé).

  4. Si nécessaire, cliquez sur l'onglet Exceptions et configurez des exceptions pour les protocoles que vous souhaitez autoriser via le pare-feu.

  5. Cliquez sur OK pour activer le pare-feu Windows.

Le pare-feu Windows ne dispose pas du jeu conséquent de fonctionnalités fourni par nombre de produits tiers, car il est pensé uniquement comme une fonctionnalité de prévention contre les intrusions de base. Le pare-feu Windows ne permet pas de collecter des données sur le PC et bloque les tentatives de connexion non sollicitées. Cependant, son filtrage sortant n'est pas complet.

Le pare-feu Windows ajoute plusieurs améliorations essentielles au pare-feu de connexion Internet (ICF), qui avait été inclus dans les versions précédentes de Windows. Plus particulièrement, le pare-feu Windows peut être géré de façon centralisée par la stratégie de groupe. Pour obtenir des informations sur les outils et paramètres de gestion disponibles, consultez le livre blanc « Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 » à l'adresse www.microsoft.com/downloads/details.aspx?
FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en.

Informations complémentaires

Les liens suivants fournissent des informations complémentaires sur les mesures supplémentaires de renforcement de la sécurité pour Windows Server 2003 et Windows XP.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions