Embed Size (px)
DESCRIPTION
tp securité windows
Citation preview
Novembre 2009 - 1 -
Université Mohammed V- Agdal
Faculté des Sciences Département de Mathématiques
et Informatique. Rabat
Licence Professionnelle – Formation Continue
TP n° 1
Sécuriser le système d’exploitation Windows XP Professionnel
Objectifs : L’objectif de ce TP est de vous introduire certains aspects de base de la sécurité d’un système d’exploitation Windows XP. Nous allons nous intéresser à ce qui suit :
- Effectuer un analyse de vulnérabilité de Windows XP : Outil MBSA ; - Partage sécurisé des fichiers ; - Mettre en place une politique de sécurité : découverte et configuration des modèles de sécurité.
Consignes : Le compte-rendu du TP doit être rendu une semaine après la séance du TP en format papier à M. Saïd EL HAJJI et en format électronique à : - M. Saïd EL HAJJI : [email protected] - Mme Ghizlane ORHANOU : [email protected] Le TP doit être travaillé en classe en groupes de 3 ou 4 étudiants maximum. Les groupes du TP doivent rester les mêmes pour les comptes-rendus et pour les autres TPs qui suivent.
Novembre 2009 - 2 -
Préliminaire:
Windows souffre du syndrome WOOB (Wide Open Out of the Box): A l’installation du système d’exploitation, l'utilisateur a tous les dispositifs et possibilités accessibles offertes à lui automatiquement s'il les veut. Malheureusement, les pirates informatiques sur l'Internet ont décidé de tirer profit de cet état de défauts sans surveillance et de l'employer comme base pour leurs attaques et tentatives d'infiltration, de vol d’information, et de prise de main sur les machines non correctement protégées. Ce TP aura donc pour but de vous montrer, dans une première partie, comment peut-on sécuriser une machine avec système d’exploitation Windows XP Professionnel à travers des configurations de base de sécurité. Ensuite, dans une deuxième partie, nous allons introduire comment effectuer des configurations de sécurité plus poussées grâce à l’utilisation des modèles de sécurité.
I- Analyse de vulnérabilité de Windows XP :
Comme introduction à ce TP, nous allons effectuer en premier lieu une analyse de vulnérabilité du système d’exploitation Windows XP installé sur votre machine grâce à l’outil MBSA (Microsoft Baseline Security Analyzer).
Le logiciel gratuit MBSA de Microsoft offre une bonne méthode d’identification des erreurs fréquentes de configuration de la sécurité et surtout les mises à jour manquantes de sécurité au niveau de votre système d’exploitation.
Il n'est pas nécessaire d'être connecté au Net ni que la machine dispose d'une connexion Internet pour l'analyser avec MBSA. Il suffit d’avoir le fichier de signatures de mise à jour Mssecure.cab. Ce fichier n'est pas un fichier de mise à jour de MBSA mais un fichier qui dit au script MBSA quelles sont les mises à jour existantes à ce jour dans les produits surveillés par MBSA.
1. Installer l’outil MBSA ; 2. Une fois l’installation réussie, copiez le fichier Mssecure.cab dans le répertoire d'installation de MBSA ;
3. Lancer une analyse de vulnérabilité en utilisant l’outil MBSA.
Qu’est ce que vous constater ? Expliquer et commenter les résultats obtenus ?
Novembre 2009 - 3 -
II- Partage sécurisé des fichiers – Permission de partage et Permission NTFS :
Windows XP Professionnel permet de partager des dossiers avec les autres ordinateurs du même groupe ou du même réseau. Ces derniers pourront ainsi accéder aux fichiers et dossiers partagés. Deux types de partage sont possibles : le partage simple et le partage avancé.
Le partage de fichiers simple est activé par défaut sur un ordinateur Windows XP s’il n’est pas membre d’un domaine. Avec ce type de partage, n’importe qui sur le réseau peut avoir accès au dossier partagé. Il n'y a aucune permission utilisateur définie, encore moins de mot de passe. Ce type de partage n'est pas recommandé en matière de sécurité.
Le mieux est d'utiliser le partage avancé qui permet de définir des permissions pour chaque utilisateur et de refuser ainsi les utilisateurs non identifiés.
1. Vérifier quel type de partage est activé sur votre poste.
2. Pour ce test, s’assurer que c’est le partage de fichiers simple qui est
activé :
a. Cliquer sur Démarrer, puis Poste de travail ; b. Dans le menu Outils, cliquer sur Options des dossiers, puis sur l’onglet Affichage ;
c. Dans la section Paramètres avancés, s’assurer que la case « Utiliser le partage de fichiers simple » est activée.
d.
3. Partager un dossier avec un autre groupe, et vérifier ce qui se passe.
Qu’est ce que vous constatez ?
4. Désactiver le partage de fichiers simple et partager à nouveau un dossier avec un autre groupe : a. Qu’est ce que vous remarquez ? Quelle est la différence majeure en matière de sécurité entre le premier type de partage et le deuxième.
b. Autoriser un utilisateur à accéder au dossier à partir du réseau ? donner-lui tous les droits dans un premier lieu puis uniquement le droit de lecture sur le contenu du dossier. Tester à chaque fois les droits attribués.
c. Se connecter localement sur la machine en utilisant cet utilisateur (ayant uniquement le droit de lecture sur le dossier), et essayer de modifier le contenu du dossier ? qu’est ce que vous constater ?
Les autorisations que vous venez d’attribuer limitent uniquement les droits d’accès au dossier à partir du réseau, mais localement non.
Novembre 2009 - 4 -
5. Au niveau de la fenêtre de partage ouverte précédemment, aller à l’onglet sécurité : a. Attribuer à l’utilisateur en question uniquement le droit de lecture, se connecter localement avec l’utilisateur et essayer à nouveau de modifier le contenu du dossier comme au niveau du point 4.c. Qu’est que vous remarquez ?
b. Quelle est la différence entre ces autorisations au niveau de l’onglet Sécurité et celles au niveau de l’onglet Partage. Quel nom est donné à l’un ou l’autre groupe de permissions.
6. Comment cacher un dossier partagé sur le réseau de telle sorte qu’il ne soit pas visible parmi les dossiers partagés ?
7. Quel outil permet de voir et gérer tous les fichiers partagés au niveau de votre machine, et quelles sont les sessions de partage ouvertes ?
III- Les modèles de sécurité (Security Templates) :
Nous allons voir dans ce qui suit comment consulter, configurer et analyser une politique de sécurité locale en utilisant divers outils de configuration de la sécurité pour un système d’exploitation Windows XP professionnel.
1. Introduction :
L’ensemble des outils de configuration de la sécurité permet de configurer les catégories de sécurité suivantes :
Catégorie Eléments Configurables
Politiques des comptes (Account Policies)
Mots de passe, verrouillage, et configuration du Kerberos.
Politiques locales (Local Policies)
Audit, droits des utilisateurs, et options de sécurité.
Rapport des événements (Event Log)
Paramétrage des rapports d’événements pour le système, les applications et les services de sécurité.
Groupes restreints (Restricted Groups)
Politique concernant l’appartenance à un groupe.
Les services du système (System Services)
Mode de démarrage et contrôle d’accès des différents services du système.
Base des Registres (Registry)
Contrôle d’accès à la base des registres.
Système de fichiers Contrôle d’accès aux dossiers et fichiers.
Il existe une diversité d’outils pour la configuration d’une ou de plusieurs catégories de sécurité. Dans le présent TP, nous allons découvrir l’utilisation des outils suivants :
Novembre 2009 - 5 -
• Le composant “Modèles de Sécurité” (Security Templates snap-in). C’est un outil auquel on accède à partir de la console de gestion de Microsoft Management Console (MMC). Il permet de créer un fichier texte modèle qui contient les paramètres de sécurité pour toutes les catégories de sécurité.
• Le composant “Configuration et Analyse de la sécurité” (Security Configuration and Analysis snap-in). C’est un outil qui permet de configurer ou analyser la sécurité d’un système d’exploitation Windows en se basant sur le contenu d’un modèle de sécurité déjà défini.
• Secedit.exe. C’est une version en mode commande du composant graphique Configuration et Analyse de la sécurité.
2. Création d’un modèle de sécurité personnalisé :
Les modèles de sécurité permettent de créer un fichier texte qui contient des paramètres de sécurité pour toutes les catégories de sécurité supportées. Ces modèles peuvent être utilisés pour configurer ou analyser la sécurité d'un système donné.
2.1. Chargement des modèles de sécurité :
1. Cliquer sur Démarrer>Exécuter puis taper MMC /s et cliquer sur OK. 2. Cliquer sur Fichier, cliquer Ajouter\Supprimer un composant
logiciel enfichable, et cliquer Ajouter. 3. A partir de la liste qui apparaît, choisir Modèles de sécurité. 4. Quels sont les modèles de sécurité qui apparaissent? Quel est leur emplacement au niveau de l’arborescence des fichiers systèmes de Windows ?
5. Quelles sont les catégories de sécurité que couvre chaque modèle ? Expliquer le rôle de chacun des modèles de sécurité existant.
2.2. Modification d’un modèle de sécurité:
Vous pouvez créer votre propre modèle de sécurité en cliquant par la droite au niveau de la console sur le répertoire contenant les modèles (C:\WINNT\security\templates) et choisir Nouveau modèle.
Dans ce qui suit, nous allons procéder à la modification du modèle prédéfini d’une station de travail ou d’un serveur sécurisé (Securews.inf) :
1. Explorer le modèle de sécurité Securews.inf ; 2. Quels sont les principaux paramètres de sécurité qu’il contient ?
Novembre 2009 - 6 -
3. Créer votre propre modèle de sécurité en changeant certains paramètres de la politique de sécurité. (par exemple : Options de Sécurité sous Stratégies Locales)
4. Enregistrer le fichier Securews.inf personnalisé sous le nom MonSecurews.inf.
3. Réalisation d’une analyse de sécurité du système d’exploitation :
On peut analyser la configuration courante d’un système contre une configuration de base à chaque que l’on juge que c’est nécessaire. C’est utile pour plusieurs raisons :
- Pour identifier des trous de sécurité qui existe dans la configuration courante ;
- Pour identifier les déviations d’une politique de sécurité qui doit être imposée au système.
Durant ce test, vous allez analyser la configuration courante de votre système contre celle que vous avez personnalisé dans le paragraphe 3.2.
1. Charger de la même façon décrite pour les modèles de sécurité, l’outil Configuration et Analyse de la sécurité ;
2. Charger le modèle Monsecurews.inf afin de pouvoir faire l’analyse : a. Après un clic droit sur Configuration et Analyse de la
sécurité, cliquer sur Ouvrir la base de données, donner un nom à la base de données à créer ;
b. Choisir MonSecurews.inf comme modèle de sécurité à importer dans la base de données, et cliquer sur Open.
c. Qu’est ce que vous remarquez ? 3. Effectuer l’analyse de votre système d’exploitation :
a. Cliquer par la droite sur Configuration et Analyse de la sécurité, puis choisir Analyser l’ordinateur maintenant.
b. Spécifier le fichier log pour l’opération d’analyse, et lancer l’analyse.
c. Qu’est ce que vous constater? Vérifier les changements que vous aviez effectués par rapport au modèle de sécurité de base.
d. Analyser et commenter les résultats obtenus.
4. Configuration de la sécurité du système :
Vous avez créé un modèle de sécurité personnalisé (MonSecurews.inf). Après, vous avez analysé la configuration courante du système par rapport à ce modèle. Une fois convaincu de ces changements de sécurité, vous pouvez
Novembre 2009 - 7 -
alors mettre en place votre système avec cette nouvelle configuration de sécurité. Suivre les étapes suivantes pour configurer les nouveaux paramètres de sécurité :
1. Cliquer par la droite sur Configuration et Analyse de la sécurité, et choisir Configure l’ordinateur maintenant.
2. A la fin de l’opération, faire les vérifications nécessaires. Qu’est ce que vous constatez ?
5. Vérification de la politique de sécurité locale mise à jour :
Les changements apportés à la configuration de la politique locale sont automatiquement transférés par l’outil de configuration de sécurité et stockés dans la base de données de la politique locale. Vérifier les changements effectués.
![Windows Deployment Services (Postes Windows XP) [Tuto]](https://img.pdfslide.fr/doc/110x75/557200e44979599169a049af/windows-deployment-services-postes-windows-xp-tuto.jpg)
