Upload
roxanne-besnard
View
105
Download
0
Embed Size (px)
Citation preview
Conception de la sécuritépour un réseau Microsoft
Pascal Manni
15/12/2004 Pascal Manni 2
Sommaire
Sécurité PKI Service: DNS Authentifications: Kerberos Données: NTFS Mot de passe Mise à jour Sauvegarde
15/12/2004 Pascal Manni 3
Les principes de la sécurité Séparations des fonctions Privilèges au minima Réduction de la surface d’attaque Diversifications des mécanismes Choisir la solution par défaut la moins risquée Choisir des solutions simples, connues et reconnues Médiation Acceptabilité Confiance par l’audit Mise à jour
15/12/2004 Pascal Manni 4
La sécurité d’information
Authentification Autorisation Confidentialité Intégrité Non répudiation
15/12/2004 Pascal Manni 5
Les applications avec PKI Certificat
• Ordinateur (IPSec)• Autorisations d’accès au fichier (Kerberos)• Transactions inter-machines (Kerberos)• Confidentialité (EFS)• Réplication des AD (SMTP)• Requêtes LDAP (AD)• Utilisateurs (carte à puce)
Permet• Intégrité des données (Signature)• Non répudiation des données (horodatage)
Autorité de Certification• Signature des listes de révocation
15/12/2004 Pascal Manni 6
Analyse de l’existant
Pourquoi sécuriser les données? Catégorisations des données :
• But ?• Intégrité?• Degré de sensibilité?
la schématisation des flux de données Existe-t-il un Mr Sécurité?
15/12/2004 Pascal Manni 7
Un charte de sécurité
Prévention, Détection, Isolation Général et réutilisable Modélisation des menaces Facteur humain Réponse aux incidents (ou aux attaques) Récupération sur incident Durée de vie limitée
15/12/2004 Pascal Manni 8
Vulnérabilités : facteur humain
Partage involontaire de données Mot de passe trop faible Cheval de Troie Réduction de sécurité: productivité / performance Partage des comptes administrateurs Mauvaise assignation de pouvoir Vol de session Récupération de session distante Modification ou suppression de données
15/12/2004 Pascal Manni 9
DNS
Nom machine vers adresse IP
Contrôleurs de domaine
Serveurs Web, Messagerie,…
15/12/2004 Pascal Manni 10
Les attaques sur le DNS
Inventaire Redirection Déni de Service (DoS) Modification de données / usurpation
d’adresse IP Pollution du cache
15/12/2004 Pascal Manni 11
La sécurisation du DNS
DNS Publique (extérieur) Vue différente Zone non visible de l’Internet
local.mon-entreprise.fr Multiplications des serveurs DNS Restriction du transfert de zone (requête AXFR) Crypter les réplications Enregistrements sécurisés dynamiques
15/12/2004 Pascal Manni 12
Les échanges
VPN (2 réseaux)
IPSec (2 machines)
15/12/2004 Pascal Manni 13
KerberosOuverture de sessionOuverture de session
Alice
*******
Ok
Login
Password
Horloge Client
Horloge Serveur
HASH
Local Security Authority
Authentifiant
Kerberos Distribution Center
SID:- Utilisateur- Groupes
Crypter avec : - clef privée de l’ordinateur- mot de passe utilisateur
TGT(ticket de session)
15/12/2004 Pascal Manni 14
Mot de passe
Stratégie de mot de passe• Comprendre et faire comprendre
(charte, formation, …)• Identifier les techniques de contrôle• Facteur humain• Plusieurs stratégies par population d’utilisateurs
Stratégie de verrouillage des comptes? Des accès?
Carte à puce, biométrie,..
15/12/2004 Pascal Manni 15
NTFS
Permissions (groupe) Refuser permission Quota Héritage Possession Audits Crypter les données (EFS)
15/12/2004 Pascal Manni 16
Concevoir une mise à jour
Identifier les changements Ou est l’information? Lister les manières de mettre à jour En choisir une Utiliser SUS ou WUS
15/12/2004 Pascal Manni 17
Plan de sauvegarde Responsable Transport des données Support des données {SAN (Storage Area Networks)} Sécurisation des supports Lieu de stockage sur site et/ou hors site Quoi? (Système, données, …) Type de sauvegarde Planification Procédure de sauvegarde et restauration Audit et vérification Continuité opérationnelle Récupération après désastre Sauvegarde du catalogue de sauvegarde
15/12/2004 Pascal Manni 18
Conclusion
Vaste
Le rôle serveur
Génère du travail
Questions