sécurité windows nt

29/11/2002 Ciefa Poly-informatique

Sécurité Windows NT


IntroductionUn système informatique sûr doit garantir La disponibilité :

Le système doit être disponible à tout moment, aucun déni ou aucune dégradation de service

L ’intégrité des données :L’information est modifiable uniquement par l’action

volontaire d’un sujet autorisé La confidentialité des données :

L’information est tenue secrète et seuls les sujets autorisés peuvent y accéder


Plan du cours La sécurité locale : système de sécurité

de NT

La sécurité distribuée : domaine, groupe, …

Politique de sécurité : permissions et partages

Installation sécurisée d’un serveur NT

Quelques vulnérabilités et conseils


Partie 1 La sécurité locale : système de sécurité de NT






Architecture Sécurité NT (1/2)

Services SystèmeMoniteur de Référencede la Sécurité - SRM

G.ProcessusG.

E/S

Mode Noyau

ModeUtilisateur

LSAAutorité de sécurité

locale

SAMGestionnaire

de comptes desécuritéBD stratégies

de Sécurité

Journald'Audit

BD comptesutilisateurs

Processus d'ouverturede session

Sous-Sytèmede Sécurité

Noyau +Couche Abstraction Matériel (HAL)

G. Mémoirevirtuelle

G.Objets

Appel Procédure Locale

SousSystèmeWin 32


Architecture Sécurité NT (1/2) Local Security Authority (LSA) :

Cœur du sous-système de sécurité Crée les jetons d’accès Gère les règles de sécurité Contrôle les règles d’audit et consigne les messages d’audit (journal)

Security Account Manager (SAM) : En charge de la maintenance de la Security Account Database (SAD)

qui contient les infos des comptes des utilisateurs et des groupes Lui permet de valider les connexions en fournissant un identificateur

de sécurité (SID) Security Reference Monitor (SRM) :

Vérifie les droits d’accès aux différents objets (fichiers, imprimantes, répertoires…)

Utilise pour cela les listes de contrôle d’accès (ACL) qui sont associées à chaque objet


Identification et authentification NT

LSAAutorité de sécurité locale

SAMGestionnaire

de comptes desécurité

Processus d'ouverturede session

Ouverture de Session

3. Vérificationsans la base de

données

1. Ouverture deSession

2. Moduled'Authentification

5. Création d'unjeton d'accès

6. Création dusujet

4. Retour del'indentifiant desécurité (SID)

BD comptesutilisateurs


Le Contrôle d’Accès Discrétionnaire Domaine de protection :

Définition des sujets ayant accès aux objets Droit d’accès des processus

Domaine de protection restreint Aucune interaction entre les processus Les objets appartiennent chacun à un utilisateur spécifique Les propriétaires contrôlent la liste des utilisateurs habilités à accéder à leurs objets

Sécurité individuelle ou de groupe

Différents types de permissions : Pour autoriser ou interdire un type d’accès précis à l’objet


Les jetons d’accès (access token) Lors de l’initialisation d’une session, un jeton est construit

puis assigné à l’utilisateur. Tout processus lancé sous le contrôle de l’utilisateur recevra une copie de ce jeton

Chaque jeton contient des informations concernant un utilisateur afin de pouvoir retrouver ses droits dans la SAD

Les SID (identificateur de sécurité) de l’utilisateur et du propriétaire Le SID du groupe du propriétaire du jeton Les SID des groupes de rattachement Les privilèges associés au jeton Une ACL par défaut associée à tout fichier créé …


Listes de Contrôle d’Accès (ACL)

ACL discrétionnaire : Contrôlé par le propriétaire d’un objet Spécifie les accès des utilisateurs ou des groupes du système sur l’objet En l’absence d’ACL, l’objet est accessible par tous

ACL système : Contrôlé par l’administrateur du système Association d’une information de sécurité de niveau système sur l’objet

Un ACL est constitué de plusieurs entrées ACE ACE discrétionnaire : access_allowed ou access_denied ACE système : system_audit ou system_alarm Granularité des actions avec les “Access Mask”

ACL SIZE [16] RESERVED [8] REVISION [8]RESERVED [16] ACE COUNT [16]

TABLEAU D’ACE [32]


Validation de l’accès Le jeton d’accès est comparé successivement à chaque ACE contenu

dans l’ACL de l’objet sur lequel un accès est demandé, jusqu’à ce que : L’accès soit explicitement refusé Le cumul des droits obtenus de chaque ACE autorise l’accès La fin de la liste soit atteinte

Les ACE de refus doivent donc être de préférence en tête de liste => les outils d’administration garantissent cet ordonnancement

Les droits obtenus des ACE sont cumulatifs Objet 0 :

ACE1 : Read for group G1 ACE2 : Write for user U1

Conséquence : si accédant U1 appartient à G1 : U1 : Read et Write sur objet O


Concept de domaine Entité administrative

Administration centralisée offrant un niveau de sécurité uniforme

Gestion des utilisateurs du domaine Gestion des droits d’accès dans le domaine Gestion des services de n’importe quel système du domaine Centralisation des environnements et profils utilisateurs Centralisation des audits …

Séparation des fonctions Serveur d’authentification Autorisation : locale au poste ou au serveur d’application

Sûreté de fonctionnement Serveurs de secours Mécanisme de réplication / disponibilité des bases


Les ressources du domaine NT Le poste / le serveur

Authentification : Locale Dans le domaine d’accueil

Rôles : Le poste peut être autonome et autorise les connexions locales Le serveur est associé à un domaine et n’autorise pas les connexions locales

Le contrôleur du domaine Authentification

Dans le domaine Délégation dans un domaine tiers dit « de confiance »

2 rôles : Contrôleur Primaire ou PDC (unique à un instant donné) Contrôleur Secondaire ou SDC (multiples instances autorisées)

Sûreté de fonctionnement : Réplication régulière de la totalité de la base Spécialisation possible du SDC en « serveur cache »


Les utilisateurs Local User

=> Compte défini sur un poste NT Base d’annuaire locale des comptes utilisateurs et des groupes locaux Dispose d’un environnement local

Répertoire d’accueil Variables d’environnement Profil et configuration

Accès aux ressources locales

Domain User=> Compte défini sur le contrôleur de domaine NT

Base d’annuaire centrale des comptes utilisateurs et des groupes domaine Dispose d’un environnement centralisé

Répertoire d’accueil Variables d’environnement Profil et configuration

Accès aux ressources centrales


L’authentification=> Préalable à l’ouverture d’une session

Directe Interface graphique activée par la séquence SAS (Secure Attention Sequence) Compte local :

Traité par le processus WinLogon Restriction aux ressources du poste Forme : USER

Compte de domaine : Déléguée au processus distant NetLogon Restriction aux ressources du domaine Forme : \\DOMAINE\USER

Distante Commande « Net Use »

Déléguée au processus distant NetLogon Restriction aux ressources du domaine Forme : Identifiant / Mot de passe


Les comptes : caractéristiques Utilisateur

Nom, Prénom Identifiant d’ouverture de la session Authentifiant : Mot de passe, Politique de gestion du cycle de vie

Propriétés du compte Accès : horaire, durée de vie, restrictions / postes autorisés Authentification : gestion du mot de passe Délégation : approuvée ou refusée Chiffrement : algorithme DES

Profil du compte Localisation

Local Errant personnel ou obligatoire


Les groupes (1/2) Regroupe des utilisateurs qui partagent des mêmes droits sur le

domaine (ex : les accès aux fichiers) Permet de simplifier le paramétrage des comptes Possibilité d’appartenir à différents groupes, dans ce cas les

permissions sont cumulatives sauf pour « aucune permission » Chaque groupe est identifié de manière unique par un SID contenu

dans le jeton affecté à chaque utilisateur

Il existe des groupes locaux et globaux LOCAUX : servent à gérer les droits des utilisateurs dans leur domaine

d’origine ou sur l’ordinateur NT où le compte a été créé. Ils peuvent comporter d’autres groupes locaux/globaux

GLOBAUX : servent à organiser des groupes d’utilisateurs du même domaine que l’on peut exporter vers d’autres domaines. Les groupes globaux peuvent être ajoutés aux groupes locaux d’autres domaines.


Les groupes (2/2) « Local »

Entité non exportable => appliquer des permissions Local Group

Contient des utilisateurs définis sur le système Des « domain global groups » de n’importe quel domaine

Ne peut être utilisé en dehors du système => droits restreints au système Domain Local Group

Contient Des utilisateurs définis dans le domaine Des « domain global groups » de n’importe quel domaine

Ne peut être utilisé en dehors de ce domaine => droits restreints au domaine

« Global » Entité exportable => gérer des utilisateurs Domain Global Group

Contient Des utilisateurs définis dans le domaine Des « domain global groups » du domaine

Est utilisable par l’ensemble des domaines partageant un lien de confiance


Les privilèges (ou droits) Les droits s’appliquent à l’ensemble du système (ne sont pas

définis objet par objet), contrairement aux permissions qui s’appliquent aux objets

Droits de base : Accéder à cet ordinateur à partir du réseau Sauvegarder des fichiers et des répertoires Changer l’heure système Gérer les fichiers d’audit et de sécurité (choix des évènements à auditer) Arrêter le système …

Fonctionnalités prédéfinies (liées aux groupes prédéfinis) : Formater le disque dur du serveur (admin) Verrouiller le serveur (tt le monde) Outrepasser le verrouillage du serveur (admin, op de serveur) …


Le partage de fichiers

Mettre à la disposition des utilisateurs du réseau (domaine pour NT) des fichiers stockés sur différents ordinateurs selon leurs permissions

Définition d’un nom de partage par ressource partagée=> chemin réseau : \\ordi\partage ou \\nom ordi\partage

Disponible avec tous les types de partitions reconnues (FAT, NTFS, HTFS) contrairement aux permissions (NTFS seulement)


Gérer les partages Dans propriétés des fichier, onglet « partage », on peut

spécifier pour chaque fichier/répertoire un nom de partage, un commentaire, et les permissions de partage par utilisateur ou groupe

Permissions : ce que les utilisateurs peuvent faire sur les ressources. Elles sont définies dans les ACL par utilisateur. La LSA compare les ACL avec la copie du jeton attaché à tous les programmes lancés par l’utilisateur

Distinction entre permissions de partage (à travers le réseau) et permissions d’accès à partir de l’ordinateur où on est connecté (accès local) => sessions distante /session locale=> 2 ACL différentes / ressource partagée


Permissions de partage Aucun accès : aucune permission (=> Invité) Lire : Afficher le contenu des répertoires

Ouvrir les sous répertoires Afficher les données des fichiers Exécuter les programmes

Modifier : Créer des fichiers et des sous répertoiresModifier des fichiersSupprimer des sous répertoires et fichiers

Contrôle total : Changer de permissions Prendre le statut de propriétaire

Par défaut : accès complet à tout le monde


Permissions des répertoires/fichiers Semblable aux permissions de partage :

Lire/Écrire/Exécuter/Supprimer/Modifier les permissions R/W/X/D/O

Nombreuses combinaisons => permissions standards de NT :Aucun accès / Lire (RX), Modifier (RWXD), Contrôle totalPossibilité de les définir soi même…

Lors de la tentative d’accès, la LSA vérifie l’identité de l’utilisateur et son appartenance aux groupes => cumul des permissions pour obtenir accès

Se gère dans « propriétés » des fichiers, onglet « sécurité » => propre à NTFS !!

Attention : « aucun accès » est une permission qui annule toutes les autres


Le système de fichiers NTFS Permissions permettant le contrôle d’accès aux fichiers et

aux répertoires mais aussi à tous les objets

Permissions sur la Base de Registre

Permissions accordées à des utilisateurs individuels

Permissions d’appartenance à des groupes

Permissions d’héritage des répertoires parents


La protection de la mémoire

Les systèmes d’adressage dynamiques vérifient la validité des adresses virtuelles avant de les traduire en adresses physiques

Protection contre tout programme d’avoir accès au code ou à des données utilisées par un autre programme ou par le système

Chaque processus s’exécute dans son propre espace de mémoire partagée


Audit de sécurité Les évènements survenus sur le système :

Tentatives réussies ou non d’accès aux objets, fichiers Détection d’activité de la part des utilisateurs, de leurs droits Modification des stratégies de sécurité Comptabilité du système Événement de gestion des utilisateurs et des groupes Évènements d’ouverture et de fermeture de session Événement système affectant le système

Les évènements de Gestion de Fichier Les évènements de la Base de Registre NT

=> Outil d’exploitation : Event Viewer


Event Viewer 3 journaux : Système / Applications / Sécurité

Pour chaque événement on dispose de la source qui est le logiciel qui a signalé l’événement la catégorie qui précise la nature de l’événement le nom de l’utilisateur en session qui a déclenché

l’événement le nom de l’ordinateur sur lequel s’est produit l’événement une icône qui représente le type d’évènements

(Informations/Avertissement/Erreur critique(panneau stop)/Auditer succès (clé)/Auditer échec (cadenas)


Installation de Windows (1/3)

Installer une version US : les patches pour la version française arrivent tardivement - quand ils arrivent.

Concernant le mode d'installation du serveur : ni en PDC, ni en BDC, mais en standalone, i.e. installé hors de tout domaine - membre d'un groupe de travail donc : On fait de la sécurisation par hôte.

Concernant le partitionnement : on partitionne en NTFS impérativement toutes les partitions !


Installation de Windows (2/3)

Une partition système, contenant les fichiers "système". => On adoptera d'ailleurs un nom différent de winnt/ pour ce répertoire. "ntsystem" par exemple.

Une partition pour les applications. Une partition pour les données - voire une partition pour

les données de chaque application => exemple : pour un ftp et un serveur web sur une même machine, on créera une partition pour les données du ftp, et une partition pour les données du serveur web.

L'objectif étant d'effectuer un cloisonnement applicatif(détermination des domaines de confiance qu'il s'agit de cloisonner via des contrôles d'accès forts)


Installation de Windows (3/3) Une sécurisation supplémentaire, très utile, consiste à

changer de répertoire l'interpréteur de commande DOS (cmd.exe), puis à changer la variable d'environnement correspondante (liste des variables d'environnement et leurs valeurs : taper "set" sous DOS).

Ainsi, dans le cas du bug Unicode, toute attaque se soldera par un échec, cmd.exe ne se trouvant pas dans le répertoire par défaut "/winnt/system32".

On appelle ça de la sécurité par l'obscurité. Il ne faut pas compter sur ce genre de mesures pour décourager les attaquants expérimentés - et déterminés - cependant ce type de mesures suffit largement à dissuader 99,99% des pirates sévissant sur Internet.


Configuration de base (1/2) Mise en place des ACLs : Appliquer récursivement les droits "Contrôle

Total" pour l'administrateur et le compte système à chaque partition. Ne laisser aucun droit pour les autres groupes ou utilisateurs. Un serveur doit avoir pour seuls comptes : le compte système, le compte administrateur et le compte anonyme IIS, les droits d'accès de ce compte anonyme devant être particulièrement stricts.

Une fois de plus, le principe retenu est celui de la simplicité : si un service ne sert pas, on le désactive impérativement.

=> Un problème est susceptible de se poser : les dépendances entre les services. Consulter la base de registres pour consulter ces dernières, dans HKLM\System\CurrentControlSet\Services.


Configuration de base (2/2) A partir de la console d'administration du serveur IIS, désactiver le site par défaut.

Créer un répertoire sur le disque Données, contenant une page index.html. En faire le nouveau site par défaut.

Dans les propriétés de ce nouveau site, on désactivera tout mapping (association) inutile : .hta, .htr, .idc, .idq, shtml etc. afin de ne laisser *que* l'extension .html. (Chercher dans les propriétés du site). Evidemment, laisser tout type d'extension présent sur le site.

Au final, mettre en lecture seule les répertoires (mais pas leur contenu - ie ne pas appliquer ces ACLs de façon récursive) qui suivent pour l'utilisateur anonyme IIS :

C: C:\le_repertoire_systeme le répertoire racine du site ("inetpub\wwwroot" en général).

La simplicité d'installation du serveur IIS est un *leurre*. Il ne faut en aucun cas négliger le nombre et la *lourdeur* des modifications à opérer pour obtenir une configuration "à peu près statisfaisante" - entendre par là celle qu'offre *de base* un serveur Apache sous Unix.


Base de Registres Concernant la base de registres, de nombreuses clés sont à

modifier. Cela va de la modification futile visant à désactiver le lecteur de disquette ou le lecteur de CD-ROM à des modifications plus subtiles telles que l'interdiction des "null sessions" (le IPC$ qui apparait souvent dans le moniteur réseau de Windows).

Néanmoins, ne PAS installer Netbios un nombre considérable de dangers potentiels sont écartés ...Exemple : on établit une "null session", on récupère le nom de l'administrateur via nbtstat - nom modifié en général, mais une fois de plus il s'agit de sécurité par l'obscurité - puis on fait de la force brute (ou on utilise un dictionnaire) sur son mot de passe en ouvrant des sessions sur le partage de fichiers... les partages par défaut - qui sont activés automatiquement- comme C$, D$ ou PRINTER$ qui est en fait le répertoire système etc.).


Installation sécurisée serveur NT (1/x)

S'assurer que TCP/IP est bien le seul protocole installé. De même, supprimer toute référence à NetBios, IPX, …

Dans les propriétés avancées de TCP/IP, concernant la sécurité : activer les options de filtrage n'autoriser les connexions TCP que sur le port 80 (éventuellement 443, si le

serveur est amené à établir des connexions chiffrées en SSL - et que le port utilisé est le port standard)

ne pas autoriser le protocole UDP (propice aux dénis de service). Pour les protocoles IP, accepter les types 6 (TCP) et éventuellement 1 (ICMP).

liste des services et différents protocoles se trouve dans les fichiers "services" et "protocols" du répertoire : %systemroot%\system32\drivers\etc".


Stratégie de compte Les politiques concernant les mots de passe sont - très - variables. On peut - à titre d'exemple -

appliquer la politique suivante :

Limitation du mot de passe : Expiration : 40 jours Modification : 3 jours Longueur minimale : 8 caractères Historique : 3 mots de passe

Verrouillage du compte au bout de 5 tentatives infructueuses, pendant 30 minutes.

Activer l'option de renforcement des mots de passe (utilisation de passfilt.dll).

Evidemment, un compromis doit être trouvé (ne pas forcer un historique de 30 mots de passe par exemple, avec ces derniers de plus de 14 lettres ...), l'objectif étant de ne pas trouver les mots de passe sur des Post-It collés sur l'écran (ce qui s'est déjà vu)...

Pour renforcer la SAM (Service Account Manager), appliquer syskey (disponible depuis le ServicePack 3, chiffrant avec l'algorithme DES la SAM - clé secrète de 128 bits).


Configuration Administration :

Gestion des versions complexes Des patchs Des versions

Configuration des accès distants Protection complexe

Gestion des versions complexes Pas d’outil natifs de réinitialisation des permissions Aucun support pour aider à définir les permissions système optimales

Permissions par défauts : Incorrectement positionnées

Entrées de la registry Applications complémentaires : Internet Explorer, IIS, …

Incorrectement organisées Absence de réelle standardisation Variants et invariants dans les mêmes répertoires


Architecture (1/2) Administration :

Sid spécifiques Null Sid => faille « Null Session Share »

RPC (Remote Procedure Call) Administratifs Non Secured Named Pipes => prise de contrôle à distance Domaine Browsing => acquisition d’informations

Réseau : Netbios (TCP 139)

Grand fournisseur d’informations privées Réallocation de ports

Possibilité de placer un service en écoute sur un port déjà utilisé (scripts perl …) => détournement d’un quelconque service

Fragilité de la pile TCP/IP Absence de contrôle sur la conformité des paquets (DoS, …) Absence de contrôle sur les séquences ou les états du protocole (Sync overflow, DoS, …)


Architecture (2/2) Applicative :

Langages de scripting => de moins en moins de protections Interpréteur Universel : Visual Script, Java Script, Windows Host Scripting De moins en moins de protections (virus….)

Buffer Overflow Absence de gestion et de contrôle de la taille des buffers Exemple sous NetMeeting : certaines chaînes de caractères provoquaient

débordement de buffer, et un code quelconque pouvait alors être exécuté dans la pile….

Sécurité : Protection des certificats

Fonction de chiffrement inversible => outil de déchiffrement publié Protection des mots de passe

Accès à l’information Directe : lecture de la SAM via fonctions tq SamDump Indirecte : lecture de la SAM via utilisation détournée des dll (PwDump2) ou de LanManager

sur Netbios (SMB Packet Capture + L0phtcrack) Fragilisée par la comptabilité LanManager (algo de hachage des mots de passe)

Mots de passe de 7 ou 14 caractères !


Quelques conseils (1/2) Fermer tous les ports 135 à 139 en TCP et UDP N’autoriser que les ports et protocoles nécessaires au fonctionnement du

système lors de l’exécution de TCP/IP Règles strictes d’utilisation des mots de passe (contrôle par ‘passfilt’) Activer la fonction évoluée de cryptage ‘SYSKEY’ sur la SAM (ralentira au

moins un peu les pirates) Vérifier que les autorisations d’accès à la base de registre sont sécurisées,

notamment via un accès distant au moyen de la clé :HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths

Activer l’option Hidden Registry (registre masqué) sur les serveurs sensibles :

HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\Hidden,REG_DWORD = 1 (=> supprime l’hôte de la liste de navigation du réseau

‘Voisinage Réseau’ tout en gardant les fonctions d’avant…) Ne pas travailler sous Administrator

Créer un compte spécifique avec privilèges Administrator


Quelques conseils (2/2) Bien gérer les Patchs Level, Roll Up et Hot-Fixes Activer et exploiter les Audits Activer les filtres et alertes Surveiller la liste des processus (netcat -> nc.exe)

Commande « at » utilisée pour lancer un destructeur de processus à heure fixeC:\> at 6A /e:1 ‘‘ ‘‘kill nc.exe’’ (=> ts les jours à 6 heures….)

Surveiller régulièrement la base de registres Clés de démarrage Windows standards :

HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Run Se tenir informé des alertes et attaques au jour le jour Configurer les paramètres de sécurité et de la base de registre Penser groupe, puis privilège, puis utilisateur

Administration => SID unique Sécurité => gestion des audits

…

sécurité windows nt

Documents