=========================================== Réunion OSSIR groupe sécurité Windows Lundi 9 décembre 2002 =========================================== Ordre du jour : 1 - Présentation de la suite migration et sécurité Windows 2000 FastLane (Régis ALIX / Quest Software) 2 - Présentation du produit de gestion centralisée de la sécurité Windows 2000 "Admin Security Suite" (Jean-Philippe SANCHEZ / NetIQ) 3 - Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== 1 - Présentation de la suite migration et sécurité Windows 2000 FastLane (Régis ALIX / Quest Software) ==================================================== Préambule --------- Quest est un éditeur de logiciels américain. La gamme des produits Quest comprend : - Fastlane Reporter : centralisation et exploitation des journaux Windows 2000 - Fastlane Migrator : assistance à la migration Windows NT4 vers Windows 2000 - Fastlane COnsolidator : consolidation de domaines - Fastlane ActiveRoles : gestion de l'annuaire Active Directory Windows NT4 a montré ses limites en terme d'administrabilité après plusieurs années de développement anarchique au sein des entreprises. On constate généralement que Windows NT4 n'est pas administré correctement, ce qui engendre des risques de sécurité tels que la persistence de comptes administrateurs inutilisés. Pour résoudre ce problème, Windows 2000 introduit une notion d'annuaire centralisé : Active Directory. Les projets de déploiement Windows 2000 nécessitent une phase de planification importante liée à la conception de cet annuaire. Les outils Quest interviennent au cours des trois phases de la migration NT4 vers 2000 : - PLAN : planification de la migration NT4 vers 2000, définition du schéma - DEPLOY : migration des ressources de NT4 vers 2000 et cohabitation des environnements - MANAGE : gestion de l'annuaire Active Directory en exploitation nominale du réseau Windows 2000 Attention à ne pas confondre Windows 2000 (le système d'exploitation) avec Active Directory (une fonctionnalité d'annuaire LDAP du système d'exploitation, indispensable à son fonctionnement). Q: La conception de l'annuaire a-t-elle un impact sur la sécurité ? R: On peut affirmer que la sécurité du domaine n'est pas liée à la conception de l'annuaire mais surtout à son mode d'exploitation (délégation, gestion des droits). Active Directory peut être vu comme un outil de gestion des ressources (comptes, données système) - ce qui le rend sensible en terme de sécurité. De fait, les contraintes techniques sur la conception de l'annuaire sont très fortes. Cette conception passe tout d'abord par une définition d'architecture (organisation des UO, définition des sites) puis éventuellement dans un deuxième temps par l'application d'une politique de sécurité. Les mécanismes de sécurité - en particulier réseau - n'évoluent pas fondamentalement avec l'arrivée de Windows 2000. Le domaine, souvent lié à une organisation géographique (c'est la recommandation Microsoft), représente toujours une frontière de sécurité. Au sein d'un domaine la sécurité est gérée par les UO (sur lesquelles sont appliquées les stratégies de groupe). Q: Comment gérer la continuité des permissions lorsque l'organisation interne évolue ? R: Ce problème doit être pris en compte dès la conception initiale de l'annuaire pour le rendre le moins sensible possible aux évolutions d'organisation. Migrator -------- Le schéma de migration traditionnel passe par la création d'un annuaire vide, dans lequel sont rapidement intégrés les comptes administrateur et support. Les utilisateurs sont ensuite migrés au fur et à mesure. Attention aux droits accordés aux administrateurs et au support en phase de migration, car tout retour en arrière est souvent politiquement délicat. A noter que 50% des décisions de migration vers Windows 2000 sont liées à Exchange 2000. Migrator permet de copier des comptes utilisateurs en assurant que les permissions d'accès obtenues dans le nouvel environnement sont identiques aux permissions dans l'environnement initial. Il supporte les comptes Windows NT4, 2000, mais aussi Exchange 5.5 et 2000. Q: Quel est l'intérêt de l'outil Migrator vis-à-vis de l'outil gratuit ADMT ? R: Migrator est un outil très peu cher qui présente les avantages suivants : - Montée en charge facilitée par l'utilisation d'une base SQL ; - Permet le renommage de compte lors de la migration ; - Adresse le problème des collisions de nommage (migrations multiples du même compte) ; - Supporte Exchange. ActiveRoles ----------- La gestion des droits sur l'annuaire est complexe : il existe 400 ACE (Access Control Entry, c'est-à-dire permission d'accès à un attribut) standard dans Windows 2000, et Exchange 2000 en rajoute 600. La gestion de ces ACE par Windows 2000 est unitaire, d'où l'intérêt d'outils comme ActiveRoles qui permettent la gestion de groupes d'ACE par "rôle" utilisateur. Il s'agit ni plus ni moins que d'un outil de délégation de permissions avancé. D'autre part l'administration des GPO est complexe à cause du mécanisme d'héritage et de l'obligation pour un objet d'appartenir à une seule UO. ActiveRoles adresse ces problématiques par les "Business Views" qui regroupent dans une vue logique des objets appartenant à plusieurs UO, et permet de leur appliquer ou de simuler l'application de GPO (calcul du RSoP - Resultant Set of Policy). ActiveRoles répond aussi à d'autres problèmes classiques d'administration : - Migration de GPO entre domaines ; - Fourniture de "templates" de création de comptes utilisateur ; - Contraintes de format dans les champs utilisateur (tels que le numéro de téléphone) lors de la création de compte. ActiveRoles est "AD-integrated" c'est-à-dire qu'il stocke ses données dans une extension du schéma. Q: En quoi les "Business Views" sont supérieures à la notion de site ? R: Le "site" Windows 2000 n'est pas une notion administrative. Q: Les GPO Windows XP sont plus riches que les GPO Windows 2000. Comment le logiciel traite-t-il ce problème ? R: Les modèles .ADM de Windows 2000 et XP peuvent être exploités indifféramment. Une alerte est émise lors d'un tentative d'application de GPO sur un poste ne possédant pas le modèle requis. Reporter -------- Reporter est un outil d'audit en phase préparatoire à la migration. Il audite les comptes Windows à la recherche des éléments suivants et stocke les résultats dans une base SQL : - Comptes sans mot de passe (non migrables) ; - Comptes inutilisés depuis plus de 3 mois ; - Comptes désactivés ; - Comptes privilégiés. Reporter peut aussi : - Centraliser les journaux d'événement Windows ; - Collecter les permissions NTFS sur les fichiers et les permissions sur les partages. Q: Quelle est la consommation de bande passante occasionnée par cette activité ? R: L'audit des comptes nécessite une faible bande passante. Le logiciel n'utilise pas d'agent mais les RPC standard. A titre d'exemple 1000 postes sur un LAN 100 Mb sont audités en 10h. Q: Quel est le détail du protocole utilisé ? R: Le protocole RPC transporté sur TCP est utilisé. Le compte d'exécution du logiciel doit être administrateur sur la cible. Les droits par défaut d'accès distant à la base de registre doivent être activés. Q: Le logiciel modifie-t-il la date de dernier logon lors de l'audit du mot de passe ? R: Non, il utilise une API native pour déterminer si le mot de passe est vide. Conclusion ---------- Les produits Quest sont téléchargeables en version d'évaluation sur http://www.quest.com/. Il est possible d'assister à une présentation Web interactive des produits (à la demande). ==================================================== 2 - Présentation du produit de gestion centralisée de la sécurité Windows 2000 "Admin Security Suite" (Jean-Philippe SANCHEZ / NetIQ) ==================================================== Introduction ------------ NetIQ a acquis au cours de son existence les sociétés Mission Critical Software (dont le produit d'administration a été revendu à Microsoft et est devenu MOM), PentaSafe et quelques autres. La gamme de produits comprend les produits WebTrends, AppAnalyzer (analyse de journaux Exchange), SecurityAnalyzer (analyse de journaux de Firewall) pour les plus connus. L'outil ADMT dont il a été question précédemment a été vendu à Microsoft par NetIQ. Il est gratuit mais ne possède pas les capacités d'outils payants : - "Rollback" de migration - Migration des profils - Support d'Exchange - Gestion des utilisateurs dans une base SQL NetIQ propose la gamme d'outils suivante : - DRA Directory & Resources Admin (pour NT4 et 2000) - Exchange Admin - FSA File & Security Admin - GPA GP Admin (ex outil FAZAM) - DSA Directory & Security Admin - Configuration Assessor De manière générale la sécurité Active Directory fait référence à deux problèmes : - La gestion des accès et des permissions (dans le champ des outils présentés aujourd'hui) ; - Le bon fonctionnement et la disponibilité (plutôt gérée par un outil comme AppManager et hors champ aujourd'hui). On notera que la base de données Active Directory est de taille conséquente (environ 600 Mo pour 10,000 utilisateurs). DRA --- Les lacunes des interfaces d'administration Active Directory natives sont : - Multiplicité des interfaces même pour effectuer opération simple ; - Pas de reporting ; - Audit inexploitable. Ces lacunes rendent Active Directory ingérable dans un gros domaine. DRA comble ces lacunes en offrant : - Une interface scriptable, disponible sous forme d'une "pseudo-MMC" ou d'une interface Web ; - Des fonctions de reporting (gestion de requêtes complexes sur l'annuaire et suivi des évolutions sur plusieurs années) ; - Des fonctions d'exploitation et d'interprétation du journal d'audit. DRA renforce globalement la sécurité dans les opérations d'administration (délégation et création de comptes). Le coeur de DRA est un service installé sur un serveur du domaine, qui sert les requêtes utilisateur, filtrées en fonction du rôle utilisateur. Le service génère des vues complexes baptisées "ActiveViews" dans lesquelles se trouvent les informations accessibles à l'utilisateur, et traite les demandes de modification toujours en fonction du rôle utilisateur. Les "plus" de DRA sont : - Possibilité de scripting des opérations ; - Gestion d'une "poubelle" permettant le "rollback" sur la suppression d'objets ; - Outil de reporting puissant. Q: Quel est le serveur Web qui fait tourner le moteur DRA ? R: IIS uniquement. Le mode d'authentification de l'utilisateur est le mode dit "intégré" (supportant Kerberos). Q: Sous quelle forme sont stockés les filtres et les droits d'accès ? R: Sous forme textuelle dans la base de registre du serveur. Le volume occupé est relativement faible (proportionnel au nombre de filtres). FSA --- Cet outil est destiné à la gestion des permissions sur les fichiers et les partages de fichiers. L'outil permet : - la recherche de fichiers par type / taille / permissions/ utilisateur / etc. ; - la recherche des comptes de service et des comptes d'administration ; - l'archivage/restauration des ACL ; - l'exploitation du journal d'audit d'accès aux fichiers. Q: L'outil gère-t-il un historique des permissions ? R: Oui, cet historique est enregistré dans une base Access. GPA --- Cet outil permet de gérer finement les GPO : - Reporting ; - Sauvegarde/restauration ; - Réplication inter-domaines et inter-forêts ; - RSoP ; - Délégation de droits ; - Moteur de recherche complexe ; - Verrou de modification garantissant un accès exclusif. Certaines fonctions (comme le RSoP) seront intégrées dans Windows.NET, d'autres non (sauvegarde, copie, copie entre forêts). DSA --- Cet outil est destiné à la gestion des permissions sur les objets de l'annuaire, ces principales fonctions sont : - Reporting sur les ACE ; - Gestion de la délégation ; - Recherches complexes ; - Calcul des permissions résultantes. Là encore les filtres sont stockés en base de registre, il n'y a pas d'extension et donc pas de pollution du schéma. ==================================================== 3 - Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. Le suivi des correctifs IE et leur application sans reboot de la machine donne lieu à un débat, ainsi que la certification EAL4 de Windows 2000 qui apparait plus politique (dans la continuité de Windows NT4) qu'un signe réel de fiabilité. La cible d'évaluation n'est a priori pas connue du public mais a été transmise à des organismes tels que la DCSSI. La prochaine réunion du groupe est fixée au lundi 13 janvier 2003. Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement. A l'heure actuelle des intervenants se sont proposés sur les sujets : - Présentation des utilitaires de sécurité CoperNet (CoperNet) - Présentation des produits de sécurité eEye (eEye) - Présentation de la sécurité OWA (Maxime de Jabrun / Patrick Chambet) - Retour d'expérience sur la mise en oeuvre d'une PKI dans le cadre d'un projet collaboratif (Michel Miqueu)