Sécuriser un serveur Web est une priorité critique. Des check-lists comme celles de Michael Howard, disponibles sur www.microsoft. com/security/products/iis/CheckList.asp, ont été élaborées dans ce but. À la différence de Windows NT 4.0, Windows 2000 dispose d’un outil centralisé pour gérer la sécurité : le Security Configuration Tool Set (SCTS) qui permet de définir, depuis un endroit unique, tous les paramètres liés à la sécurité du système. Les utilisateurs de Windows NT 4.0 peuvent ainsi l’installer et l’utiliser à partir du CD-Rom du SP4 pour NT 4.0 (attention, le SCTS n’est pas installé par défaut en même temps que le SP4) ou en téléchargement depuis le site de Microsoft. Le Security Configuration Tool Set est un composant enfichable qui s’installe dans la MMC (Microsoft Management Console), l’interface graphique de gestion centralisée du système introduite sur NT 4.0 avec l’Option Pack et qui sera le coeur de Windows 2000. Ce composant permet de définir ses modèles de sécurité, d’appliquer au système les paramètres définis dans un modèle, et d’analyser et de contrôler la configuration courante du système pour la comparer au modèle de sécurité.
Préparer l’infrastructure de sécurisation
1. INSTALLEZ LE SCTS
Sous Windows 2000, le SCTS est installé en standard. Si vous êtes sous Windows NT 4.0, vous devez avoir installé au préalable Internet Explorer 3.02, ou plus, ainsi que le SP4. Récupérez le SCTS sur le CD-Rom du SP4 (dans le répertoire MSSCEi386) ou téléchargez-le à l’URL suivante : ftp : //ftp.micro soft.com/bussys/ winnt/winnt-public/tools/scm. Lancez alors MSSCE.EXE et cliquez sur “oui” pour installer la MMC.
2. AJOUTEZ LE COMPOSANT ENFI-CHABLE À LA MMC
Lancez la MMC en exécutant “mmc.exe”. Dans le menu “Console”, choisissez “Add/Remove Snap-in “, sélectionnez “Security Configuration Manager”. Le nouveau composant apparaît à côté de ceux qui s’y trouvaient éventuellement.
3. PARCOUREZ L’ARBORESCENCE DU COMPOSANT
L’arborescence comprend deux noeuds principaux. D’une part, “Database”, une base de données, au départ vide, contenant la configuration courante du système. D’autre part “Configurations”, c’est-à-dire les modèles de sécurité définis. Chaque dispositif comporte 7 sous-noeuds qui permettent de mettre en uvre autant de domaines de la sécurité de votre système. “Account Policies” permet la gestion des politiques de comptes que vous éditez depuis le gestionnaire des utilisateurs. “Local Policies” regroupe 3 sous-noeuds : politiques d’audit, assignation des droits utilisateurs et diverses options de sécurité que l’on ne pouvait gérer que par l’éditeur de registre. “Event Log” configure l’observateur d’événements. “Restricted Groups”, une nouvelle fonction de contrôle pratique et puissante, permet de vérifier l’identification des utilisateurs intégrés au groupe. À partir du moment où un groupe est ajouté à la liste des “groupes restreints”, son contenu est systématiquement surveillé. Cela permet de contrôler que personne ne s’ajoute sans y être autorisé. “System Services”, les services NT et leurs paramètres de sécurité. “Registry” donne l’accès à toutes les clés de la Registry et à leurs permissions. Enfin, “File System”, est un noeud depuis lequel vous pouvez configurer les permissions d’accès à vos fichiers.
4. DÉFINISSEZ VOTRE MODÈLE DE SÉCURITÉ
Pour cela, commencez par développer le noeud “Configurations”. Choisissez le modèle prédéfini qui est le plus en adéquation avec la sécurité que vous voulez obtenir. Développez le noeud correspondant et, dans chaque sous-noeud, choisissez vos paramètres. Quand vous les avez édités, sauvegardez-les en effectuant un clic droit sur le modèle puis en sélectionnant “Save as ” dans le menu. Précisez alors votre nom de modèle. Vous n’avez pas modifié votre système, vous avez simplement défini votre politique de sécurité. Notez aussi que les paramètres évoqués dans la check-list et qui ne figurent pas en standard dans le SCTS peuvent y être contrôlés, sous forme d’entrées dans la Registry par exemple. Dans le cas de votre serveur Web, il faut surveiller les valeurs de certaines clés du registre ainsi que leurs ACL, l’affectation des droits NT aux utilisateurs, les permissions d’accès aux fichiers (en particulier, les fichiers “.htm”, “.asp” qui doivent être en lecture seule). Pensez à supprimer tous les exemples d’applications Web installées par défaut !
Appliquer les modifications
5. APPLIQUEZ VOTRE MODÈLE DE SÉCURITÉ
Pour modifier le système, commencez par faire un clic droit sur le noeud “Database”, et choisissez “Import Configuration “. Sélectionnez ensuite votre modèle de sécurité. Cochez la case “Overwrite existing configuration in database” si vous voulez écraser les commandes actuelles. Par défaut, les nouveaux paramètres seront ajoutés aux existants. Cliquez sur “Open”, faites un clic droit sur le noeud “Database” et retenez “Configure System Now “. Entrez le nom d’un fichier de logs et validez-le. Dès lors, le système est paramétré à vos dimensions.
6. ANALYSEZ VOTRE SYSTÈME
Pour vérifier, après un certain temps par exemple, que la configuration de votre système de sécurité n’a pas changé, faites un clic droit sur le noeud “Database” et choisissez “Analyze System Now “. Si vous parcourez l’arborescence du noeud “Database”, vous pourrez repérer du premier coup d’ il les paramètres qui ont changé par rapport à ceux de la check-list car ils apparaissent sous forme d’une icône rouge. Réappliquez alors votre modèle de sécurité, paramètre par paramètre, en bloc, ou en adaptant les paramètres de votre modèle.
7. CONTR?”LEZ L’ÉTAT DE VOTRE STRUCTURE
Pour remettre à jour périodiquement la configuration de votre système, utilisez le SCTS en mode ligne de commande (voir l’aide) et avec planification. Utilisez la commande “AT” pour créer une tâche périodique.
8. LES PERMISSIONS D’ACCÈS AUX FICHIERS
Attention, l’installation du SCTS sur NT 4.0 modifie l’apparence de l’onglet “Sécurité” de la fenêtre des propriétés d’un fichier ou d’un répertoire (voir les articles Q195509 et Q195227 de la base de connaissances Microsoft). Ce nouvel onglet permet de gérer l’héritage des permissions au sein de l’arborescence des répertoires. Là encore, il s’agit d’une fonction implémentée en standard dans Windows 2000. Notez que cette fonction, plus puissante, est aussi plus complexe. Réfléchissez bien à la propagation de vos permissions lors de leur édition.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.