Automatiser MBSA

Vous êtes un administrateur système chargé d’évaluer et de recueillir une grande variété de données de sécurité concernant les systèmes de votre réseau. Vous aimeriez bien scruter vos systèmes chaque fois qu’ils redémarrent puis présenter les résultats ainsi obtenus, sur un site Web où vous et vos collaborateurs pourriez les examiner (et, éventuellement, remédier aux vulnérabilités). Pour créer un programme de scanning automatisé du réseau, vous pouvez utiliser Microsoft Baseline Security Analyzer 1.2.1 conjointement à des exemples de scripts MBSA de Microsoft.
N’allez surtout pas compter sur le seul MBSA pour la sécurité de votre réseau : il n’est pas à la hauteur de cette responsabilité. Mais vous verrez qu’il est capable de quelques trucs étonnants et qu’il peut vous fournir des données très utiles pour sécuriser le réseau.Si vous voulez des informations plus élémentaires sur MBSA avant d’entreprendre ce projet, voyez l’encadré exclusif Web « MBSA Introduction » (www.itpro.fr Club abonnés)

Commençons par diviser notre projet en trois tâches :
1. Télécharger MBSA et l’installer sur chaque ordinateur cible manuellement ou par une méthode automatisée telle qu’un GPO (Group Policy Object) d’installation de logiciel. Télécharger des modèles de scripts MBSA.
2. Ecrire un script de démarrage qui exécute l’utilitaire ligne de commande MBSA (mbsacli. exe) à chaque redémarrage de l’ordinateur et qui sauvegarde les résultats du scanning dans un partage de réseau.
3. Exécuter une tâche planifiée quotidiennement qui utilise un modèle de script MBSA pour traiter les données sur le share du réseau et les transformer en rapports HTML visibles sur un serveur Web.

Chaque réseau étant différent, vous devrez adapter cet exemple à votre cas particulier. Ainsi, ces étapes supposent que les utilisateurs ne sont pas des administrateurs locaux et qu’ils ne peuvent donc pas exécuter les scripts sous leurs permissions utilisateur. Il en découle que la plus grande partie de l’installation et du scanning de MBSA se produit via les GPO AD (Active Directory) fonctionnant avec des privilèges élevés.

MIIS, la gestion des identités par Microsoft

De nos jours, les utilisateurs des systèmes d’information d’entreprise – comme les administrateurs – doivent jongler entre plusieurs identités (ou comptes utilisateur) afin d’accéder aux différentes ressources, que ce soient la messagerie, les partages (de fichiers ou d’imprimantes) ou encore les PGI. Du côté des administrateurs, la difficulté est de maintenir l’ensemble de ces bases utilisateurs hétérogènes à jour et de rendre les accès aussi « invisibles » que possible aux utilisateurs.

Pour répondre à cette problématique, Microsoft propose, depuis environ 4 ans, MIIS (Microsoft Identity Integration Server), serveur d’intégration des identités. Cette solution est disponible en 2 versions, dont une gratuite. Microsoft Identity Integration Server est le successeur de Microsoft MetaDirectory Services 2.xx.

Interface d’ajout d’utilisateur – USERADD

Lors de l’embauche d’une nouvelle personne dans une société, la première chose demandée au service informatique est la création d’un compte de domaine. Cette tâche bien que très simple, possède un impact important sur la sécurité. Voici comment se déroule à peu près le processus de création de compte. Une demande contenant les noms des personnes est soumise au service informatique par les ressources humaines ou bien par un chef de service.

Suivant la procédure, le compte est créé en respectant les règles de nommage (longueur du compte de connexion, format,…), de mot de passe par défaut (aléatoire la plupart du temps, longueur, complexité) et de droit en général (en utilisant les groupes de domaines). Cette partie ne pose en général pas de problème et peut être automatisée.

Gros plan sur le SCW

Le SCW (Security Configuration Wizard) est le dernier membre de la famille des outils de configuration de sécurité de Microsoft. Il est inclus dans Windows Server 2003 Service Pack 1 (SP1), dont la diffusion est prévue dans la première moitié de 2005. SCW guide les administrateurs dans leur travail de configuration, de modification, d’application, et de rappel des stratégies de sécurité sur les serveurs Windows 2003 SP1.Plus particulièrement, il durcit les serveurs chargés de rôles particuliers, comme Microsoft IIS et Microsoft Exchange Server. Voyons donc quelle est la place de SCW parmi les autres outils de configuration de sécurité de Microsoft et pourquoi vous pourriez l’adopter.

Quelques conseils pour resserrer la sécurité des comptes utilisateur

Windows essuie beaucoup de critiques sur son manque de sécurité. Pourtant, en réalité, la plate-forme Windows possède tous les ingrédients d’un système d’exploitation sûr. Qu’on en juge : puissantes fonctions de gestion des utilisateurs et des groupes, mécanismes de contrôle d’accès détaillés, séparation des droits très poussée, et de robustes moyens d’authentification et de cryptage. Mais il ne suffit pas de posséder tous ces moyens : pour optimiser la sécurité système, les administrateurs et les applications doivent utiliser réellement les fonctions.L’accès utilisateur constitue l’un des problèmes les plus courants. L’authentification de l’utilisateur est à la base du mécanisme de sécurité de Windows. Ainsi, si un intrus découvre un mot de passe Administrator et se connecte en se faisant passer pour cet utilisateur, il s’appropriera l’accès administratif de la machine. De plus, si un utilisateur peut déplacer son compte dans le groupe Administrators, il pourra alors accéder à toutes les machines auxquelles le groupe a droit. Par conséquent, la sécurisation de Windows passe en grande partie par celle des comptes utilisateur. Voici les mesures à prendre pour cela.

Encore d’autres déclencheurs d’événements

Dans l’article « Tirer sur le déclencheur d’événements », mars 2005, je présentais les déclencheurs d’événements une fonction de Windows Server 2003, Windows XP et Windows 2000, qui permet de configurer l’OS afin qu’il exécute certains programmes quand certains ID d’événements se produisent. Ce mois-ci, bouclons notre discussion sur eventtriggers.exe en nous intéressant à d’autres options.

8 conseils et astuces en matière de sécurité

Le début d’année est l’occasion d’offrir et de partager certaines choses. Le monde de la sécurité, particulièrement celle de l'OS/400 et l'i5/OS, m’a beaucoup donné : des amis et d’anciens collègues chez IBM, de nouvelles amitiés avec des clients, l’occasion de découvrir de nombreux pays dans le monde, un superbe partenaire professionnel, et une carrière gratifiante. La « sécurité » ne vous offre peut-être pas les mêmes satisfactions et joies professionnelles et personnelles, mais elle présente certains aspects positifs pour vous aussi.

La perfection par la pratique

La réussite dans les affaires, dépend directement de la disponibilité des systèmes informatiques. Et l’objectif commun des entreprises d’aujourd’hui est de ne subir aucun temps d’immobilisation. Les sinistres peuvent frapper à tout moment, n’importe où. On ne parle pas forcément d’une catastrophe majeure, du genre inondation ou tremblement de terre. N’importe quel incident ou sinistre peut faire perdre beaucoup d’argent à toute entreprise. Pour réduire le risque, il faut en premier lieu disposer d’un solide plan de reprise après sinistre (DRP, disaster recovery plan). Un DRP est un ensemble de processus développé pour votre société, qui décrit les actions que l’équipe informatique doit mener pour reprendre rapidement l’exploitation après une importante interruption du service. En dressant la liste des activités à suivre, votre entreprise peut réduire les pertes causées par l’immobilisation. Mais une fois que l’on a développé et mis en oeuvre un DRP, le travail ne fait que commencer : il faut le tester – pas juste une fois, mais régulièrement – pour refléter la dynamique de vos environnements informatiques.

Sauvegarde : quelques scénarios catastrophe

Les récits que vous allez lire sont véridiques. Pour ne froisser personne, les noms ont été changés.
Voila plusieurs années, une société appelée Keypro Computer a connu une défaillance catastrophique du disque dur, la veille d’une déclaration fiscale importante. La seule copie des données nécessaires à la déclaration se trouvait sur ce disque dur et celui-ci n’était pas sauvegardé. L’excuse de Keypro ? « Nous avons oublié ». Le coût de récupération des données à partir des copies papier ? 400 000 dollars.Sur Internet, les récits de catastrophes liées à la sauvegarde (ou plutôt à son absence) abondent. Certains sont sûrement de pures inventions. Mais beaucoup sont authentiques, particulièrement lorsque le narrateur donne des informations négatives pour lui ou pour ses propres intérêts. En tant que professionnels IT, nous ne pouvons pas nous permettre « d’oublier ». A la clé il y a des amendes, voire la prison.
Pour vous éviter d’être la proie de ces lacunes de sauvegardes courantes, j’ai classé les délits de sauvegarde les plus courants et j’ai créé une étude « de cas » composite pour chacun d’eux. Aujourd’hui, ce ne sont pas des actes délictueux, mais ils pourraient bien le devenir bientôt. Lisez-les et veillez à ce qu’aucun d’entre eux ne devienne votre propre mésaventure !

De la haute disponibilité à  la continuité de l’activité

Les notions de haute disponibilité, et de poursuite de l’activité sont intimement liées à la reprise après sinistre. Et, trop souvent, nous nous trouvons au coeur même de la catastrophe. Les ouragans Katrina et Rita ont dévasté des centaines de milliers de kilomètres carrés, déplacé des milliers de personnes et perturbé une multitude de sociétés et d’entreprises. Ailleurs dans le monde, d’autres catastrophes naturelles ont anéanti des populations entières. L’enseignement à en tirer n’est pas simplement que la nature a le pouvoir de mettre fin à nos vies et à nos activités, mais aussi l’étendue et la durée de telles tragédies. Trop souvent, nous considérons les sinistres comme des ennuis qui suspendent notre exploitation pendant une courte période. En réalité, nous voyons de grandes zones géographiques frappées pendant plusieurs mois.La nature n’est pas le seul danger que courent les entreprises. Il y a aussi les menaces de terrorisme, comme en témoignent les attaques mortelles dans le monde et près de chez nous. Une sale bombe ou un agent biologique peut rendre une ville inhabitable pendant plusieurs années. Songez aux centaines ou aux milliers d’ordinateurs présents à proximité de la Maison Blanche et du Capitole. Ces centres de gouvernement sont-ils suffisamment protégés contre d’éventuelles campagnes de terreur ?

La figure 1 ne contient qu’une liste partielle des sinistres susceptibles de frapper une société. Si de tels événements se produisent, nous risquons d’être coupés de nos centres informatiques pendant de longues périodes. Et même si nous pouvons récupérer l’information depuis des sites de secours, le personnel pourrait être tellement dispersé que toute reprise de l’exploitation normale serait impossible. Pis encore, nos centres de secours pourraient se trouver près de l’entreprise et, par conséquent, être aussi mal en point que le site principal. Enfin, même si la reprise purement informatique réussit, nos autres actifs et ressources pourraient être tellement affectés que toute poursuite de l’activité serait illusoire.

En tant que professionnels IT, nous devons, avec nos entreprises, élaborer des plans à plusieurs niveaux pour la haute disponibilité, la poursuite de l’exploitation, la reprise après sinistre et la continuité de l’activité. De tels plans doivent viser une protection continue contre des dangers très divers, allant de problèmes techniques internes aux événements externes et aux perturbations globales. Ils doivent répondre aux préoccupations de tous les responsables de l’entreprise, dans tous les services et départements.

Les API Cryptographic Services

L’exposition d’informations personnelles sur des millions de personnes a fait les gros titres au cours de ces dernières semaines. Les sociétés responsables de ces ratés risquent de fortes amendes et aussi des poursuites en vertu des obligations contractuelles et des lois sur le secret. Dans beaucoup de ces cas, si des mesures cryptographiques avaient été prises pour protéger les données, l’incident se serait limité à un petit accroc.Les API Cryptographic Services de l’iSeries procurent aux programmeurs d’applications iSeries un outil cryptographique puissant qui leur permet de protéger la confidentialité des données, d’en assurer l’intégrité et d’authentifier les parties communicantes. Les API Cryptographic Services font partie du système d’exploitation de base et effectuent des fonctions cryptographiques dans le i5/OS Licensed Internal Code (LIC) ou, facultativement, sur un 2058 Cryptographic Accelerator. (Pour plus d’informations sur les fonctions cryptographiques que l’on trouve sur les API, du passé jusqu’aux Cryptographic Services courants, voir « Une brève histoire de la fonction cryptographique de l’iSeries »). Pour vous aider à démarrer avec les API Cryptographic Services, cet article donne une vue d’ensemble fonctionnelle, explique les paramètres Encrypt Data, présente un exemple de programme de cryptage C simple, explique l’utilisation des contextes d’algorithmes pour étendre les opérations sur des appels multiples et les contextes de clés pour améliorer la performance et protéger les clés, et examine les API de gestion de clés pour faciliter la gestion de clés cryptographiques. (Pour acquérir une compréhension de base de la fonction et de la terminologie cryptographique, lisez l’article « Cryptography concepts » présent dans l’encadré Pour en savoir plus.)

Ouvrir les connexions à  distance

Si, comme beaucoup de vos homologues, vous êtes chargés de l’administration et du support du poste et si vous êtes aussi débordés qu’eux, vous avez probablement relégué certaines fonctions utilisateur de Windows XP sur le pourtour de l’écran radar, pour vous concentrer sur des sujets plus importants. Remote Desktop est une de ces fonctions jugées de faible priorité dans la plupart des sites IT, et ce pour plusieurs raisons. La principale est peut-être la suivante : l’idée de laisser des utilisateurs se connecter à leurs postes à partir du domicile, de l’hôtel ou de tout autre endroit, suscite toujours de grandes craintes pour la sécurité.Si votre entreprise ne permet pas une telle connectivité, vous pouvez mettre en avant la politique maison pour repousser les utilisateurs désireux de se connecter à partir d’un lieu distant. Mais beaucoup d’entre nous devront satisfaire la frange d’utilisateurs dont les demandes ont l’onction la haute direction, et devront bon gré mal gré mettre en oeuvre des fonctions délicates. Dans cet article, je vais essayer d’atténuer vos craintes à propos de la connectivité à distance, en expliquant ce qui fait fonctionner Remote Desktop et comment configurer sa sécurité. Vous pourriez même trouver dans Remote Desktop d’excellentes prestations pour le support à distance des systèmes utilisateur.

Conférences Internet et Sécurité

Tester un port UDP via TelNet, Trucs & Astuces sur iTPro.fr

Comment tester un port UDP via TelNet, suivez les conseils des experts iTPro.fr et ces Trucs & Astuces !

Conférences Sécurité & Stockage

Vos données et vos applications sont sous la menace constante des virus, des hackers, des sinistres, d'une malveillance ou encore d'une erreur de manipulation.
Pour vous aider à répondre à ces enjeux, HP et Microsoft en partenariat avec Windows IT Pro Magazine organisent un tour de france thématique afin de présenter leurs dernières solutions de sécurité et de stockage.
 

Ce tour de France sera à Lyon le 18 Avril, Nantes le 20 Avril, Strasbourg le 25 Avril, Bordeaux le 27 Avril et à Paris le 10 Mai 2006.
Découvrez ici le enregistrez vous.

Mettre en oeuvre l’authentification Windows pour Oracle

En pratique, le serveur de base de données stocke généralement les mots de passe nécessaires pour accéder à une base de données Oracle. S’il est vrai que ce système est commode pour le DBA (database administrator), le fait de compter sur des mots de passe conservés sur le serveur de base de données présente plusieurs inconvénients. Par exemple, si l’on oublie un mot de passe et qu’on ait besoin de le redéfinir, le DBA doit intervenir. De plus, la synchronisation des mots de passe Windows et des mots de passe de la base de données Oracle est une opération strictement manuelle. En revanche, la fonction de sécurité intégrée de Microsoft SQL Server permet d’utiliser des noms d’utilisateurs et des mots de passe Windows pour sécuriser l’accès à la base de données. Avec cette méthode, quand les utilisateurs doivent réinitialiser leurs mots de passe, le DBA de SQL Server peut déléguer cette tâche aux servants du Help desk. Beaucoup de gens ignorent que l’on peut configurer les serveurs de base de données Oracle pour utiliser l’authentification OS (aussi appelée authentification externe dans Oracle), ce qui est similaire à l’authentification intégrée de SQL Server. Avant de pouvoir utiliser l’authentification Windows avec Oracle, vous devez bien en comprendre les implications sur la sécurité. Comme les détails pour autoriser les utilisateurs Oracle sont très différents selon qu’ils sont connectés au serveur Oracle ou aux clients distants, j’examine les deux scénarios dans cet article.

Affrontez l’application tueuse d’aujourd’hui

Certains attendent encore qu’arrive la prochaine « application tueuse ». Pour ma part, je considère que l’e-mail est bien « l’application tueuse » que nous fréquentons depuis plusieurs années. L’e-mail a ouvert un moyen de communication facile pour les gens qui se trouvent à l’intérieur et à l’extérieur d’une entreprise. C’est un mécanisme de transport et de distribution rapide et pratique d’informations vitales et son bon fonctionnement exige une bonne organisation. Pour de nombreuses sociétés, l’e-mail est un composant critique : qu’il cesse de fonctionner et l’activité en pâtit, parfois dramatiquement.

Sécuriser le compte Administrateur

Empêchez les intrus d’usurper cette puissante identité

Vos ordinateurs et domaines ont un compte Administrator intégré par défaut et il est probable que vous avez créé de nombreux comptes dotés de droits Administrator pour votre personnel IT. En raison même de ses permissions et de sa puissance, le compte Administrator intégré est à la fois le compte le plus utile et le plus dangereux de votre système ...Le risque est, évidemment, qu’un intrus utilise le compte Administrator pour compromettre votre réseau. Les intrus essaient d’accéder au compte Administrator et de l’utiliser parce qu’il leur est ainsi plus facile de deviner les noms des autres comptes possédant des permissions égales à celles du compte Administrator.
Il existe plusieurs moyens de rendre le compte Administrator plus sûr. En même temps, il faut veiller à ce que les comptes munis de droits administratifs aient les permissions nécessaires pour mener à bien leurs tâches.

Exchange Server 2003 : Sécurité

par Jan De Clercq - Mis en ligne le 8/12/2004 - Publié en Mars 2004

D'importantes nouvelles fonctions antispam, antivirus et de sécurité d'accès au Web

Pendant plusieurs années, des intrus ont lancé de nombreuses attaques contre le logiciel Microsoft, y compris Microsoft IIS, Internet Explorer (IE) et les clients mail Outlook et Outlook Express. Microsoft Exchange 2000 Server a adopté SMTP comme moyen de transport de messagerie de base et utilise les piles IP d'IIS. Il en résulte que des attaques visant IIS peuvent fort bien affecter des installations Exchange, y compris Exchange Server 2003...En 2001, Microsoft a entamé une importante action de sécurité appelée initiative Informatique de confiance. Windows Server 2003 est le premier OS d'entreprise de la firme à  en bénéficier. Dans la foulée de cette initiative, Microsoft a mis à  niveau de nombreux composants qui amélioreront aussi la sécurité globale d'Exchange 2003. Cela inclut les changements apportés à  Windows 2003 et à  IIS (Internet Information Services) 6.0. Sachez qu'Exchange 2003 peut fonctionner sur Windows 2000 Service Pack 3 (SP3) et utiliser IIS 5.0, mais si vous voulez bénéficier des nouvelles nombreuses fonctions de sécurité, vous devez exécuter Exchange 2003 sur Windows 2003 et utiliser IIS 6.0.
En examinant certaines des nouvelles fonctions de sécurité les plus importantes d'Exchange 2003, comme la protection antispam, la sécurité OWA (Outlook Web Access), la sécurité des communications, et d'autres améliorations de sécurité, vous pouvez offrir une infrastructure de messagerie d'entreprise plus sécurisée. Beaucoup de ces fonctions demandent que vous installiez Outlook 2003 et utilisiez la dernière version du navigateur de Microsoft, IE 6.0, incorporé dans Windows 2003 et Windows XP.
L'un des principes fondamentaux de l'initiative Informatique de confiance est la « Sécurisation par défaut », qui signifie que l'installation par défaut de tout élément du logiciel Microsoft sera verrouillée. Voyons comment ce principe s'applique à  Windows 2003, Exchange 2003, et IIS 6.0.

Supprimer le SPAM

Donnez une solide armure à votre environnement Exchange

Depuis que le virus Melissa nous a mis en alerte en 1999, les administrateurs savent qu’il faut protéger les serveurs Exchange. Aujourd’hui, la plupart des serveurs sont bien protégés contre les virus mais peut-être moins contre le spam.Le moment est venu de revoir votre protection antispam, parce que Microsoft a inclus dans Exchange Server 2003 certaines nouvelles fonctions dont les ISV (Independent Software Vendors) peuvent doter leurs outils antispam.
Le concept de défense en profondeur consiste à multiplier les couches de suppression pour bloquer un maximum de spam entre l’arrivée par les serveurs mail et la livraison finale dans la boîte à lettres. La défense en profondeur consiste aussi à convaincre les utilisateurs qu’ils recevront d’autant plus de spam qu’ils participeront à des newsgroups Internet et à d’autres forums et à leur apprendre des techniques que les spammers utilisent pour découvrir les adresses qu’ils ne peuvent pas récolter. Bien entendu, comme la protection antivirus, la défense en profondeur coûte cher. Certaines sociétés – particulièrement les PME – préfèrent appliquer une méthode de suppression que des couches multiples. Si vous suivez cette voie, la suppression basée sur le serveur est intelligente parce qu’elle offre un maximum de protection aux clients (y compris Microsoft Outlook Web Access – OWA) sans vous obliger à mettre à niveau le logiciel du desktop. Examinons quelques-uns des outils et techniques à votre disposition pour mettre en oeuvre la défense en profondeur, ainsi que les nouvelles fonctions d’Exchange 2003 introduites par Microsoft pour combattre le spam.