Home Search Contact New
[ Up | Back | Next | Home | Search | Contact | New | EdelWeb ]

Le Security Configuration Tool Set


Sécurisez votre serveur Web NT 4.0 ou Windows 2000 avec le Security Configuration Tool Set

Patrick CHAMBET présente une méthode de sécurisation d'un serveur sous Windows NT 4.0 ou Windows 2000 à l'aide du Security Configuration Tool Set, le nouvel outil de Microsoft qui permet d'éditer les paramètres de sécurité d'un serveur.

Introduction - le Security Configuration Tool Set
1. Installez le Security Configuration Tool Set
2. Ajoutez le composant enfichable à la MMC
3. Parcourez l'arborescence du composant
4. Définissez votre modèle de sécurité
5. Appliquez votre modèle de sécurité au système
6. Analysez votre système par rapport à votre modèle de sécurité
7. Contrôlez périodiquement l'état de votre système
8. Les permissions d'accès au système de fichiers
Annexe - Sites de référence
0. Introduction - le Security Configuration Tool Set

Un serveur Web exposé à Internet (placé dans une DMZ par exemple) doit être particulièrement sécurisé. De nombreuses check lists ont été élaborées dans ce but, en particulier celle de Michael Howard: http://www.microsoft.com/security/products/iis/CheckList.asp

Malheureusement, l'application de ces check lists et le suivi des serveurs une fois configurés est laborieux, car actuellement, sous Windows NT 4.0, il n'existe pas d'outil centralisé pour gérer la sécurité d'une station ou d'un serveur: l'administrateur jongle en général avec le gestionnaire des utilisateurs, l'éditeur de stratégies, l'explorateur NT, l'éditeur de registre, le journal des évènements et le panneau de configuration des services, auxquels il rajoute en général ses outils personnels.

Windows 2000, par contre, est livré en standard avec un outil permettant de gérer depuis un seul et même endroit tous les paramètres liés à la sécurité du système: le snap-in " Security Configuration and Analysis " pour la MMC. Mais les utilisateurs de NT 4.0 peuvent installer et utiliser ce nouvel outil sans attendre, puisqu'il est livré sur le CD-ROM du SP4 pour NT 4.0 (bien qu'il ne soit pas installé par défaut en même temps que le SP4), ou téléchargeable depuis le site de Microsoft.

Qu'est-ce que le Security Configuration Tool Set ?

Le Security Configuration Tool Set est un composant enfichable qui s'installe dans la MMC (Microsoft Management Console), l'interface graphique de gestion centralisée du système, introduite sur NT 4.0 avec l'Option Pack et qui sera le coeur de Windows 2000.

Il permet de :

  • Définir ses modèles de sécurité, en plus des 10 modèles fournis en standard
  • Appliquer au système les paramètres de sécurité définis dans un modèle
  • Analyser et contrôler la configuration courante du système et la comparer au modèle de sécurité

Nous allons examiner ces trois opérations au cours des étapes suivantes.

1. Installez le Security Configuration Tool Set

Si vous êtes sous Windows 2000, le snap-in " Security Configuration and Analysis " est déjà installé sur votre système.

Si vous êtes sous NT 4.0, vérifiez que vous avez au préalable installé les éléments suivants:

  • Internet Explorer 3.02 ou plus
  • Le SP4 de NT 4.0

Puis récupérez le Security Configuration Tool Set sur le CD-ROM du SP4 de NT 4.0 (dans le répertoire \MSSCE\i386) ou téléchargez-le à l'URL suivante: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm

Lancez alors MSSCE.EXE, et cliquez sur oui pour installer la MMC. Notez qu'il s'agit de la version 1.1, alors que l'Option Pack pour NT 4.0 ne fournit que la version 1.0.

2. Ajoutez le composant enfichable à la MMC

  • Sous Windows 2000: Lancez mmc.exe, puis, dans le menu Console, choisissez " Add/remove snap-in ". Cliquez alors sur Add, sur le snap-in " Security Configuration and Analysis ", sur le bouton Add, puis sur Close. Pour terminer, cliquez sur OK et enregistrez votre nouvelle console MMC.
  • Sous Windows NT 4.0: Lancez mmc.exe, puis, dans le menu Console, choisissez "Add/Remove Snap-in...", sélectionnez "Security Configuration Manager" et cliquez sur OK. Le nouveau composant apparaît alors, à côté de ceux qui s'y trouvaient éventuellement déjà.

3. Parcourez l'arborescence du composant

Vous trouvez deux noeuds principaux:

Database:
Il s'agit de la base de données contenant la configuration courante du système. Par défaut, elle se trouve dans C:\WINNT\Security\Database. Au départ, elle est vide.
Configurations:
Ce sont les modèles de sécurité définis. Par défaut, ils se trouvent dans C:\WINNT\Security\Templates. Chaque configuration comporte 7 sous-noeuds qui permettent de configurer autant de domaines de la sécurité de votre système:
Account Policies:
C'est la gestion des politiques de comptes que vous connaissez, et que vous avez l'habitude d'éditer depuis le gestionnaire de comptes.
Local Policies:
Ceci regroupe trois sous-noeuds, qui sont les politiques d'audit, l'assignation des droits utilisateurs et diverses options de sécurité que l'on ne pouvait gérer que par l'éditeur de registre.
Event Log:
Ceci permet de configurer l'observateur d'évènements.
Restricted Groups:
Il s'agit d'une nouvelle fonction de contrôle très pratique et très puissante. Elle permet de contrôler l'identification des utilisateurs et des autres groupes faisant partie d'un groupe. A partir du moment où un groupe est ajouté à la liste des "groupes restreints", son contenu est systématiquement surveillé. Cela peut être très utile pour contrôler que personne ne se fait ajouter sans y être autorisé au groupe Administrateurs, puis pour forcer le contenu de ce groupe à la liste "officielle".

System Services:
Ce sont les services NT et tous leurs paramètres de sécurité.
Registry:
Ce noeud permet d'accéder à toutes les clés de la Registry et à leurs paramètres de sécurité (permissions, etc...)
File System:
Vous pouvez configurer depuis ce noeud les permissions d'accès à vos fichiers.

4. Définissez votre modèle de sécurité

Pour définir votre propre modèle de sécurité:

  • Développez le noeud "Configurations"
  • Choisissez l'un des modèles pré-définis, par exemple securws4, qui est le modèle permettant d'obtenir une station de travail sécurisée. Choisissez celui qui se rapproche le plus du niveau de sécurité que vous voulez obtenir.
  • Développez le noeud correspondant au modèle choisi, et dans chaque sous-noeud configurez les paramètres désirés en double-cliquant sur ceux-ci.
  • Quand vous avez édité les paramètres du modèle selon vos besoins, sauvegardez-le en faisant un clic droit sur le modèle securws4, puis en choisissant "Save as..." dans le menu contextuel et en spécifiant votre propre nom de modèle (par exemple devws4).

Notez bien que vous n'avez toujours pas modifié votre système, vous n'avez fait que définir votre politique de sécurité. Notez aussi que les paramètres évoqués dans la check list et qui ne figurent pas en standard dans le SCTS peuvent y être rajoutés, sous forme d'entrées dans la Registry par exemple.

Dans le cas de notre serveur Web, les paramètres que nous allons surveiller particulièrement sont: les valeurs de certaines clés de la Registry ainsi que leurs ACLs, l'affectation des droits NT aux utilisateurs, les permissions d'accès aux fichiers (en particulier, les fichiers .htm et.asp doivent être en lecture seule), etc...

Et bien sûr, supprimez tous les exemples d'applications Web installées par défaut !

5. Appliquez votre modèle de sécurité au système

A présent, nous allons modifier le système pour qu'il reflète les paramètres que vous avez définis dans votre modèle. Pour cela:

  • Faites un clic droit sur le noeud "Database", et choisissez "Import Configuration..."
  • Choisissez votre modèle de sécurité devws4
  • Cochez la case "Overwrite existing configuration in database" si vous voulez écraser complètement les paramètres actuels. Par défaut, les nouveaux paramètres seront juste ajoutés à ceux existants.
  • Cliquez sur "Open"
  • Faites un clic droit sur le noeud "Database", et choisissez "Configure System Now..."
  • Entrez le nom du fichier de log que vous désirez utiliser.
  • Cliquez sur "OK".
Votre système a maintenant les paramètres que vous désiriez.

6. Analysez votre système par rapport à votre modèle de sécurité

Pour vérifier, après un certain temps par exemple, que la configuration de votre système n'a pas changé, faites un clic droit sur le noeud "Database", et choisissez "Analyze System Now...".

Si vous parcourez l'arborescence du noeud "Database", vous pourrez repérer du premier coup d'oeil les paramètres qui ont changé par rapport à ceux de la check list, car ils arborent une icône rouge. Vous pouvez alors réappliquer votre modèle de sécurité paramètre par paramètre, ou bien le réappliquer en bloc, ou encore changer les paramètres de votre modèle.

7. Contrôlez périodiquement l'état de votre système

Pour remettre à jour la configuration de votre système périodiquement, vous pouvez utiliser le Security Configuration Tool Set en mode ligne de commande (voir l'aide), et avec planification, par exemple. Utilisez la commande AT pour créer une tâche périodique.

8. Les permissions d'accès au système de fichiers

Attention, l'installation du Security Configuration Tool Set sur NT 4.0 modifie l'apparence de l'onglet "Sécurité" de la fenêtre de propriétés d'un fichier ou d'un répertoire (voir les articles Q195509 et Q195227 de la base de connaissances Microsoft).

Ce nouvel onglet permet de gérer l'héritage des permissions au sein de l'arborescence des répertoires. Là encore, il s'agit d'une fonctionnalité implémentée en standard dans Windows 2000. Cette fonctionnalité, plus puissante, est aussi plus complexe: réfléchissez bien à la propagation de vos permissions lors de leur édition, car une mauvaise utilisation de cet onglet peut conduire à des dysfonctionnements.

Annexe. Sites de référence

Titre Le Security Configuration Tool Set
Date 14/06/2001
Version 2.0
Auteur Patrick CHAMBET patrick.chambet@edelweb.fr

© Copyright EdelWeb 2001 all rights reserved

webmaster@edelweb.fr  Copyright EdelWeb (C) 1995, 1998