Pour info, j'ai trouvé cela sur www.zdnet.fr... Les 5 derniers points de cet article sont très intéressants.
Microsoft Security Toolkit: pour un Windows 2000 sécurisé
Par Scott Lowe, MCSE,
TechRepublic
28 janvier 2002
Disponible gratuitement, le CD security toolkit de Microsoft permet de renforcer la sécurité d'un système Windows 2000 existant ou nouveau. Il contient des documents listant les applications conseillées, avec une procédure pas à pas.
Dans mon précédent article, nous nous sommes penchés sur le kit de sécurité Microsoft Security Toolkit pour Windows NT. Nous allons à présent étudier les ressources et recommandations du kit pour Windows 2000, ainsi que les utilitaires qui assurent l'actualisation des systèmes Windows 2000.
Analyse de votre système
Le Microsoft Security Toolkit est fourni sur un CD qui peut être obtenu gratuitement sur le site web de Microsoft. La section Windows 2000 de ce kit comprend des documents traitant des sujets suivants:
Sécurisation d'une nouvelle installation de Windows 2000
Sécurisation d'un système Windows 2000 existant
Listes de vérification pour une sécurité optimale
Microsoft fournit également un utilitaire pratique appelé Network Security Hotfix Checker (Hfnetchk.exe) qui permet de déterminer les éléments à installer pour conférer à votre système un certain niveau de sécurité. Pour savoir comment faire fonctionner cet outil, reportez-vous à l'article "Stay on top of vital patches with Microsoft's Network Security Hotfix Checker"(en anglais).
Pour lancer une version directe de cet utilitaire, insérez le CD Microsoft Security Toolkit dans votre lecteur de CD-ROM. Si le CD ne démarre pas automatiquement, lancez-le à partir de l'Explorateur de Windows et choisissez Autoplay. Une page d'accueil de type web s'affiche alors avec la description du contenu du kit.
Sous le titre "Protect Your Current System", cliquez sur l'option Install Now pour commencer l'analyse de votre système. Avant de lancer cette action sur un serveur de production ou une station de travail vous devez naturellement vérifier que vous disposez d'un disque de récupération et d'une sauvegarde récents.
Pour mon installation, j'ai utilisé un serveur Windows 2000 sans service packs, qui n'est pas relié directement à internet et n'est pas une machine utilisée pour la production. Je ne l'utilise qu'à des fins de test. Mais lorsque j'ai exécuté l'utilitaire sur mon système de test, une console s'est affichée, demandant le Service Pack 2 ainsi que d'autres mises à jour.
L'utilitaire m'a invité, par exemple, à installer Windows 2000 Critical Update Notification, qui envoie un message pour signaler la disponibilité d'une nouvelle mise à jour Microsoft. Il m'a également proposé d'installer l'assistant Internet Information Services Lockdown. Dans une troisième partie, nous traiterons du Microsoft Security Toolkit en relation avec Internet Information Server et nous expliquerons somment utiliser l'assistant lockdown.
L'utilitaire indique l'ordre dans lequel les patches et les mises à jour doivent être appliqués, ainsi que le moment où il faut relancer le système.
Pour l'instant, nous arrêterons ici la description de cet utilitaire pratique qui constitue une première étape importante dans la sécurisation de base d'un système Windows.
Installation d'un nouveau système Windows 2000
Microsoft fournit également un guide des méthodes à suivre pour l'installation d'un nouveau système Windows 2000. À l'occasion de cette étude, nous parlerons principalement des méthodes en relation avec Windows 2000 Server, mais nous ajouterons également quelques recommandations pour Windows 2000 Pro.
L'un des documents présent sur le CD Security Toolkit, "Installing and Securing a New Windows 2000 System", fournit aux administrateurs système toutes les recommandations nécessaires pour disposer d'un serveur fonctionnant parfaitement, et sans compromis, à l'issue de l'installation. Il s'agit d'un guide détaillant l'installation pas à pas d'une nouvelle machine.
Dans ce document, Microsoft recommande de procéder à l'installation de la nouvelle machine sans la relier à un réseau, ou bien, le cas échéant, de s'assurer que ce réseau n'a pas été infiltré au préalable par un virus de type Code Red.
Microsoft recommande ensuite d'installer le service pack le plus récent. Comme je l'ai déjà indiqué, il s'agit du Service Pack 2. On n'insistera jamais assez sur l'importance de cette étape. En outre, Microsoft recommande de conserver Internet Explorer 5.01 SP2 ou de faire la mise à jour en 5.5 SP2 ou 6.0. Internet Explorer 5.01 SP2 est la version par défaut si vous procédez à une nouvelle installation de Windows 2000 avec le Service Pack 2.
Si vous utilisez IIS, vous devez installer le security rollup package approprié. Si vous n'avez pas l'intention d'utiliser IIS sur votre machine, supprimez l'option correspondante de l'installation par défaut de Windows 2000. Si vous l'installez par accident, supprimez-la dès que possible en utilisant le menu Ajout/Suppression de programmes.
Lorsque l'installation est terminée, vous devez utiliser les séries de vérifications de Microsoft afin de vous assurer que vous utilisez les procédures de sécurité appropriées. Si vous n'avez pas pu appliquer une suggestion particulière, pour une raison quelconque, ces vérifications vous permettent de connaître les points de vulnérabilité de votre système. Autrement dit, il s'agit d'un exercice important.
Sécurisation d'un système existant
La procédure de sécurisation d'un système existant est similaire à celle d'un nouveau système. Mais, avant d'appliquer des correctifs à un équipement de production, je vous conseille vivement de le faire en environnement de test, dans la mesure du possible. Je recommande en particulier d'utiliser des équipements identiques ou similaires car les correctifs peuvent provoquer, dans certains cas, des problèmes spécifiques au niveau du matériel.
Le document "Installing and Securing an Existing Windows 2000 System" contenu sur le CD Security Toolkit présente les étapes de manière plus détaillée que je ne pourrais le faire ici, faute de place, mais en voici les principes de base.
La première étape de la sécurisation d'un système existant consiste à déterminer son état actuel, ce que vous pouvez faire avec l'exécutable Hfnetchk.exe. Pour l'installer directement à partir du CD-ROM, allez dans le dossier \Combined\Hfnetcheck du CD Security Toolkit et lancez le programme Nshc32.exe pour installer l'utilitaire. Suivez les instructions qui s'affichent à l'écran.
Quand ceci est terminé, lancez l'exécution de l'utilitaire. Celui-ci télécharge la liste des correctifs actuellement disponibles chez Microsoft. Lorsque j'exécute cet utilitaire sur mon système de bureau, j'obtiens le "Listing A".
Il s'agit d'une liste complète des articles présents sur le site web de Microsoft qui indiquent les correctifs nécessaires pour compléter totalement mon système. N'oubliez pas qu'ils ne sont pas tous obligatoires, et lisez soigneusement les articles avant de procéder à leur installation.
Ensuite, partez du principe que vous disposez d'un nouveau système sans aucun service pack. Si vous avez besoin d'un service pack, installez-le, puis suivez les instructions recommandées par le document Microsoft.
Les listes de vérification de Microsoft sont des outils indispensables pour vérifier la sécurité de vos systèmes Windows 2000. En voici les éléments les plus importants:
- Use NTFS (Utilisez NTFS) . On n'insistera jamais assez sur l'importance de l'utilisation de NTFS pour la sécurisation des systèmes, puisque les systèmes FAT et FAT32 ne fournissent pas de permission d'accès aux fichiers.
- Disable unnecessary services (Désactivez les services non nécessaires) . Vous devez désactiver des services comme IIS, qui n'est pas utile sur chaque serveur, et Personal Web Server, qui n'est pas nécessaire pour chaque client. S'ils ne sont pas désactivés, ils risquent d'être ignorés par les procédures de correction et provoquer des problèmes par la suite.
- Use strong passwords and good user management (Utilisez des mots de passe efficaces et une bonne gestion des utilisateurs) . Ces deux recommandations sont liées. Définissez une politique de mots de passe efficace et surveillez votre base d'utilisateurs. Supprimez les anciens comptes, désactivez les comptes d'invités, etc.
- Set appropriate ACLs (Définissez les listes de contrôle d'accès (ACL) appropriées) . Par défaut, dans Windows, les zones de partage et les fichiers sont ouverts à tous. Mettez-y bon ordre ! Tout le monde n'a pas besoin de ce niveau d'autorisation d'accès qui met vos systèmes à la merci d'attaques.
- Stay current with patches (Actualisez les correctifs). Voir ci-après.
Une fois ces opérations terminées, que reste-t-il à faire?
Malheureusement, ce n'est pas fini. La réalisation des étapes recommandées par Microsoft et des vérifications n'est qu'un commencement. Assurer un environnement sécurisé à vos machines Windows 2000 est une tâche de chaque instant. Je vous suggère les actions suivantes, au minimum:
- Consultez régulièrement les sites Windows Update et Windows Update Corporate Site pour connaître les nouveaux correctifs disponibles.
- Abonnez-vous au bulletin de sécurité Microsoft qui vous permet de connaître immédiatement les points de vulnérabilité nouvellement détectés pour vos systèmes Windows 2000.
- Installez le service Critical Update Notification qui vous permet de savoir immédiatement qu'une nouvelle mise à jour importante est disponible.
- Exécutez régulièrement l'utilitaire Hfnetchk.exe pour vérifier que vous n'avez laissé passer aucune mise à jour. Utilisez-le en relation avec Qchain pour installer plusieurs mises à jour en ne relançant votre machine qu'une seule fois.
TechRepublic est le site d'information conçu pour la communauté des professionnels high-tech. Des techniciens support aux managers, tous y trouveront des articles et dossiers rédigés à leur attention par des professionnels du secteur, traitant de sujets allant de Windows aux messageries électroniques, en passant par les firewalls. TechRepublic propose également des analyses consacrées à l'industrie high-tech, des logiciels en téléchargement, des conseils, des forums de discussion, et des newsletters.