====================================================== Réunion OSSIR groupe sécurité Windows Lundi 11 mars 2002 ====================================================== Ordre du jour : 1 - Présentation de l'audit dans Windows 2000 par Nicolas RUFF (Edelweb) 2 - Présentation des tendances virales par Pierre MORENO (Trend Micro France) 3 - Présentation du logiciel AbsoluteBoot par Gilles MICHEL (APCT) 4 - Revue des vulnérabilités récentes ====================================================== 1 - Présentation de l'audit dans Windows 2000 par Nicolas RUFF (Edelweb) En préambule, il faut savoir que les éléments présentés par la suite sont inspirés d'une investigation après incident réelle menée dans un domaine d'environ 5000 postes NT/2000 avec 7 contrôleurs de domaine Windows 2000. Cette présentation ne couvre que la génération et l'exploitation du journal "sécurité" sur des contrôleurs de domaine Windows 2000, ce qui représente une source d'information facilement exploitable et néanmoins relativement exhaustive et représentative de l'activité dans un domaine. La mise en place d'audit sur des serveurs applicatifs, voire sur les postes de travail, demande une infrastructure beaucoup plus lourde. Cette présentation comprend 5 volets : a - A quoi peut servir l'audit ? L'audit permet la détection (en temps réel ou a posteriori) d'activité anormale et l'investigation d'incidents de sécurité. Il peut aussi être utilisé à des fins de dépannage ou pour la constitution de preuves judiciaires. b - Les principes techniques de l'audit, permettant d'en appréhender les limites et les informations exploitables. En ce qui concerne le journal "sécurité", les événements qu'on y trouve sont issus de sources (peu nombreuses) enregistrées auprès de la LSA. Il existe 9 rubriques d'événements, activables indépendamment dans la stratégie d'audit. Il n'existe malheureusement aucun niveau de granularité supplémentaire, sauf pour l'accès aux objets. Les journaux binaires générés par le système doivent nécessairement être exportés sur la machine qui a servi à les générer (même OS, même langue, même niveau de Service Pack) car une édition de lien dynamique est réalisée lors de la visualisation/exportation. c - La stratégie à mettre en place et les événements utiles à surveiller. Avant tout il est indispensable que chacun utilise des comptes nominatifs et individuels, non des comptes génériques (comme "administrateur"). La stratégie d'audit proposée est : tout auditer en succès/échec, sauf "suivi de processus" et "accès au service d'annuaire". Les événements à filtrer (bruit), ceux à archiver et ceux à surveiller sont ensuite détaillés par l'orateur (se reporter à la présentation). d - Une stratégie d'exploitation des journaux, ou comment extraire une information pertinente dans la masse d'informations générées. La solution proposée consiste à extraire régulièrement, consolider (entre les différents DC) et centraliser les journaux dans une base SQL pour être plus facilement exploitables. Des filtres anti-bruit doivent être appliqués compte-tenu de la volumétrie importante des journaux (environ 50 Mo par serveur et par jour dans le cas réel rencontré, dont 20% de bruit). Il est inutile de conserver les événements courants (comme l'ouverture de session) accessibles en ligne plus d'un mois, ce qui permet d'améliorer les performances SQL. Par contre les événements "rares" comme l'ajout de comptes dans le groupe "administrateurs de domaine" doivent rester accessibles pour permettre une reconstitution rapide d'historique. e - Les limites des mécanismes d'audit intégrés, et les solutions tierces. * Le bruit généré (ex. connexion des comptes machine et des outils de monitoring) * La fiabilité relative du journal (il peut être purgé ou altéré par un administrateur) * L'exploitabilité réelle des journaux (toutes les informations utiles n'apparaissent pas dans le même événement et de nombreux croisements sont nécessaires) Q : Les outils tiers cités en annexe ont-ils été exploités, sachant que des évaluations de ces outils (réalisées par le participant) ont très rapidement mis en évidence leurs limites ? R : Non, compte-tenu de l'urgence de la situation les outils utilisés ont été DUMPEL, GREP/PERL, et Access. Remarque d'un participant : Il existe d'autres outils de consolidation permettant de croiser les journaux système de Windows avec le journal IIS et d'autres outils comme les routeurs CISCO, qui donnent de bons résultats. ====================================================== 2 - Présentation des tendances virales par Pierre MORENO (Trend Micro France) Pierre MORENO ayant eu un empêchement, c'est Monsieur Igor SYROVATSKI qui le remplace et qui effectue une présentation commerciale de la gamme de produits Trend Micro (se reporter aux transparents). Q : Le produit antivirus "wireless" a-t-il un lien avec la technologie 802.11 ? R : Non, il est destiné aux PDA de type Palm. Q : Combien de virus ActiveX et Java existent et sont détectés par le filtre AppletTrap ? R : Ce produit effectue un filtrage sur la base de l'URL et ne détecte pas de virus à proprement parler. ====================================================== 3 - Présentation du logiciel AbsoluteBoot par Gilles MICHEL (APCT) Le TCO d'un système comprend trois paramètres : * Achat de matériel et de licenses * Budget annuel (maintenance, support, consommables) * Coûts intangibles (ex. attaques virales) L'objectif du produit AbsoluteBoot est de diminuer les coûts de maintenance et éventuellement les coûts intangibles, en offrant une plateforme "indestructible". Le principe de fonctionnement est le suivant : un "loader" charge une image du système préinstallé en mémoire. Tous les accès disques en écriture sont en suite redirigés en mémoire. Aucune modification n'est permanente : dès le redémarrage du système, celui-ci est rechargé à partir de l'image d'origine. Les avantages immédiats du produit sont : * Diminution des interventions de maintenance : l'utilisateur n'a qu'à redémarrer son poste pour retrouver une configuration "saine" * Protection antivirus du poste : aucun fichier système ne peut être altéré Dans le détail, le fonctionnement du produit est le suivant : * L'outil de création d'image est installé sur un poste de référence. Grâce au module baptisé "spy", cet outil détermine les fichiers système indispensables et crée une image d'installation allégée et compressée. Le temps de création d'une image complexe est de l'ordre d'une semaine de travail. * L'image est distribuée sur les postes clients. Les modes de démarrage supportés sont : disque dur, disques amovible (ZIP, CD-ROM), ou réseau (cette dernière option n'est toutefois pas pérenne compte-tenu de la stratégie d'évolution du produit). Applications possibles : * Mise en place de postes en libre-service ou de bornes * Kit d'intervention pour le support technique * Réalisation de clients légérs incluant un client Citrix Les OS supportés sont : * Windows NT4 (les images sont alors très dépendantes du hardware) * Windows 2000 (supporte beaucoup mieux les différents hardware) * Windows XP (expérimental) Q : Quelle est la configuration minimale requise ? R : Compte-tenu des configurations existantes lors du début du développement, le produit a pour cible minimale un P-166 / 32 Mo de RAM. Il convient de noter que la performance du système est sensiblement la même sur disque et en mémoire. La compression/décompression à la volée consomme un temps CPU infime. Q : Comment sont gérées les données locales persistentes comme le profil utilisateur ou les journaux d'événements ? R : Dans le cas d'un profil itinérant le problème ne se pose pas. Sinon il est possible de créer des partitions supplémentaires sur le disque dur puis de les monter comme des lettres de lecteur afin de stocker des données persistentes localement. Q : Est-il possible de gérer des données persistentes non déplaçables sur une autre partition comme la base de registre ? R : Un patch a été développé suite à une demande de client. AbsoluteBoot crée un espace de stockage sur le disque dur et enregistrer les modifications de la base de registre. Note : cet espace peut aussi contenir le fichier "swap" du système. Q : Comment le produit est-il accepté par les utilisateurs ? R : Le produit est généralement bien accepté. Il est vrai que chez un client, le produit a été refusé pour des raisons uniquement politiques, suite à la pression des syndicats. Toutefois AbsoluteBoot autorise le multiboot sur d'autres systèmes et peut ainsi cohabiter avec d'autres environnements, personalisables par les utilisateurs. Q : Existe-t-il un mécanisme d'authentification des images ? R : Non, il est possible de booter sur n'importe quelle image installée sur le disque dur, même si celle-ci provient d'une source "non fiable". Q : Quel est le positionnement du produit AbsoluteBoot par rapport à ses concurrents ? R : VMWare présente l'avantage d'être plus simple à mettre en oeuvre initialement, toutefois les images générées sont plus difficilement utilisables et distribuables sur un parc de postes de travail. Ghost autorise effectivement la réplication d'une image au démarrage du poste, mais là encore le produit AbsoluteBoot se positionne en termes de facilité d'administration et de légèreté des images. Q : Comment est géré le problème du SID ? R : Ce problème n'a pas été résolu, et d'ailleurs le contrat de license Microsoft interdit toute modification du SID par des tiers. Toutefois l'unicité du SID n'est pas réellement indispensable au fonctionnement du poste, même en domaine. Q : Comment est géré le problème de la clé d'activation dans Windows XP ? R : Le support de Windows XP est encore expérimental. Q : Où se trouve le point d'entrée dans le système ? R : Au départ, AbsoluteBoot s'interface au niveau cluster dans le BIOS, puis s'installe en tant que driver Win32 sous Windows. ====================================================== 4 - Revue des vulnérabilités récentes par Nicolas RUFF (EdelWeb) Les bulletins de sécurité MS02-005 à MS02-013 sont passés en revue. Les participants n'ont aucun commentaire.