=========================================== Réunion OSSIR groupe sécurité Windows Lundi 12 mai 2003 =========================================== Ordre du jour : 1- Présentation du produit Enterprise Security Manager (Emmanuel TACHEAU / Symantec) 2- Le Spyware dans Windows XP (Nicolas RUFF / EdelWeb) 3- Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== 1- Présentation du produit Enterprise Security Manager (Emmanuel TACHEAU / Symantec) ==================================================== ESM est un outil de gestion centralisée de la sécurité informatique, qui a maintenant 10 ans d'existence. Ce produit a été développé initialement par la société AXENT. Le plan de support du produit prévoit au moins encore 2 ans de durée de vie. Ce produit est bâti sur une architecture 3-tiers : - Des agents sur les postes, avec 26 OS supportés. Les agents sont regroupés par "domaines" logiques (indépendants de la notion Windows de domaine). - Des "managers" qui centralisent les informations recueillies dans le domaine. - Des consoles MMC d'administration. Les communications entre tiers sont chiffrées par DESX. La définition de la politique de sécurité est organisée selon l'ISO 17799 et suit 3 grands axes : - Politique de sécurité utilisateur (mots de passe, permissions) - Politique de sécurité applicative (produits) - Politiques "ad-hoc" (destinées à lutter contre des risques spécifiques - ex. Nimda) Le produit est livré avec des politiques prédéfinies ("best practices"), non modifiables car sous forme de fichiers binaires. L'utilisateur peut régler les valeurs des paramètres au sein des politiques prédéfinies, et en ajouter de nouvelles (correspondant par exemple à des produits spécifiques du parc). Symantec met également à jour les politiques via LiveUpdate, en fonction de nouvelles menaces identifiées. La définition de chaque politique s'appuie sur des modules (tels que base de registre, système de fichiers, etc.) scriptés à l'aide d'un langage baptisé ICE (Integrated Command Engine). Les fichiers de script correspondant portent l'extension ".RS5". Le produit permet également de générer la panoplie habituelle de rapports dans divers formats standard, afin de suivre le niveau global de la sécurité et de définir des axes d'amélioration. Dans le cadre de la mise en cohérence de son offre, Symantec s'apprête à intégrer ESM dans une gamme plus large comprenant : - SIM (Symantec Incident Manager) - SVA (Symantec Vulnerability Assessment) - SHIDS (Symantec Host Intrusion Detection System) - Etc. La nouvelle architecture baptisée SESA (Symantec Enterprise Security Architecture) communique via HTTPS avec tous les produits "SESA-enabled" afin de centraliser les informations recueillies, dont ESM 6 qui sera "SESA-enabled". Toutes les fonctions d'administration et de reporting seront accessibles via SESA et une interface Web. Q. Comment est intégré l'ISO 17799 dans le produit ? R. L'ISO intervient dans la catégorisation des paramètres de sécurité. La norme ISO étant postérieure à la conception du produit, celui-ci ne l'intègre pas nativement. Q. Le chiffrement DESX est un chiffrement symétrique, y a-t-il une clé "en dur" dans le produit ? R. Ne sais pas. Q. Dans un domaine Windows, quel est l'intérêt de ce produit par rapport aux GPO ? R. Le nombre d'OS supportés, le type de paramètres réglables par l'utilisateur, la prise en compte des application tierces, la possibilité de générer des rapports, les fonctions de détection d'intrusion ... ESM et GPO ne sont pas comparables. A noter toutefois que les outils Microsoft sont probablement plus performants pour gérer du Microsoft. Q. Quelle est la différence entre SVA et ESM ? R. SVA est un scanner de vulnérabilités hybride, tandis que ESM est un outil de gestion des risques : il ne donne donc pas les patches manquants, les ports ouverts et ce type d'informations techniques. Q. Quel est l'avenir de NetRecon ? R. Ce scanner de vulnérabilités réseau ne sera pas intégré à SESA et sera donc probablement abandonné. Q. Le module "base de registre" gère-t-il le contenu de la ruche HKCU ? R. A priori non puisque l'agent s'exéute sous le compte SYSTEM indépendamment de l'utilisateur loggué. Q. Le produit est-il "schedulable" ? R. Oui pour les audits. Il est possible d'obtenir une notification lorsque de nouveaux rapports sont disponibles. Q. Les politiques prédéfinies sont-elles documentées ? R. Oui, il existe un fichier PDF sur le site de Symantec. Q. Est-il possible de télécharger une version d'évaluation du produit ? R. Non l'installation est trop complexe, mais Symantec peut organiser une présentation. Q. Quelle est la complexité de mise en oeuvre ? R. 10 minutes pour l'installation, 1 heure pour la mise en oeuvre des politiques par défaut, difficile à dire pour la mise en oeuvre de politiques personnalisées. Par exemple La Poste a mis 6 mois pour définir le référentiel et déployer 2000 agents. A noter que Symantec offre un support 24/24 en français mais ne travaille pas "en direct" avec les clients. ==================================================== 2- Le Spyware dans Windows XP (Nicolas RUFF / EdelWeb) ==================================================== Microsoft fait naitre de nombreuses angoisses quant au respect de la vie privée de l'utilisateur Windows, renforcées par le contexte sécuritaire actuel et des nouveautés telles que l'activation de Windows XP ou NGSCB. Force est de constater que Windows XP se connecte effectivement souvent de manière impromptue à Internet, l'objectif de cette présentation étant de montrer pourquoi. Le document de référence en la matière a été publié par Microsoft et s'intitule "Using Windows XP Pro SP1 in a Managed Environment : Controlling Communication with the Internet". Les principaux accès réseau passés en revue sont : - L'autodétection de la configuration réseau (à l'installation et en fonctionnement nominal) - L'activation de Windows (à ne pas confondre avec l'enregistrement du produit) - Explorer.exe - Le système "aide et support" - WindowsUpdate - Le rapport d'erreur - Microsoft Passport - Internet Explorer et en particulier la gestion des logins/mots de passe (logins HTTP et applicatifs) - NTP - Media Player - Windows Messenger - Office XP Il resterait encore de nombreux sujets à aborder (cités dans le document Microsoft) tels que : les jeux en ligne, UPnP, Netmeeting, etc. De tout celà il ressort que : - Les informations transmises sont peu critiques d'un point de vue confidentialité (ex. version de Windows, langue), mais mises bout à bout ces informations représentent un superbe outil de marketing personnalisé. - Les protocoles et niveau de protection utilisés sont très hétérogènes. - Les sites appellés sont nombreux (pas seulement Microsoft.com) et donc difficilement filtrables de manière exhaustive. - Chaque application peut être paramétrée individuellement pour ne pas accéder à Internet (cf. outil "XP AntiSpy"). - La meilleure défense reste une configuration invalide du proxy, configuration partagée entre tous les outils Windows standard. Certaines applications telles que Mozilla gèrent leurs propres paramètres et ne sont pas impactées. ==================================================== 3 - Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. La prochaine réunion du groupe est fixée au lundi 2 juin 2003. Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement. ==================================================== 4 - Réponse et compléments de Microsoft sur la présentation n°2 (Cyril VOISIN / Microsoft France) ==================================================== 1. Compte SUPPORT_388945a0 dans Windows XP ------------------------------------------ Ce compte est en particulier documenté dans le guide "Threats and countermeasures : Security Settings in Windows Server 2003 and Windows XP" (http://microsoft.com/downloads/details.aspx?FamilyId=1B6ACF93-147A-4481-9346-F93A4081EEA8&displaylang=en) : "Note: The Support_388945a0 account enables Help and Support Service interoperability with signed scripts. This account is primarily used to control access to signed scripts that are accessible from within Help and Support Services. Administrators can use this account to delegate the ability for an ordinary user, who does not have administrative access over a computer, to run signed scripts from links embedded within Help and Support Services. These scripts can be programmed to use the Support_388945a0 account credentials instead of the user's credentials to perform specific administrative operations on the local computer that otherwise would not be supported by the ordinary user's account. When the delegated user clicks on a link in Help and Support Services, the script will execute under the security context of the Support_388945a0 account. This account has limited access to the computer and is disabled by default." En résumé : le compte Support_xxxxxxxx est utilisé par les OEM pour pouvoir faire du support à distance (exécution d'un script signé dans un contexte autre que celui de l'utilisateur). Il dispose de privilèges minimum pour faire tourner les scripts (il n'est pas admin par ex. et n'a pas le droit d'être utilisé en réseau, pas le droit d'ouverture de session interactive et ne sert qu'au logon comme batch dans la version Microsoft). Ce compte n'est activé que lorsqu'il a besoin d'être utilisé et sur une période très courte. Son mot de passe est changé par le composant Centre d'aide et de support à chaque lancement et ne peut donc être utilisé que par ce composant. Ce compte peut être supprimé (A ma connaissance, dans la version Microsoft de Windows XP, il n'y a aucun script signé. Pour une version OEM, à voir directement avec le fournisseur; le nom sera Support_ avec une terminaison spécifique par OEM). 2. Différences entre le service BITS et UploadMgr et API disponible ------------------------------------------------------------------- Le service BITS (Service de transfert intelligent en arrière-plan; Utilise la bande passante réseau inactive pour transférer des données) est utilisé par AutoUpdate (cf guide Securing Windows 2000). Il s'agit de communications entre le poste et un serveur HTTP. UploadMgr (Gestionnaire de téléchargement; Gère les transferts de fichiers synchrones et asynchrones entre les clients et les serveurs sur le réseau). Il est utilisé par l'aide en ligne sur les pilotes et la protection contre les pilotes connus comme étant incompatibles (cf Controlling Online Device Help to limit the flow of information to and from the Internet et Controlling Driver Protection to limit the flow of information to and from the Internet du document sur lequel vous vous êtes basé pour faire votre présentation, Using Windows XP Professional with Service Pack 1 in a Managed Environment: Controlling Communication with the Internet). Le document susmentionné documente bien ces deux services : "Background Intelligent Transfer Service The Background Intelligent Transfer Service (BITS) is a background file transfer mechanism and queue manager. BITS transfers files asynchronously between a client and an HTTP server. By default requests to BITS are submitted and the files are transferred using otherwise idle network bandwidth so that other network related activities, such as browsing, are not affected. BITS suspends the transfer if a connection is lost or if the user logs off. The BITS connection is persistent, transferring information while the user is logged off, across network disconnects, and during machine restarts. When the user logs on, BITS resumes the user's transfer job. BITS uses a queue to manage file transfers. You can prioritize transfer jobs within the queue and specify whether the files are transferred in the foreground or background. Background transfers are optimal in that BITS uses idle network bandwidth to transfer the files and will increase or decrease the rate, or throttle, at which it transfers files based on the amount of idle network bandwidth available. If a network application begins to consume more bandwidth, BITS decreases its transfer rate to preserve the user's interactive experience. BITS provides one foreground and three background priority levels that you can use to prioritize transfer jobs. Higher priority jobs preempt lower priority jobs. Jobs at the same priority level share transfer time and round – robin scheduling prevents a large job from blocking the transfer queue. Lower priority jobs do not receive transfer time until all higher priority jobs are complete or in an error state. BITS can be demand – started when set to manual and the first job is submitted. When all outstanding jobs are completed, the BITS service stops. If the service is stopped, features such as Automatic Update will be unable to automatically download programs and other information until the BITS service has started restarts. This means that the computer will also be unable to receive automatic updates from the corporate Software Update Services if one has been configured via group policy. If you disable this service, any services that explicitly depend on this service will fail to transfer files if they do not have a fail – safe mechanism to transfer files directly through other methods such as Internet Explorer." "Upload Manager The Upload Manager system service manages the synchronous and asynchronous file transfers between clients and servers on the network. Driver data is anonymously uploaded from customer machines to Microsoft then used to help users find the drivers required for their systems. The Microsoft Driver Feedback Server asks the client's permission to upload the computer's hardware profile and then search the Internet for information about how to obtain the appropriate driver or get support from Microsoft or a third party. Information uploaded from your computer for the purposes of finding driver information will include the hardware identification numbers for the device, the time the Windows Hardware Wizard finished, and an ID for the Windows operating system you are running. The system information uploaded cannot be tracked to a user, computer, corporation, IP address, or any other source information. The collected data will be used to track which devices do not have easily obtainable drivers. If additional device driver information exists, it will be available after the device identification number is uploaded. If additional driver information is not available, Microsoft will record the device's identification number in order to work with hardware vendors to increase the availability of drivers necessary to run devices on Windows, or provide information about driver availability and device support. If the Upload Manager service is stopped, synchronous and asynchronous file transfers between clients and servers on the network will not occur. If this service is stopped or disabled, any services that explicitly depend on this service will not start." 3. DPAPI : éléments intervenants dans le chiffrement (outre le mot de passe utilisateur) et rôle de la Master Key ----------------------------------------------------------------------------------------------------------------- Le document suivant vous en donne la description et devrait répondre à vos questions : http://msdn.microsoft.com/library/en-us/dnsecure/html/windataprotection-dpapi.asp (section key relationships). 4. Composant "Alexa" détecté par AD-Aware dans l'installation standard de IE 6 ------------------------------------------------------------------------------ Le composant Alexa fourni dans IE depuis plusieurs versions n'est pas un logiciel espion (je ne me prononce pas pour d'autres logiciels que pourrait faire cette société car je ne les connais pas). Ce composant n'est invoqué que si vous cliquez sur Outils/Afficher les liens apparentés. Quand vous demandez les liens apparentés à la page que vous visitez, l'URL est envoyée à Alexa qui en retour fourni une liste d'URL associées. Si vous ne cliquez pas sur ce menu, Alexa n'est pas contacté et aucun "espionnage" n'a lieu. 5. Option 249 dans DHCP : classless static route ------------------------------------------------- Cette option permet à un serveur DHCP d'entreprise de spécifier pour un scope donné les routes vers d'autres sous-réseaux. Les paramètres sont la destination, le masque et le routeur. 6. ACL sur HKCU\...Run ---------------------- Pour la mise en place par stratégie d'une ACL sur la clé Software\Microsoft\Windows\CurrentVersion\Run de chaque utilisateur sans avoir à connaître leurs SID, avez-vous essayé en indiquant le SID générique INTERACTIVE ? 7. Corporate Error Reporting ---------------------------- http://oca.microsoft.com/en/cerintro.asp pointe vers la source de l'installation http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=F874D4B4-E02C-4185-8A73-9EDC4AFDD1FA. Une nouvelle version sera disponible en juin. L'outil ACTUEL est disponible à l'adresse suivante: http://www.microsoft.com/office/ork/xp/appndx/appa19.htm Il s'installe sur chaque poste client (c'est une mise à jour de l'outil de rapport d'erreur existant) et peut être configuré pour rediriger les rapports d'erreurs vers un serveur de fichier d'entreprise. Des détails sur l'utilisation sont disponibles à l'adresse suivante: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/office/officexp/maintain/CrpErRep.asp Cordialement, Cyril Voisin Microsoft France