Dans le chapitre précédent, vous avez appris à réduire la surface d’attaque concernant les utilisateurs. Je vous propose de réduire les deux autres catégories de surfaces d’attaques : les systèmes et les logiciels !
Durcissez vos systèmes
Cette partie va vous permettre de comprendre les enjeux de la réduction des vulnérabilités des systèmes ! Ce point est primordial car c’est souvent, après les utilisateurs, le moyen le plus utilisé pour lancer une attaque !
La première action à mener est de maîtriser les versions des systèmes présents au sein de votre réseau ! Idéalement, il faut que vous configuriez les postes vous-même afin d’en maîtriser la configuration. Là encore, Active Directory va vous permettre d’identifier les postes mal configurés ou encore les postes apportés par les utilisateurs eux-mêmes. Pour cela, il va falloir activer les journaux d’audit, toujours via une GPO. Ainsi, Active Directory va pouvoir répertorier tous les accès à des objets que ces accès soient faits par des postes du domaine ou par des postes hors domaine !
Une fois que vous avez identifié ces postes, il ne vous reste qu’à les bannir de votre réseau ou d’avoir une politique BYOD (Bring Your Own Device, littéralement apportez votre propre matériel).
Pour les postes du domaine, vous avez vu que de nombreux paramètres sont disponibles nativement par les GPO.
Attention toutefois aux systèmes Linux qui ne peuvent pas bénéficier de toutes les fonctionnalités, je vous conseille pour ces postes d’avoir une approche différente notamment en suivant le cours Créez et exécutez des scripts à l’aide d’Ansible.
Vous pouvez grâce à Active Directory apporter une configuration renforcée des systèmes d’exploitation que vous souhaitez gérer grâce aux GPO.
Isolez vos contrôleurs de domaine
Autre possibilité de durcissement : l’interdiction de surfer sur internet sur les contrôleurs de domaine. C’est souvent une option pratique pour bien des raisons, mais il suffit de télécharger un installeur contenant un malware pour compromettre la sécurité de votre domaine. Pour cela plusieurs solutions existent. La première consiste à mettre en œuvre des règles de pare-feu au niveau des contrôleurs de domaine via le pare-feu avancé de Microsoft.
Pour pouvoir atteindre tous les contrôleurs de domaine, je vous conseille de mettre en œuvre une GPO pour déployer les règles d’interdiction d’accès à internet. Vous pourrez bloquer les flux vers les ports 80 et 443 vers tous les hôtes et réseaux distants.
Autre possibilité, le blocage au niveau du pare-feu d’entreprise. Plus spécifiquement, vous n’allez autoriser l’accès à internet que via la plage d’adresse IP dédiée aux postes clients et à eux uniquement.
Dans le meilleur des cas, vous n'utiliserez que l’accès à internet via un serveur proxy qui centralisera les requêtes sur internet et pourra, par exemple, filtrer certains sites ou effectuer une analyse antivirale avant de vous envoyer la réponse des serveurs que vous souhaitez consulter.
Maîtrisez la distribution des logiciels
Une autre possibilité offerte par Active Directory est le déploiement de logiciels. Cela vous permet de fournir des logiciels à vos utilisateurs sans avoir à passer sur chaque poste, mais aussi de suivre l’utilisation des licences, dans le cas de logiciels propriétaires.
Cela se passe également au niveau des GPO. Ici deux stratégies possibles :
Installer des logiciels en fonction des ordinateurs
Installer des logiciels en fonction de profils d’utilisateurs
La seule contrainte est de disposer d’un logiciel qui s’installe via un fichier MSI. Une fois que vous disposez de ce type d'installation, vous pouvez décrire le mode de déploiement via la GPO en fonction des critères que vous aurez décidés !
Bien que pratique, cette méthode est toutefois peu utilisée dans les grands réseaux. Il est en effet judicieux de s’appuyer sur un logiciel tiers dédié à cette utilisation afin, notamment, de gérer tous les types d’installeurs. Par exemple, Microsoft préconise l’utilisation de System Center Configuration Manager, qui permet cela ou des outils d’autres éditeurs tels que LanSweeper ou Desktop Central de Manage Engine.
Stoppez l’utilisation de certains logiciels
Vous pouvez également bloquer le lancement de certaines applications via Applocker. Cette technologie conçue par Microsoft permet de mettre en œuvre des règles sur les programmes exécutables sur un système Windows.
Par contre, il est possible de mettre en œuvre simplement une stratégie de restriction logicielle, appelée SRP via les GPO. Pour cela il vous faut créer une GPO, comme vous savez le faire à présent et vous rendre dans la partie Configuration Ordinateur puis paramètres de sécurité, comme ceci :
Vous observerez que vous pouvez mettre en œuvre une nouvelle stratégie en effectuant un clic droit sur le dossier Stratégies de restriction logicielle.
Une fois que vous avez déclaré votre nouvelle stratégie de restriction, 5 nouveaux éléments apparaissent alors :
Niveaux de sécurité
Règles supplémentaires
Contrôle obligatoire
Types de fichiers désignés
Éditeurs approuvés
Ces éléments de configuration de votre stratégie vont vous permettre de définir finement les droits d'exécution des logiciels sur les postes qui seront visés par la GPO. Vous disposerez alors par défaut de 3 niveaux de sécurité pour votre stratégie :
Enfin, toujours par défaut, vous aurez deux emplacements à partir desquels il n’y aura pas de restriction :
Vous pourrez ainsi éviter que vos utilisateurs ne puissent lancer des exécutables à partir du répertoire Téléchargements par exemple !
Avant de vous laisser durcir vos postes, je vous propose d’observer comment vous pouvez aller encore plus loin dans la sécurisation d’Active Directory avec la lecture de ce guide Microsoft.
En résumé
Durcir un système permet d’en assurer la maîtrise dans le temps au sein d’un réseau
Maîtriser les logiciels présents sur un réseau permet de s’assurer que les logiciels sont sains et validés par le Responsable de la sécurité
Il est possible de spécifier des emplacements précis pour le lancement d’exécutables
Il est conseillé de bloquer l’accès à internet pour les contrôleurs de domaine