Vous êtes sur la page 1sur 17

Séance 11-Infrastructures de bureautique et serveurs

GESTION DES CONFIGURATIONS

 Normes de configuration
– Définir des normes de configuration pour chacun des postes de travail
 Système d’exploitation
 Logiciels par défaut
 Paramétrisation

– Tester, approuver et déployer les normes de configuration


– Déployer les configurations
 Outils: Symantec Ghost, EZManage, Landesk Management Suite, IBM – Tivoli (BigFix), Microsoft
SCCM, etc.
 Critères: OS, fonctionnalités, trafic réseau, etc.

 Configuration de l’OS
– Matériel (pilotes)
– Configuration réseau

 Paramètres de sécurité
– Profils d’utilisateurs (droits limités de l’utilisateur, droits d’administration)
– UAC (User Access Control)
– Chiffrement du disque dur
– Paramètres de l’écran de veille
– Mécanismes de gestion d’accès au poste (biométrie, token)

 Logiciels par défaut


– Logiciels de sécurité et configuration par défaut des logiciels:
 Antivirus / Protection contre les logiciels pernicieux
 Gestion des correctifs de sécurité, etc.
– Logiciels de productivité
 Suite bureautique (MS-Office, OpenOffice, etc.)
 VPN (client ou SSL)
Séance 11-Infrastructures de bureautique et serveurs

 Etc.

 Maintenir un inventaire continu des actifs bureautiques:


– Localisation du poste informatique
– Logiciels installés
– Matériel installé
– Utilisateur du poste de travail
– Taux d’utilisation des logiciels

GESTION DES CORRECTIFS DE SÉCURITÉ

 Correctifs de sécurité
– Déployer en temps opportun les correctifs de sécurité sur les postes
 Multiple/OS
 Gestion des clients intermittents (portables)
 Support du fournisseur
 Prises en charge de la distribution d’autres produits
 Inter-connexion avec d’autres produits ou architectures
 Mécanismes de distribution des correctifs (technique, actif/passif, push/pull, etc.)
 Analyse de conformité
 Remédiation, quarantaine, etc.
– Exemples de fournisseurs
 IBM – Bigfix
 MicrosoftSMS/SUS/WUS/SCCM
 Landesk, Patchlink
Séance 11-Infrastructures de bureautique et serveurs

 Assess
– Inventory Existing Computing Assets
 Identifying Hardware Types and Versions
 Identifying Operating System Types and Versions
 Identifying Applications and Middleware
 Determining Roles
 Understanding Connectivity
 Identifying Installed and Missing Software Updates
– Assess Security Threats and Vulnerabilities
 Identifying security standards and policies
 Determining how security policies and standards are to
be enforced
 Analyzing system vulnerabilities
 Identify
– Discover a New Software Update
 How you are notified of a new software update
 How you know you can trust the source and the notification
– Determine Whether Software Updates Are Relevant
 Reading Security Bulletins and KB Articles
 Reviewing Individual Software Updates
 Obtain and Verify Software Update Source Files
 Identifying and Verifying the Software Update
 Reviewing All Accompanying Documentation
 Ensuring That the Software Update Is Safe
 Verifying the Software Update Install Procedures
– Decide Nature of Software Update and Submit RFC

 Evaluate and plan


– Determine the Appropriate Response
 Prioritizing and categorizing the request
 Obtaining authorization to deploy the software update
– Determine who should be involved in the decision-making process.
– Review the change request, assess the risks and consequences of deploying the software update, and
select the most appropriate course of action.
– Identify who will be responsible for getting the software update deployed to all impacted systems
Séance 11-Infrastructures de bureautique et serveurs

– Plan the release of the software update.


 Determining what needs to be patched.
 Identifying the key issues and constraints.
 Building the release plan

– Build the release


 Develop the scripts, tools, and procedures, which the administrators will use to deploy the software update
into the production environment.

– Conduct acceptance testing of the release


 Acceptance testing allows developers and business representatives to check that updates work in an
environment that closely mirrors production and that business-critical systems will continue to run successfully
once the software update has been deployed.

 Deploy
– Prepare for deployment
 Communicating Rollout Schedule to the Organization
 Deployment Preparation
– Deploy a software update to targeted computers
 Advertising the Software Update to Client Computers
 Monitoring and Reporting on Deployment Progress
 Handling Failed Deployments

– Review the deployment, post-implementation


 Ensure that the vulnerabilities are added to your vulnerability scanning reports and security policy standards,
so the attack does not have an opportunity to recur.
 Ensure that your build images have been updated to include the latest software updates following the
deployment.
 Discuss planned versus actual results.
 Discuss the risks associated with the release.
 Review your organization's performance throughout the incident. Take this opportunity to improve your
response plan to include any lessons learned.
 Discuss changes to your service windows.
 Assess the total incident damage and costs, including both downtime and recovery costs.
 Create another baseline or update the existing baseline for your environment.
Séance 11-Infrastructures de bureautique et serveurs

ANTIVIRUS- PROTECTION CONTRE LES VIRUS INFORMATIQUE

 Mieux comprendre la menace


Séance 11-Infrastructures de bureautique et serveurs

 Les principales catégories de virus sont:


 Worms Chevaux de Troie (SubSeven(ILOVEYOU, MyDoom, Netsky)
 Logic Bombs (Michaelangelo, variantes de MyDoom)
 Macro
 Bots (Gaobot, Spybot, etc.)

 Les nouveaux types de virus


 Les nouveaux types de virus sont des virus qui peuvent être communiqués en ne visitant qu’une page Internet ou
en ouvrant un fichier sur Internet
– Par ActiveX, un programme est placé dans votre menu Start-up et s’exécutera au redémarrage.
– Par le biais d’un fichier malformé (PDF, Flash, etc.) qui s’exécute alors avec les privilèges de l’utilisateur
connecté
 Les virus polymorphe sont en mesures de changer leur propre signature automatiquement

 Faire un virus c’est pas si compliqué…


 Online virus generator (http://redcell.coolfreepage.com/Engle/imvm2.htm)

 Caractéristique du « Client-Antivirus »
– Interface multilingue
– Certification externe (ICSA Labs, etc.) et partenariat (NAC, etc.)
– Mécanismes de protection en temps réel
– Mécanismes d’analyse sur demande
– Mécanismes d’analyse au démarrage
– Mécanismes d’analyse planifiée
– Mécanismes d’analyse par heuristique
– Mécanismes d’analyse manuelle
– Mécanismes de blocage des scripts dangereux
– Mécanismes d’analyse des fichiers compressés
– Mécanismes d’auto-nettoyage des fichiers infectés et des modifications effectuées sur la configuration des postes par les
logiciels pernicieux
– Mécanismes de mise en quarantaine des fichiers infectés
– Mécanismes d’analyse des courriels entrant et sortant
– Mécanismes de pare-feu personnel
– Mécanismes de détection et de prévention des intrusions
– Mécanismes de protection empêchant l’arrêt du logiciel antivirus
– Mécanismes de détection dans le système de données alternatives (Alternate Data Stream)
– Mécanismes de détection des logiciels espions (spyware)
Séance 11-Infrastructures de bureautique et serveurs

– Mécanismes de détection des logiciels de prises de contrôle à distance (VNC, Radmin, etc.)
– Mécanismes empêchant la modification des paramètres par l’utilisateur, même s’il est administrateur du poste de travail

 Gestion / Suivi
– La solution dispose d’un outil de gestion centralisé
– La solution dispose d’un répertoire centralisé permettant la mise à jour des clients (postes, serveurs, etc.) à partir de ce
répertoire
– Mécanismes de mises à jour automatisées (le plus fréquemment possible) du répertoire
– Possibilité de forcer/pousser la mise à jour des clients
– "Rapport d’activité avec vision en temps réel de l’état du système et visualisation de statistiques ou de journal"
– Prise en compte des sous réseaux
– Détection des clients non protégés sur le réseau et des autres vulnérabilités affectant les clients en question
(rogues)
– Prise en compte des postes mobiles se connectant au réseau
– Quantité d’autres informations disponibles
– Prise en charge de la gestion de toutes les plates formes (Windows XP, Vista, Windows 7, Windows 2003, Windows
2008, Mac OSX, Linux).
– Possibilité d’administrer la configuration des postes clients à distance
– Système d’alerte et de prévention
– La distribution des définitions virales aux clients doit pouvoir supporter une fréquence régulière (1h – 24h)
– Les mises à jour des différents logiciels devront être fournies automatiquement de façon journalière
– La taille (volume) des différents types de mises à jour (urgence, régulière, etc.) de définitions virales est réduite
– Les demandes spécifiques (soumissions de nouveaux échantillons de virus) envoyées à l’éditeur ne devront pas
être limitées devront être traitée en moins de 24 heures
– Le taux d’utilisation du réseau ainsi que les protocoles utilisés lors des communications entre les postes clients et la
console centrale devront être définit précisément par le fournisseur et viser une utilisation sécuritaire et optimale du réseau

 Service
– Un support disponible (24 heures par jour, 7 jours par semaine, réponse en moins de 4 heures)
– Accès aux bases de connaissances du fournisseur sur les vulnérabilités détectées par sa solution
– Support de différents modes de communication (courriel, téléphone, web, etc.)
– Nombre d’employés du client ayant accès au soutien technique du fournisseur
– Accessibilité à des mécanismes de veille et d’alertes offerts par le fournisseur
– Disponibilité de soutien technique (sur le site ou non) durant la phase de déploiement
Séance 11-Infrastructures de bureautique et serveurs

 Stratégie globale de protection


– Passerelle de filtrage Internet
– Antivirus sur les serveurs de courriels
– Firewalls ou IPS évolués (UTM)
– Restriction des privilèges des utilisateurs (UAC et comptes invités)

VIRTUALISATION DES APPLICATIONS ET DES POSTES DE TRAVAIL

 Clients légers ou virtualisation de l’OS (Microsoft, VMWare, Citrix)


– Virtual Desktop Infrastructure
 Client se fait livrer l’OS et les applications
 Hébergés comme des VM distinctes et indépendantes
 Image personnalisable selon l’utilisateur ou son groupe
d’appartenance

– Terminal Server
 Client se connecte à l’OS du serveur

 Virtualisation des applications (Microsoft, VMWare, Citrix)


– L’OS est installé sur le client (XPe, Vista, Win7, etc.)
– Un “client” de virtualisation d’application est installé
– Un serveur livre les applications au poste (via le
réseau, en installation partielle ou complète, avec ou sans des DLL manquants
Séance 11-Infrastructures de bureautique et serveurs
Séance 11-Infrastructures de bureautique et serveurs

 Contrairement à la virtualisation des serveurs qui vise l’optimisation du CAPEX, la virtualisation des postes vise la
réduction de l’OPEX

 Pose des défis tels que:


– Coût de l’infrastructure centrale VS décentralisée
– Coût du stockage centralisé
– Coût des équipements
– Idem que virtualisation des serveurs pour les produits de sécurité

SUPPORT AUX UTILISATEURS


 Outils pour assister dans la mise en oeuvre
– FrontRange – Heat (certifié ITIL)
– BMC Software (certifié ITIL)

 Téléphonie particulière
– Call
Center (ex. IPCC de Cisco ou Unified Contact Center)
 File d’attente
 Acheminement d’appel (en fonction de la raison d’appel, de l’expertise des répondants, de la disponibilité des
répondants)
 IVR
 Intégration aux applications de Help Desk
 Mécanismes d’analyse de la qualité des appels
Séance 11-Infrastructures de bureautique et serveurs

 Tendances:
– Unifier le comptoir de service
– Bureaux de support dans des “citées” à rabais, mais bilingue
– Impartition dans les autres pays
Séance 11-Infrastructures de bureautique et serveurs

 Nature of help desk function (i.e., how requests for assistance are processed and assistance is provided) is effective

 Actual facilities, divisions or departments are performing the help desk function and the individuals or positions responsible for
the help desk

 Level of documentation for help desk activities is adequate and current


– Calls create a knowledge base
– Traceability
– Supporting evidence

 Actual process for logging or registering requests for service and use of logs exists

 Process for query escalation and management intervention for resolution is sufficient

 Time frame for clearing queries received is adequate

 Procedures for tracking trends and reporting on help desk activities exist

 Performance improvement initiatives are formally identified and executed

 Service level agreements and performance standards are being met

 User satisfaction level is periodically determined and reported


Séance 11-Infrastructures de bureautique et serveurs

TECHNOLOGIES DE PROTECTION DES SERVEURS

Gestion de la conformité

 Outils experts qui peuvent:


– Balayer le serveur pour découvrir des vulnérabilités (correctifs) avec ou sans droits d’accès
– Analyser la configuration et la comparer à des meilleures pratiques
– Effectuer un suivi de tendance et qualifier le risque selon des métriques personnalisables
– Effectuer un suivi du cycle de correction
 Des exemples d’outils:
– Plus complets
 McAfee Vulnerability Manager (Foundstone)
 Rapid7
 Symantec Control Compliance Suite Assessment Manager
 Microsoft System Center Operation Manager - Desired Configuration Management Pack

– Moins complets (traités dans la section des outils de tests manuels de sécurité):
 Newt
 Nessus
 Microsoft Security Baseline Analyzer
Séance 11-Infrastructures de bureautique et serveurs

Antivirus

 Antivirus sur un serveur est essentiel (particulièrement sur Windows)


– Il doit être configuré selon des politiques spécifiques avec une série d’exclusions
– Chaque manufacturier a ses propres spécifications
– Idéalement une version permettant de consolider les événements vers une autre console est à privilégier
 Impacts
– % CPU et de mémoire a un impact sur la virtualisation – Nouvelle tendance pour atténuer le problème
– Gestion des VM dormantes (test, DRS, etc.)

Firewalls et IPS locaux

 IPS (généralement en complément des suites antivirus) idéalement gérés par une console centrale
Séance 11-Infrastructures de bureautique et serveurs

 Firewalls : Intégré à la solution antivirus ou intégrée l’OS


– Linux – iptables
– Windows 2008 – Firewall bonifié et presque obligatoire
dans la plupart des déploiements (installation par défaut)

Gestion d’intégrité

 Outils de surveillance des changements


– Tripwire
– McAfee Change Control
Séance 11-Infrastructures de bureautique et serveurs

 Outils de protection de l’intégrité


– McAfee AppControl
– Bit9 Parity
– Core Trace Bouncer
– Microsoft AppLocker

 Basé sur le whitelisting d’applications


– Réduction de la RAM et du CPU
– Nécessite davantage de tuning pour les environnements hétérogènes

Gestion des correctifs

 Outils permettant :
– Déploiement d’images
– Validation de la configuration
– Déploiement de configurations
– Déploiement de correctifs
– Déploiement de logiciels

 Exemples d’outils:
– Microsoft SCOM (System Center Configuration Manager)
– IBM – Bigfix
– LanDesk Management Suite
– Patchlink
Séance 11-Infrastructures de bureautique et serveurs

Tests manuels de vulnérabilités

 Outils de scan de vulnérabilités


– Nikto – Scan de vulnérabilités Web
– Nessus – Scan de vulnérabilités serveurs
– Metasploit – Tests d’intrusions
– Microsoft Security Baseline Analyzer – Validation de la configuration Microsoft
– CoreImpact – Tests d’intrusions

Consolidation des logs


 Consolidation des événements de sécurité dans les corrélateurs d’événements (RSA – Envision, ArcSight, Q1-Labs, etc.)
 Consolidation des événements serveurs dans différents outils tels que:
– System Center Operation Manager
– Splunk
– NetIQ
– Tivoli
– Etc.

Vous aimerez peut-être aussi