--- title: ACDA - 3 description: Maintien en condition de sécurité Firewall Administration sécurisée tags: ACDA, moemoea.fierin --- {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:acda:3-windows-ad-epita.pdf %} # Maintien en condition de sécurité Firewall Administration sécurisée ## Généralités Garantir un niveau de sécurité minim en appliquant des corretif de secu et en mettant en place des antivirus: c'est comme ca qu'on voit le MCS ujourdhuit. Windows Update: permet de beneficier de toutes les MAj critique pour garantir le niveau de securité minimum ## Windows Updates: type de ce sont les Maj critique: ce qui est en rouge cest ce qui est fortement recommandé. Les diff type de Maj de microsoft: - critical update - security update - security only quality update - Update - feature pack - update rollup - monthly rollup - service pack Ce sont les updates qu'il faut appliquer au plus vite. **Sur Windows 10** Particularite depuis Windows 10: il eiste deux cannaux (SAC et LTSC) de MaJ. - SAC: Semi Annulual channel - LTSC: Long term servicing channel Service ## Bulletin de sécurité et article KB ## Cycle de vie Microsoft passe sur un cycle de vie de 10 ans au maximum qui se decoupe en 5 ans de suppot principal et 5ans de support etendu Au delà des 5ans on aura a coup un support lié a la sécurité. Il faut payer pour beneficier de nouveau correctifs liés a la sécurité (beneficiable que par les entreprise qui payent) --- Les version server de windows: dans le tableau on a les dates de fin de support annoncé par microsoft. ![](https://i.imgur.com/CQ9GFtC.png) Idem pour les autres ## Architecture La maj de nos sys va passer par windows updates: - WUA (Windows update Agent): cet agent va etre amener a determiner quelles sont les MAj necessaire et il va telecharger et installer les MAJ sur les machines. Le fait de passer par un sevrer windows update: peut consommer de la bande passante: ca peut etre interessant d'utiliser qqchose d'heberger localement : WSUS. - WSUS: on a la posssibilite de travailler sur des grosses structure de repartir la charge sur WSUS (server en cascade). - On peut chainer les server WSUS en cascade. - On peut aussi travailler en mode deconnecter. On deconnecte le server WSUS une fois qu'il a recuperer les updates (permet de faire un test d'innocuite pour s'assure qu'il n'y ai pas de code malvaillant dans ns MAJ) Avec WSUS On peut select les MAJ qu'on veut recup (on fait nos courses). une fois ces MAJ recup, on peut creer des groupes de machines, et enfin approuver ou non les correctifs ou non qu'on a recups sur les service windows update (on peut ausis les approuver automatiquement mais ce n'est pas recommander => On fait le sacrifice des tests préalables) --- D'autres solutions de deploiement de correctif - Outil d’installation en « mode autonome » : wusa.exe - SCCM - System Center Configuration Manager • Produit payant • Gestion de grands parcs • Fonctions supplémentaires : – Gestion des correctifs – Inventaire matériel et logiciel – Prise de main à distance – Télédistribution d’application - MBSA – Microsoft Baseline Security Analyzer • Analyse de l’état de sécurité du système jusqu’à Windows 8.1 et Server 2012 R2 • Guide dans la remédiation • Mode offline ou inline; on peut recuperer un catalogue de correctif en mode offline • Compatible MU, WSUS, SMS, SCCM :::info MBSA: permet de faire un etat des lieux de l'etat de securite d'un systeme (est ce que le sys est bien param, ajour en terme de secu, comment corriger le tire les correctifs a installer, on peut demande a MBSA de recupere les MAJ selon la politique mise en place, il peut fonctionner en mode offline) ::: ## Antimalware Pour maintenir un sys en condition de securite. Il y'en a un fournit chez microsoft: - Microsoft Windows Defender AntiVirus - Windows 8.1 et Windows 10 • Disponible et activé par défaut - WindowsServer2012R2 - Disponible et activé uniquement en Server Core - Endpoint Protection with Configuration Manager (SCCM) - WindowsServer2016 • Fonctionnalité à activer si on installe un autre antivirus widnows defender laissera un peu la main a l'autre antivirus et sera limiter dans ses actions Un antivirus n'arretera jamais compltement un virus s'il n'st pas dans la base de donnée. Rien n'est sur concernant la protection antimalware mais c'est mieux d'en avoir un. On peut se demander s'il en faut tjrs un. ANSSI recommande que sur certain server il n'y ai pas d'antimalware car ca augmente la surface d'attck on peut exploite le systeme en exploitant des vulnerabilites sur l'antimalware. Apres il est recommande d'avir des comportements adaptés surtout quand on n'a pas d'antivirus. --- L'antimalware de microsoft peut se config de differente maniere: - SCCM - Microsoft Intune - PowerShell - Windows Management Instrumentation (WMI) - Group Policy Quelques caractéristiques: - Protection fournie par le cloud - Protectionentempsréel - Mises à jour de protection dédiées - analyses BigData humaines et automatisées - machine-learning - recherche approfondie de résistance aux menaces :::info Le prof: ne vend aucun antivirus, ne sait pas s'il y'en a un meilleur qu'un autre ::: # <span style="color:red">Firewall</span> ## <span style="color:green">Windows Filtering Platform</span> ![](https://i.imgur.com/LtG9qR2.png) WFP: - Windows Filtering platform - Firewall pour les systeme fournit par microsoft. - va permettre de faire du filtrage de paquet un peu plus evoluer (ip source, dest, interface, port src/dst, protocole: icmp par ex, sur les profils réseau, utilisateur ) --- ![](https://i.imgur.com/qLzY9mW.png) - les applications tierces peuvent s'appliquer sur le parfeu (des modules peuvent etre connecter au parefeu) - il fait reassemblage de paquet avant filtrage pour eviter les insertions de paquets - Bride communes avec IpSEC - Le parefeu peut etre parametrer manuellement ou deployer par GPO (=strategie de groupe) ## <span style="color:green">Administration sécurisée</span> ### <span style="color:orange">Concepts de base</span> ![](https://i.imgur.com/KtaiQEX.png) --- ![](https://i.imgur.com/gqOzUkP.png) - reseau vert: de production - reseau rouge: d'administration - controller au travers d'une platforme de securité --- ![](https://i.imgur.com/iRTL8wW.png) - architecture a eviter: - lorsqu'on fait de la virtualisaion on ne met pas en place le SI sur la meme machine physique que le SI de production car l'etancheite entre les VM n'est pas garantie. ![](https://i.imgur.com/qQC55ct.png) --- ![](https://i.imgur.com/3MTSage.png) - ces postes doivent etre durcis avec la liste ci dessus - le SI d'adminstration doit etre aussi MAJ - Restreindre les droits d'administration sur le poste d'administration: il est administrateur d'une BAse de donnée mais je ne suis pas administrateur d'une station d'administration --- ![](https://i.imgur.com/6fV9hVB.png) - VPN ipsec si besoin pour realiser les taches d'administration ![](https://i.imgur.com/FkDUdUb.png) - les droits sont accordes a des groupes non pas a des individus car plus simple a gerer derriere