![Page 1: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/1.jpg)
Conception de la sécuritépour un réseau Microsoft
Pascal Manni
![Page 2: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/2.jpg)
15/12/2004 Pascal Manni 2
Sommaire
Sécurité PKI Service: DNS Authentifications: Kerberos Données: NTFS Mot de passe Mise à jour Sauvegarde
![Page 3: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/3.jpg)
15/12/2004 Pascal Manni 3
Les principes de la sécurité Séparations des fonctions Privilèges au minima Réduction de la surface d’attaque Diversifications des mécanismes Choisir la solution par défaut la moins risquée Choisir des solutions simples, connues et reconnues Médiation Acceptabilité Confiance par l’audit Mise à jour
![Page 4: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/4.jpg)
15/12/2004 Pascal Manni 4
La sécurité d’information
Authentification Autorisation Confidentialité Intégrité Non répudiation
![Page 5: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/5.jpg)
15/12/2004 Pascal Manni 5
Les applications avec PKI Certificat
• Ordinateur (IPSec)• Autorisations d’accès au fichier (Kerberos)• Transactions inter-machines (Kerberos)• Confidentialité (EFS)• Réplication des AD (SMTP)• Requêtes LDAP (AD)• Utilisateurs (carte à puce)
Permet• Intégrité des données (Signature)• Non répudiation des données (horodatage)
Autorité de Certification• Signature des listes de révocation
![Page 6: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/6.jpg)
15/12/2004 Pascal Manni 6
Analyse de l’existant
Pourquoi sécuriser les données? Catégorisations des données :
• But ?• Intégrité?• Degré de sensibilité?
la schématisation des flux de données Existe-t-il un Mr Sécurité?
![Page 7: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/7.jpg)
15/12/2004 Pascal Manni 7
Un charte de sécurité
Prévention, Détection, Isolation Général et réutilisable Modélisation des menaces Facteur humain Réponse aux incidents (ou aux attaques) Récupération sur incident Durée de vie limitée
![Page 8: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/8.jpg)
15/12/2004 Pascal Manni 8
Vulnérabilités : facteur humain
Partage involontaire de données Mot de passe trop faible Cheval de Troie Réduction de sécurité: productivité / performance Partage des comptes administrateurs Mauvaise assignation de pouvoir Vol de session Récupération de session distante Modification ou suppression de données
![Page 9: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/9.jpg)
15/12/2004 Pascal Manni 9
DNS
Nom machine vers adresse IP
Contrôleurs de domaine
Serveurs Web, Messagerie,…
![Page 10: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/10.jpg)
15/12/2004 Pascal Manni 10
Les attaques sur le DNS
Inventaire Redirection Déni de Service (DoS) Modification de données / usurpation
d’adresse IP Pollution du cache
![Page 11: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/11.jpg)
15/12/2004 Pascal Manni 11
La sécurisation du DNS
DNS Publique (extérieur) Vue différente Zone non visible de l’Internet
local.mon-entreprise.fr Multiplications des serveurs DNS Restriction du transfert de zone (requête AXFR) Crypter les réplications Enregistrements sécurisés dynamiques
![Page 12: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/12.jpg)
15/12/2004 Pascal Manni 12
Les échanges
VPN (2 réseaux)
IPSec (2 machines)
![Page 13: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/13.jpg)
15/12/2004 Pascal Manni 13
KerberosOuverture de sessionOuverture de session
Alice
*******
Ok
Login
Password
Horloge Client
Horloge Serveur
HASH
Local Security Authority
Authentifiant
Kerberos Distribution Center
SID:- Utilisateur- Groupes
Crypter avec : - clef privée de l’ordinateur- mot de passe utilisateur
TGT(ticket de session)
![Page 14: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/14.jpg)
15/12/2004 Pascal Manni 14
Mot de passe
Stratégie de mot de passe• Comprendre et faire comprendre
(charte, formation, …)• Identifier les techniques de contrôle• Facteur humain• Plusieurs stratégies par population d’utilisateurs
Stratégie de verrouillage des comptes? Des accès?
Carte à puce, biométrie,..
![Page 15: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/15.jpg)
15/12/2004 Pascal Manni 15
NTFS
Permissions (groupe) Refuser permission Quota Héritage Possession Audits Crypter les données (EFS)
![Page 16: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/16.jpg)
15/12/2004 Pascal Manni 16
Concevoir une mise à jour
Identifier les changements Ou est l’information? Lister les manières de mettre à jour En choisir une Utiliser SUS ou WUS
![Page 17: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/17.jpg)
15/12/2004 Pascal Manni 17
Plan de sauvegarde Responsable Transport des données Support des données {SAN (Storage Area Networks)} Sécurisation des supports Lieu de stockage sur site et/ou hors site Quoi? (Système, données, …) Type de sauvegarde Planification Procédure de sauvegarde et restauration Audit et vérification Continuité opérationnelle Récupération après désastre Sauvegarde du catalogue de sauvegarde
![Page 18: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/18.jpg)
15/12/2004 Pascal Manni 18
Conclusion
Vaste
Le rôle serveur
Génère du travail
![Page 19: Conception de la sécurité pour un réseau Microsoft Pascal Manni](https://reader036.vdocuments.pub/reader036/viewer/2022062621/551d9d84497959293b8bf220/html5/thumbnails/19.jpg)
Questions