1-6

Lesson 1 Storing User Credentials

its common to store an encrypted or hashed version of the user password. If an attacker does gain access to the servers copy of the users credentials, the attacker still needs to decrypt the contents before they can be used to impersonate a user. Authentication Features of Windows Server 2003 Central administration of user accounts. The Active Directory directory service allows users to log on to computers in a multidomain or multiforest environment by using single-factor authentication or various types of multifactor authentication. Single sign-on environment. When a user is authenticated to a Windows Server 2003 domain, the users credentials are used to access resources in the domain, thereby eliminating the need for users to authenticate to every resource that they attempt to access. When this technology is used with the Windows XP credential manager, users can access resources in other domains by providing the password one time and storing the password as part of the domain user account. Computer and service accounts. In addition to users, computer and service accounts authenticate to the domain. Collectively, users, computers, and service accounts are referred to as security principals. Multifactor support. Windows Server 2003 natively supports smart cards and a variety of other multifactor authentication mechanisms. Auditing. Windows Server 2003 provides the ability to audit logon attempts and access to resources. Protocols. Windows Server 2003 uses a variety of authentication protocols, including LM, NTLM, NTLMv2, and Kerberos. Authentication Protocols in Windows Server 2003 Windows Server 2003 supports two primary authentication protocols: NTLM and Kerberos The NTLM authentication protocol uses a challenge-response mechanism to authenticate users and computers running Windows Me and earlier operating systems, or computers running Windows 2000 or later that are not part of a domain. A user is prompted (the challenge) to provide some private piece of information unique to the user (the response). Windows Server 2003 supports the following three methods of challengeresponse authentication: LAN Manager (LM). Developed jointly by IBM and Microsoft for use in OS2 and Windows for Workgroups, Windows 95, Windows 98, and Windows Me. It is the least secure form of challenge-response authentication because it is susceptible to eavesdropping attacks, and servers that authenticate users with LM authentication must store credentials in an LMHash. NTLM version 1. A more secure form of challenge-response authentication than LM. It is used for connecting to servers running Windows NT with Service Pack 3 or earlier. NTLMv1 uses 56-bit encryption to secure the protocol. Servers that authenticate users with any version of NTLM authentication must store credentials in an NT Hash. NTLM version 2. The most secure form of challenge-response authentication available. This version includes a secure channel to protect the authentication process. It is used for connecting to servers running Windows 2000, Windows XP, and Windows NT with Service Pack 4 or higher. NTLMv2 uses 128-bit encryption to secure the protocol. Kerberos is the default authentication protocol for Windows Server 2003, Windows 2000, and Windows XP Professional. Kerberos is designed to be more secure and

scalable than NTLM across large, diverse networks. Kerberos provides the following additional benefits to those provided by NTLM: Efficiency. When a server needs to authenticate a client, the server can validate the clients credentials without having to contact a domain controller. Mutual authentication. In addition to authenticating the client to the server, Kerberos enables the server to be authenticated to the client. Delegated authentication. Allows services to impersonate clients when accessing resources on their behalf. Simplified trust management. Kerberos can use transitive trusts between domains in the same forest and domains connected with a forest trust. Interoperability. Kerberos is based on the Internet Engineering Task Force (IETF) standards and is therefore compatible with other IETF-compliant Kerberos realms. LM Authentication Storing LM passwords When a client attempts to authenticate a user with LM authentication, the hash of the password, rather than the password itself, is transmitted across the network The LMHash has several weaknesses that make it more vulnerable to attack than the NT Hash. The LMHash is stored in all uppercase, is limited to 14 characters, and is divided into two discreet components before hashing Windows Server 2003 allows you to disable the LMHash to remove the vulnerabilities presented by LM authentication. However, if you have clients running Windows 3.1 or the original release of Windows 95 that need to connect to a computer running Windows Server 2003, it is imperative that you do not disable the LMHash. However, you can still disable the use of the LMHash on an account-by-account basis by doing one of the following: Using passwords that are 15 characters or longer. Enabling the NoLMHash registry value locally on a computer or by using security policy. Using specific ALT characters in passwords. ALT characters are inserted into a password by holding down the ALT key, typing the ALT code using the number pad, and then releasing the ALT key. (rien en haut de 1023) NTLM Authentication As mentioned earlier, NTLM includes three methods of challenge-response authentication: LM, NTLMv1, and NTLMv2. The authentication process for all the methods is the same, but they differ in the level of encryption. Authentication process The following steps demonstrate the flow of events that occur when a client authenticates to a domain controller using any of the NTLM protocols: 1. The client and server negotiate an authentication protocol. This is accomplished through the Microsoft negotiate Security Support Provider (SSP). 2. The client sends the user name and domain name to the domain controller. 3. The domain controller generates a 16-byte random character string called a nonce. 4. The client encrypts the nonce with a hash of the user password and sends it back to the domain controller. 5. The domain controller retrieves the hash of the user password from the security account database. 6. The domain controller uses the hash value retrieved from the security account database to encrypt the nonce. The value is compared with the value received from the client. If the values match, the client is authenticated.

The Kerberos Authentication Process Kerberos authentication process In a Kerberos environment, the authentication process begins at logon. The following steps describe the Kerberos authentication process: 1. When a user enters a user name and password, the computer sends the user name to the KDC. The KDC contains a master database of unique long term keys for every principal in its realm. 2. The KDC looks up the users master key (KA), which is based on the users password. The KDC then creates two items: a session key (SA) to share with the user and a Ticket-Granting Ticket (TGT). The TGT includes a second copy of the SA, the user name, and an expiration time. The KDC encrypts this ticket by using its own master key (KKDC), which only the KDC knows. Note Kerberos implements secret key cryptography, which is different from public key cryptography in that it does not use a public and private key pair. 3. The client computer receives the information from the KDC and runs the users password through a one-way hashing function, which converts the password into the users KA. The client computer now has a session key and a TGT so that it can securely communicate with the KDC. The client is now authenticated to the domain and is ready to access other resources in the domain by using the Kerberos protocol. Important When a client receives the session key and TGT from the server, it stores that information in volatile memory and not on the hard disk. Storing the information in the volatile memory and not on the hard disk makes the information more secure, because the information would be lost if the server were physically removed. 4. When a Kerberos client needs to access resources on a server that is a member of the same domain, it contacts the KDC. The client will present its TGT and a timestamp encrypted with the session key that is already shared with the KDC. The KDC decrypts the TGT using its KKDC. The TGT contains the user name and a copy of the SA. The KDC uses the SA to decrypt the timestamp. The KDC can confirm that this request actually comes from the user because only the user can use the SA. 5. Next, the KDC creates a pair of tickets, one for the client and one for the server on which the client needs to access resources. Each ticket contains the name of the user requesting the service, the recipient of the request, a timestamp that declares when the ticket was created, and a time duration that says how long the tickets are valid. Both tickets also contain a new key (KAB) that will be shared between the client and the server so they can securely communicate. 6. The KDC takes the servers ticket and encrypts it using the server master key (KB). Then the KDC nests the servers ticket inside the clients ticket, which also contains the KAB. The KDC encrypts the whole thing using the session key that it shares with the user from the logon process. The KDC then sends all the information to the user. 7. When the user receives the ticket, the user decrypts it using the SA. This exposes the KAB to the client and also exposes the servers ticket. The user cannot read the servers ticket. The user will encrypt the timestamp by using the KAB and send the timestamp and the servers ticket to the server on which the client wants to access resources. When it receives these two items, the server first decrypts its own ticket by using its KB. This permits access to the KAB, which can then decrypt the timestamp from the client. Now both the client and the server have the KAB. The server can be sure that the client has truthfully identified itself because the client used the KAB to encrypt the timestamp. If it is necessary for the server to respond to the user, the server will use the KAB. The client will know that the server has truthfully identified itself because the server had to use its KB to get the KAB.

Storage of Local User Credentials The LSA is responsible for: Managing local security policies. Authenticating users. Creating access tokens. Controlling audit policies. The sensitive information stored by the LSA is known as LSA secrets. LSA secrets contain: Trust relationship passwords User names Passwords Service account passwords Service account names LSA secrets can be extracted by any security principal with the Debug Programs right. To help protect LSA secrets, you can use the syskey.exe program, which further encrypts the contents of the LSA by using a public and a private key. Only Administrators can run the syskey.exe program. Table 1.2 Troubleshooting Tools for Authentication Problems Tool Description Kerbtray.exe This GUI tool displays Kerberos ticket information. It also allows you to view and purge the ticket cache. Included with the Windows Server 2003 Resource Kit tools. Klist.exe This command-line tool lets you view and delete Kerberos tickets granted to the current logon session. Included with the Windows Server 2003 Resource Kit tools. CmdKey.exe Creates, lists, and deletes stored user names and passwords or credentials. Included with Windows Server 2003

Chapter 1: Lesson 2valuation environnement, il faut identifier: -le # de DC dans l'org -le type de connectivit rseau entre les locations -le # d'autorit de certification disponible Password Complexity -ne contient pas une partie ou totalit du nom de l'usager -au moins 6 caractres -contient des caractres majuscules, minuscules, numriques base 10 et caractre non-alphabtique Security Pilocy Settings pour des mots de passe fort -Maximum password age: la validit maximale en jour du mot de passe, dfaut 42j -Enforce password history: conserve en mmoire les x mots de passe prcdents, dfaut 24 -Minimum password age: combien de temps l'usager doit-il conserver son mot de passe avant de le changer, dfaut 1j -Minimum password length: dfaut 7 caractres Account Lockout Policies -Pas activ par dfaut car vulnrabilit aux attaques dnis de services Password and Account Lockout Settings -Account lockout threshold: combien d'essais peuvent tre fait avant le verrouillage. Ne s'applique pas pour session verrouill ou conomiseur d'cran activ -Account lockout duration: combien de minutes le compte va tre dsactiv, une

valeur de 0 demande intervention de l'administrateur -Reset account lockout counter after: le # de minutes d'attente avant que le compteur d'essais se rinitialise 0. Politiques du domaine pour ticket Kerberos -Enforce user logon restrictions: est-ce que le KDC valide chaque requte pour un ticket de session en examinant le "user right policy" sur l'ordinateur cible; permet aussi de vrifier la validit du compte en cas de dsactivation. -Maximum lifetime for service ticket: combien de temps avant expiration, devrait tre == user ticket -Maximum lifetime for user ticket: idem que service ticket sauf pour usager -Maximum lifetime for user ticket renewal: dtermine le # de jours pour lesquels le TGT d'un usager peut tre renouvel. Dfaut 7 jours -Maximum tolerance for computer clock synchronization: dtermine la diffrence de temps maximale en minutes entre KDC et ordinateur. Augmenter + de 5 minutes augmente les risques de "replay attack" LM Authentication Levels -Send LM & NTLM responses -Send LM & NTLM responses, use NTLMv2 session security if negociated -Send NTLM response only -Send NTLMv2 response only -Send NTLMv2 response only\Refuse LM -Send NTLMv2 response only\Refuse LM & NTLM Autentification Anonyme -Avec Windows serveur 2003, un utilisateur anonyme ne fait pas parti du groupe "Everyone" et n'est pas autoris utiliser les ressources rseaux. Cas particulier: -RAS avec Windows NT4 pour dial-un permissions -Windows NT4 pourrait s'en servir pour numrer les partages ou assembler de l'info sur les DC -Pourrait tre utilis pour numrer les partages et usagers dans un "one-way cross-forest trust" -OS plus vieux peuvent utiliser accs anonyme pour changer mot de passe dans AD, travers "Pre-Windows 2000" compatible access-group Dterminer quelles ressources ncessitent l'accs anonyme, mthode: -Add the Anonymous Logon security principal to the ACL that needs access -Enable the Network Access: Share That Can Be Accessed Anonymouslu security policy setting -Enable the Network Access: Let Everyone Permissions Apply to Anonymous Users security policy setting

Chapter 1: Lesson 3Lors de l'installation de IIS, le serveur cr un nouvel utilisateur appel IUSR_nomduserveur. Authentification web: -Basic Authentication: format encod, mais comme du texte clair -Digest Authentication for Windows Domain Servers: mot de passe hash en MD5, facilement rversible, fonctionne seulement si AD a une copie "reversibly encrypted" (clear text) enregistre dans l'annuaire -Integrated Windows Authentication: active authentification Kerberos v5 et NTLM, principalement pour IE -.NET Passport Authentication: si l'organisation utiliser le passeport .NET, une autre mthode centralise d'authentification Authentification dlgue Un service rseau qui accepte une requte d'un utilisateur et qui assume son

identit pour se connecter un second service (Ex: Serveur web ncessitant une connexion une base de donnes). Pour configuration: il faut assigner l'utilisateur le "Enable Computer And User Accounts To Be Trusted For Delegation" Pour un compte ordinateur, l'option "Enable Computer And User Accounts To Be Trusted For Delegation" est active pour tous les services sur cet ordinateur. Suggre dlgation contenue: "Trust This Computer For Delagation To Specified Services Only"

Chapter 1: Lesson 4

Type of Trusts -Parent/child(Kerberos/NTLM): Pour Windows 2003, relation de confiance par dfaut entre domaines dans une fort, two-way transitive, par dfaut, ne peut tre enlev -Tree/root(Kerberos/NTLM): Pour Windows 2003, relation de confiance par dfaut entre les branches (tree) d'une fort, two-way transitive, par dfaut, ne peut tre enlev -External(NTLM): relation de confiance cr manuellement entre domaines n'tant pas de la mme fort, one or two-way not transitive -Realm(Kerberos): relation de confiance cr manuellement entre un os-non-windows (kerberos realm) et un Win 2003, one or two-way transitive or not -Forest(Kerberos/NTLM): relation de confiance cr manuellement entre des forts qui sont en Win2003 functional level, one or two-way transitive or not -Shortcut(Kerberos/NTLM): relation de confiance cr manuellement l'intrieur d'une fort Win2003 pour rduire temps de login entre les domaines d'une mme fort, one or two-way commande pour le faire: netdom.exe Trust authentication protocols -Entre forts Win2003: supporte des fonctions que les autres relations n'ont pas: Kerberos authentication, UPN(user principal name) logon, security policy support; utiliser si vraiment ncessaire -Entre fort Win2003 et fort Win2000: Kerberos ne fonctionne pas car Win2000 ne peut trouver le Kerberos Key Distribution (KDC), crer "external trust" -Entre fort Win2003 et fort NT4: Kerberos ne fonctionne pas, utiliser "external trust" -Entre fort Win2003 et autres OS: peut crer relation avec UNIX-Os qui supporte MIT-compliant Kerberos, realm trust, sauf que les comptes utilisateurs et services dans le realm Kerberos ne contient pas d'associations de groupes pour contrle d'accs en Win2003, doit fait "account mapping" entre les realm Securing trusts with SID filtering ACL utilisent security identifiers (SID) to uniquely identify principals and their group membership. SID fait de 2 parties: domain SID partag par tous les "principals" du domaine et un relative ID (RID) unique au "principal" l'intrieur du domaine. Vrification identit par local security authority subsystem (lsass.exe) qui vrifie SID utilisateur et les SID des groupes dont il est membre et les compare aux ACL SID spoofing un admin domaine peut manipuler les SID associ des comptes, peut sniffer les paquets d'un domaine de confiance pour trouver le SID d'un "security principal" qui a plein accs aux ressources. SID filtering pour liminer les risques de spoofing, filtre pour vrifier que l'authentification provient d'un "security principal" contient uniquement le SID du domaine de provenance netdom.exe pour faire le filtrage

Dsactiver le SId filtering -mme niveau de confiance pour tous les administrateurs qui ont accs physique aux DC -politique crite stricte qui demande d'assigner groupes universel aux ressources du domaine "de confiance" qui n'ont pas t crs dans le "trusted domain" -utilisateurs migrs au "trusted domain" avec les historiques SID conservs et veut allouer accs aux ressources bas sur SIDHistory. Avant de crer Trust: -s'assurer que la rsolution DNS fonctionne entre les deux forts (stub zone, conditional forwarding, secondary zone, shared root hints) -niveau de fonctionnalit des fort "Windows Server 2003"

Chapter 2: Lesson 1Access Control Lists (ACL) est compos de access control entries (ACE) Hritage des permissions vers les sous-dossiers et sous-fichiers, cependant, un Accs Permis explicite est toujours prioritaire vis vis une permission Accs Interdit hrit Permissions Standard et Spciales: les permissions standard sont une simplification des permissions spciales Les permissions standards sont: Full Control, Modify, Read & Execute, List Folder Contents, Read, Write, Special Permissions Les permissions spciales sont: Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Read Extended Attributes, Create Files/Write Data, Create Folders/Append Data, Write Attributes, Write Extended Attributes, Delete Subfolder and Files, Delete, Read Permissions, Change Permissions, Take Ownership Full Control: tous Modify: tous sauf Change Permissions et Take Ownership Read & Execute: Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Read Extended Attributes, Read Permissions Read: List Folder/Read Data, Read Attributes, Read Extended Attributes, Read Permissions Write: Create Files/Write Data, Create folders/Append Data, Write Attributes, Write Extended Attributes Active Directory permissions Des ACL sont aussi existantes aux niveaux des objets AD et la faon la plus simple de s'en occuper c'est les dlgations de contrle. ADSI Edit ou Delegate Control dans la console Utilisateurs et Ordinateurs AD. Les permissions standards dans AD sont: Full Control, Read, Write, Create All Child Objects, Delete All Child Objects, Special Permissions Permissions du Registre Il est possible d'appliquer des permissions aux valeurs et aux cls dans le registre. Les permissions standards sont: Full Control, Read, Special Permissions Permissions des Services Il n'existe pas de console pour modifier les permissions aux services, il faut utiliser le "System Services" dans un profil de scurit. Les permissions standards sont: Full Control, Read, Start Stop Pause, Write, Delete, Special Permissions Permissions des Imprimantes Permissions standards: Print, Manage Printers, Manage Documents, Special

Permissions Permissions des Partages Permissions standards: Full Control, Change, Read

Chapter 2: Lesson 2

Types of Groups in Windows Server 2003 Distribution: utilis principalement pour l'envoi de courriel, ne peut pas les inclures dans des ACL Scurit: utilis pour donner ou refuser l'accs des ressources rseaux Peut imbriquer des groupes les uns dans les autres sauf quand le domaine est en "mixed-mode" o c'est impossible d'imbriquer des groupes de mme porte. Group Scope scope: determine which security principals can be members of the group and where you can use that group in a multidomain or multiforest environment Local Groups: reside on member servers and client computers Global Groups: reside in AD at the domain level, utiliser pour des utilisateurs qui ont les mmes tches, peut tre membre de global, universal et domain local Domain Local Groups: reside in AD at the domain level, utiliser pour assigner des accs aux ressources situs dans le mme domaine o le Domain Local Groups est cr, peut ajouter tous les Global Groups qui ont le mme type d'accs une ressource Universal Groups: reside in AD at the forest level, utiliser pour imbriquer des Global groups pour assigner des permissions d'autres ressources dans multiples domaines, peut tre membre de universal, global et domain local, Win 2000 native ou + pour universal security et Win 2000 mixed pour universal distribution Domain and Forest Functional Levels Windows 2000 mixed: Universal groups (distribution only), nesting groups (distribution only) Windows 2000 native: Universal groups, nesting groups, converting groups, SID history Windows Server 2003 interim: renaming DC, update logon timestamps, ser pwd on InetOrgPerson object, universal groups, nesting groups, converting groups, SID history Windows Server 2003: renaming DC, update logon timestamps, ser pwd on InetOrgPerson object, universal groups, nesting groups, converting groups, SID history Default for Win2003: Windows 2000 mixed Built-in groups Account operators: peut crer, modifier et effacer des comptes usagers, groups et ordi partout sauf dans OU Domain Controllers. Pas de permission pour modifier Administrators ou Domain Admins et aucun de leurs membres. Peut se connecter localement sur les DC et les fermer. Administrators: plein contrle sur le serveur, lorsqu'ajout dans domaine le groupe Domain Admins est ajout celui-ci. Backup Operators: sauvegarde de tous les fichiers sur les DC, peut se loguer localement aux DC et le fermer, pas d'usagers par dfaut Incoming Forest Trust Builders: seulement des forest root domain, les membres peuvent crer one-way incoming forest trusts to the forest root domain, pas d'usagers par dfaut. Network Configuration Operators: membres peuvent modifier les config TCP/IP des DC, pas d'usagers par dfaut. Performance Log Users: membres peuvent grer les compteurs de performance localement et distance. Performance Monitor Users: membres peuvent surveiller les compteurs de performance sur les DC, localement ou distance, pas de membres par dfaut Pre-Windows 2000 Compatible Access: membres ont accs lecture sur tous les usagers

et groupes du domaine, pour compatibilit pour NT 4 et -. Par dfaut special identity Authenticated Users est membre de ce groupe, peut accder au poste du rseau et bypass traverse checking (pour ACL) Print Operators: membres euvent grer, crer, partager et effacer les imprimantes, grer objets imprimantes AD, peut se loguer localement et fermer le poste, pas de membres par dfaut Remote Desktop Users Replicator: pour rplication par le service File Replication des DC, n'ajouter personne Server Operators: sur les DC, peut se connecter interactivement, crer et effacer des ressources partages, grer quelques services, sauvegarder fichiers, formatter disques et fermer serveur, pas de membres par dfaut Terminal Server Licences Servers: membres accdent au Terminal Server Licence Servers Users: tches communes, lancer applications, utilisation imprimantes et verrouiller le serveur, Par dfaut, Domain Users group, Authenticated Users group et Interactive group sont membres, tous les usagers du domaine sont membres Windows Authorization Access Group: pour simplifier donner accs aux comptes pour recueillir l'information de membres des usagers membres. Special Groups and Accounts Anonymous Logon: reprsente usagers et services accdant des ressources sans nom de compte, mdp ou nom de domaine, dans NT, membre du groupe Everyone, pas dans Win 2003 Authenticated Users: reprsente usagers et services dont leur identit a t vrifie, n'inclus pas Guest Batch: reprsente usagers et services qui accdent un ordi et ses ressources travers un script, ex: scheduler Creator Group: inclus l'usager qui a cr la ressource, lors d'hritage ACE, le SID du groupe principal de l'usager est celui utilis Creator Owner: inclus l'usager qui a cr ou a pris possession de la ressource, le SID utilis est celui du groupe principal de l'usager Dialup: tous les usagers connects par dialup Everyone: tous les usagers du rseau incluants guests et usagers des autres domaines Interactive: tous les usagers actuellement connects un ordi et accdant aux ressources de celui-ci Local Service: similaire authenticated user accounts, mme niveau d'accs que le groupe Users, services s'excutant comme Local Service accdent aux ressources rseaux comme null session Network: usagers actuellement connects des ressources rseaux travers le rseau Network Service: similaire Authenticated user account, mme niveau accs aux ressources que le groupe Users, services s'excutant comme Network Service accdent aux ressources avec les infos du compte ordi Other Organization: usagers qui se sont authentifis d'un autre domaine Self: groupe utilis dans ACE qui reprsente le SID de l'objet en question Service: tous les security principals qui sont logus comme un service System: utiliss ar OS et services sous Windows, privilges similaires Administrateurs, compte interne ne peut tre ajout d'autres groupes Terminal Servers Users: usagers logus par TS This Organization: quand il y a trustes domaines for forests, le groupe est ajout par le serveur d'authentification aux donne authentifies d'un usager pour identifier l'organisation de l'usager. Tools for Administering Security Groups AD Users and Computers: Dsadd: cli pour crer groupes et membres des groupes Getsid: cli pour comparer SID de deux comptes

Ifmember: cli pour numrer tous les groupes dont le membre courant appartient Local Users and Groups: MMC snap-in permettant la cration et dition des usagers et groupes locaux Whoami: cli capable d'afficher le contenu complet du access token (username, SID, groupes et leurs SIDs, privilges et status) Creating Restricted Groups Policy Win2003 inclus une politique de scurit appel Restricted Groups permettant de contrler le membership des groupes. Appliqus un OU, peut modifier le contenu des groupes locaux et des membres domaines des groupes locaux aux ordis dans l'OU

Chapter 2: Lesson 3La mthode Account Group/Resource Group est similaire A-G-DL-P (Account - Global Group - Domain Local Group - Permission). Ajouter usagers aux accs similaires dans un groupe et ensuite assigner ce groupe un "groupe de ressource" qui a des permissions particulires sur une ressource. Group Naming Conventions Type de Groupe: GG pour Global Group, UN pour Universal Group, DLG pour Domain Local Group Site physique: SEA pour Seattle But du groupe: Admins for Administrators

Chapter 2: Lession 4Troubleshooting Complex Authorization Problems Authorization Problem -> Enable system-wide auditing -> Enable resource auditing -> Recreate the error condition -> examine Event Viewer -> Modify permissions Enable system auditing Outils Administrations -> Local Security Policy ou Domain Controller Security Policy -> Local Policies -> Audit Policies -> Audit Object Access ou Audit Directory Service Access Enabling Resource Auditing Sur la ressources, dans ses proprits, Security Tab, Advanced, Auditing, Select User or Group Analyzing events in Event Viewer Event Viewer, Security Events, Filter for Failure

Chapter 3: Lesson 1Configuring Security Templates Predefined Security Templates Stock par dfaut dans C:\Windows\Security\Templates Liste des profils: -Setup Security.inf et DC Security.inf: profil par dfaut sur une nouvelle installation Win2003 -Compatws.inf: permissions par dfaut pour groupe Users moins restrictive pour les anciennes applications, enlve tous les membres de Power Users des ordis Win2003 -Securews.inf et Secudedc.inf: augmente scurit pour sections non couvertes par permissions incluant Account Policy, Auditing et certaines cls de registre. Pour XP, enlve tous les membres du groupe Power Users -Hisecws.inf et Hisecdc.inf: augmente scurit pour rseau en Win2000 natif ou Win2003 domain mode, toutes communications sign et encrypt disponible seulement pour Win2000, XP et 2003 seulement -Rootsec.inf: rinitialise aux permissions par dfaut les entres du system root

folder et propage les permissions tous les sous-dossiers et fichiers, nouveau Win2003 -Iesacls.inf: permet activation auditer les registres pour IE, base pour crer un profil IE scuris. Creating and Editing Security Templates 3 faons de crer: copier un profil existant et modifier, partir de 0 ou en crer un partir d'un serveur dj configur correctement Besoin du MMC Security Templates pour charger les fichiers .inf Secedit.exe cli pour crer un profil partir des configurations existantes d'un serveur: secedit /export/cfg "cheminetnomfichier.inf" Security Template Settings Account policies: affecte comment les comptes usagers interagissent avec l'ordi ou le domaine, 3 noeuds: -Password Policy: complexit, dure min et max, longueur -Account Lockout Policy: verrouillage des comptes -Kerberos Policy: dure de vie ticket, ... Pour comptes domaine, seulement 1 politique appliqu dans le Default Domain Policy, les DC utilisent Default Domain Policy Group Policy Local Policies: contrle audit, droits des usagers et autre varia, 3 noeuds: -Audit Policy: pour crer une politique d'audit par dfaut pour tous les ordis -User Rights Assignment: spcifie quels usagers peut effectuer quelles actions, par exemple: empcher login, qui peut sauvegarder ou redmarrer le systme -Security Options: un paquet de trucs qui n'allaient pas nulle part Event logs: comment le journal des vnements de comporte, sa longueur, qui peut y accder, dure de conservation des logs Group memberships: permet de spcifier des groupes de scurits par nom et limiter les membres de ces groupes. Members list defines who beongs and who does not belong to the restricted group. Members Of list specifies which other groups the restricted group belongs to. Services: dfini l'tat des service au dmarrage (auto, dmarr, arrt) et autorisation pour le service Registry permissions: pour grer les autorisations aux cls de registres. Peut mme ajouter des cls protger mme si non existante sur le poste actuel. File and folder permissions: appliquer des droits par dfaut des rpertoires ou fichiers Security Configuration for Earlier Versions of Windows NT 4, Win95, Win98, WinME utilisent System Policy plutt que Group Policy. Poledit.exe peut se trouver sur le CD de NT 4 Win95 et 98: System Policy Editor doit tre excut localement pour crer le fichier config.pol compatible Win NT 4: System Policy Editor doit tre excut sur version client ou serveur pour config.pol compatible Ensuite, dposer le fichier sur Netlogon share (%systemroot %/sysvol/DOMAINNAME/scrpits d'un DC 3 faons de dployer: importer les profils individuellement dans Local Group Policy par ordi, importer les profils par script, importer les profils par GPO GPO uniquement pour Win2000 Serveur, Win2000 Pro, Win XP Pro, Win2003

Chapter 3: Lesson 2

Deploying Security Templates

GPO s'appliquent d'un conteneur ses sous-conteneurs, l'option Block Policy Inheritance permet d'empcher de bloquer l'hritage Peut utiliser les groupes de scurit pour permettre ou refuser d'appliquer un GPO; 3 faons de le faire: AD Users and Computers, AD Sites and Services, Group Policy Objetc Editor Modifying Group Policy inheritance using WMI filtering Chaque GPO peut tre lie 1 seul filtre WMI, mais 1 filtre WMI peut tre utilis par plusieurs GPO Filtres WMI ignors sur win2000, le GPO sera toujours appliqu dans ce cas Pour configurer: Proprits de la GPO, onglet WMI Filter, This Filter, Browse/Manage, dans la fentre Manager WMI Filters cliquer Advanced et New Deploying Security Templates Without AD Using Group Policy Object Editor: MMC snap-in Group Policy Object Editor, expand Local Computer Policy, Computer Configuration, Windows Settings, clic droit sur Security Settings et Import Policy Using Security Configuration and Analysis: MMC snap-in Security Configuration and Analysis, open Database, entrer un nom et cliquer open, naviguer pour profil scurit et si besoin cocher "Clear This Databse Before Importing", peut ajouter multiples profils, la racine clic droit Security Configuration and Analysis et Configure Computer Now Using Secedit: secedit /import /cfg nomfichier.inf ; Peut charger une portion d'un profil de scurit avec paramtre /area [SECURITYPOLICY, GROUP_MGMT, USER_RIGHTS, REGKEYS, FILESTORE, SERVICES]

Chapter 3: Lesson 3 Troubleshooting Security TemplatesGPO not applied -> Refresh policy using Gpupdate (gpupdate /force) -> Analyse output from gpresult for an explanation of why a GPO was filtered -> Synchronize the time on the client computer with the domain controllers. Verify that the time zone is set correctly -> Check the permissions assigned to the Group Policy that you expect to take precedence. Verify that the user has Allow, but not Deny, permissions -> Look for relevant events int the Application event log, and troubleshoot any problems Gpresult: CLI pour afficher des informations dtailles sur les policies user et computer, avec /Z offre ceci: -Operating system -Computer information, including computer name and location in AD -Domain and site information -User information, including user name, location un AD and profile details -Group memberships for both computer and the current user -Time the Group Policy object was updated -Group Policy objects that were filtered out -The last time policy was applied and the DC taht applied policy, for the user and computer -The complete list of applied GPOs and their details, including a summary of the extensions that each GPO contains -Registry settings that were applied and their details -Folders that are redirected and their details -Software management information detailing assigned and published applications -The resultant set of policies -User security privileges Help and Support Center Advanced System Information Start -> Help and Support -> Support -> See Also, click Advanced System Information -> View Group Policy Settings Applied

Analyzing permissions: Dbuter par identifier quels groupes de scurits l'ordi est membre ensuite vrifier la prsence de ces groupes dans la liste de permission du GPO suppos tre appliqu Analyzing WMI filtering: chercher pour le terme filtering dans le rsultat de gpresult; on retrouve les options de filtrage dans les proprits du Group Policy Object Editor Analyzing events in Event Viewer: Application event log with source ID SceCli Troubleshooting Unexpected Security Settings Unexpected security setting: -> Refresh using gpupdate -> Check effective settings using Resultant Set Of Policy -> Check the permissions assigned to the Group Policy that you expect to take precedence. Verify that Block Policy Inheritance is not selected -> Analyze output from Gpresult to determine if a GPO was filtered -> Use Help dna Support Center, Gpresult or the registry to analyze details about how policies were applied Resultant Set Of Policy snap-in: MMC avec Resultant Set Of Policy, clic droit et Generate RSoP Data, Wizard and Next, Mode Selection page, click Logging Mode, Next, This Computer, Current User, Next, Finish Analyzing Group Policy using the registry Info sur les policies ordi sont: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History Info sur les policies usager sont: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\History -DisplayName: friendly name of the GPO -DSPath: distinguished name of the path to the GPO -FileSysPath: path to the Group Policy template, UNC if domain GPO -GPOLink: valeur identifiant le scope du GPO appliqu (0=no info, 1=machine, 2=site, 3=domain, 4=OU) -GPOName: nom de la GPO comme il est rfrenc, friendly ou GUID si stock dans AD -IParam: ??? -Options: options slectionnes par l'admin en configurant le lien GPO (dsactiver ou forcer paramtres) -Version: numro de version et quand il a t appliqu. System Policy Win95, Win98, WinME: Config.pol WinNT 4.0: ntconfig.pol

Chapter 4: Lesson 1 Tuning Security for Client RolesSoftware Restriction Policies 4 types de rgles pour crer une politique de restriction logicielle: -hash rules: calcul d'un hash unique pour chaque application, doit le recalculer si le programme change -certificate rules: identifie un logiciel et ensuite empche ou non l'excution selon le niveau de scurit -path rules: comme le nom le dit, si un ordi a la rgle par dfaut Disallowed, il est quand mme possible de crer des exceptions par chemin, peut utiliser "common paths" comme %userprofile% ou %windir%, peut utiliser registre qui utiliser la cl de registre du logiciel donc peut dplacer application -Internet zone rules: identifier logiciels selon les zones spcifies par IE, zones existantes sont: Internet, Local Intranet, Restricted Sites. Trusted Sites, My Computer

Security for Desktop Computers Baser les profils sur Hisecws.inf et activer: Accounts: Rename Administrator Account et Accounts: Rename Guest Account Regarder dans section des GPO: User Configuration\Administrative Templates Security for Mobile Computers Multiples options GPO peuvent s'appliquer, comme installer pilotes, rinstaller logiciel, activer pare-feu (pas par gpo), activer EFS, VPN Security for Kiosks Hautement scuris, pas de Start, auto login, 1 apps full screen. Dsactiver le droit de fermer l'ordi, activer gestion serr des mdp et lockout, empcher de modifier les fichiers et limiter accs au registre Localement, modifier la section User Configuration\Administrative Templates qui ne peut tre modifi par un security templates

Chapter 4: Lesson 2 Tuning Security for Server RolesFirewalls 2 type: network and host-based TCP/IP Port source chez un client est en gnral entre 1024 et 5000 Packet Filtering Attributs d'un paquet tcp/ip pour filtrage: source ip, destination ip, protocole ip, port source tcp et udp, port destination tcp et udp, interface d'arrive du paquet, inteface de dpart du paquet Advanced firewall features Stateful inspection: inspection des paquets et maintenir l'tat de la connexion en approuvant ou non les paquets de passer bas sur la politique d'accs Application layer: analyse les donnes l'intrieur des paquets et applique des rgles sur ce contenu Intrusion detection: analyse le traffic et cherche des signes d'attaques VPN: accs distance au rseau Perimeter Networks DMZ: requiert pare-feu l'entre d'internet, des serveurs "enduri" et un second pare-feu sparant la DMZ au rseau standard Security for DHCP Servers AD contient un liste des adresses IP qui peuvent oprer comme serveur DHCP sur le rseau. Peut empcher le dhcp de dmarrer et de s'excuter (si sur serveur membre windows!) Pour autoriser un serveur dhcp, se connecter sur le serveur comme admin entreprise, lancer la console dhcp et clic droit et Autoriser Le serveur DHCP vrifie son status de ces faons: -Si serveur membre: il demande AD la liste des serveur dhcp autoris et s'il s'y trouve, il dmarre. Dans une infra multiples forts, ils vrifient l'intrieur de leur fort et fournissent IP tous sans distinctions, si AD non dispo, retrouve tat prcdent (last know state) -Si serveur solo: au dmarrage du service, diffuse un DHCPINFORM incluant des options "vendor-specific", permet aux autres serveurs Win2003 de faire requte sur le root domain. Les autres dhcp font DHCPACK en rponse si il n'a pas droit de s'initialiser et pas de rponse = ok. Si autoris, revrifie aprs 60min, sinon 10min Dynamic DNS updates

Le serveur DHCP peut faire entre dans DNS la place du client pour enregistrer ou mettre jour les PTR (hostname to IP) et A(FQDN to IP) Dfaut Win2003: une requte DHCP va mettre jour le DNS; peut le modifier avec les proprits du DHCP, onglet DNS et slectionner Dynamically Update DNS A And PTR Records Only If Requested By The DHCP Clients Autrement slectionner: Always dynamically update DNS A and PTR records Known DHCP server security ris ks -unauthenticated pour obtenir IP et pour faire requte DNS -peut faire denial of service avec requtes massives d'IP Logging considerations -enable audit logging: %systemroot%\system32\dhcp par dfaut, seulement dmarrage et fermeture enregist; pour modifier -> proprits du serveur DHCP, onglet Gnral, Enable DHCP Audit Logging ID vnement: - 30 pour dynamic update to DNS - 31 pour dynamic update failed - 32 pour dynamic update successful Les fichiers logs sont lisible par Server Operators et Authenticated Users, il faudrait les enlever du rpertoire %systemroot%\system32\dhcp Security for DNS Servers Si la zone DNS n'est pas enregistre dans AD, il faut restreindre les permissions sur le rpertoire systemroot%\System32\DNS avec Full Control pour System. Aussi scuriser le registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS Dsactiver rcursion si le serveur ne rpond pas directement aux clients et sans forwarders. La rcursion sert seulement s'il rpond aux requtes rcursives ou configur comme forwarder. Dsactiver rcursion: proprits serveur DNS, onglet Avan, Sous Server Options slectionner Disable Recursion Si aucune rsolution vers Internet: modifier les Root Hints, enlever les existant et ajouter le DNS du domaine racine. Utiliser des MAJ DDNS (Dynamic DNS) scurise pour garantir que l'enregistrement est fait uniquement par des clients de la fort AD Transfert de Zone doit tre contrl pour savoir avec qui c'est autoris. Logging is enabled pby default and can be modified from the Event Logging tab for the DNS server properties dialog box. Security for Domain Controllers La protection de la Bd de AD et des log est crucial, il serait sage de dplacer NTDS.dit, EDB.log et Temp.edb dans un autre rpertoire par dfaut, mme sur un autre disque pour augmenter la performance. Pour protger contre des outils de password-cracking hors-ligne, Syskey est une autre couche de protection intressante. Par dfaut, le mode 1 est activ sur tous les serveurs Win2003. Mode 2 = console password et Mode 3 = cfloppy storage of syskey password) Logging Consideration Augmenter la taille des logs 16meg Protecting domain controllers with firewalls (ports) user network logon: Microsoft-DS traffic (445 tcp et udp), Kerberos authentication protocol (88 tcp et udp), LDAP ping (389 udp), DNS(53 tcp et udp) compuger logon to DC: Microsoft-DS traffic (445 tcp et udp), Kerberos authentication protocol (88 tcp et udp), LDAP ping (389 udp), DNS(53 tcp et udp) establishing trust between DC in different domains: Microsoft-DS traffic (445 tcp et udp), Kerberos authentication protocol (88 tcp et udp), LDAP ping (389 udp), DNS(53 tcp et udp), LDAP (389 tcp ou 686 tcp si SSL)

trust validation between 2 DC: Microsoft-DS traffic (445 tcp et udp), Kerberos authentication protocol (88 tcp et udp), LDAP ping (389 udp), DNS(53 tcp et udp), LDAP (389 tcp ou 686 tcp si SSL), netlogon Security for IIS 6.0 Par dfaut, IIS 6.0 est configur en mode locked-down, ne servira que des pages statiques jusqu' ce qu'il soit configur pour du contenu dynamique et les paramtres de time-out sont aggressivement configur Doit activer ISAPI, CGI et ASP pour servir ces pages. IIS 6.0 worker processes, which run Web services extensions, run as Network Service Account with 7 privileges: -adjust memory quotas for a process -generate securty audits -log on as a service -replace process-level token -impersonate a client after authentication -allow logon locally -access this computer from the network Configuring the Application Server role Manage Your Server, Add or Remove A Role, Application Server, choisir une option (ASP ou FrontPage) IIS subcomponents tat par dfaut des sous-composants -BITS (background intelligent transfer service): Disabled -Common Files: Enabled -FTP: Disabled -FrontPage 2002 Server Extensions: Disabled -IIS Manager (interface administrative): Enable -Internet Printing: Disabled -NNTP Service (Usenet news): Disabled -SMTP Service: Disabled -World Wide Web Service: Enabled IP address and domain name restriction Dans IIS Manager, clic droit sur Web Site, onglet Directory Security... Restriction par nom de domaine demande une requte dns inverse chaque nouvelle adresse ip qui envoie un requte Logging consideration Se retrouvent dans %systemroot%\System32\LogFiles\W3SVCx totalement spar du Event Viewer, chaque site cre un log spar SSL encryption Configurer IIS avec un certificat SSL: -IIS Manager, proprits de Web Site, onglet Directory Security, Server Certificate -> Wizard Web Server Certificate... Web site permissions Peut s'appliquer des sites webs ou des rpertoires, mais pas aux fichiers. permissions sont: -Read: voir le contenu et proprits des rpertoires et fichiers (dfaut) -Write: changer contenu et proprits des dossiers et fichiers -Script Source Access: peut accder aux fichiers sources -Directory Browsing: peut afficher liste des fichiers du rpertoire -Log visits: entre log cre chaque visite du site web -Index This Resource: pour Indexing Service -Execute: niveau d'excution des scripts Les

-none: ne peut lancer scripts ou excutables -Scripts Only: auto explicatif -Scripts And Executables: auto explicatif Protecting IIS with firewalls Un pare-feu applicatif fournirait une meilleure scurit pour analyser les requtes web Security for Internet Authentication Service IAS est un mcanisme pour authentifer les usagers Les clients radius sont identifis par leur IP, mais un "shared secret" est ce qui permet de rellement vrifier qu'ils sont authentique et l'intgrit du message. Le "shared secret" est utilis pour encrypter des attributs RADIUS comme "userpassword" et "tunnel-password" Account lockout Pour spcifier le # de fois qu'une authentification peut tre tente avant le verrouillage, il faut modifier le registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Accoun tLockout\MaxDenials > 1 (o 0 = dsactiv) Pour spcifier le temps de rinitialisation du compteur d'chec: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Accoun tLockout\ResetTime o dfaut est 0xb40 = 2880min = 48h Pour rinitialiser manuellement un compte verrouill, effacer la cl portant le nom de compte: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Accoun tLockout\ Quarantine control Network Access Quarantine Control: nouveau dans Win2003, dlais de connection et restraint dans un rseau priv en attendant que la config du poste soit valu et examin et valid par script-admin Logging considerations Pour configurer, IAS, Remote Access Logging node dans le panneau de gauche, dans le panneau de droite proprits de Local File, slectionner Accounting Requests + Authentication Requests + Periodic Status Enregistr dans %systemroot%\System32\LogFiles Pare-Feu Un pare-feu doit tre positionn entre le serveur IAS et le client. ncessaires sont: -udp 1645 et 1812 pour le traffic d'authentification -udp 1813 et 1646 pour le traffic de comptabilisation -port 7250 pour le contrle de quarantaine Les ports

Security for Exchange Server Comprendre l'impact du groupe Members of the Pre-Windows 2000 Compatible Access qui peuvent voir un liste des membres des groupes-courriels-activs qui seraient autrement cach Encryption rseau Utiliser TLS. Pour le configurer dans Exchange: -Console System Manager -tendre Servers node, tendre Protocols, tendre SMTP -Clic-droit sur virtual server et proprits -Onglet Access et clic Authentication, clic Require TLS Encryption, Ok -Onglet Delivery, clic Outbound Security, slectionner TLS Encryption, Ok, Ok

Logging considerations Pour configurer: -System Manager, tendre Servers node -Slectionner les proprits d'un objet auditable (address list, server, mailbox store) -Onglet Security et clic Advanced -Onglet Auditing, bouton Add Pare-Feu Ports utiliss par Exchange - Communications with domain controllers: LDAP standard protocol (389/tcp, 636/tcp if using SSL) Site Replication Service LDAP communications (379/tcp) Global Catalog LDAP communications (3268/tcp, 3269/tcp if using SSL) - Outgoing DNS queries to a DNS server: DNS (53/tcp and 53/udp) - Message transfer between servers: SMTP traffic (25/tcp, 465/tcp if using TLS), SMTP Link State Algorithm (691/tcp) - Client downloading e-mail using POP3: POP3 (110/tcp, 995/tcp if using SSL) - Client downloading e-mail using IMAP4: IMAP4 (143/tcp, 993/tcp if using SSL) - Client using newsreader Web browsers downloading e-mail from OWA: NNTP (119/tcp, 563/tcp if using SSL), HTTP protocol (80/tcp, 443/tcp if using SSL) - Clients using instant messaging: RVP (80/tcp and ports above 1024/tcp) - Clients using chat protocol: IRC/IRCX (6667/tcp, 994/tcp if using SSL) Security for SQL Server Authentication Supporte 2 modes: Windows Authentication (dfaut) et Mixed Mode Windows Authentication permet de: -simplifier administration -fournit un single sign-on pour utilisateurs -utiliser complexit de mdp comme Win2003, expiration -dlgation de "credentials" Mixed Mode donne la possibilit de stocker les infos de connexions dans la BD SQL Pour choisir mode: -Enterprise Manager -proprits d'un serveur -onglet Security, sous Authentication, cliquer Windows Only or SQL Server and Windows Si en Mixed Mode, le compte SA est important scuriser et mettre un mdp fort: -Enterprise Manager -tendre Security et cliquer Logins -Panneau dtail, proprits SA, dans la case Password entrer le nouveau mdp Authorization 3 mcanismes d'autorisation: permissions sur les objets, permissions sur les "statements", permissions implicites Objets: mthode granulaire pour donner accs aux des bd, tables, entres et restreindre le type d'actions( Ex: Select, Insert, Update, Delete) Statements: contrle les actions administrative comme crer BD ou ajouter des objets un BD, seuls les membres de System Administrators et proprio de la DB peuvent ajouter ce type de permission Implicites: les membres de rles prdfinis ou proprio db peut les assigner. Les permissions implicites d'un rle ne peuvent tre changs ou appliqus d'autres comptes. Logging considerations SQL Serveur inclus son propre mcanisme d'authentification. Peut tre configur

pour ajouter les vnements au Journal des vnements - Application Dans onglet Security des proprits d'un serveur, 4 niveaux d'audit: none, failure, success, all Certains vnements ne sont pas affichs dans audit, il faut utiliser l'outil Profiler Pare-feu Jamais connect l'internet sans pare-feu filtrant les paquets. Devrait bloquer les connexions qui ne viennent pas des clients vrifis Accepter tcp port 1433

Chapter 4: Lesson 3 Analyzing Security ConfigurationsSecurity Configuration and Analysis MMC snap-in. Utilise une DB pour faire l'analyse et la configuration. Permet de comparer les paramtres de scurits vs une DB cr partir d'un ou plusieurs profils de scurits Pour analyser: -MMC+Security Configuration And Analysis -Clic droit sur Security Configuration And Analysis et Open Database -Entrer un nom d'un nouvelle BD et Open -Import Template et Open (plusieurs fois si besoin de plusieurs templates) -Clic droit sur Security Configuration And Analysis et Analyze Computer Now Il est possible d'appliquer des paramtres, la dmarche est similaire l'autre d'en haut, mais cliquer plutt sur Configure Computer Now que Analyze Computer Now Microsoft Baseline Security Analyzer - Graphical Interface Graphique ou ligne de commande, analyse locale ou distance, dtecte erreur config sur Win2000, WinXP, Win2003 et peut analyser WinNT4, Win2000, WinXP, Win2003, IIS 4 et 5, SQL 7, SQL 2000, IE 5.01+, Office 2000, Office XP Scan pour maj scurit manquante pour Win2000, WinXP, Win2003 et peut analyser WinNT4, Win2000, WinXP, Win2003, IIS 4 et 5, SQL 7, SQL 2000, IE 5.01+, Office 2000, Office XP, Exchange 5.5, Exchange 2000, WMP 6.4+ Utilise un fichier XML mis jour rgulirement par MS et le tlcharge localement (.cab sign) Microsoft Baseline Security Analyzer - CLI mbsacli s'installe automatiquement avec MBSA, mais non ajout au chemins par dfaut, il est accessible c:\Program Files\Microsoft Baseline Security Analyzer\ la ligne de commande permet de crer un XML contenant les rsultats d'un scan MBSA Pour scanner une plage d'adresse: mbsacli -r 192.168.1.1-192.168.1.254 est remplacement de hfnetchk, peut faire la mme chose avec le paramtre /hf

Chapter 5: Lesson 1 Updating FundamentalsUne mise jour ou patch est un fichier ou une collection de fichiers qui peut s'appliquer un ordi windows pour corriger un problme spcifique. Exemple de format: WindowsServer2003-KB######-x86-enu.exe Types of Updates -Recommended updates: addresse un problme de non-critique et non reli la scurit, peut aussi ajouter de nouvelles fonctionnalits -Drivers updates: mise jour de pilotes, pouvant rgler des problmes de scurits, mais sont signs digitalement, ce qui prend du temps -Security updates: mise jour que le Microsoft Security Response Center (MSRC) publie pour rgler une vulnrabilit de scurit. Suivi du bulletin de scurit et de l'article Knowledge Base Le bulletin de scurit notifie et informe de problmes critiques et pas toujours de mise jour de scurit contient -Titre: format MSaa-### o aa est l'annes et ### le numro du bulletin

de l'anne -Sommaire: qui doit lire le bulletin, l'impact et le logiciel affect -Description Technique: d -Facteurs de mitigation: facteurs qui peuvent rduire la frquence d'exploitation -Cote de svrit: none, Low, moderate, important, critical -Identifiant de vulnrabilit: lien des organisations externe qui classifie la vulnrabilit -Versions testes: d -FAQ -Disponibilit mise jour: o tlcharger -Infos additionnelles: plate-forme d'installation, redmarrage ncessaire ou pas, dsinstallation possible -Critical Updates: disponible tous, non reli un problme de scurit et pas de bulletin associ, seulement un KB. Pas besoin d'appliquer immdiatement si le problme ne survient pas, car n'est pas test en profondeur, attendre pour le Service Pack -Hotfixes: package qui adresse un problme spcifique lorsque trait par le Microsoft Product Support Service (PSS), sera ventuellement lan comme mise jour, mais plus tard. Pas ncessairement dvelopp pour les SP en retard (Ex: hotfix pour SP3, mais pas recod pour SP2) -Security rollup packages: Entre SP, plutt que d'avoir plein de MAJ, on regroupe ensemble hotfix, security updates, critical updates et autres. Cible spcifiquement un produit, par exemple IIS -Features packs: pas pour rgler problmes, pour ajouter fonctionnalits. Auparavant inclus dans SP, mais maintenant spar o les SP sont MAJ de programmes existants -Service packs: ensemble cumulatif de hotfixes, security updates, critical updates, et autres. Inclus un KB et peut contenir un # limit de requte de fonctionnalits par des clients. Test rigoureux et stratgiquement planifis Product Lifecycles Chaque produits a un minimum de 5 ans de support mainstream partir de la date de disponibilit gnrale et les entreprises peuvent acheter 2 ans de support tendu. MAJ de scurit disponible pour 7ans sans cot, sans obligation d'acheter support tendu Microsoft supporte seulement le SP actuel et le prcdent Chaining Updates Qchain permet d'installer les mises jour en chane sans redmarrer entre chacune d'entre elles, pour WinNT, Win2000 et WinXP Pas ncessaire pour Win2003 car chaque MAJ contient les fonctionnalits Qchain, peut lancer la MAJ avec les paramtres /Z et /M Avec Windows Update ou WSUS, les MAJ sont automatiquement enchanes sans intervention ncessaire de l'administrateur Les SP ne peuvent tre enchanes avec quoique ce soit

Chapter 5: Lesson 2 Updating InfrastructureThe Updating Team Suggestion Microsoft: Microsoft Solutions Framework (MSF) -Product management: responsable pour identifier les besoins d'affaires de l'org et les usagers -Program management: responsable de livrer les MAJ dans les contraintes du projet, responsable de la planif de dploiement, budget, gestion risques et design du processus dploiement -Development: batissent l'infra de MAJ selon les spcifications. Spcifier les fonctionnalits de l'infra de MAJ, le temps pour le dployer et prparer l'infra -Testing: s'assurent que les MAJ sont dployes en prod seulement aprs que les

problmes de qualits sont identifis et rgls. -User experience: vrifient que le processus de MAJ rponde aux exigences des utilisateurs -Release managment: responsable pour dployer les MAJ Assessing Your Environment Doit connatre quel OS et applications sont installs et les besoins de scurits de chaque ordi et ceux qui contiennent de l'info confidentielle Pour chaque ordi, doit savoir: OS, Applications, connectivit rseau, facteurs de limitation de vulnrabilit, site, bande passante, responsabilit de l'admin, uptime requirements, dpendances aux horaires Deploying Updates Comparison of Update Distribution Methods Update Advantages distribution method Windows UpdateDoes not require that any infrastructure be deployed.

Disadvantages

Does not allow administrators to test or approve updates. Wastes Internet bandwidth in large organizations. Requires an infrastructure server.

Software Update Services

Allows administrators to test, approve, and schedule updates. Reduces Internet bandwidth usage. Provide granular control over which clients receive updates. Can be used to distribute other types of software.

Group Policy

Requires Active Directory. Other than service packs, updates must be manually added to a Windows Installer package.

Add/Remove Programs

Gives end users control over Requires Active Directory, which updates are applied, and requires end users to and when. Can be used to choose to install updates. distribute other types of software. Provides highly customizable, centralized control over update deployment, with the ability to audit and inventory client systems. Can be used to distribute other types of software. Requires infrastructure servers and additional licenses.

Systems Management Server

Automatic Update client Utilis par Windows Update et Software Update Services Disponible pour Win2000 SP3, WinXP Home et Pro Un proactive "pull" pour dtection automatique, notification, tlchargement et ventuellement installation des MAJ Facilement configurable, par Panneau de configuration, GPO ou registre; peut choisir le moment de l'installation d'avance Tlchargement invisible avec BITS Windows Update Service Microsoft qui contient: Windows Update web site, Automatic Update client,

Windows Update Catalog Software Update Services SUS est comme une copie de Windows Update dans le rseau local d'entreprise Se connecte au Windows Update pour tlcharger les MAJ et attend confirmation administrateur Pour Win2000 serveur, Win2000 Pro, WinXP et Win2003 Hautement configurable pour connatre la source logicielle, peut mme seulement approuver les MAJ et laisser le client les tlcharger de Windows Update Group Policy N'importe quel logiciel qui contenu dans un package Windows installer peur tre dploy avec le "Software Installation node" d'on objet GPO Windows ne fourni que les SP avec le Windows installer. Pour installer vrifier les partages rseaux disponibles, 1 GPO diffrent par site Add/Remove Programs Rendre disponible une MAJ sans forcer son installation Pour annoncer la MAJ sans forcer installation, peut utiliser fichier .zap pour publication. Doit tre admin local car s'excuter avec le contexte de l'utilisateur Si pas assez d'espace et que l'application semble install, sortir du contexte, librer espace, dsinstaller et rinstaller (doit redmarrer aux 2 dernire inverventions) Systems Management Server Outils pour dployer des applications, en ajoutant Feature Pack SUS, on ajoute la gestion MAJ: -Security Update Inventory Tool: MBSA-style updating -Microsoft Office Inventory Tool for Updates: capacit inventaire pour Office MAJ -Distribute Software Updates Wizard: outil pour installer MAJ sur ordi sans forcer le redmarrage -Web Reports Add-in for Suftware Updates: d! The Update Test Environment 2 modes: environnement test et dploiement pilote quipe de test en 2 groupes: design et dploiement

Chapter 5: Lesson 3 Updating ProcessDiscover patch -> Evaluate patch -> vulnerable ? -> Deploy Patch -> Retrieve patches -> Test patches -> Install patches -> Release success? -> Audit patches -> Patch deployed Discovering Updates Dbute lorsque Microsoft publie ou met jour un bulletin de scurit Peut tre notifi par Microsoft en s'inscrivant au Microsoft Security Notification Services Peut aussi afficher un liste des MAJ disponible pour un produit en visitant le Microsoft HotFix & Security Bulletin Service Peut aussi vrifier les MAJ disponibles avec Automatic Updates Le MBSA est aussi une excellente faon de dterminer si un systme prcis n'a pas toutes ses MAJ Evaluating Updates S'informer par les bulletins ou KB associs la MAJ. Vrifier si a s'applique au rseau actuel, si l'application est utilise ou si un autre medium prvient la situation (Ex: pare-feu) Il faut aussi prvoir du temps pour tester et "emballer" la MAJ pour le dploiement et surtout avertir les personnes touches par cette MAJ

S'assurer que la MAJ ne va pas briser les applications existantes ou prvoir un plan de retour si a ne fonctionne pas bien, comme vrifier si la MAJ est dsinstallable ou si une sauvegarde rcente du serveur est disponible Vrifier le risque que rpare la MAJ pour avoir une ide du niveau de danger et d'urgence Retrieving Updates Utiliser SUS pour tlcharger les MAJ ou tlcharger manuellement d'un serveur vrifi de Microsoft Pour installation s'un SP, choisir network install plutt que express install s'il est dploy plus d'un ordi sur le site Testing Updates Tester la MAJ dans un labo et pour une grande organisation, prvoir un dploiement pilote pour vrifier le plan de dploiement, le processus de dploiement, le temps de dploiement et les outils ncessaires Installing Updates S'assurer d'avoir assez de personnel pour rgler les problmes mineurs, avoir un analyste pour rgler les problmes de dploiement et avertir le gestionnaire rseau Removing Updates Plusieurs mthodes de dsinstallation: manuellement avec Add/Remove Programs, enlev par la mme mthode utilis pour dploiement (GPO, SCCM, ...), en ligne de commande avec script En cas de retour en arrire: -Stop the current deployment -Identify and resolve any update deployment issues -Uninstall updates if necessary -Reactivate release mechanism Auditing Updates Idalement une personne non implique dans le processus de MAJ devait le faire 2 faons: -vrifier avec MBSA ou vrifier la version des fichiers modifis -faire un audit pouss pour scanner chaque ordi/serveur

Chapter 6: Lesson 1 Assessing Patch LevelsThe MBSA Console Aprs un scan, les MAJ manquantes sont affiches avec un X rouge et les MAJ dpasse avec un X jaune Les rapports de scan sont enregistrs dans %userprofile%\SecurityScans et un rapport individuel est gnr par pc Utilise NetBIOS over TCP/IP et CIFS, les prots TCP 139 et 445 doivent tre ouvert Doit accder au fichier XML du site de Microsoft, mais peut pointer vers serveur SUS local pour aller chercher ApprovedItems.txt et va ignorer les MAJ que vous avez ignors pour votre organisation Deux cas de faux positifs: -fichiers MAJ par une installation non relie au bulletin de scurit -la problmatique du bulletin de scurit a t rgle par autre chose que la MAJ donc ne peut tre vrifi MBSACLI Scan doivent tre lans frquemment plusieurs heures diffrentes dans la journe et chaque site 2 modes disponibles: MBSA et HFNetChk, le premier similaire au GUI et le second qui offre une rtro-compatibilit aux versions passes et offre la possibilit de se connecter aux ressources comme un usager diffrent, spcifier un XML comme source

et lister les pc scanner dans un fichier texte. HFNetChk ne scanne que les MAJ manquantes, pas les autres vulnrabilits comme les configurations souhaites MBSACLI utilisera la mme connexion que l'accs au C$, alors il est possible de faire un net use avec un autre compte et lancer MBSACLI plutt que d'utiliser HFNetChk **DANS LE LIVRE ON RETROUVE TOUS LES PARAMTRES DES COMMANDES MBSACLI ET HFNETCHK**

Chapter 6: Lesson 2 Deploying Updates on New ClientsLes nouveaux clients sont vulnrables, il faut les isoler leurs de leur dploiement ou les protger par un pare-feu et intgrer le plus possible de MAJ dans le dploiement Windows Security Considerations Idalement, il faudrait liminer les possibilits d'attaques en installant l'OS hors ligne avec CD ou DVD et ensuite scuriser le poste S'il doit tre install en rseau, le placer dans un segment isol et permettre seulement les serveurs ncessaires comme serveur de fichier et SUS Integrated Installation Intgrer les SP dans l'installation originale est appel slipstreaming pour crer une installation intgre Rpertoire partag pour les fichiers d'installation Windows: -partage rseau Everyone Read and Execute -copier la totalit du CD dans le rpertoire -CLI pour slipstreaming: servicepack.exe -s:networkdrive:\ Les MAJ critiques ne peuvent tre intgres directement, il faut: -diter le fichier \i386\dosnet.inf et ajouter sous [OptionalSrcDirs] svcpack -crer le rpertoire svcpack sous \i386 -copier les fichiers de MAJ dans le rpertoire -renommer les fichier pour le systme 8.3 sous le format KB######.exe -extraire chaque package en CLI dans un rpertoire autre: KB834734 /X:c:\repeertoire\KB834734\ -du sous rpertoire, copier le catalog file KB######.cat dans le \i386\svcpack -localiser les fichiers binaires de la mise jour **Certaines mises jour contiennent des versions diffrentes des fichiers mettre jour selon la version actuelle, ces fichier sont plas dans un rpertoire nomm en fonction du prochain SP tre install -comparer les noms des nouveaux fichiers et effacer leur anciens quivalent dans le \i386 -si d'autres sous rpertoires ont t crs lors de l'extraction, les copier dans le \i386 -ajouter les noms de fichier autres que les KB######.cat dans le fichier dosnet.inf s'ils ne sont pas l sous le format: d1,filename dans la section [Files] du fichier -effacer \i386\Svcpack.in_ -crer un nouveau fichier Svcpack.ini et ajouter les KB#####.cat dans la section [ProductCatalogToInstall] Scripting Non-Microsoft Updates Une faon c'est de crer un answer file pour lancer l'installation et fournir l'information ncessaire sans demander interaction par l'utilisateur dans [GuiRunOnce] Les paramtres /Z et /M sont important car empche le redmarrage et en mode unattend Une meilleure technique serait de lancer un batch avec le [GuiRunOnce] qui contient le lancement des applications

Chapter 6: Lesson 3 Deploying Updates on Existing ClientsManually Applying Updates Les paramtres d'installation des paquets MAJ ont t modifis le 17 sept 2003 New parameter /passive Old parameter /u Description Performs an unattended installation while displaying a pogress bar. By default, this also selects the /warnrestart switch. Performs an unattended installation similar to that of the /u option; however, no progress bar is displayed. By default, the program restarts the computer with no prompt or warning if the update requires a restart for the changes to take effect. Prevents the computer from automatically restarting after a service pack is applied. Invokes a dialog box that warns the user that a restart will occur in the specified number of seconds (it defaults to 30 seconds if no value is specified). For example, to warn that a restart will occur in 60 seconds, type /warnrestart:60. The dialog box contains a Cancel button and a Restart Now button. If the user clicks Cancel, the computer is not restarted. Notifies the user that the computer must be restarted for the changes to take effect. The user can choose whether to restart the computer. Forces applications to close without saving files before restarting the computer. Stores backed up files in the specified folder. This parameter can only be used with service packs. Saves disk space by not backing up files that are replaced. You should only use this option on new computers or computers that can be quickly recovered from a backup Causes the service pack to overwrite OEM-supplied files. You should only use this option if you

/quiet

/q

/norestart

/z

/warnrestart:seconds

N/A

/promptrestart

N/A

/forcerestart

/f

/D folder

/D folder

/n

/n

/o

/o

have tested the service pack before and determined that OEMsupplied files have been updated by Microsoft and that the update files are compatible with your hardware. This parameter can only be used with service packs. /l /l Lists installed updates in a dialog box. Do not use this option from a script. Uninstalls the previously installed update. Slipstreams the service pack into installation files, as described in Lesson 2. This parameter can only be used with service packs. Enables the user to define the path for the local log file. This switch invokes the default logging behavior. Enables you to extract the installation files to a specified folder. Displays a dialog box that shows the correct usage of the update executable file, including a list of all its commandline switches and their behaviors.

/uninstall /S folder

N/A /S folder

/log

N/A

/extract

/x

/help

/h

Windows Update Web Sites Dans IE et le Menu dmarrer Software Update Services Tlchargement gratuit pour les serveurs Win2000 et Win2003 qui ont IIS installs Doit utiliser tcp/80 car Automatic Updates ne peut changer de port pour rechercher Configuration par navigateur web: http://nomserveur/SUSAdmin -panneau de gauche, Options -spcifier un proxy si ncessaire, le serveur pour se synchroniser, l'auto approbation, les langues choisir -synchroniser et planifier horaire de synchronisation Automatic Updates Client client qui va chercher les MAJ sur Windows Update ou SUS configurer le type de notification et d'action par le Automatic Updates dans l'onglet Automatic updates des proprits de l'ordinateur pour configurer sur client du domaine: -GPO -Expand Computer Configuration -Expand Administrative Templates -Expand Windows Components -Windows Update -Configurer les options et suivre pour "Next Settings" Si pas dans le domaine, 9 cls de registre

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU -NoAutoUpdate: 0 pour activer MAJ auto ou 1 pour dsactiver -AUOptions: 2 pour notifier les MAJ dispo, 3 pour tlcharger auto et notifier, 4 pour tout faire auto -ScheduleInstallTime: valeur 24h de l'heure d'installation -UseWUServer: 1 pour activer Windows Update server comme configur dans WUServer -ScheduleInstallDay: valeur 0 7 pour le jour d'installation o 1=dimanche et 0 pour n'importe quel jour -RescheduleWaitTime: # de minute attendre pour installer aprs le dmarrage du pc -NoAutoRebootWithLoggedOnUsers: 0 pour redmarrer 5 minutes aprs fin installation, 1 pour afficher notification usager HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate -WUServer: url du serveur SUS sous format http://computer1/ -WUStatusServer: quel serveur qui conserve les infos d'utilisation Doit redmarrer pc ou service Automatic Update pour appliquer les modifs Les vnements sont enregistrs dans le System event log quand les MAJ sont tlcharges et installes et entre pour une demande d'interaction avec usager Group Policy Pour dployer SP, les GPO sont plus pratiques car meilleur contrle granulaire par site, ou, filtre WMI Pour distribuer par objet GPO -extraire le SP dans un rpertoire partag -dans la GPO, Computer Configuration, Software Settings, Software Installation -clic-droit Software Installation et New -naviguer pour trouver update.msi

Chapter 7: Lesson 1 Public Key Infrastructure FundamentalsCryptography and Encryption cryptographie est la science de la protection des donnes par une transformation mathmatique, l'encryption 2 varits principales: -shared key encryption: les 2 ont la cl, l'expditeur et le destinataire -public key infrastructure: connu sous le terme asymmetric key encryption. 1 pour encrypter le message et la seconde, relie la premire pour dcrypter le message. cl publique pour encrypter et cl prive pour dcrypter/encrypter Public Key Infrastructure Pour faciliter l'utilisation de cl partage, il faut un PKI (Public Key Infrastructure) Permet de grer le processus de gestion et d'change des cls publiques plus facile. Est un ensemble de policies, standards et logiciels qui grent les certificats publics et privs. Consiste en un ensemble de certificats digitaux, autorits de certification (CA) et outils pour authentifier usagers et ordinateurs et vrifier les transactions Certificates Un certificat de cl publique, ou certificat tout court est un outil pour utiliser une cl publique d'encryption pour l'authentification et encryption. certificat mis et sign par un CA Infos dans un certificat: nom utilisateur, courriel usager, nom pc, date validit certificat, num de srie du certificat (unique), nom du CA qui a mis le certificat et la cl utilis pour signer, description politique utilise pour authentifier originalement le sujet, liste de faon dont le certificat peut tre utilis, endroit du CRL (certificate revocation list)

Certification authorities Entit de confiance qui publie des certificats des usagers, ordis ou services. Le CA accepte un requte de certificat, vrifier l'identit selon la politique en place et le type de certificat demand, gnre un certificat et utilise sa cl prive pour signer le certificat L'ENREGISTREMENT est le processus par lequel le sujet se fait connatre au CA. Peut se faire automatiquement pendant le processus de certificate enrollment Le certificate enrollment est la procdure que l'usager suit pour faire la requte d'un certificat du CA Certificate life cycle Pour tablir la dure du certificat il faut penser ces facteurs: -The length of private keys for certificates: + long = + difficile briser -The security of the CAs and their private keys: plus le CA est scure, plus longtemps les certificats sont sr (Ex: CA hors ligne et stock dans des voutes) -The strength of the technology used for cryptographic operations: force des algorithmes et autre matriel physique pour scuriser -The vulnerability of the CA certification chain: vulnrabilit de la hirarchie CA -The users of your certificates: confiance ses propres employs > que employs externes -The number of certificates that have been signed by a dedicated CA: plus c'est public, plus c'est vulnrable CA validity periods Mme les CA ont une auto-date d'expiration et aucun certificat mis ne peut avoir une date d'expiration plus loigne que l'expiration du CA lui-mme Pour Win2003, la dure du CA est de 5 ans, il faut le renouveler chaque 4 ans pour ne pas mettre des certificats d'une dure de moins d'un an Peut augmenter la valeur, mais ne jamais dpasser la dure maximale pour une attaque brute force pour casser la cryptographie du CA racine Certificate revocation Pour rduire la dure d'un certificat dj mis, un processus de certificate revocation est ncessaire. Le CA publie une CRL (certificate revocation list) qui contient les # de srie qu'il considre invalide Windows Server 2003 Certificate Services Win2003 inclus Certificate Services pour aider l'organisation implmenter PKI Le PKI Win2003 offre des avantages comme pas de cot additionnel et intgration serre AD, peut utiliser GPO pour grer quels usagers et ordis peuvent mettre et grer les certificate Root CAs 1ere tape pour dployer un PKI c'est de dployer un CA racine. 2 types de CA racine: enterprise ou standalone. Entreprise c'est pour intgrer avec AD et tous les CA doivent tre DC car rplication des certificats par AD En mode enterprise, peut grer facilement la gestion des certificats avec "autoenrollement" CA hierarchies Peut tre de faon hirarchique comme les forts de AD. Une chane de confiance est tablie ce qui permet aux certificats gnrs par CA enfant d'tre de confiance pour le CA racine Il est possible de retrouver des CA intermdiaires qui ne gnrent pas de certificat des clients, mais seulement pour d'autres CA enfants. Plus scuritaire si CA racine est hors-ligne Pour crer un CA enfant, doit spcifier le parent et fournir un compte/mdp membre du groupe Domain Admins Pour un CA enfant standalone, il faut faire une importation de certificat hors

ligne "requte par fichier" Peut configurer le CA enfant pour mettre seulement pour sous-domaine ou certain matriel spcifique Disaster Recovery Pour sauvegarder par Certification Authority snap-in, l'utilitaire de Sauvegarde ou autres logiciels. Manuellement: console Certification Authority, clic-droit et All Tasks, Back Up CA, doit fournir mot de passe pour encrypter la bd certificat Auditing Il faut activer audit, pour ce faire, activer Audit Object Access Group Policy pour le CA Ensuite, dans la console Certification Authority aller dans les proprits et dans l'onglet Auditing, choisir les vnements auditer: -Back up and restore the CA database -Change CA configuration -Change CA security settings -Issue and manage certificate requests -Revoke certificates and publish CRLs -Store and retrieve archived keys -Start and stop Certificate Services

Chapter 7:Lesson 2 Managing Certificate TemplatesOverview of Certificate Templates Les Certificate templates sont un ensemble de rgles et config qui dnifient le format et le contenu d'un certificat bas sur son utilisation. Fournit aussi les instructions au client pour crer et soumettre une requte de certificat rglementaire. En plus, le profil de certificat dfinit quels "sceurity principals" peuvent lire, s'inscrire et s'autoinscrire des certificats bas sur ce profil. Seuls les enterprise CAs peuvent mettre des certificats bass sur des profils, le profil doit tre disponible pour tous les CA de la fort et il faut attendre que la rplication AD se fasse travers la fort Les profils sont stocks dans AD cet endroit (visible avec ADSIEdit): CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=FORESTROOTNAMEDN Un ACL est associs chaque profil pour grer les accs et droits (read, enroll, autoenroll, modify) Certificate Template Versions V1 rtro-compatibilit avec serveurs Win2000, mais limitation hard-coded comme proprits, taille de la cl et dure de vie du certificat Par dfaut, mme la version win2003 gnre des V1 mais dupliquer des V1 donne des V2 Seulement win2003 Enterprise et Datacenter peuvent mettre des certificats bass sur un profil V2, peut le grer d'un XP avec le adminpak.msi Certificate Template Usage Politiques d'Application, aussi connu sous le terme extended key usage ou enhanced key usage permet de spcifier quels certificats peuvent tre utiliss pour quels fonctions Table 7.1 Default User Certificate TemplatesName Administrator Description Allows user authentication, EFS encryption, secure e-mail, and certificate

trust list signing Authenticated Session Authenticates a user to a Web server. The private key is used to sign the authentication request. Encrypts and decrypts data by using EFS. The private key is used to decrypt the file encryption key (FEK) that is used to encrypt and decrypt the EFS-protected data. Used to digitally sign software Allows the subject to decrypt files previously encrypted with EFS Used to request certificates on behalf of another subject Used to request certificates on behalf of another subject and supply the subject name in the request. Used by Exchange Key Management Service to issue certificates to Microsoft Exchange Server users for digitally signing e-mail. Used by Exchange Key Management Service to issue certificates to Exchange users for encrypting e-mail. Authenticates a user with the network by using a smart card. Identical to the Smartcard Logon template, except that it can also be used to sign and encrypt e-mail. Allows the holder to digitally sign a trust list. Used by users for e-mail, EFS, and client authentication. Allows users to digitally sign data.

Basic EFS

Code Signing EFS Recovery Agent Enrollment Agent Exchange Enrollment Agent (Offline request) Exchange Signature Only Exchange User

Smartcard Logon Smartcard User

Trust List Signing User User Signature Only

Table 7.2 Default Computer Certificate Templates Version Name Description 2 1 CA Exchange CEP Encryption Used to store keys that are configured for private key archival. Allows the holder to act as a registration authority (RA) for Simple Certificate Enrollment Protocol (SCEP) requests. Provides both client and server authentication abilities to a computer account. The default permissions for this template allow enrollment only by computers running Windows 2000 and Windows Server 2003 family operating systems that are not domain controllers. Used to authenticate Active Directory computers and users. Provides certificate-based authentication for

1

Computer

2 1

Domain Controller IPSEC

computers by using IP Security (IPSec) for network communications. 1 IPSEC (Offline request) Provides certificate-based authentication for computers by using IP Security (IPSec) for network communications. Enables Remote Access Services (RAS) and Internet Authentication Services (IAS) servers to authenticate their identities to other computers. Used by a router when requested through SCEP from a certification authority that holds a Certificate Enrollment Protocol (CEP) Encryption certificate. Authenticates the Web server to connecting clients. The connecting clients use the public key to encrypt the data that is sent to the Web server when using Secure Sockets Layer (SSL) encryption. Enables client computers to authenticate their identities to Authentication servers.

2

RAS and IAS Server

1

Router (Offline request)

1

Web Server

2

Workstation

Et autres: -Cross-Certification Authority: cross-certification et qualified subordination -Directory E-mail Replication: used to replicatio e-mail within AD -Domain Controller: Provides both client and server authentication abilities to a computer account. Default permissions allow enrollment by only domain controllers -Key Recovery Agent: recovers private keys that are archived on the certification authority -Root Certification Authority and Subordinate Certification Authority: Used to prove the identity of the certification authorities. Certificate Template Permissions Dfinir les security principals pour: -Full Control: modifier tous les attributs incluant l'ACL -Read: pour trouver le profil de certificat dans AD lors de l'enrollment -Write: modifier les attributs d'un profil sauf ACL -Enroll: s'inscrire un certificat bas sur le profil, doit aussi avoir Read -Autoenroll: permet de recevoir un certificat travers le mcanisme d'autoenroll, doit avoir Read et Enroll Suggestion: crer un groupe global ou universel pour chaque profil. Donner ce groupe les 3 permissions et ensuite ajouter les usagers ou groupes ce groupe Methods for Updating a Certificate Template 2 mthodes pour modifier un profil V2: modifier le profil original ou en crer un nouveau pour le remplacer. -Peut modifier en tout temps, devrait se modifier partout chez les clients, mais peut le forcer avec le mmc Certificates -Le "superseding" se fait en crant un nouveau profil V2 et ajouter de multiples politiques d'application pour les certificats que l'on veut "supersede". Proprits du certificat et onglet Superseded Templates Pour faciliter le travail, regrouper plusieurs profils existant dans 1 seul metaprofil Peut modifier un V1 en supersedant par une V2 en modifiant seulement quelques dtails

Chapter 7:Lesson 3 Deploying and Revoking CertificatesCertificate Enrollment Process Le certificate enrollment est le processus de demander et installer des certificats pour un usager, ordi ou service Le processus est celui-ci: -lorsqu'un usager gnre une requte pour un nouveau certificat, l'OS passe la requte un CSP (Cryptographic Service Provider) sur son poste -le CSP gnre la cl prive et publique (key pair) pour la requte du certificat. Si logiciel c'est le pc qui gnre sinon si le CSP est matriel, le CSP demande au matriel de gnrer la key pair -la cl publique est envoye au CA avec le "certificate requester information" le CSP enregistre la cl prive dans un endroit scuris. Si logiciel, c'est encrypt par le Data Protection API (DPAPI), si matriel, enregistre sur la smart card -Le CA accepte ou refuse la requte, si c'est accept, le CA cr et signe le certificat -Le CA envoie le certificat complt au requteur qui installe le certiticat dans le magasin requis sur l'ordi ou le matriel ddi Certificate Enrollment Methods Contraintes pour enrollment, un standalone CA ne peut pas livrer automatiquement un certificat, il faut utiliser: -web enrollment: le plus facile -certificate snap-in mmc: -certrep.exe CLI: principalement utilis pour des scripts que le GPO ne peut effectuer Un enterprise CA a 4 mthodes: web enrollment pages, certificates snap-in, autoenrollment par GPO et Certreq.exe. Le plus pratique c'est qu'il ne faut pas attendre l'intervention d'un admin pour approuver le certificat Ultimement, utiliser GPO pour forcer le client s'automatiquement s'inscrire sans intervention, mais Win2000 ne fonctionne pas mme avec Automatic Certificate Request Settings Group Policy settings car seulement pour ordi Manual enrollment Si avec pc client plus vieux que Windows 2000, il faut inscrire manuellement avec les mthodes vues prcdemment: Web avec http://serveur/certsrv Peut aussi s'incrire avec le Certificate Request Wizard dans le snap-in Certificates pour faire la requte un Win2003 qui est CA, si non-admin, ne peut grer que les certificats pour son compte En CLI, utiliser certreq avec les paramtres -submit (pour soumettre un fichier de requte pr-cr au CA), -retrieve (pour rcuprer un certificat au CA), -accept (pour installer les certificats d'une nouvelle requte un CA) Automatic enrollment Permet de dployer automatiquement des certificats aux usagers et ordis 2 mthodes avec PKI Win2003: -Automatic Certificate Request Settings and Autoenrollment Settings: GPO qui active le dploiement des V1 des certificats aux ordinateurs avec Win2000, WinXP et Win2003, seulement pour certificats ordis; activ au dmarrage ou au rafraichissement GPO; dans Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Automatic Certificate Request Settings -Autoenrollment Settings: GPO et certificats V2; s'active lorsque l'usager se logue; sous Computer Configuration/Windows Settings/Security Settings/Public Key Policies/ et User Configuration/Windows Settings/Security Settings/Public Key Policies; activ par dfaut Revoking Certificates 2 faon de le faire: composant enfichable Certification Authority ou Certutil.exe

Avec Certification Authority, slectionner Issued Certificates, clic-droit sur le certificat, All Tasks, Revoke Certificate avec raisons: Unspecified, Key Compromise, CA Comprimise, Change of Affiliation, Superseded, Cease Of Operation, Certificate Hold 2 types de CLR: full ou delta Publishing CRLs Plusieurs faon d'y accder: CIFS, HTTP, FTP, LDAP 3 endroits par dfaut: -partage \\Server\CertEnroll\ -LDAP CN=CAName,CN=CAComputerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootNameDN -web http://Server/cernenroll/ Pour en ajouter, proprits du CA, onglet Extensions, Add Faut publier la CRL pour que le client la reoive. Par dfaut delta quotidiennement et Full hebdomadairement Pour modifier frquence: clic-droit sur Revoked Certificates onglet CRL Publishing parameters Troubleshooting CRL Publishing Rcuprer manuellement le CRL rcent: se lo