Installation d'un NT sécurisé

Objet : Proposer une démarche d'installation pour éviter de laisser de trop gros trous dans la sécurité NT.

Référence : Les outils indispensables pour NT
Liens : Le travail des autres et mon inspiration
Liste NT Sec : un résumé d'échanges intéressants sur la liste NT-sec (www.ossir.org)

Un travail très intéressant est disponible sur le site de Patrick Chambet :

Windows NT 4.0 and Windows 2000 Security Partie 1 , Partie 2, Partie 3.

Des articles complémentaires sont disponibles sur ce site, d'autres ont été publiés dans la revue MISC.

Sur le site du laboratoire SupInfo, il y'a un article sur la sécurité ou l'insécurité de la base SAM de Windows NT/2000. Après l'avoir lu, vous saurez un peu plus pourquoi il faut faire (ou ne pas faire confiance) à la sécurité de votre système.

Quelques autres éléments

[WS] indique un paramétrage pour une WorkStation, [SVR] indique un paramètre intéressant sur un serveur.

Protection du fichier d'échange (pagefile.sys) [WS]

Les pages mémoires sont enregistrées sur le disque dans le fichier d'échange (fichier SWAP ou Page file), Ce fichier inaccessible lors du fonctionnement du système peut se révéler indiscret si on redémarre le système avec un autre système.

Il est possible de demander au système de "nettoyer" ce fichier lors de l'arrêt du système en paramétrant la clé de registre suivante :

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown à la valeur 1
ou utilisez le fichier ClearPageFile.reg

Ce paramétrage n'évite pas que des données confidentielles persistent après un crash ou un arrêt brutal du système.

Quelques réflexions sur les virus...

Voir : Virus

Interdire a Windows Media Player de lancer des pages HTML contenant des scripts

http://www.laboratoire-microsoft.org/tips/tips/366.asp

Configuration de l'économiseur d'écran pour le compte admin

Voici les clés à positionner pour cela :

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="7200"  (valeur du timeout en secondes)
"ScreenSaveActive"="1"   (activation 1 ou désactivation 0)
"ScreenSaverIsSecure"="0"   (autorisation 1 ou blocage 0 du mot de passe)
"SCRNSAVE.EXE"="C:\\WINNT\\System32\\WINEXIT.SCR"
     (chemin d'accès à l'écran de veille, ici winexit en exemple)

Vous pouvez aussi lire :

How can I force my clients to use a password protected screen saver?
http://www.jsiinc.com/SUBD/tip1900/rh1966.htm
How can I set a screen saver using system policy in Windows NT 4.0?
http://www.jsiinc.com/sube/tip2200/rh2296.htm

Utiliser des outils adaptés

Voir chez Microsoft la page sur la sécurité :

MBSA (Microsoft Baseline Security Analyser) : (MBSAhome.asp) qui permet un suivit des Patch et de la sécurité du poste.
HFNCheck (hfnetchk.asp).

Voir chez GFI :

Languard Network Scanner (Gratuit pour une utilisation non commerciale) : NS

D'autres outils gratuits et des FAQs : grc.com/freepopular.htm

Les outils de vérification en ligne :

Scanner des ports : cnsc.ch
Pour tester les ports ouverts et valider la protection de son système : grc.com