6ième : Analyser les vulnérabilités avec System Scanner

l’hôte, ainsi
qu’un outil d’évaluation basé sur les stratégies. La version 1.1 est, il faut
l’avouer, nettement en retard par rapport à  l’actuelle version 4.4, mais elle
n’en est pas moins excellente pour s’attaquer aux vulnérabilités connues des stations
de travail et des serveurs exposés à  l’Internet. Qui plus est, System Scanner
offre plusieurs contrôles de stratégies et de contrôles de base conçus à  l’origine
pour Windows NT, mais s’appliquant tout autant à  Windows 2000.

Pour protéger les stations de travail, System Scanner vérifie les vulnérabilités
des navigateurs Internet, assure une configuration correcte de la protection contre
les virus, et surveille les paramètres dangereux de Microsoft Office. Pour les
serveurs Web, System Scanner vérifie les faiblesses connues liés à  Microsoft,
IIS tels que les noms de fichiers 8.3, les inclusions côté serveur, et les pages
ASP indexées. Il protège aussi contre les risques plus subtils.

Par exemple, lorsque j’ai exécuté l’outil sur un système de test, il m’a signalé
 » Microsoft Office est installé sur un serveur Web « . Le message expliquait en
outre qu’un serveur Web de production dédié ne devrait pas avoir Office installé.
Office expose de nombreux objets DCOM pouvant être utilisés avec des langages
de scripting et risque de permettre une attaque contre le serveur Web « . System
Scanner vérifie les vulnérabilités Windows NT plus mystérieuses, telles que des
permissions faibles sur les clés du registre Winlogon et Run. Il permet aussi
d’évaluer les paramètres des stratégies, tels que le mot de passe, le verrouillage
des comptes et l’audit.

Ma fonction favorite de System Scanner est sa capacité à  déterminer une configuration
de référence, qui permet de détecter les modifications du système. System Scanner
prend un snapshot, ou  » ligne de référence « , de la configuration du système.
Lors des analyses suivantes, l’outil compare la configuration système en cours
avec le snapshot et rapporte tous les changements. Les lignes de référence peuvent
être redéfinies à  tout moment, ce qui permet de prendre en compte les changements
légitimes.

Ma fonction favorite de System Scanner est sa capacité à  déterminer une
configuration de référence, qui permet de détecter les modifications du système

Pour faire le suivi des données des valeurs du registre, des paramètres d’audit,
de la propriété et des permissions des clés du registre, il est possible de créer
des lignes de référence du registre. Pour faire le suivi des changements de contenu
des fichiers et pour contrôler les paramètres, les attributs, la propriété et
les permissions, on peut créer des lignes de référence des système de fichiers.
(La Figure 3 montre une stratégie d’analyse personnalisée pour détecter les changements
de contenu et de permissions). Pour identifier de nouveaux services non autorisés
et des processus suspects, on peut créer des lignes de référence de services et
de processus. Ces dernières permettent aussi de faire le suivi des programmes
et des commandes qui s’exécutent au démarrage du système et lors de l’ouverture
de session. On peut créer des lignes de référence d’utilisateurs pour surveiller
l’appartenance aux groupes, les paramètres de connexion des utilisateurs, les
paramètres des utilisateurs RAS et les attributions de droits. On peut même créer
des lignes de référence de partages pour détecter les nouveaux répertoires partagés
ou les changements de permissions partagées.

Pour utiliser System Scanner, exécutez setup.exe à  partir du répertoire \apps\systemscanner
du CD-ROM du kit de ressources de Windows 2000 Server. Puis ouvrez System Scanner
et sélectionnez Fichier, Analyser maintenant. Sélectionnez une stratégie appropriée,
et cliquez sur OK. (Les stratégies définissent les vérifications, parmi celles
susmentionnées, que l’on veut effectuer, selon le type de système à  analyser).
System Scanner dresse la liste des vulnérabilités qu’il trouve, comme le montre
la Figure 4. Lorsque l’analyse est terminée, l’outil sauvegarde tous les résultats
dans une base de données des historiques d’analyses, à  partir de laquelle peuvent
être exécutés des rapports analysant les résultats des analyses au fil du temps.
Vous pouvez exécuter un simple Rapport de vulnérabilités dressant la liste de
chaque vulnérabilité trouvée par System Scanner pendant une analyse. Chaque Rapport
de vulnérabilité s’accompagne d’une explication du risque et d’instructions pour
corriger le problème. On peut également exécuter un Rapport des services, identifiant
les services Internet bien connus qui étaient ouverts sur un système pendant une
analyse. Pour quantifier la progression de la sécurisation d’un système, on peut
exécuter un Rapport de tendances, qui permet de comparer les vulnérabilités détectées
par System Scanner dans deux ou plusieurs analyses sélectionnées. Le Rapport différentiel
permet de comparer deux analyses et d’afficher les vulnérabilités dans la première
analyse, dans la deuxième, ou communes aux deux.

System Scanner est un outil impressionnant pour analyser les systèmes Windows
2000 et NT. Mais il est évident qu’ISS n’a pas écrit la version 1.1 spécifiquement
pour Windows 2000, d’où quelques problèmes mineurs. System Scanner ne vérifie
pas tous les ports TCP/IP ouverts, communs à  un contrôleur de domaine Windows
2000, par exemple CIFS (Common Internet File System). Mais il est possible d’utiliser
une stratégie personnalisée pour définir des ports supplémentaires à  analyser.
System Scanner 1.1 ne reconnaît pas non plus tous les services d’installation
de base (par exemple Kerberos, DFS) communs aux systèmes Windows 2000. De plus,
Microsoft a rebaptisé certains services entre NT et Windows 2000. La version System
Scanner du kit de ressources génère donc plus de vulnérabilités dites  » service
inconnu  » qu’elle ne devrait. Si vous ne pouvez pas vous offrir System Scanner
4.0, la version du kit de ressources s’avèrera néanmoins très utile – et elle
ne vous coûtera pas un centime.