Ports ouverts et utilisateurs non autorisés

distance illicite. Les root kits sont monnaie courante dans le monde Unix, mais de plus en plus de pirates imaginatifs les écrivent pour sévir sur Windows. Pour connaître les connexions et vous mettre à l’écoute des ports d’un ordinateur Windows, ouvrez une ligne de commande et exécutez la commande

Netstat -a

Le tableau 1 donne la liste des ports généralement ouverts sur un ordinateur XP. Ne paniquez pas s’il y en a davantage sur votre station de travail ou serveur particulier. En effet, des ports peuvent être assignés dynamiquement selon le type de service. Par exemple, les RPC (remote procedure calls) utilisent des ports dynamiques quand on administre à distance DHCP et WINs. Pour plus d’informations à ce sujet, reportez-vous à l’article Microsoft « How to Configure RPC Dynamic Port Allocation to Work with Firewall » à http://support.microsoft.com/?kbid=15 459 . Exécutez Netstat et recherchez les éléments suivants :

• Un grand nombre (10 ou plus, selon votre environnement) de connexions établies, particulièrement vers des adresses IP en dehors de votre entreprise.
• Des ports ouverts de façon inattendue, particulièrement des ports d’ordre élevé (c’est-à-dire, des numéros de ports supérieurs à 1024). Les programmes de piratage et les root kits utilisent souvent des ports d’ordre élevé pour établir les connexions à distance.
• Beaucoup de tentatives de connexion en suspens, car c’est un signe d’une possible attaque SYN par submersion.
• Des fichiers batch non reconnus. Certains root kits créent des fichiers batch dans les dossiers suivants : C :, C:\winnt\, C :\windows, C :\winnt\system32 et C :\windows\ system32. Les root kits ou autres programmes non autorisés peuvent aussi créer des fichiers et des dossiers sous le Recycle Bin. C’est pourquoi vous devez aussi rechercher des fichiers cachés ou non autorisés dans le dossier Recycle Bin. Par défaut, les fichiers Recycle bin se trouvent dans le dossier C :\recycler. Méfiez-vous des fichiers et des dossiers qui subsistent après le vidage du Recycle Bin

Certains outils de piratage peuvent empêcher Netstat d’afficher les ports ouverts sur un ordinateur. Donc, si Netstat ne montre aucun port ouvert suspect mais que vous soupçonniez leur existence, appliquez un outil de balayage de ports comme l’utilitaire open-source Network Mapper (nmap) – que vous pouvez télécharger à http://www.insecure. org/nmap – à partir d’un autre ordinateur, pour voir quels ports sont ouverts sur l’ordinateur cible.

Utilisateurs malveillants dans l’AD. Quand un intrus compromet un système, il crée parfois un ou plusieurs utilisateurs malveillants dans l’AD (Active Directory). Souvent, les intrus créent ces comptes utilisateur avec une description vierge. Pour déjouer cette tactique, je vous conseille d’ajouter une description (respectant une convention de nommage spécifique) pour tous les utilisateurs autorisés dans l’AD. Ensuite, vous pourrez trier les utilisateurs par description et tous les utilisateurs sans description apparaîtront en début de liste.

Utilisateurs non autorisés dans des groupes privilégiés. L’un des principaux objectifs des pirates est de pratiquer l’escalade des privilèges. Analysez les groupes privilégiés dans l’AD (par exemple, Administrators, Domain Admins, Enterprise Admins, Server Operators) pour y détecter l’appartenance non autorisée à certains groupes. Dans cette optique, limitez les membres appartenant à ces groupes, afin de faciliter l’identification des utilisateurs non autorisés.