Par AEC - Association des Experts en Cybersécurité
La sécurité des systèmes d’informations passe par l’élaboration de politiques, de standards et de procédures qui donnent les règles de gestion et les actions à réaliser pour sécuriser les systèmes. Également, la sécurité peut être vue de façon ensembliste, sur des segments du SI (sous-réseau, VLAN, etc.) ou sur les terminaux (serveur, PC, mobile, application web). Les entreprises pour se protéger du risque de cyber-attaque font un maximum d’effort sur la sécurité du réseau, mais la sécurité des terminaux est souvent défaillante.
Pour introduire la sécurité des terminaux (Endpoint Security), nous proposons ce problème qui consiste à sécuriser un terminal Windows.
Créer une machine virtuelle Windows qui servira de terminal pour l’exercice
Dans cet exercice, nous considérons que votre machine Windows est un serveur critique au sein de la société.
Concevoir une politique de sécurisation de Windows avec les standards de durcissement conformes aux bonnes pratiques en termes de :
Complexité et renouvellement de mots de passe,
Mots de passe par défaut
Activation de pistes d’audit,
Ports ouverts et fermés,
Connexions à distance,
Politique de nommage de comptes utilisateurs
Gestion des comptes par défaut
Gestion des malwares
Répertoires partagés
Gestion des patchs
Accès du groupe Everyone
Accès aux répertoires sensibles d’un système Windows
Protocoles et services à risques (SNMP, etc.)
Implémenter le durcissement de votre serveur Windows (1)
Déployer un SIEM (ex. Snort, ELK) sur votre système hôte
Définir des scénarios d’alertes au sein du SIEM permettant de vous envoyer un e-mail pour chacun des scénarios suivants relatif au serveur Windows en (1) :
Attaque par force brute sur votre serveur
Modification de la piste d’audit de votre serveur
Désactivation de la piste d’audit de votre serveur
Connexion avec un compte Administrateur de votre serveur