mardi 15 octobre 2013

[TMG] Durcir, sécuriser l'OS pour Forefront TMG


Il arrive parfois que l'on souhaite dans certains environnements réduire la surface d'attaque sur le système d'exploitation qui héberge Forefront TMG. Nous allons voir dans cet article comment procéder sans impacter le fonctionnement normale de ce dernier. Ces opérations devront bien entendu être effectuées après installation de Forefront TMG.

Cet article n'est applicable que dans les scénarios suivants :
  • Forefront TMG en standalone
  • Forefront TMG en array standalone

Je présenterais dans cet article que les étapes clé de la configuration, pour les étapes intermédiaires les paramètres par défaut seront amplement suffisants.

Après avoir téléchargé le modèle de hardening spécifique à Forefront TMG disponible à l’adresse http://download.microsoft.com/download/D/A/4/DA48B499-D681-4493-AB83-0EDA4789F412/TMGRolesForSCW.exe copiez le fichier nommé SCW_TMG_W2K8R2_SP0.xml dans le répertoire C:\Windows\security\msscw\kbs.

Attention : afin de rendre ce dernier compatible avec Windows 2008 R2 SP1 les modifications décrient à l’adresse http://security.sakuranohana.fr/2011/07/uag-probleme-hresult-0x80070057-lors-du.html devront être apportées au fichier.

Dans une ligne de commande avec privilèges élevés exécuter la commande suivante :
scwcmd.exe register /kbname:TMG /kbfiles:C:\Windows\security\msscw\kbs\SCW_TMG_W2K8R2_SP0.xml

1/ Fonctionnalités propres au serveur

Puis l'on va utiliser l'outil fourni avec Windows Server 2008R2 afin de durcir l'OS, ce dernier est présent dans le menu Start > Administrative Tools > Security Configuration Wizard.

On peut observer que lors de l'interrogation de la base de donnée le fichier injecté précédemment est bien prise en compte, en effet Microsoft Forefront Threat Management Gateway (TMG) apparaît bien dans le nœud Server.

Lors de la sélection des rôles pouvant s'exécuter sur le serveur, on prendra bien attention de sélectionner :
  • Microsoft Forefront Threat Management Gateway (TMG)
  • Remote access/VPN server
  • Windows Remote Management (WS-Management)
En plus des fonctionnalités par défaut il faudra activer Remote Access Client, qui est un prérequis pour Forefront TMG.

En plus des options par défaut il faudra activer les suivantes, étant des prérequis pour Forefront TMG :
  • Network Load Balancing Administration
  • Remote Access Auto Connection Manager
  • Remote Desktop
  • Windows Internal Database VSS Writer

Il est recommandé de ne pas modifier les services qui ne sont pas dans le périmètre du modèle de sécurisation de Forefront TMG en sélectionnant Do not change the startup mode of the service.

2/ Paramètres de la base de registre

Afin de sécuriser les flux SMB, on prendra le soin d'activer les options :
  • All computers that connect to it satisfy the following minimum operating system requirements
  • It has surplus processor capacity that can be used to sign file and print traffic

Puis l'on va spécifier que le serveur n’accepte que des authentifications de domaine avec l'option Domain Accounts.

Tout en spécifiant bien entendu que les contrôleurs de domaine sont bien à jour avec l'option Windows NT 4.0 Service Pack 6a or later operating systems.

3/ L'audit (aka la paranoïa :))

N'étant plus à un manque de confiance prêt on va décider d'audit en passant toutes actions ayant été menée à terme ou non (selon votre degré de paranoïa). A cette étape je vous laisse donc le choix de l'option la plus adaptée à votre environnement, sachant que cela peut générer plus ou moins d'entrées et de volume de journaux sur le serveur.

4/ Allez plus loin : appliquer le tout par GPO

Afin d'éviter de faire cette action sur chaque serveur il est possible de déployer cette politique par GPO. En effet on utilisera la ligne de commande scwcmd transform /p:<fichier xml> /g:”<GPO> où :
  • Fichier xml correspond à la politique généré à la fin de l'assistant Security Configuration Wizard
  • GPO correspond au nom de la GPO qui sera générée
 Il ne reste plus qu'à lier et appliquer les filtres de sécurité sur cette dernière.

Aucun commentaire:

Publier un commentaire