HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Articles > Les registres de NT4 relatifs à la sécurité
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Les registres de NT4 relatifs à la sécurité  
> Accès au contenu HTML Début de l'article  
> Description Descritpion de quelques-uns des registres de Windows NT qui peuvent permettre d'améliorer la sécurité d'un serveur. Les concepts fondamentaux de registres, d'éditeurs de registres et d'éditeur de stratégie système sont également abordés.  
> Contexte & Dates Étude interne HSC
avril 1998 
> Auteur Denis Ducamp  
> Langue et Nature  
> Résumé &
Table des matières
I. Description de la base de registres
II. Les éditeurs
    II.1. Les éditeurs de registres
    II.2. L'éditeur de stratégie système
III. Les registres intéressants
    III.1. La fonction d'AutoRun pour les CDROM
    III.2. Les systèmes de fichiers
    III.3. Le fichier d'échange
    III.4. La procédure de connexion
IV. Les ACL
V. Conclusion  
> Documents liés
themeWindows
[Formation]  Sécurité Windows
[Formation]  Sécuriser Windows - SANS SEC505
[Présentation]  Extraction de données authentifiantes de la mémoire Windows [29 mai 2013 - Français]
[Présentation]  Extraction de données authentifiantes de la mémoire Windows [4 avril 2013 - Français]
[Présentation]  Skyrack, rop for masses [17 juin 2011 - Anglais]
[Présentation]  Extraction des empreintes de mots de passe en environnement Windows [10 mai 2011 - Français]
[Outil]  Outil SSToPer [Implémentation Linux d'un client SSTP - Anglais]
[Présentation]  Rainbow Tables et caractères accentués sous Windows [31 mai 2007 - Français]
[Présentation]  Sécurité des Postes Clients [29 mars 2007 - Français]
[Brève]  Présentation des Alternates Data Stream (ADS) de NTFS. [28 octobre 2005 - Français]
[Présentation]  Sessions nulles dans MSRPC - exploitation et protection [29 juin 2005 - Anglais]
[Brève]  Windows remote administration tools overview [15 juin 2005 - Anglais]
[Article]  Windows log files [6 juin 2005 - Anglais]
[Présentation]  Active Directory network protocols and traffic [4 mai 2005 - Anglais]
[Brève]  Minimizing Windows Server 2003 network services [6 avril 2005 - Anglais]
[Présentation]  Le principe du moindre privilège appliqué aux systèmes Windows [7 février 2005 - Français]
[Présentation]  SSLTunnel pour Windows [22 septembre 2004 - Français]
[Présentation]  Protocoles et trafic réseau en environnements Active Directory [13 septembre 2004 - Français]
[Présentation]  Services réseaux Windows [13 janvier 2004 - Français]
[Présentation]  Windows network services internals - HiverCon 03 [6 novembre 2003 - Anglais]
[Article]  Windows network services internals [22 octobre 2003 - Anglais]
[Présentation]  Services réseaux sous Windows [14 avril 2003 - Anglais]
[Article]  Modèle de sécurité du système Windows [14 octobre 2002 - Français]
[Brève]  Minimization of network services on Windows systems [2 septembre 2002 - Anglais]
[Article]  Services réseaux des systèmes Windows - Étude de cas avec Windows 2000 et Windows XP [6 juin 2002 - Français]
[Brève]  Minimisation des services réseaux sur les systèmes Windows [3 juin 2002 - Français]
[Brève]  Administration distante de systèmes Windows (Partie 2) - rpcclient [18 février 2002 - Français]
[Brève]  Administration distante de systèmes Windows (Partie 1) - SSH [19 novembre 2001 - Français]
[Présentation]  Le filtrage IP et IPsec dans Windows 2000 [7 septembre 2001 - Français]
[Présentation]  Microsoft & sécurité : attention danger [13 mars 2001 - Français]
[Présentation]  Flux réseau de Windows NT [24 septembre 1998 - Français]
> Droits d'auteur © 1998, Hervé Schauer Consultants, tous droits réservés.

 

Cette présentation va décrire quelques-uns des registres de Windows NT qui peuvent permettre d'améliorer la sécurité d'un serveur. Les concepts fondamentaux de registres, d'éditeurs de registres et d'éditeur de stratégie système vont tout d'abord être abordés.


I. Description de la base de registres

La base de registres permet d'enregistrer les informations de configuration concernant le matériel, l'utilisateur, le noyau Windows NT, les pilotes de périphériques et les programmes installés.

Elle est composée de cinq ruches (clés principales) qui sont :

  • HKEY_USERS
  • HKEY_CURRENT_CONFIG
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE

Chaque clé peut contenir :

  • zéro, une ou plusieurs clés
  • zéro, une ou plusieurs valeurs

Une clé est caractérisée par :

  • son nom
  • sa classe

Une valeur est caractérisée par :

  • son nom
  • son type : REG_BINARY, REG_DWORD, REG_EXPAND_SZ, REG_MULTI_SZ ou REG_SZ
  • sa valeur

A chaque clé sont associés :

  • un propriétaire
  • des droits d'accès
  • des règles d'audit

Ces données sont également associées à toutes les valeurs contenues dans cette clé.


II. Les éditeurs

II.1. Les éditeurs de registres

Sous Windows NT, il existe deux éditeurs :

  • regedit.exe, l'éditeur de Windows 95
  • regedt32.exe, l'éditeur de Windows NT

Le seul éditeur permettant de travailler sur les ACL (Access Control List) associées aux registres est celui de Windows NT. Par contre celui de Windows 95 dispose d'une plus grande souplesse dans la recherche d'une chaîne dans la base des registres. En plus de la recherche du nom d'une clé, il propose la recherche d'une valeur ou d'une donnée.

Attention, l'édition de registres est une opération coûteuse en ressources CPU et mémoire. En cours d'édition, le processus occupe généralement 20 Mo en mémoire après seulement quelques ajouts, suppressions ou modifications de registres.

II.2 L'éditeur de stratégie système

Le panneau de configuration et l'éditeur de stratégie système permettent de créer, modifier et supprimer des valeurs de clés dans la base de registres. Alors que le premier est plus axé vers les pilotes de périphériques et les services, le dernier permet de modifier la configuration du noyau.

Il est possible d'utiliser l'éditeur de stratégie système de deux façons :

  • en mode registre : modification directe d'une base de registre locale ou distante.
  • en mode fichier de stratégie : modification d'un fichier de stratégie. Ce fichier peut être téléchargé sur une station de travail à la prochaine ouverture de session d'un utilisateur.

Les clés accessibles par l'éditeur de stratégie système sont indiquées.


III. Les registres intéressants

III.1. La fonction d'AutoRun pour les CDROM

Dans la clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\

la valeur

Autorun : REG_DWORD : 1

permet d'activer la fonction d'AutoRun des lecteurs de CDROM. Mettre cette valeur à 0 désactive cette fonction.

Même si cette fonction peut être momentanément désactivée en appuyant sur la touche "shift" durant l'insertion d'un CDROM, il est déjà arrivé à tous de manquer de réflexe...

III.2. Les systèmes de fichiers

La clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\

contient deux valeurs intéressantes :

  • Win95TruncatedExtensions : REG_DWORD : 1

    Cette valeur permet de faire apparaître les extensions de quatre caractères ou plus comme des extensions de trois caractères. La commande "del *.htm" efface donc entre autres tous les fichiers *.html. Mettre cette valeur à 0 désactive cette fonction.

  • NtfsDisable8dot3NameCreation : REG_DWORD : 0

    Cette valeur permet d'associer un nom court (8.3) à tout fichier créé avec un nom long sur un système de fichiers NTFS. Mettre cette valeur à 1 permet de désactiver la création de noms courts pour de tels fichiers.

    Attention :

    • Certains programmes 16 bits ne savent pas travailler sur des fichiers qui n'ont pas de nom court.
    • Il est nécessaire de redémarrer Windows NT pour que cette valeur prenne effet.
    • Cette valeur n'a pas d'effet rétroactif c'est-à-dire qu'elle ne détruit pas les noms courts existant déjà. Il est donc nécessaire pour protéger les fichiers de certains serveurs (tels qu'IIS et Netscape) de recopier intégralement l'arborescence et de détruire l'originale.

    Cette valeur est accessible dans l'éditeur de stratégie système :

    
    Ordinateur local
     - Système Windows NT
       - Système de fichiers
         - Ne pas créer de noms de fichiers 8.3 pour les noms longs.
    

III.3. Le fichier d'échange

Beaucoup ont remarqué que le fichier d'échange est plus rapide lorsqu'il est stocké sur un système de fichiers de type FAT. Dans ce cas à partir d'un autre système d'exploitation il est possible de lire son contenu qui peut contenir des informations sensibles.

La clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\

contient la valeur :

ClearPageFileAtShutdown : REG_DWORD : 0

Cette valeur permet de conserver les fichiers d'échange lors de l'arrêt du système. Mettre cette valeur à 1 permet d'effacer les fichiers d'échange lors de l'arrêt du système.

Remarque :

Les fichiers d'échange ne sont effacés que si la procédure d'arrêt se déroule sans problème. En cas d' "écran bleu" ou de coupure de courant, les fichiers d'échange ne sont pas effacés.

III.4. La procédure de connexion

Les valeurs intéressantes de la clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

sont :

  • ShutdownWithoutLogon : REG_SZ : 0

    Cette valeur permet de désactiver le bouton redémarrer dans la boite de dialogue de connexion de Windows NT Server. Avec Windows NT Workstation cette valeur est par défaut à 1.

    Cette valeur est accessible par l'éditeur de stratégie système :

    
    Ordinateur local
     - Système Windows NT
       - Ouverture de session
         - Autoriser l'arrêt dans la boite de dialogue d'authentification
    
  • DontDisplayLastUserName : REG_SZ : 0

    Cette valeur permet d'afficher le nom du dernier utilisateur connecté dans la boite de dialogue de connexion. Mettre cette valeur à 1 empêche cet affichage.

    Cette valeur est accessible par l'éditeur de stratégie système :

    
    Ordinateur local
     - Système Windows NT
       - Ouverture de session
         - Ne pas afficher le dernier nom d'utilisateur connecté
    
  • DeleteRoamingCache : REG_DWORD : 0

    Cette valeur permet de conserver sur la station de travail le profil d'un utilisateur itinérant qui vient de se déconnecter. Mettre cette valeur à 1 efface un tel profil lors de la déconnexion.

    Cette valeur est accessible par l'éditeur de stratégie système :

    
    Ordinateur local
     - Profils utilisateurs Windows NT
       - Supprimer les copies en cache des profils itinérants
    
  • CachedLogonsCount : REG_SZ : 5

    Cette valeur permet de spécifier le nombre de profils qui peuvent être stockés dans le cache d'une station de travail. En mettant cette valeur à 0 le système de cache est désactivé.

    Remarque commune à DeleteRoamingCache et CachedLogonsCount :

    Il est à rappeler que les profils enregistrent entre autres des mots de passe chiffrés. Effacer les profils des utilisateurs précédents protège ceux-ci contre l'utilisation d'outils tels que getadmin qui permettent d'accéder localement aux droits d'administration et donc aux données sensibles stockées en local.

  • LegalNoticeCaption : REG_SZ : (aucune valeur par défaut) et LegalNoticeText : REG_SZ : (aucune valeur par défaut)

    Par défaut la boite de dialogue "Information de session" est affichée directement lorsque l'utilisateur appuie sur Ctrl+Alt+Suppr. En affectant une valeur à l'une de ces deux valeurs, une fenêtre apparaît avec en titre la valeur de LegalNoticeCaption et en message la valeur de LegalNoticeText. Pour obtenir la boite de dialogue de connexion l'utilisateur doit acquiescer le message affiché.

  • LogonPrompt : REG_SZ : "Entrez un nom d'utilisateur et un mot de passe qui soient valides pour ce système."

    Cette valeur est le message affiché par la boite de dialogue "Information de session".

  • Welcome : REG_SZ : (aucune valeur par défaut)

    Si une valeur est affectée alors elle sera affichée en titre de plusieurs fenêtres dont :

    • la boite de "Information de session"
    • la boite de "Sécurité de Windows NT"
    • la boite de "Station de travail verrouillée"
    • la boite de "Déverrouillage de la station de travail"

  • PasswordExpiryWarning : REG_DWORD : 14

    Cette valeur indique le nombre de jours avant l'expiration du mot de passe durant lesquels une boite d'avertissement est affichée

  • Shell : REG_SZ : "explorer.exe"

    Cette valeur indique le shell à utiliser, c'est-à-dire le programme qui gère le bureau de l'utilisateur.

    Cette valeur est accessible dans l'éditeur de stratégie système :

    
    Utilisateur local
     - Interpréteur de commandes Windows NT
       - Interface utilisateur personnalisée
         - Interface personnalisée
    
  • Userinit : REG_SZ : "userinit,nddeagnt.exe"

    Cette valeur indique le programme à lancer pour décider du shell à lancer suivant l'utilisateur. Ce programme doit lancer lui-même le shell ou le programme "userinit.exe" pour lancer le shell indiqué par la valeur de Shell.

  • System : REG_SZ : "lsass.exe"

    Cette valeur indique les programmes à lancer en tant que "System" durant l'initialisation du système.

  • AutoAdminLogon : REG_SZ : (aucune valeur par défaut)

    Cette valeur n'existe pas par défaut. Si elle existe lors d'un démarrage de la machine ou après une déconnexion et que sa valeur est 1 alors la procédure de login sera automatiquement exécutée avec les paramètres donnés par les valeurs de :

    • DefaultDomainName : REG_SZ : (nom du domaine)
    • DefaultPassword : REG_SZ : (ne doit pas être vide)
    • DefaultUserName : REG_SZ : (nom de l'utilisateur)

    Pour se connecter avec un nom différent, appuyer sur la touche "shift" durant une déconnexion.

    Remarque très importante :

    Les clés AutoAdminLogon et DefaultPassword sont mentionnées ici pour vérifier qu'elles ne sont pas utilisées. En effet, il n'est pas possible de protéger de façon sûre le compte qui est automatiquement connecté. Les deux solutions suivantes, même si elles paraissent très attirantes, ne sont pas valides :

    • mettre un économiseur d'écran protégé par un mot de passe dans un des menus "Démarrage" de l'utilisateur.
    • mettre à une seconde le temps d'inactivité nécessaire à activer un économiseur d'écran protégé par un mot de passe.

    De plus, utiliser cette fonction empêche de masquer le nom du dernier utilisateur connecté dans la boite de dialogue de connexion.


IV. Les ACL

Deux clés sont intéressantes en ce qui concerne les droits d'accès :

  • L'ACL de la clé :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

    est celle qui est appliquée à toute demande de connexion distante à la base de registres.

    Attention, les configurations par défaut entre Windows NT Server et Windows NT Workstation diffèrent :

    • sous Windows NT Server cette clé est définie et n'autorise qu'un "Contrôle total" au groupe "Administrateurs".
    • sous Windows NT Workstation cette clé n'existe pas par défaut et "Tout le monde" peut accéder à distance à la base de registres.

    Cette clé contient une sous-clé nommée AllowedPaths. Cette clé contient la valeur :

    Machine : REG_MULTI_SZ : "System\CurrentControlSet\Control\ProductOptions
    System\CurrentControlSet\Control\Print\Printers
    System\CurrentControlSet\Services\Eventlog
    Software\Microsoft\Windows NT\CurrentVersion
    System\CurrentControlSet\Services\Replicator
    System\CurrentControlSet\Control\ContentIndex\Catalogs"

    Il s'agit de la liste des clés de la base de registres qui peuvent être lues à distance par "Tout le monde". La dernière ligne n'est présente que si "Index Server" est installé.

  • La clé

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\

    possède comme ACL par défaut :

    • le "Contrôle Total" est autorisé au groupe "Administrateurs", au "Créateur Propriétaire" et au "System".
    • les droits de lecture, c'est-à-dire "Retrouver la valeur", "Enumérer les sous-clés", "Notifier" et "Lecture du contrôle" pour "Tout le monde".
    • un accès spécial contenant en plus des droits de lecture : "Positionner la valeur", "Créer une sous-clé" et "Supprimer" pour les "Opérateurs de serveur".

    Dans un environnement où les membres du groupe "Opérateurs de serveur" doivent avoir un accès restreint, il est conseillé de supprimer tous les droits qui leur sont associé.


V. Conclusion

Il ne s'agit ici que de quelques unes des possibilités offertes par les registres de Windows NT. Certaines peuvent se révéler dangereuses pour le système le mettant dans un état instable ou l'empêchant carrément de démarrer.

Il est nécessaire avant tout changement de créer une disquette de réparation en utilisant le programme "rdisk". La SAM peut également être sauvegardée sur cette disquette en lançant "rdisk /s".

La plus part de ces modifications nécessitent également le redémarrage de la machine pour que ces valeurs soient prises en compte.

Dernière modification le 10 juin 2002 à 14:15:30 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants