Ici nous abordons l'un des aspects les plus problématique de la sécurisation du réseau interne, la sécurisation du système d'exploitation comme tel sur chacun des postes. C'est principalement à cause de cet aspect que plus souvent qu'autrement la sécurisation du réseau interne est laissée de côté, car il s'agit d'une tâche relativement complexe, et qu'on doit traditionnellement effectuer manuellement sur chaque ordinateur, ce qui implique des coûts assez élevés en terme de main d'oeuvre. Les équipes informatiques des entreprises n'ont habituellement pas les connaissances nécessaires pour déployer des ordinateurs configurés sécuritairement selon les normes recommandées, et même lorsque c'est le cas, bien souvent il faut apporter des modifications supplémentaires avec le temps simplement à cause des nouvelles vulnérabilités qui n'étaient pas connues au moment du déploiement.
Pour donner une idée de l'ampleur de cette tâche, vous trouverez en annexe A un lien vers le site de Microsoft sur une page contenant un check-list de toutes les étapes qui doivent être effectuées afin de sécuriser une station de travail Windows NT 4.0. Parmi les choses à faire, il y a la désactivation du compte Invité (Guest), l'obligation d'un mot de passe difficile à deviner pour le compte Administrateur local, enlever les services de compatibilité OS/2 et Posix (à moins d'en avoir réellement besoin), restreindre l'utilisation du hash LanManager, restreindre l'accès à certains fichiers et répertoires systèmes, et j'en passe. La liste est plutôt longue, et il est facile maintenant de comprendre pourquoi cet aspect est si souvent laissé de côté: prendre le temps de faire manuellement toutes les modifications requises sur les droits d'accès ACL, d'enlever ou modifier les clés de registre nécessaire, d'activer certaines options qui sont absentes par défaut, en plus bien sûr d'avoir le système d'exploitation mis à jour avec le dernier Service Pack (minimum requis) et les derniers hotfix de sécurité (patches post-service pack). Enfin, la liste est longue. Tout ceci afin d'avoir sur chaque ordinateur un environnement sécuritaire suffisamment restrictif pour empêcher les usagers légitimes du réseau d'effectuer des opérations illégitimes, sans pour autant obstruer l'utilisation de l'usager dans l'usage normal de ses fonctions. Et c'est sans parler que ces modifications doivent également être implantées sur les serveurs, auxquelles se rajoutent quelques étapes supplémentaires dépendamment de la fonction du serveur (DNS, Contrôleur de domaine, serveur de fichiers, ...). À cet effet, la NSA vient de publier récemment une série de documents expliquant comment sécuriser les différents services de Windows 2000. Le lien vers ces documents se retrouve dans l'Annexe A.
Afin de régler ce problème, Pedestal Software ont créé un logiciel permettant d'auditer et de configurer à distance des ordinateurs Windows NT 4.0 et Windows 2000 en les comparant à des politiques de sécurité pré-définies correspondant à la configuration sécuritaire que nous désirons implanter. Quelques fichiers de configuration sont fournis avec le logiciel: un fichier correspondant aux recommandations présentes dans le document "Microsoft Security White Paper", un autre correspondant au SANS Step-by-Step, et trois autres correspondant à la configuration standard des machines de la Navy américaine concernant les stations de travail, les serveurs et les contrôleurs de domaine. Ce logiciel ne nécessite aucune installation d'agents sur les postes à configurer. Nous n'avons qu'à installer le logiciel sur un ordinateur branché au réseau, et lui fournir les authentifiants d'administrateur réseau pour les domaines que nous voulons sécuriser. Le logiciel, appelé Security Expressions, procèdera alors à un scan complet des machines, analysant leur configuration contre la configuration recommandée qui correspond aux normes de sécurité que nous voulons mettre en place. Une fois le scan terminé, le logiciel génère un rapport complet sur ce qui est conforme ou non conforme par rapport à la configuration désirée. D'un simple clic de souris, nous pouvons enclencher un processus similaire qui prendra en charge d'apporter les modifications requises afin de sécuriser les postes. Nous pouvons même ré-utiliser cet outil pour effectuer des audits régulièrement afin de s'assurer que toutes les machines demeurent conformes au niveau de sécurité exigé.
Security Expressions passe ses requêtes en utilisant le protocole NetBios, qui est le protocole de base dans un réseau Microsoft, en utilisant l'autorité de l'administrateur pour auditer et configurer les postes de travail. Il est également possible de faire nos propres fichiers de configuration, qui peuvent être dérivés de ceux fournis avec le logiciel. Pris tel quel, Security Expressions peut ajouter, modifier ou enlever des clés de registre, créer ou enlever des comptes usagers et des groupes, appliquer des ACL spécifiques sur certains fichiers ou répertoires, vérifier la présence de certains fichiers, ainsi que copier ou effacer des fichiers, et j'en passe. Dans son utilisation la plus simple, Security Expressions peut difficilement déployer les service packs ou les hotfix, mais il peut sans problème détecter s'ils sont présents ou non. Cependant, il est possible d'inclure des scripts dans le programme, et par ce moyen il est sûrement faisable de déployer ces mises à jour.
4. Mise en place de coupe-feu (firewalls) personnels
6. Optimiser les configurations des applications