Policy Analyzer
Sur Windows, la référence du scan host based est l’outil Microsoft Security Compliance Toolkit (SCT), qui contient plusieurs outils. Dans cette partie, nous allons vous parler de Policy Analyzer, un outil permettant d’évaluer la compliance.
Domain controller
Dans un premier temps, nous testons l’outil sur le domain controller (DC01). Nous allons pour cela, comparer notre politique de sécurité appliqué par GPO avec une politique microsoft que nous considérerons comme référence.
- Nous commencons par nous rendre sur le site de Microsoft pour télécharger le software Policy Analyzer (1).
- Cliquer sur “Download” (2).
Microsoft propose plusieurs outils. En effet, comme dit précédemment, SCT est composé de plusieurs outils. Il faut donc choisir ce que nous voulons télécharger. Pour cette partie, nous nous focaliserons sur Policy Analyzer.
- Cocher PolicyAnalyzer (1).
- Ce que nous cochons apparait à droite (2).
- Descendre un peu pour trouver les baselines pour Windows server.
- Ce sont ces dossiers qui nous servirons de références pour comparer notre politique de sécurité.
- Cocher “Windows server 2012 R2 security baseline.zip” (1).
- Cocher “Windows server 2022 security baseline.zip” (1).
Nous en téléchargeons 2 pour pouvoir faire plusieurs comparaisons que nous détaillerons un peu plus tard dans cette partie.
- Cliquer sur “OK”.
- Cliquer sur “OK”.
- Si tout se passe correctement, 3 fichiers .zip sont téléchargés.
Nous devons extraire les fichiers.
- Cliquer droit sur le fichier (1).
- Cliquer sur “Extraire tout…” (2).
- Cliquer sur “Extraire”.
Nous pouvons désormais voir le contenu du dossier que nous avons téléchargé.
Avant de lancer l’outil Policy Analyzer, nous allons devoir exporter notre politique de GPO, pour pouvoir ensuite l’importer dans l’outil.
- Pour cela, cliquer sur l’icône Windows (1).
- Cliquer sur “Outils d’administration Windows” (2).
- Cliquer sur “Gestion de stratégies de groupe”.
- Cliquer droit sur “Objets de stratégie de groupe”.
- Cliquer sur “Sauvegarder tout…”.
- Cliquer sur “Parcourir…”.
- Créer un nouveau dossier pour contenir nos GPOs (1).
- Renommer le dossier (1).
- Cliquer sur “OK” (2).
- Ajouter une description si vous le souhaitez (1).
- Cliquer sur “Sauvegarder” (2).
- Cliquer sur “OK”.
- Nous pouvons aller dans le répertoire que nous venons de créer (1).
- Nous pouvons voir un dossier par GPOs exportés (2).
- Retourner dans le dossier téléchargé sur la plateforme Microsoft (1).
- Double cliquer sur “PolicyAnalyzer.exe” afin de lancer le software (2).
- Cliquer sur “Add”. Cela permet d’importer une politique de sécurité dans le logiciel.
- Cliquer sur “File” (1).
- Cliquer sur “Add fils from GPOs” (2).
Il faut désormais choisir le dossier contenant toutes les GPOs que nous avons exportés.
- Cliquer sur “Sélectionner un dossier”.
- Nous pouvons voir que nos GPOs sont bien importés et qu’elles correspondent bien aux GPO que nous avons créer dans notre AD (1).
- Cliquer sur le bouton que l’affichage tronqué ne permet pas de distinguer correctement (2).
Nous devons désormais choisir un emplacement pour le fichier qui va résulter de notre politique.
- Choisir le chemin d’accès à ce fichier (1).
- Cliquer sur “Enregistrer” (2).
Notre politique apparait dorénavant dans le logiciel.
Nous pouvons comparer cette politique à la politique locale via le bouton “Compare to Effecive State” mais cela n’a pas beaucoup d’interet puis ce que nous somme sur une machine de l’AD dont les politiques locales résultent des GPOs.
Nous allons donc plutôt comparer notre politique avec une baseline Microsoft.
- Pour importer la baseline, cliquer sur “Add”.
- Comme précédemment, cliquer sur “File” (1).
- Cliquer sur “Add files from GPOs” (2).
- Nous allons pouvoir choisir la baseline installé auparavant.
- Nous voyons que celle-ci contient un dossier GPOs qui a le meme format que notre dossier CurrentGPO obtenu en exportant nos GPOs (1).
- Cliquer sur “Sélectionner un dossier” (2).
- Les GPOs ont correctement été importés (1).
- Cliquer sur le bouton mystère (2).
- Entrer le chemin d’accès à votre fichier (1).
- Cliquer sur “Enregistrer” (2).
- La nouvelle politique (celle référence), apparait désormais au côté de notre politique (1).
- Cliquer sur “View/Compare” (2), afin de comparer les deux politiques.
Le logiciel nous affiche la comparaison sous forme de tableau.
Nous cherchons dans le tableau une ligne que logiciel affiche en jaune.
Cela signifie qu’il y a un conflit entre notre politique et la politique référence.
Par exemple sur cette ligne, pour le paramètre “AuthenticodeEnabled”.
La baseline active ce paramètre alors que notre politique non.
Authenticode est la signature Microsoft, permettant à l’OS (grâce à des softwares) d’authoriser ou non certains logiciels.
- Il serait donc de bon ton de l’activer.
Pour approfondir notre étude, nous allons importer une deuxième baseline destiné cette fois à Windows server 2022.
Répéter le processus d’importation précédemment décris.
- Cliquer sur “View/Compare”.
Une troisième colonne apparait, elle est dédiée à la nouvelle baseline importée.
Nous pouvons chercher des lignes mettant en contradiction la baseline dédié à Windows server 2012 ainsi que celle dédiée à Windows server 2022.
Sur notre ligne “AuthenticodeEnabled”, nous tombons sur le premier cas de figure.
Une restriction présente sur la version 2012 ne l’est plus sur 2022.
Pour expliquer cela il y a 2 possibilités :
- Soit Microsoft a déployé sur sa version Windows server 2022 un correctif permettant de rendre ce paramètre moins important dans les politiques de sécurité.
- Soit les équipes de sécurité de Microsoft ont fini par estimé que ce paramètre n’était finalement pas si important pour la sécurité de l’OS.
Ces éléments peuvent nous aider à prendre des décisions sur l’importance des différentes divergences entre notre politique de sécurité et celle conseillée par Microsoft.
Un autre cas de figure est celle dans laquelle la version 2022 ajoute des restrictions qui ne sont pas présente sur la version 2012. Microsoft n’ayant probablement pas fait de régression en sécurité volontaire entre 2012 et 2022, on peut penser que ces paramètres n’étaient pas pensés comme important en 2012, mais ont fini par l’être au cours du temps. La version la plus récente est donc celle que nous allons considérer comme référence dans ce cas de figure.
- Il est possible d’exporter ce tableau sous format Excel.
User
La manière dont nous testons précédemment nécessite d’importer les GPO depuis le gestionnaire, et en conséquence d’être sur le domain controller. Nous allons montrer ici comment il est possible d’utiliser l’outil en étant sûr un PC user. Pour cela, nous allons comparer une baseline avec notre stratégie locale (qui découle des GPO).
- Retourner sur le site ou nous avons téléchargé PolicyAnalyzer.
Nous devons vérifier dans un premier temps la version de notre OS, pour être sûr de télécharger la bonne baseline de comparaison.
- Cliquer sur l’icône Windows (2).
- Cliquer sur parametre (1).
- Cliquer sur “Système”.
- Cliquer sur “A propos de”.
- Nous voyons la version de notre OS dans le champs “version”.
- Nous pouvons désormais choisir la version qui convient, ici 21H2.
- Lancer l’application et ajouter la baseline comme expliqué précédemment.
- Il faut maintenant cliquer sur “Compare to Effective State”.
Nous avons le même tableau comparatif que précédemment, mais qui compare cette fois-ci avec la politique locale.
Nous voyons aussi certaines divergences comme sur cette ligne pour la taille du fichier de log. À noter que les divergences sont différentes, en effet, la baseline pour un Windows server domain controller ne sera pas la même que pour une machine cliente sous Windows 10.
Nous répétons cette opération sur chaque machine, bien que cela soit très laborieux et nécessiterait l’utilisation d’un script que nous détaillerons plus tard.