1 - Introduction
Les STIGS (Security Technical Implementation Guide) sont des guides de mise en œuvre technique de la sécurité, mis en place par un organisme du gouvernement américains (Department of Defense). Ces guides nous montrent une méthodologie de sécurisation des protocoles au sein des réseaux, des serveurs, des ordinateurs et des conceptions logiques pour améliorer la sécurité globale. Une fois mis en œuvre, ces guides améliorent donc la sécurité des architectures logicielles, matérielles, physiques et logiques afin de réduire davantage les vulnérabilités. Nous pouvons aussi retrouver à la fin de ces guides des GPO, qui mettent en application les conseils fournis. Malheureusement, il n’existe pas d’équivalent de ces guides de sécurités avec les GPO en France. Seulement l’ANSSI nous informe des récentes failles mais ne propose pas vraiment de procédures pour les corriger. Par conséquent, nous allons donc voir comment se présentent ces STIGS et comment les mettre en place.
2 - Présentation
Ces STIGS sont
retrouvables sur le site web https://public.cyber.mil/
qui est le site web d’échange du Department of Defense américains, on y
retrouve sur ce site toute les nouvelles vulnérabilités découvertes et les
différents guides (come le site de l’ANSSI) et on y retrouve en plus ces
fameuse STIGS.
3 - Mise en place
Pour mettre en
place ces STIGS, il faut tout d’abord se rendre sur le site « DoD CYBER
EXCHANGE PUBLIC » et allez dans les sections STIGS / GPO : https://public.cyber.mil/stigs/,
nous pouvons ensuite aller télécharger le fichier zip contenant les GPO :
Nous pouvons
ainsi retrouver dans ce fichier différentes GPO, concernant des fonctionnalités
Windows comme des correctifs de logiciels :
Une fois
télécharger, nous nous rendons dans la Gestion des stratégies de groupe de l’AD,
nous créons une nouvelle GPO avec le nom de la GPO, nous allons prendre exemple
avec la GPO pour Adobe Acrobat Reader DC :
Nous sélectionnons ensuite notre
fichier où se situe la GPO :
Nous pouvons maintenant sélectionner
notre GPO (User ou Computer) :
Une fois importé, nous pouvons voir ce que fait réellement la GPO, nous pouvons voir ici qu’elle change des clés de registre pour différents droits de l’application :
Pour mieux
comprendre à quoi correspondent ces paramètres nous pouvons voir les fichiers
« Reports » qui nous montrent les paramètres changés :
Nous pouvons
aussi bien entendu changer ces paramètres s’il ne nous convienne pas tous, car
certains sont très restrictifs.
4 - SCAP
Maintenant que nos GPO sont en place nous pouvons aller vérifier avec l’outil SCAP qui va nous permettre de voir si notre système correspond bien aux critères de sécurité du DoD. Et ainsi voire si nos GPO installés correspondent à leurs attentes. Pour faire cela, nous allons aller télécharger le logiciel sur le même site que précédemment ainsi que des benchmarks qui correspondent aux GPO installée (ici pour Adobe Acrobat Reader DC) pour faire une comparaison et évaluer le niveau de sécurité :
Une fois le logiciel SCAP installé, nous pouvons le lancer et sélectionner fichier benchmark (pour la comparaison) correspondant à Adobe Acrobat :
Une fois le test terminé, nous avons notre résultat de « compliance » qui nous donne le pourcentage de test réussi par notre configuration (GPO) :
5 - Conclusion
Pour conclure, ces outils mis en place par le gouvernement américain peuvent être très utiles pour sécuriser les équipements. En effet, il est rare de trouver des guides expliquant comment sécuriser des failles de sécurité et qui proposent des GPO pour les supprimer. Cependant, il est impératif de vérifier les effets des GPO sur un environnement de test avant de les mettre en production, car celles-ci peuvent être très restrictives et empêcher le bon fonctionnement du SI. Il faut donc les ajuster en fonction du besoin.