Sélectionner une page

WS-Shield Main Screen

ASSUREZ LA SECURITE DE VOS SERVEURS ET POSTES DE TRAVAIL WINDOWS

L’écran d’accueil de WS-Shield met en avant 6 systèmes de contrôle d’accès à l’ordinateur qu’il protège. Sous les deux rangées de boutons se trouve le gestionnaire de polices de sécurité des sessions utilisateurs. Ce dernier est par défaut présenté dans sa version orienté poste de travail. Tout en bas de l’écran, la flèche à gauche du libellé « Advanced protection for Windows Server and Remote Desktop Access » affiche l’autre gestionnaire de polices de sécurité orienté Serveur hôte de sessions Bureau à distance. Dans le haut à droite de l’écran se trouvent un menu qui regroupe des fonctions d’administration propre à Windows, il s’agit de raccourcis, et un autre menu qui affiche des ressources Internet, des outils externes connu des administrateurs, et des outils complémentaires de WS-Shield.

Une protection contre les scanners de ports ouverts WS2016-Shield Sécurité Honeypot Instrusion

Honeypot for port scanner

Il s’agit pour vous de définir sur quels ports vous allez simuler l’existance des services couramment scannés par les pirates. WS-Shield se met à l’écoute sur ses ports là et s’il reçoit une demande de connexion, sa réaction sera de récupérer l’adresse IP distante et de l’enregistrer dans le pare-feu Windows. Selon le logiciel de scan utilisé, il se peut que le pirate arrive à récupérer une information sur la machine visée, mais il devra dès lors utiliser une autre adresse IP pour poursuivre son attaque. Les scans chez un prestataire comme OVH sont incessants. Dans une infrastructure intramuros, la détection d’un scan réseau peut être le fait d’un virus cherchant à se propager.

Un contrôle des accès par tranche horaire WS2016-Shield Sécurité Honeypot Instrusion

Working Hours Restrictions

Cette fonction présente nativement dans Windows requiert l’utilisation d’un AD. WS-Shield en reprend le principe sans imposer de semblables contraintes. Le contrôle est hierarchisé: ce qui est défini pour un compte prend le pas sur ce qui est défini pour le groupe. L’appartenance à plusieurs groupes est géré par l’indication du groupe principal. Les fuseaux horaires sont définissables et des options sur la fermeture de la session complètent le dispositif. WS-Shield enregistre dans un log tous les évènements relatifs à l’ouverture et la fermeture de sessions sous une forme plus lisible que les journaux Windows.

Une gestion des autorisations d'accès par pays WS2016-Shield Sécurité Honeypot Instrusion

Honeypot for Ransomware

WS-Shield crée alléatoirement des dossiers et fichiers au sein du profil utilisateur. Certains sont masqués pour ne pas provoquer de perturbations, d’autres sont visibles, tous sont reconnaissables à leur nom abscont. Le cryptolocker par contre n’étudie pas actuellement le sens du nom du fichier, mais s’intéresse à son extention en .docx, .xlsx, .pdf. WS-Shield surveille de près ses fichiers appats et réagit en cas de modification détectée. Tant que vous n’avez pas coché l’option « Emergency mode in case of detection », tout est enregistré et cela vous permet d’ajuster votre stratégie en fonction de ce que rapportent les logs.

WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing ⊂⊃ WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing

Détection de tentatives d'intrusion WS2016-Shield Sécurité Honeypot Instrusion

Intrusion Detection System

L’intrusion est gérée au niveau de l’accès réseau sur la tentative d’ouverture de session en SSH et RDP. Force est de constater que certains pirates attaquent directement ces interfaces sans scans préalables. Ce dispositif complète le Honeypot pour scanners. La principale action à faire ici est d’activer l’IDS. Par défaut, le nombre de tentatives de logins infructueux autorisé est fixé à 5.

Une gestion des autorisations d'accès par pays WS2016-Shield Sécurité Honeypot Instrusion

Homeland Access Shield

Le contrôle de flux en entrée et en sortie qui se borne à vérifier le pays de l’adresse IP distante comporte des contraintes qui en rendent l’exploitation difficile. Ce qui va vous permettre d’utiliser cette fonction facilement est la possibilité d’autoriser en amont les « Web Monsters » indépendamment du pays, puis des noms de domaine et des IP. Au début, vous enregistrez les flux sans rien bloquer. Ensuite, à la lecture du log, vous complétez votre stratégie.

Une gestion des autorisations d'accès par pays WS2016-Shield Sécurité Honeypot Instrusion

Prohibit acces per country

Dans vos logs vous allez voir apparaître les pays qui vous agressent majoritairement. Vous allez enregistrer dans le pare-feu Windows l’ensemble des blocks IP v4 attribués à ces pays qui vous importunent et couper le lien quelque soit le protocole. Cela alourdi le pare-feu Windows et allège WS-Shield. Un juste équilibre dans la répartition des tâches vous donnera une machine bien protégée sans ralentissement. Ici, les choix se font en entrée puis en sortie.

WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing ⊂⊃ WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing

Steady User Security in case of hacking

Se protéger de manière ergonomique et dynamique

WS-Shield propose des paramétrages types pour élever ou rabaisser le niveau de protection de la session utilisateur. Le niveau de protection le plus bas est considéré comme étant le paramétrage par défaut de Windows. Le menu User Account liste tous les comptes utilisateurs. Vous pouvez agir sur le compte courant et sur les autres comptes, que la session soit ouverte ou non. Les mécanismes de modifications de la base de registre au niveau du profil sont appliqués dynamiquement à l’ouverture de session et sur les sessions déjà ouvertes. La prise en compte des changements se fait à la volée sans besoin de fermer sa session et de la réouvrir. Ceci à une exception près, lorsque le compte est administrateur et qu’on switch de Standard Windows session à Protected Environnement ou Highest level of Alertness. En effet, WS-Shield considère qu’un moyen de réduire l’angle d’attaque du tiers malveillant est de ne pas être administrateur de sa session. WS-Shield s’occupe de retirer le compte du groupe Administrateurs lorsque l’on quitte le mode Standard Windows session et de le rétablir dans ses fonctions au moment du come back. Cette action ne pouvant être dynamiquement prise en compte par Windows, WS-Shield propose de procéder à un logoff qui reste optionnel. WS-Shield teste bien que le compte sur lequel il agit est à l’origine administrateur ou non. Le compte appartenant simplement au groupe Utilisateurs ne se voit pas attribué par cette manipulation des privilèges administrateur, cela est bien entendu.

Advanced Protection for Windows Server and Remote Desktop Access

Protéger de manière ergonomique et dynamique

WS-Shield ne se différencie pas dans son interface entre sa version pour poste de travail, pour serveur tous rôles confondus et pour serveur hôte de sessions Bureau à distance. Un clic sur la flèche à gauche en bas de l’écran d’accueil affiche à la place de l’interface de Steady User Security toute la richesse de RDS-Shield et de la gestion de sécurité des comptes en production sur un Terminal Server. Ce qui reste toujours problématique pour l’administrateur est de faire en sorte que les utilisateurs ne puissent pas sortir de leur profil pour accéder à des ressources sensibles ou des ressources communes. Vous avez des réponses à ces problèmatiques avec les fonctions que WS-Shield propose ici. Ces options sont conçues en référence aux besoins de la sécurisation d’un TSE, mais l’expérience montre que portées sur le poste de travail, elles ont toutes raisons d’être. C’est pour cette raison que la version WS10-Shield en laisse l’accès libre et complet. Vous avez un ensemble de packages d’options réfléchis en terme de sécurité et d’expérience utilisateur qui reste indépendant des stratégies de sécurité implémentées par les GPO.

Neststat

Users & Groups

L’interface proposée ici se compose de la liste des utilisateurs et des groupes du poste auxquels s’ajoute ceux de l’Active Directory si celui-ci est présent, ainsi qu’un curseur avec 5 positions allant du Standard Windows au Kiosk mode. Les GPO ne sont pas sollicités, seuls les fichiers UserNT.dat sont manipulés. Les combinaisons de modifications appliquées par WS-Shield sont orientées TSE, alors que l’interface précédente est pensée en terme d’utilisateur local.

hacker

Advanced security

A partir de cette interface, vous pouvez modifier et affiner les paramètres de sécurités des comptes et des groupes. Cela reste néanmoins une sélection des principales options de sécurité parmi l’ensemble des clés de registre que manipule WS-Shield. 25 cases à cocher composent le premier onglet et correspondent à ce qui est implémenté dans Users & Groups. Vous décidez ici même quels sont les volumes visibles et accessibles par l’utilisateur et les applications dont l’usage lui est prohibé.

WS2016-Shield

Server security

Certaines modifications souhaitables au niveau de l’Explorateur Windows ne sont possibles que de manière commune à tous les utilisateurs. Ces options sont regroupées ici. Vous pouvez charger WS-Shield de cacher des dossiers et fichiers sensibles comme Programs Files et Windows, de changer le dossier Users pour le placer sur un autre volume et créer les comptes à cet endroit là, de sélectionner un autre profile pour servir de base à la création de nouveaux comptes et d’importer des règles Applocker.

WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing ⊂⊃ WS-Shield Sécurité Honeypot Instrusion Ransomware Fishing

WS-Shield

WS-Shield

L