Sécurisation renforcée du PC

Les PC situés dans la salle de contrôle sont très exposés aux attaques. La sécurité de ceux qui prennent en charge ™EcoStruxure Control Expert ou ™EcoStruxure Server Expert doit être renforcée.

Ces applications étant toutes exécutées sous le système d’exploitation Windows, ce chapitre fournit des instructions sur la manière de renforcer un PC en se concentrant sur la sécurité pour Windows 10.

Renforcement de la station de travail d'ingénierie

Les fonctions principales suivantes permettent de sécuriser le poste de travail. Cliquez sur un élément pour en savoir plus sur cette fonction :

Réduction des attaques de surface
Vérification et configuration de la stratégie de sécurité
Gestion des comptes d'utilisateur
Gestion du contrôle d'accès
Sécurisation des services réseau, notamment :
Activation ou installation de l'outil de protection antivirus
Gestion systématique des correctifs
Gestion de la sauvegarde
Gestion de la confidentialité
Gestion des audits

Cette rubrique comprend également des références à plusieurs guides de configuration de la cybersécurité sous Windows 10.

Réduction des attaques de surface

La surface d'attaque de votre système en réseau est l'ensemble des zones où un intrus peut tenter d'ajouter ou d'extraire des données.

Pour réduire la surface d'attaque potentielle, procédez comme suit :

Désactivez toutes les applications logicielles, tous les services et tous les ports de communication qui ne sont pas utilisés.
Désactivez ou limitez l'accès aux périphériques de stockage amovibles (USB, par exemple).
Utilisez le poste de travail pour une seule fonction (par exemple, installez OPC UA Server Expert et Control Expert sur différents PC).

Vérification et configuration de la stratégie de sécurité

La stratégie de sécurité Windows peut être définie via des objets de stratégie de groupe.

Un objet de stratégie de groupe (GPO) est un ensemble de modifications de configuration qui peuvent être appliquées à un poste de travail PC. Pour plus d'informations sur l'Editeur de stratégie de groupe local, consultez les guides de configuration de la sécurité du Centre pour la sécurité Internet (CIS) référencés ci-dessous.

Les objets GPO de domaine peuvent également être définis dans Windows Active Directory.

Les configurations de sécurité doivent être vérifiées régulièrement et automatiquement.

Gestion des comptes d'utilisateur

Modifier les mots de passe par défaut :

Avant de déployer un nouvel actif, remplacez tous les mots de passe par défaut par des valeurs cohérentes avec les comptes de niveau administratif.

Désactivez la connexion automatique à Windows.

Pour obtenir une description des paramètres de mot de passe du compte Windows, consultez les guides de configuration de la sécurité du Centre pour la sécurité Internet (CIS) référencés ci-dessous.
Configuration des comptes d’utilisateur :

Les comptes d’utilisateur peuvent être définis localement (groupe de travail) sur un ordinateur autonome ou via un contrôleur de domaine Windows Active Directory qui permet de centraliser la gestion de tous les utilisateurs d'un système.

Suivez les recommandations ci-dessous lors de la configuration des comptes d’utilisateur :
- Utilisez un compte d’utilisateur individuel standard (sans droits d'administrateur) pour exécuter les applications logicielles configurées pour s'exécuter en tant qu'applications autonomes (par exemple, Control Expert).
- Utilisez un compte système local pour les applications logicielles configurées pour s'exécuter en tant que service (par exemple, OFS UA).
- Utilisez un compte d'administrateur dédié pour installer les applications logicielles et configurer IPSec.
- Configurez un gestionnaire de mots de passe pour gérer vos mots de passe (par exemple, KeyPass).
- Désactivez tous les comptes qui ne sont pas associés à une entreprise (par exemple, les comptes de débogage). Consultez la section Commande CIS 16.8.
- Désactivez automatiquement les comptes inactifs après une période d'inactivité définie. Consultez la section Commande CIS 16.9.
- Verrouillez automatiquement les sessions des stations de travail après une période d'inactivité standard. Consultez la section Commande CIS 16.11.

Gestion du contrôle d'accès

L'accès à toutes les informations stockées sur les systèmes avec système de fichiers, partage réseau, revendications, application ou base de données doit être contrôlé. Ces contrôles appliquent le principe du moindre privilège, c'est-à-dire que seuls les individus autorisés peuvent accéder aux informations, et les informations auxquelles ils peuvent accéder ne sont que les informations dont ils ont le moins besoin,compte tenu de leurs responsabilités.

Les autorisations sont liées aux objets. Selon les objets, l'autorisation peut être mise en œuvre en fonction :

des objets Windows Active Directory ;
de l’accès aux fichiers NTFS via une liste de contrôle d'accès discrétionnaire (DACL) ;
des autorisations de dossier partagé ;
le service Registre à distance (activation/désactivation).

Les privilèges sont des droits d'utilisateur qui ne sont pas liés à un objet, mais qui sont propres à la machine. Ils peuvent être gérés via les paramètres de la stratégie de groupe, par exemple, les paramètres "Accès au stockage amovible" dans l'éditeur de stratégie de groupe local peuvent restreindre l'accès au stockage de périphériques USB (en lecture ou en écriture).

Sécurisation des services réseau

Le meilleur moyen de sécuriser un service est de le désinstaller ou de le désactiver. Nous vous recommandons de désactiver ou de désinstaller tous les services inutiles.

Il existe plusieurs façons de désactiver un service (Services Tool, Security Template, Group Policy Object, PowerShell, SC.exe).

En outre, nous vous recommandons d'utiliser le pare-feu Windows avec une règle de refus par défaut qui supprime tout le trafic, à l'exception des services et ports explicitement autorisés.

Utilisation du pare-feu :

Le pare-feu Windows est nécessaire pour la configuration IPSEC sous Windows 10. Dans les versions récentes des systèmes d'exploitation Windows, y compris Windows 10, le pare-feu est activé par défaut. Pour plus d'informations sur les paramètres du pare-feu Windows, consultez les guides de configuration de la sécurité du Centre pour la sécurité Internet (CIS) référencé ci-dessous.
Outil Server Manager :

Serveur Manager vous permet d'afficher toutes les dépendances d'une fonction afin de déterminer s'il convient de la supprimer d'un serveur Windows.

Les rôles de serveur peuvent être sélectionnés (par exemple, Serveur Web (IIS), Serveur DNS, etc.).

Les fonctions du serveur peuvent être sélectionnées (par exemple, BitLocker, .NET Framework, etc.).
Internet Information Server (IIS) - Sécurité du serveur Web :

Utilisez une installation minimale de la dernière version.

Configurez le contrôle d’accès IIS (TLS et authentification utilisateur).

Activez la consignation et recherchez les signatures de piratage dans les journaux.

Vous trouverez plus de détails sur les paramètres d’IIS dans le document de référence CIS (cliquez sur le lien ci-dessous).
Désactivation de SMBv1 :

Server Message Block version 1 (SMBv1) est un protocole utilisé pour partager des services (tels que l'impression, les fichiers et la communication) entre des PC d'un réseau. Il est prouvé que SMBv1 présente la vulnérabilité d'autoriser l'exécution de code à distance sur le PC hôte.

Nous vous recommandons de désactiver SMBv1.

Désactivation du protocole RDP (Remote Desktop Protocol)

Les recommandations de Schneider Electric relatives au renforcement de la protection incluent la désactivation du protocole de connexion de bureau à distance (RDP) sauf si votre application requiert le protocole RDP. La procédure ci-dessous décrit comment désactiver ce protocole :

Étape	Action
1	Sous Windows 10, désactivez le protocole RDP en sélectionnant Ordinateur > Propriétés du système > Paramètres avancés du système.
2	Sur l'onglet Utilisation à distance, décochez la case Autoriser les connexions d'assistance à distance vers cet ordinateur .
3	Cochez la case Ne pas autoriser les connexions à cet ordinateur .

Désactivation de LANMAN et de NTLM

Nous vous recommandons de désactiver le protocole Microsoft LAN Manager (LANMAN) et son successeur NT LAN Manager (NTLM). Ces deux protocoles présentent des vulnérabilités qui rendent leur utilisation dans les applications de contrôle inappropriées.

Les étapes suivantes décrivent comment désactiver LANMAN et NTLM dans un système Windows 10 :

Étape	Action
1	Dans une fenêtre de commande, exécutez `secpol.msc` pour ouvrir la fenêtre Stratégie de sécurité locale.
2	Ouvrez Paramètres de sécurité > Stratégies locales > Options de sécurité .
3	Sélectionnez Envoyer réponse NTLMv2 uniquement. Refuser LM et NTLM dans le champ Sécurité réseau : Niveau d'authentification du gestionnaire de réseau local.
4	Cochez l'option Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe.
5	Dans une fenêtre de commande, entrez `gpupdate` pour valider la stratégie de sécurité modifiée.

Désactivation des cartes d'interface réseau inutilisées

Nous recommandons de désactiver les cartes d'interface réseau non requises par l'application. Par exemple, si votre système compte deux cartes et que l'application n'en utilise qu'une, vérifiez que l'autre (Connexion au réseau local 2) est désactivée.

Pour désactiver une carte réseau sous Windows 10, procédez comme suit :

Étape	Action
1	Ouvrez Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte.
2	Cliquez avec le bouton droit de la souris sur la connexion non utilisée. Sélectionnez Désactiver.

Configuration de la connexion au réseau local

Différents paramètres réseau de Windows permettent de renforcer la sécurité pour la mettre au niveau de la protection renforcée recommandée par Schneider Electric.

Dans les systèmes Windows 10, vous accédez à ces paramètres en sélectionnant Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte > Connexion au réseau local (x).

Cette liste est un exemple des modifications de configuration que vous pouvez apporter à votre système sur l'écran Propriétés de la connexion au réseau local :

Désactivez toutes les piles IPv6 sur leurs cartes réseau respectives.
Désélectionnez tous les éléments dans Propriétés de la connexion au réseau local , sauf Planificateur de paquets QoS et Internet Protocol Version 4.
Dans l'onglet Wins de Paramètres TCP/IP avancés , décochez les cases Activer la recherche LMHOSTS et Désactiver NetBIOS sur TCP/IP.
Activez Partage de fichiers et d'imprimantes pour le réseau Microsoft.

L'approche de protection renforcée de Schneider Electric inclut également les recommandations suivantes :

Ne définissez que des adresses, masques de sous-réseau et passerelles IPv4 statiques.
N'utilisez pas DHCP ou DNS dans la salle de contrôle.

Activation ou installation des outils de protection antivirus

Vous pouvez améliorer la réponse du système contre les virus et le code malveillant à l'aide des outils intégrés dans Windows 10. Vous pouvez également installer un logiciel antivirus supplémentaire, si nécessaire.

Les éditions professionnelles de Windows 10 incluent Windows Defender Advanced Threat Protection, une plate-forme de sécurité qui surveille les points de terminaison, tels que les PC Windows 10 utilisant des capteurs comportementaux. La technologie SmartScreen de Microsoft est une autre fonctionnalité intégrée qui analyse, télécharge et bloque l'accès aux sites Web et téléchargements réputés malveillants.

Pour plus d'informations sur les paramètres de Windows Defender, consultez le document du Centre pour la sécurité Internet (CIS) référencé ci-dessous, notamment :

Assurez-vous que le logiciel anti-programme malveillant de l'entreprise met régulièrement à jour son moteur d'analyse et sa base de données de signatures (Commande CIS 8.2).
Configurez la recherche anti-programme malveillant sur les supports amovibles : USB (consultez la section Commande CIS 8.4).
Configurez les périphériques pour qu'ils n'exécutent pas automatiquement le contenu situé sur un support amovible : USB (Consultez la section Commande CIS 8.5).

Gestion systématique des correctifs

Installez toujours la dernière version stable de toutes les mises à jour liées à la sécurité du système d’exploitation, des applications (y compris les navigateurs Web et le client de messagerie), des pilotes.

Activez la mise à jour automatique sous Windows 10.

Pour plus d'informations, consultez le document du Centre pour la sécurité Internet (CIS) référencé ci-dessous.

Gestion de la sauvegarde

Veillez à ce que :

Toutes les données du système sont sauvegardées automatiquement et régulièrement (voir la section Commande CIS 10.1).
Les systèmes clés de l'entreprise sont sauvegardés sous forme de système complet, par le biais de processus tels que l'imagerie, pour permettre la récupération rapide de l'ensemble du système. (Consultez la section Commande CIS 10.2.).
Les sauvegardes sont correctement protégées par la sécurité physique ou le chiffrement lorsqu'elles sont stockées, ainsi que lorsqu'elles sont déplacées sur le réseau. Cela inclut les sauvegardes à distance et les services cloud. (Consultez la section Commande CIS 10.4.).
Toutes les sauvegardes ont au moins une destination de sauvegarde hors ligne (c'est-à-dire non accessible via une connexion réseau) (Consultez la section Commande CIS 10.5).

Vos possibilités sont les suivantes :

Utilisez l'outil Historique des fichiers et d'autres outils libres de Windows 10 pour créer des sauvegardes de fichier.
Créez un lecteur de récupération pour restaurer votre système à partir d'une sauvegarde d'image.
Utilisez un service de partage et de synchronisation du stockage pour placer vos sauvegardes dans le cloud. Ces services sont faciles à configurer, notamment certains des plus populaires comme OneDrive, Dropbox ou Google Drive.

Pour plus d'informations sur l'outil Historique des fichiers, les paramètres de sauvegarde/restauration sont disponibles dans le document CIS référencé ci-dessous.

Gestion de la confidentialité

Supprimez du réseau les données sensibles ou les systèmes non régulièrement consultés par l'entreprise. Ces systèmes peuvent être utilisés en tant que systèmes autonomes (déconnectés du réseau) de la division qui doit parfois les utiliser, ou virtualisés et mis hors tension jusqu'à ce que cela soit nécessaire. Consultez le document CIS référencé ci-dessous. (Consultez la section Commande CIS 13.2).

Activez le chiffrement de disque avec Bitlocker. Pour plus d'informations sur les paramètres de Bitlocker, consultez le document CIS référencé ci-dessous.

Gestion des audits

Assurez-vous que la journalisation de la sécurité locale a été configurée sur les hôtes Windows. Pour plus d'informations sur la configuration de la stratégie d'audit, consultez le document CIS référencé ci-dessous.

Guides de configuration de la cybersécurité de Windows 10

Pour disposer d'un ensemble exhaustif de paramètres de cybersécurité de Windows 10, il est vivement recommandé d'utiliser les guides de configuration de Windows, notamment

Guides de configuration de la sécurité du Centre pour la sécurité Internet (CIS)

https://www.cisecurity.org/press-release/cis-controls-microsoft-windows-10-cyber-hygiene-guide/
- Niveau IG1 :
  
  https://www.cisecurity.org/cis-benchmarks/
  
  https://www.cisecurity.org/benchmark/microsoft_windows_desktop/
  
  https://www.cisecurity.org/benchmark/microsoft_iis/
Consignes pour la configuration de la sécurité, élaborées par le ministère américain de la Défense (DISA STIG)

https://www.stigviewer.com/stig/windows_10/2020-06-15/

Les documents "CIS benchmark" et "STIG Windows 10 Security technical implementation guide" proposent des profils facultatifs. Le choix d'un profil dépend de la criticité de vos applications exécutées sous Windows.