Passer au contenu

WatchGuard place un verrou sur Windows NT et 2000

Sécuriser Windows NT et 2000 est un art difficile. Conçu par Qiave Technologies – firme récemment rachetée par WatchGuard -, ServerLock protège la base de registres et les fichiers sensibles des actes malveillants. Son principal argument : la protection des données vitales.

Cherchant à se diversifier et à étendre son activité au-delà des boîtiers coupe-feu et des VPN, WatchGuard, la firme de Seattle, a racheté, en octobre dernier, Qiave Technologies, qui, dans sa corbeille, apporte ServerLock, un logiciel sécurisant les plates-formes Windows NT et 2000.

Interception avant autorisation

La prochaine version verra le jour en mai 2001, et sera destinée à Sun Solaris, Linux attendant son tour pour la fin de l’année. Le but de ServerLock est de protéger les données là où elles se trouvent (dans les serveurs et les stations). Il offre une protection contre les vulnérabilités et les attaques en cours d’exploitation.La sécurité passe par une protection des fichiers systèmes, binaires ou de données définies, et des clés de la base de registres. La protection du système de fichiers est effectuée par l’utilisation d’un pilote de périphérique de filtrage, et la protection du registre passe par des points d’entrée (hooks) venant se greffer aux appels systèmes. L’une des capacités du pilote de périphérique servant à filtrer est l’interception de toutes les requêtes d’écriture sur le disque. Le pilote de périphérique ServerLock vient ainsi s’agréger au-dessus du système de fichiers NTFS. Une fois la protection activée, ServerLock examine les requêtes d’écriture d’entrée-sortie et décide, sur la base de règles (par défaut ou définies), s’il autorise ou non l’action. Chaque règle contient le nom d’un fichier ou d’une clé de registres à protéger. L’impact, en termes de rapidité, est minimal, au dire de WatchGuard (1,17 % de CPU supplémentaire).Les opérations de lecture seule ne sont pas filtrées. En outre, ServerLock s’appuie sur les points d’entrée des appels systèmes pour protéger la base de registres. Il remplace les pointeurs des fonctions systèmes du système d’exploitation par ses pointeurs et ses propres fonctions. La modification d’une clé de la base de registres appelle donc, dans un premier temps, une fonction de ServerLock.Comme tout outil de sécurité qui se respecte, ServerLock s’autoprotège. Le seul moyen d’altérer la table des services systèmes est d’opérer en mode Noyau. Or, l’un des mécanismes pour agir dans ce mode consiste à écrire un pilote de périphérique et à l’installer. C’est la seule méthode autorisée par Windows. Grâce à l’interdiction du chargement de pilotes de périphérique non autorisés, l’hôte reste protégé. N’oublions pas, en outre, qu’il existe des fonctions d’appel non documentées de NT pour agir au niveau du noyau. ServerLock intercepte la fonction native NT avant qu’elle ne soit exécutée.

La neutralisation de l’appel du service système

WatchGuard indique qu’il a également découvert – une opération difficile à réaliser ! – qu’il était possible de mapper une portion de l’espace d’adresses du noyau dans l’espace utilisateur et d’en modifier le contenu. Afin d’empêcher cela, ServerLock neutralise l’appel du service système responsable de l’espace d’adresses du noyau et lui interdit de remapper les adresses du noyau ! Selon la société américaine, des laboratoires auraient vainement tenté de casser ServerLock. Pour l’instant…, ajoutons-nous par prudence.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager