Préconisations de sécurité pour SES Evolution
Pour la sécurité et le bon fonctionnement de SES Evolution, nous vous recommandons de respecter les préconisations suivantes.
Appliquer les recommandations de sécurité de Microsoft
Les systèmes d'exploitation Microsoft disposent de mécanisme de sécurité. Nous préconisons d'appliquer sur votre parc les recommandations de Microsoft sur les sujets suivants :
-
Système de fichiers NTFS recommandé,
-
Configuration par défaut des répertoires d'installation recommandée,
-
À partir de Windows 10, utilisation vigilante de l'assistant Cortana,
-
Utilisation modérée du clonage des postes de travail et serveurs,
-
Configuration du fichier de vidage du système (fichier dump ou full dump). Nous préconisons de configurer le système d’exploitation pour générer un fichier de vidage contenant l’image mémoire complète lors d’un arrêt de la machine.
-
À partir de Windows 8, utilisation recommandée de la protection Secure Boot,
-
Activation permanente de la fonctionnalité Hyper-V sur Windows 10 recommandée,
-
Chiffrement de partition système avec BitLocker recommandé,
-
À partir de Windows 10, utilisation recommandée de Credential Guard,
-
À partir de Windows 8.1, activation de la protection LSA renforcée recommandée,
-
Activation du chiffrement TLS 1.2 et désactivation des chiffrements TLS 1.0 et 1.1 pour les communications vers les serveurs backend.
Pour plus d'informations sur ces sujets, veuillez vous reporter à la documentation Microsoft en vigueur.
Configurer le pare-feu Windows
Assurez-vous que les numéros de ports suivants sont autorisés sur les pare-feu des machines hébergeant les composants de SES Evolution et également sur tous les équipements réseau situés entre les machines hébergeant les composants de SES Evolution.
Agents
| Protocoles | Sens | Port | Commentaires |
|---|---|---|---|
| TCP | Sortant | 17000 | Communication avec les gestionnaires d'agents SES Evolution |
| UDP | Sortant | 53 | Requêtes DNS |
| TCP | Sortant | 80 | Accès aux listes de révocation de certificats |
| TCP | Sortant | 88 | Authentification Kerberos |
| TCP/UDP | Sortant | 389 | Authentification LDAP |
| TCP | Sortant | 3268 | Authentification GC (Global Catalog) LDAP |
Gestionnaire d'agents
| Protocoles | Sens | Port | Commentaires |
|---|---|---|---|
| TCP | Entrant | 17000 |
Communication avec les agents SES Evolution |
| TCP | Sortant | 433 | Connexions HTTPS avec le serveur backend |
| TCP | Sortant | 1468 | Communication avec un serveur Syslog |
| TCP/TLS | Sortant | 6514 | Communication avec un serveur Syslog |
| UDP | Sortant | 514 | Communication avec un serveur Syslog |
Serveur backend
| Protocoles | Sens | Port | Commentaires |
|---|---|---|---|
| TCP | Entrant | 443 | Connexions HTTPS provenant de la console d'administration ou du gestionnaire d'agents |
| TCP | Sortant | 443 | Connexions HTTPS vers le serveur public de mise à jour Stormshield |
| TCP/UDP | Sortant | Variable | Connexions vers le moteur de base de données. Le port dépend de sa configuration. |
| TCP | Entrant | 10443 | Connexions HTTPS provenant des systèmes externes qui utilisent les API publiques (SIEM/SOAR) |
Console d'administration
| Protocoles | Sens | Port | Commentaires |
|---|---|---|---|
| TCP | Sortant | 433 |
Connexions HTTPS vers le serveur backend |
Désactiver l'accès au mode sans échec pour les utilisateurs standard
Le mode sans échec permet de diagnostiquer des problèmes qui empêchent d’utiliser un poste de travail lorsqu’il est démarré normalement. Par défaut la configuration Windows permet à tous les utilisateurs de démarrer leur poste avec ce mode.
Or, en mode sans échec, l'auto-protection de l'agent SES Evolution est désactivée. Vous devez donc autoriser l'utilisation de ce mode aux seuls administrateurs.
Pour désactiver l’accès au mode sans échec aux utilisateurs non administrateurs, dans la base de registre Windows, positionnez la valeur SafeModeBlockNonAdmins de la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System à « 1 ».