Dell™ Digital Forensics Guide de la solution
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui facilitent l'utilisation de l'ordinateur. PRÉCAUTION : Une PRÉCAUTION indique un endommagement potentiel du matériel ou une perte de données potentielle si les instructions ne sont pas respectées. AVERTISSEMENT : Un AVERTISSEMENT indique un endommagement potentiel d'un bien, une blessure potentielle ou un risque mortel.
Table des matières 1 Présentation . . . . . . . . . . . . . . . . . . . . . . . Le cycle de vie Dell Digital Forensics. . . . . . . . . . . La solution Dell élimine les problèmes du secteur . 11 . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . . . 12 . . . . . . . . . . . . 13 . . . . . . . . . . . . . . . . 15 Dans le centre de données . A propos de ce document Documentation et ressources associées 2 Triage . 9 . . Composants de la solution Sur site 7 . . .
Exécution du triage en utilisant la solution Digital Forensics de Dell. . . . . . . . . . . . . . . . . Mettre sous tension l'ordinateur portable renforcée Dell . . . . . . . . . . . . . . . Graver un CD pour les procédures d'acquisition standard . . . . . . . . . . . . 20 . . . . . . . . 21 Enregistrer un collecteur ou un disque de stockage . . . . . . . . . . . . . . . . . . . . . 21 . . . . . . . . 23 . . . . . . . . . 23 . . . . . . . . . . . .
Recommandations de configuration réseau Exécution de l'incorporation en utilisant la solution Dell Digital Forensics . . . . . 48 . . . . . . . 51 . . . . . . . . 51 . . . . . . . . . 54 Incorporation en utilisant SPEKTOR Incorporation en utilisant EnCase . . . . . . Incorporer en utilisant FTK 1.8 et 3.0 de centre de données . . . . . . . . . . . . . . . . . . . 61 . . . . . . . . . . . . . . . . . . . . . . . . . 63 Incorporation en utilisant FTK 3 Lab Edition 4 Stockage 58 Efficacité .
Configuration de la sécurité du stockage en utilisant la solution Dell Digital Forensics Solution et Active Directory . . . . . . . . . Création et remplissage de groupes dans Active Directory . . . . . . . . . . . . . . 69 . . . . . . . . 69 Application de stratégies de sécurité en utilisant des objets de stratégie de groupe . Création et modification des objets de stratégie de groupe . . . . . . . . . . . . . . . 70 . . . . . . 70 . . 70 . . . 71 . . . . . . .
Analyse en utilisant EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 . . . . . . . . . . . . . 83 Ouvrir une affaire existante Créer un travail d'analyse Exécuter un travail d'analyse . . . . . . . . . . . . 84 . . . . . . . . 84 . . . . . . . . . . . . . . . . . . . . . . 85 Affichage des résultats de l'analyse des signatures . . . . . . . . . . . Présentation Création de rapports en utilisant la solution Dell Digital Forensics . . . . . . . . . . . . . . . . . . 85 . . .
Dépannage . . . . . . . . . . . . . . . . . . . . . . . Conseils généraux de dépannage . . . . . . . . . . . . Problèmes logiciels d'investigation . . . . . . . . . . . EnCase: EnCase démarre en mode Acquisition . FTK Lab : le navigateur lancé par le client n'affiche pas l'interface utilisateur . . . . . 96 . . . . 96 . . 96 . . . . . . . . . . . . . . . . . . . . . 96 . . . . . 96 . . . . . . . . 97 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Présentation Triage Ingest Store Analyze Present Archive Ces dernières années ont vu une augmentation exponentielle de l'activité numérique par les criminels et les groupes terroristes du monde entier tant du point de vue du volume, de la rapidité et de la variété que de la sophistication. Actuellement, la plupart des crimes ont une composante numérique. Pour certains, il s'agit d'un véritable tsunami numérique.
Table 1-1.
En utilisant le serveur d'entreprise évolutif et économique et le matériel de stockage de Dell et, selon la configuration de votre environnement logiciel, des systèmes de base de données Oracle sur le back-end, une combinaison d'ordinateurs portables dédiés Dell, le logiciel SPEKTOR sur le terrain et le support de Dell, les enquêteurs peuvent effectuer rapidement et aisément des opérations de collecte et de triage des données d'investigation numérique, en maintenant la chaîne de conservation du site au cent
Incorporation Il s'agit de l'étape du processus d'investigation informatique au cours de laquelle l'image des données cible est créée (si elle n'a pas été créée sur le site pendant le triage) et une copie exacte du périphérique de stockage suspect est générée de sorte que l'intégrité de la copie peut être garantie en comparant les hachages du périphérique de données d'origine et de la copie du périphérique.
Présentation En utilisant solution Dell Digital Forensics, les équipes de visualisation et les enquêteurs peuvent accéder à des preuves potentielles en toute sécurité en temps réel, ce qui évite de transférer les preuves sur des DVD ou aux experts de se rendre au laboratoire pour accéder aux fichiers.
Composants de la solution Sur site La partie mobile de la solution entre dans une malette robuste qui entre dans le rack d'un avion.
Dans le centre de données Dans le centre de données, la solution Dell Digital Forensics inclut une configuration personnalisée constituée des composants suivants : • Serveurs en rack Dell PowerEdge R410, R610 et R710 • Serveurs Dell PowerEdge M610 et M710 Blade • Dell EqualLogic 4000\6000 Series SAN • Windows Server 2008 R2 • Citrix XenApp 6.0 • AccessData FTK 1.8, AccessData FTK 3, AccessData Lab • Guidance En e 6.
Figure 1-3.
A propos de ce document Ce document couvre chaque étape de l'investigation informatique dans un chapitre distinct et contient des chapitres sur la résolution des problèmes et les matériels et les logiciels pris en charge par la solution.
16 Présentation
Triage Ingest Store Analyze Present Archive Qu'est-ce que le triage ? Le triage permet à la personne chargée de l'investigation informatique de parcourir les données contenues dans des périphériques suspects et de prendre des décisions relatives aux périphériques qui nécessitent à l'évidence d'être saisis pour créer une image immédiatement sur site (si les données représentent un petit volume) ou plus tard dans le centre de données.
Rapide Les solutions de triage de l'investigation informatique peuvent être lentes et peuvent même ne pas tenir compte de données, car elles exécutent des tâches de recherche de mot de passe ou de correspondance de hachage pendant la collecte des données. La solution Digital Forensics de Dell élimine ces obstacles en utilisant la puissance de traitement de l'ordinateur portable éprouvé de Dell et non pas le PC cible pour analyser les données collectées.
Collecte des preuves avec l'investigation informatique numérique Figure 2-1. Flux de collecte des données Protection de la scène Le périphérique est-il sous tension ? Disposez-vous d'un personnel qualifié ? Le périphérique est-il un environnement de réseau ? Ne pas mettre le périphériq ue hors tension.
Acquisition standard et acquisition dynamique La solution Digital Forensics de Dell permet d'exécuter deux types d'acquisition : standard et dynamique. Au cours de la procédure d'acquisition standard, l'ordinateur portable éprouvé de Dell utilise le disque de démarrage SPEKTOR pour capture les données de triage sur un périphérique de stockage hors tension.
Figure 2-2. Ecran d'accueil Graver un CD pour les procédures d'acquisition standard 1 Dans l'écran d'accueil, tapez ou cliquez sur Admin. Tapez ou cliquez sur Burn Boot CD. Figure 2-3. Bouton Burn Boot CD dans l'écran d'accueil 2 Suivez les instructions qui s'affichent et cliquez sur Finish. Enregistrer un collecteur ou un disque de stockage REMARQUE : Les collecteurs doivent avoir une licence et être configurés par SPEKTOR pour pouvoir être utilisés avec la solution Dell Digital Forensics.
Figure 2-4. Indicateur d'état Inconnu de collecteur ou de disque de stockage 2 Tapez ou cliquez sur l'icône d'indicateur d'état du collecteur ou du disque de stockage que vous avez connecté. L'icône du périphérique qui a été enregistrée devient verte (pour un collecteur) ou orange (pour un disque de stockage). 3 Le menu Unknown Device (Périphérique inconnu) s'affiche. Figure 2-5. Menu Unknown Device 4 Tapez ou cliquez sur Register this device as a Collector ou Register this device as a Store Disk.
Figure 2-6. Icônes de collecteur et de disque de stockage sales REMARQUE : Les collecteurs et les disques de stockage, qu'ils viennent d'être enregistrés ou qu'ils aient été déjà utilisés pour d'autres collectes de données, doivent être nettoyés pour pouvoir être déployés de nouveau par rapport à une cible. 6 Pour un disque de stockage uniquement, entrez le numéro de série du disque.
La configuration d'un collecteur permet de déterminer une série de types de fichiers ou de fichiers créés entre des dates données entre lesquelles le collecteur collecte les données d'un périphérique de stockage suspect pour les trier. Plus vous limitez les paramètres de collecte, plus la durée de la collecte des données à vérifier est rapide. Dell recommande de créer des profils de configuration standard que vous ou votre agent rencontrez fréquemment.
1 Dans le Collector Menu tapez ou cliquez sur Clean Collector. Figure 2-8. Menu Collector 2 Si vous avez déjà créé un profil de configuration que vous voulez utiliser, sélectionnez le profil et tapez ou cliquez sur Configure using selected profile pour lancer la configuration du collecteur. Sinon, tapez ou cliquez sur New pour créer un profil. REMARQUE : Figure 2-9 montre l'écran Selected Profile lorsque vous utilisez le logiciel pour la première fois avant de définir ou d'enregistrer des profils.
Figure 2-9. Sélectionner un profil 3 Déterminez le type d'acquisition à exécuter, l'acquisition dynamique ou standard (voir « Acquisition standard et acquisition dynamique », page 20 pour plus d'informations sur les différences entre ces deux types d'acquisitions), puis tapez ou cliquez sur Live Acquisition ou Standard Acquisition.
Figure 2-10. Etape 1 de la configuration de profil : Type d'acquisition 4 Définissez les paramètres d'horodatage du nouveau profil. Plus vous êtes spécifique, plus le traitement des fichiers capturés est rapide. Figure 2-11.
5 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran. 6 Dans l'écran File Extension Filter sélectionnez les types de fichiers à collecter. Utilisez la flèche Droite pour transférer les types de fichiers sélectionnés et leurs extension de la zone de liste Not Selected vers la zone de liste Currently Selected. Figure 2-12.
Figure 2-13. Etape 4 de la configuration de profil : Quick Mode 9 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran. 10 Tapez ou cliquez sur le bouton approprié pour sélectionner les fichiers système à inclure dans la collecte.
Figure 2-14. Etape 5 de la configuration de profil : fichiers système 11 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
12 Dans l'écran Deleted File Filter, indiquez si vous voulez inclure les fichiers actifs et supprimés, uniquement les fichiers actifs ou uniquement les fichiers supprimés dans la collecte. Si vous ne sélectionnez pas ces options, aucun fichier n'est collecté. Figure 2-15. Etape 6 de la configuration de profil : Filtre d'extensions de fichier REMARQUE : Seuls les fichiers supprimés qui n'ont pas été remplacés sur le périphérique cible sont collectés.
14 Dans l'écran Profile Name, entrez le nom du profil, puis tapez ou cliquez sur Save Profile. Figure 2-16. Etape 7 de la configuration de profil : Nom du profil 15 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran. Le nouveau profil apparaît dans l'écran Selected Profile. L'écran Collector Configuration affiche le nom du profil (14 days all files (14 jours tous les fichiers, en l'occurrence) et les informations du profil dans la partie principale de l'écran.
Figure 2-17. Profil sélectionné après la création du profil 16 Tapez ou cliquez sur Configure using selected profile pour lancer la configuration du collecteur.
Figure 2-18. Profil sélectionné après la création du profil 17 Tapez ou cliquez sur OK pour configurer le collecteur. L'opération prend une ou deux minutes uniquement. Une fois le collecteur configuré, vous pouvez le déployer par rapport à un ordinateur cible ou un périphérique de stockage cible. Voir « Déployer les outils de triage », page 34. 18 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
Déployer un collecteur pour l'acquisition standard par rapport à un ordinateur cible AVERTISSEMENT : Vous devez modifier la séquence de démarrage du système dans le BIOS du système de l'ordinateur cible pour pouvoir exécuter une acquisition standard. Si l'ordinateur cible est configuré pour démarrer depuis son disque dur et non pas le lecteur optique avec le disque de démarrage SPEKTOR, le contenu du disque de l'ordinateur cible sera altéré.
9 Retirez le disque de démarrage SPEKTOR du lecteur optique, débranchez le collecteur du port USB de l'ordinateur cible et branchez-le dans un port USB de l'ordinateur portable renforcé Dell. Déployer un collecteur pour l'acquisition standard par rapport à un ordinateur cible 1 Connectez le périphérique de stockage cible au port USB en lecture seul ou au port Firewire de l'ordinateur portable renforcé Dell. 2 Tapez ou cliquez sur Deploy Collector.
Figure 2-20. Exécuter comme administrateur 6 Entrez les informations demandées dans l'écran SPEKTOR Live Collection, puis cliquez sur Run. 7 Cliquez sur Close lorsqu'un message vous le demande. 8 Déconnectez le collecteur du périphérique cible et stockez-le dans un endroit sûr pour le placer plus tard dans le centre de données. Vérification des fichiers collectés après le triage 1 Dans le Collector Menu, cliquez sur Reporting.
Figure 2-21. Générer des rapports 3 Cliquez sur OK à la fin de la génération des rapports pour revenir au menu Reporting. REMARQUE : Voir le manuel d'utilisation SPEKTOR pour plus d'informations sur la création et l'exportation de rapports en utilisant des critères. Voir « Documentation et ressources associées », page 15.
Incorporation Triage Store Analyze Present Archive La phase d'incorporation de la solution Dell Digital consiste à créer une image du périphérique de stockage cible (si cela n'a pas été fait lors du triage), puis à transférer l'image vers un emplacement central accessible pour y être analysée Pour transférer les applications d'investigation informatique vers le centre de données tout en continuant de préserver l'environnement de l'ordinateur, Dell, en partenariat avec Citrix, a créé des progiciels dist
Solution à un seul serveur Dans la solution EnCase 6 à un seul serveur, plusieurs clients peuvent se connecter à un serveur. Tous les clients pointent vers ce serveur et ne peuvent pas se connecter à un autre serveur EnCase 6. En cas de défaillance du serveur, toutes les connexions client sont perdues.
Figure 3-1. Schéma Client/Serveur EnCase 6 de centre de données EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 En cas de défaillance d'un serveur, l'utilisateur doit cliquer de nouveau sur l'icône de l'application EnCase sur le bureau et le système dirige la connexion utilisateur vers le serveur disponible suivant qui héberge EnCase 6. Chaque serveur EnCase peut prendre en charge x sessions utilisateur, où x = (nombre de coeurs x 2).
FTK 1.8 de centre de données Dans la solution FTK 1.8 de centre de données, l'application FTK 1.8 est hébergée sur un ou plusieurs périphériques de serveur Dell dans le centre de données pour fournir des sessions FTK 1.8 multi-utilisateurs (une session utilisateur unique par serveur). Session FTK 1.8 par ordinateur de bureau Dans la solution FTK 1.8 monoserveur, plusieurs clients peuvent se connecter à un seul serveur.
Figure 3-2. Schéma multiclient et multiserveur FTK 1.8 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 En cas de défaillance d'un serveur, l'utilisateur perd l'accès à la session de serveur correspondante FTK 1.8. Dans ce cas, il doit utiliser les autres serveurs FTK. Toutes les informations d'affaire et de preuve (en supposant que l'utilisateur dispose de privilèges NAS) sont disponibles depuis toutes les sessions serveur FTK 1.8 via le NAS/SAN partagé. Chaque serveur FTK 1.
Solution monoserveur FTK 3 Dans la solution FTK 3 monoserveur, un seul client FTK 3 peut se connecter à un seul serveur. Tous les clients pointent vers ce serveur et ne peuvent pas se connecter à un autre serveur FTK 3. En cas de défaillance du serveur, toutes les connexions client sont perdues.
Figure 3-3. Schéma Client/Serveur FTK 3 de centre de données EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 Avec l'édition FTK standard, chaque serveur doit exécuter une version locale de la base de données Oracle intégrée FTK (une version de la base de données Oracle par utilisateur simultané). Cette version de l'application FTK et de la base de données Oracle ne permet pas la collaboration entre les utilisateurs FTK et les autres bases de données Oracle FTK.
Chaque serveur FTK 3 peut prendre en charge une seule session utilisateur simultanée. Chaque session utilisateur nécessite 64 Go de RAM de serveur (48 Go pour Oracle et 16 Go pour FTK) et plus de 1 000 E/S par seconde pour le magasin de fichiers et plus 600 E/S par seconde pour la base de données (configuration minimale). FTK 3 Lab Edition Dans la configuration FTK 3 Lab Edition, l'utilisateur se connecte à un serveur qui héberge AccessData Lab et la base de données centralisée des affaires.
Plusieurs applications d'investigation informatique sur seul ordinateur de bureau Dans la solution multifournisseur ou multiapplication, toutes les solutions d'application individuelle décrites précédemment sont combinées pour permettre à l'enquêteur informatique d'accéder à toutes les applications d'investigation informatique (EnCase 6, FTK 1.8 et FTK 3 ou FTK 3 Lab edition) depuis un seul ordinateur de bureau.
Recommandations de configuration réseau Table 3-1. Structure d'adresse IP recommandée Adresse IP Fonction serveur 192.168.1.1 Contrôleur de domaine 1 DF-DC1 192.168.1,2 Contrôleur de domaine 2 DF-DC2 192.168.1.3 Serveur de preuve DF-Evidence 192.168.1.4 Serveur d'espace de travail DF-Workspace 192.168.1.5 FTK Oracle Server DF-FTK 10.1.0.0/24 Plage d'adresses IP statiques 1 Go 10.1.1.0/24 Plage d'adresses IP statiques 10 Go 10.1.2.0/24 Plage DHCP 1 Go, clients 10.1.0.
Table 3-3. Conventions d'appellation recommandées pour l'association de cartes réseau Association de cartes Réseau public Pour les serveurs réseau 1 interconnectés Association de cartes réseau 2 iSCSI Pour les serveurs connectés à des périphériques de stockage EqualLogic Table 3-4.
Nom d'appel Unité Local ou SAN RAID Preuve 8 T: SAN RAID50 Preuve 9 U: SAN RAID50 Espace de travail 1 V: SAN RAID50 Espace de travail 2 W: SAN RAID50 Espace de travail 3 X: SAN RAID50 Espace de travail 4 Y: SAN RAID50 Espace de travail 5 Z: SAN RAID50 Figure 3-5. Notes Structure de fichier recommandée Dell Forensics Domain XXXXX.&&& XXXXX.&&& XXXXX.&&& Export Encase6 V:\ CASE0001 XXXXX.&&& Temp Index XXXXX.&&& Workspace Share FTK3 \\Workspace\Share XXXXX.&&& FTK1.
Exécution de l'incorporation en utilisant la solution Dell Digital Forensics Incorporation en utilisant SPEKTOR Enregistrer et nettoyer un périphérique USB externe comme disque de stockage 1 Connectez le périphérique USB externe non enregistré à un port Collector sur l'ordinateur portable renforcé. 2 Cliquez ou tapez sur l'cône de périphérique lorsqu'elle apparaît, puis sur Register the Device as a Store Disk→ Yes. Entrez les informations demandées.
Si vous effectuez le déploiement par rapport à un périphérique de stockage cible locament : a Tapez ou cliquez sur Target Storage Device. b Connectez le périphérique de stockage cible au port USB en lecture seule ou FireWire sur le côté droit de l'ordinateur portable renforcé. c Sélectionnez le périphérique ou la partition pour laquelle vous voulez créer une image, puis cliquez sur la flèche dans l'angle supérieur droit.
Figure 3-6. Définir les options d'image f Tapez ou cliquez sur Image Now→ Yes pour créer une image. g A la fin de l'opération, tapez ou cliquez sur OK. h Débranchez le périphérique de stockage cible et le disque de stockage de l'ordinateur portable renforcé, puis remplacez le disque de stockage dans le centre de données pour le stockage et l'analyse. REMARQUE : Le transfert d'une image peut durer longtemps ; 6 heures pour un disque dur de 60 Go standard n'est pas inhabituel.
Incorporation en utilisant EnCase Dans la solution Dell Digital Forensics, l'obtention d'une licence EnCase est réalisée en utilisant un système d'affectation de licence réseau. Généralement, une instance de EnCase SAFE est installée sur l'un des serveurs du centre de données et une clé (dongle) contenant plusieurs licences utilisateur est connectée au serveur. Les clients EnCase sont configurés pour rechercher une licence sur ce serveur et aucune clé n'est nécessaire.
g Dans le volet de droitre, sélectionnez l'affaire. h Cliquez sur Add Evidence Files, puis accédez au référentiel E01 (en utilisant la configuration de meilleure pratique décrite dans Figure 3-5, ce référentiel doit être stocké sur l'unité X:\). i Cliquez sur Next→ Next→ Finish. Une icône de chronomètre apparaît dans la partie inférieure droite de l'écran EnCase Acquisition et EnCase va vérifier le fichier E01. La vérification peut durer un certain temps en fonction de la taille du fichier.
Connexion du bloqueur Tableau à un disque dur SATA 1 Placez le DC IN B du pont T35es Forensic SATA/IDE sur la position B On. 2 Connectez la source d'alimentation TP2 ou TP3 sur le côté gauche du pont SATA T35es en utilisant le connecteur Mini-DIN à 5 broches. 3 Connectez le cordon d'alimentation à la source d'alimentation TP2 et au connecteur électrique. 4 Mettez sous tension le pont pour vérifier que le voyant de bloc blanc s'allume.
Connexion du bloqueur Tableau à un disque dur IDE 1 Placez le DC IN B du pont T35es Forensic SATA/IDE sur la position B On. 2 Connectez la source d'alimentation TP2 ou TP3 sur le côté gauche du pont SATA/IDE T35es en utilisant le connecteur Mini-DIN à 5 broches. REMARQUE : Le connecteur DIN à 7 broches sur l'alimentation électrique TP3 ne fonctionnera pas avec les ponts Tableau.
Incorporer en utilisant FTK 1.8 et 3.0 de centre de données Dans la solution Dell Digital Forensics, l'obtention d'une licence FTK est réalisée en utilisant un système d'affectation de licence réseau. Généralement, le serveur de licences réseau FTK est installé sur l'un des serveurs du centre de données et une clé (dongle) FTK contenant plusieurs licences utilisateur est connectée au serveur. Les clients FTK sont configurés pour rechercher une licence sur ce serveur et aucune clé n'est nécessaire.
7 Cliquez sur Start. La fenêtre Creating Image. . . s'affiche et affiche la barre d'avancement de l'opération. REMARQUE : La création d'une image peut prendre plusieurs heures en fonction du volume de données ajouté. 8 Si vous avez décidé précédemment d'afficher le résumé du résultat de l'image, la fenêtre Drive/Image Verify Results s'affiche à la fin de la création de l'image. Vérifiez le résultat et cliquez sur Close. 9 Cliquez de nouveau sur Close pour fermer la fenêtre Creating Image . . .
• Decrypt EFS Files • File Listing Database • HTML File Listing • Data Carve • Registry Reports 5 Cliquez sur Next. 6 Dans la fenêtre Refine Case incluez ou excluez différents types de données de l'affaire. Les options prédéfinies incluent cinq conditions communes : • Include All Items • Optimal Settings • Email Emphasis • Text Emphasis • Graphics Emphasis 7 Cliquez sur Next. 8 Dans la fenêtre Refine Index, incluez ou excluez différents types de données de l'indexaction.
Si vous avez sélectionné Local Drive comme type de preuve, a la fenêtre Select Local Drive s'affiche. Sélectionnez l'unité locale à ajouter et Logical Analysis ou Physical Analysis. Cliquez sur OK. b Dans la fenêtre Evidence Information, entrez les informations demandées et cliquez sur OK. Si vous avez sélectionné Cntents of a Folder ou Individual File, sélectionnez le dossier ou le fichier à ajouter à l'affaire et cliquez sur Open. 4 Cliquez sur Next.
Ajouter une preuve à une affaire 1 Dans la fenêtre Manage Evidence, cliquez sur Add. Cliquez sur le bouton radio à côté du type de preuve à ajouter : Acquired Image(s), All Images in Directory, Contents of a Directory, Individual File(s), Physical Drive ou Logical Drive. Cliquez sur OK. 2 Accédez au répertoire Evidence et sélectionnez le fichier de preuve. Cliquez sur Open. 3 Choisissez un fuseau horaire (obligatoire). 4 Cliquez sur OK. La fenêtre Data Processing Status s'affiche.
Stockage Triage Ingest Analyze Present Archive La méthode classique en matière de stockage des preuves numériques commence par les recherches qu'effectuent indépendamment les enquêteurs sur des postes de travail individuels dans une configuration multisilos.
Lorsque les fichiers sont gérés sur le serveur et non pas sur le poste de travail, l'analyste est libre d'utiliser le poste de travail pour lancer et contrôler plusieurs travaux au lieu d'être limité à tenter de traiter un seul travail. En outre, les analyses peuvent être exécutées encore plus rapidement, car plusieurs analystes et spécialistes conseil, tels que des experts en langues étrangères, peuvent travailler sur le même fichier *.E01 simultanément depuis des postes de travail différents.
Couche d'accès physique Les fichiers du serveur de preuves pour l'investigation numérique doivent être plus protégés que les autres fichiers de l'entreprise, y compris ceux des Ressources Humaines. Voici quelques suggestions : • Placez les serveurs d'analyse et le stockage des données dans un emplacement dédié du laboratoire d'analyse.
Couche de sécurité des ordinateurs et Active Directory Active Directory fournit également Kerneros, un protocole de sécurité d'authentification réseau qui permet aux noeuds qui communiquent sur des réseaux non sécurisés pour prouver leur identité à un autre noeud d'une manière sécurisée.
Figure 4-1. Stockage multiniveau pour l'archivage et l'extraction Figure 4-1 montre le chemin suggéré pour le stockage des preuves numériques entre la collecte des preuves et le stockage à long terme des preuves sur bande et la suppression finale.
Attente du procès (Archivage) – Lorsque toutes les preuves ont été rassemblées et que le dossier est en cours, il est généralement inutile de continuer de stocker en ligne les données et les images des preuves de l'affaire qui sont accessibles instantanément. Généralement, le laboratoire peut répondre aux demandes d'extraction de périodes, ce qui peut être effectué de manière proactive si un événement connu d'envoi justifie la nécessité des données de l'affaire.
Configuration de la sécurité du stockage en utilisant la solution Dell Digital Forensics Solution et Active Directory Création et remplissage de groupes dans Active Directory Vous créez des groupes via les services de domaine Active Directory Domain (Windows Server 2008). Création d'un groupe (Windows Server 2008) 1 Cliquez sur Démarrer→ Outils d'administration→ Active Directory Administrative Center.
Application de stratégies de sécurité en utilisant des objets de stratégie de groupe Après avoir créé un groupe, vous pouvez appliquer collectivement des paramètres de sécurité et d'autres attributs aux membres du groupe en créant et en configurant un objet de stratégie de groupe. Ainsi, vous pouvez gérer aisément la sécurité des utilisateurs et des ressources lorsque votre organisation d'investigation numérique évolue.
Support Active Directory pour les stratégies de mot de passe sécurisé Active Directory prend en charge diverses stratégies d'authentification, notamment les cartes à puce, les mots de passe renforcés et des paramètres de verrouillage de compte. Les mots de passe et les autres stratégies d'authentification sont créés en utilisant des objets de stratégie de groupes.
Stratégies de mot de passe affinées Dans Windows Server 2008, les services de domaine Active Directory prennent en charge les objets PSO (Password Setting Objects) qui s'appliquent à des groupes de sécurité globaux ou des utilisateurs dans un domaine. Un objet PSO peut définir une longueur de mot de passe en caractères, la complexité d'un mot de passe, l'âge minimum et l'âge maximum d'un mot de passe et d'autres attributs.
8 Dans Nom d'ouverture de session de l'utilisateur, tapez le nom d'ouverture de session de l'utilisateur, cliquez sur le suffixe UPN dans la zone déroulante et sur Suivant. Si l'utilisateur utilisera un nom différent pour se connecter à des ordinateurs exécutant Windows 95, Windows 98 ou Windows NT, vous pouvez remplacer le nom d'ouverture de session de l'utilisateur dans Nom d'ouverture de session de l'utilisateur (avant Windows 2000) par un nom différent.
4 Dans Nom, tapez FTKServMgr pour le compte de service ; n'entrez pas le nom. 5 Modifiez le nom complet de manière appropriée. 6 Dans Nom d'ouverture de session de l'utilisateur, tapez FTKServMgr. Le compte de service se connectera avec le nom que vous avez entré. Dans la liste déroulante, cliquez sur le suffixe UPN qui doit être ajouté au nom d'ouverture de session du compte de service (après le symbole @). Cliquez sur Suivant.
8 Cochez les cases Le mot de passe n'expire jamais et L'utilisateur ne peut pas changer le mot de passe. 9 Cliquez sur Créer et sur Fermer. 10 Cliquez sur Fichier et sur Quitter. Configuration de la sécurité des fichiers d'affaire et de preuve individuels 1 Dans Windows Explorer, accédez au fichier pour lequel vous voulez définir des autorisations. Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez Propriétés. 2 Cliquez sur l'onglet Sécurité.
76 Stockage
Analyse Triage Ingest Store Present Archive L'analyste doit pouvoir exécuter différents types d'investigation sur les données de preuve, notamment, des analyses de signature, de hachage et d'indexation étendue et des recherches de mots de passe.
Analyse de signature de fichier Chaque fichier a un type de fichier généralement indiqué par l'extension à trois ou quatre lettres du nom du fichier. Par exemple, un fichier texte peut porter l'extension *.txt et un fichier image peut avoir l'extension *.jpg. Il est fréquent que ces extensions de fichier soient été remplacées par quelque chose d'apparemment inoffensif. Un fichier image, par exemple, peut être renommé avec une extension de fichier texte pour masquer un contenu pornographique.
Le traitement réparti n'est pas identique au traitement parallèle qui fait référence à l'utilisation de plusieurs processeurs qui partagent une seule ressource de mémoire. Tenez compte des points suivants, qui vous donneront une idée générale des avantages de la solution Dell de l'utilisation d'une installation de traitement réparti.
2 Entrez le chemin du dossier de l'affaire dans la boîte de dialogue Create New Case dans le format UNC : (\\[computername_or_IP_address]\[pathname]\ [filename]) 3 Cliquez sur Detailed Options et sélectionnez les options comme vous le faites habituellement. 4 Cliquez sur OK pour revenir à la boîte de dialogue New Case Options et cochez l'option Open the case. Cliquez sur OK pour créer une affaire et l'ouvrir.
Vérification de l'installation Une fois l'installation effectuée, ouvrez le gestionnaire de tâches sur l'ordinateur distant et maintenez-le ouvert lorsque vous ajoutez la preuve et commencez le traitement. Ces étapes permettent de surveiller l'activité de ProcessingEngine.exe dans l'onglet Processes (Processus). Le moteur de traitement réparti ne s'active pas tant que l'affaire ne dépasse pas 30 000 éléments environ.
Analyse en utilisant FTK Ouvrir une affaire existante Utilisation du menu File (Fichier) 1 Dans FTK, sélectionnez File et sélectionnez Open Case. 2 Sélectionnez l'affaire à ouvrir et cliquez dessus pour lancer l'affaire. REMARQUE : Tous les fichiers d'affaire s'appellent case.ftk. Le fichier case.ftk de chaque affaire est stocké dans le dossier d'affaire correspondant. Depuis la ligne de commande Sur la ligne de commande, tapez : path_to_ftk_program_file\ftk.
Créer un travail d'analyse 1 Cliquez sur l'onglet Analysis Jobs dans la boîte de dialogue Source Processor. 2 Cliquez sur New. La boîte de dialogue Create Analysis Job/Job Name s'affiche. Le nom par défaut est Job__[yyyy_mm_dd__hh_mm_ss], par exemple : Job___2009_06_24__03_42_42_PM. Un nom de travail ne peut pas commencer et se terminer par un espace ni par les caractères \ / : * ? " < > | 3 Entrez un nom de travail et cliquez sur Next.
Exécuter un travail d'analyse 1 Dans l'onglet Collected Data, sélectionnez la preuve à analyser en sélectionnant préalablement le nom du travail dans le volet de gauche. Sélectionnez les fichiers de preuve dans le tableau sur la droite. 2 Cliquez sur Run Analysis. La boîte de dialogue Select Analysis to Run. 3 Sélectionnez le travail d'analyse, puis cliquez sur Run. Le processeur source exécute l'analyse sur la preuve sélectionnée. A la fin de l'analyse, le navigateur de données s'affiche.
Présentation Triage Ingest Store Analyze Archive Créer un rapport sur les résultats de l'analyse fait partie intégrante de la solution Dell Digital Forensics. Cette opération s'effectue via le logiciel d'investigation que vous utilisez dans la solution.
c Entrez le chemin de sortie ou accédez-y. d Si nécessaire, sélectionnez Burn to Disc pour activer la zone Destination Folder, puis cliquez avec le bouton droit de la souris sur Archive Files pour créer un dossier et enregistrer un fichier .iso sur disque. e Cliquez sur OK Rapports en utilisant FTK 1 Cliquez sur File→ Report pour lancer l'assistant Report. 2 Entrez les informations de cas de base demandées par l'assistant. 3 Sélectionnez les propriétés des signets.
Archivage Triage Ingest Store Analyze Present Aucune solution d'investigation informatique digne de ce nom ne peut se passer d'un composant d'archivage et d'extraction évolutif, sûr et complet. La solution Dell Digital Forensics vous offre bien plus. Dans l'infrastructure de la solution Dell, nous nous sommes efforcés de créer une interface simple qui fonctionne avec toutes les applications d'investigation informatique pour contrôler le cycle de vie des fichiers de preuve et d'affaire.
Figure 7-1. Fonctions de recherche multimédia et multi-affaires de la solution Dell Un composant de recherche très puissant en option permet de corréler les informations entre les ensembles de données incorporés. Ce composant permet d'effectuer des recherches Internet dans l'ensemble du magasin d'affaires dans le contenu actif et en ligne et dans les données archivées des affaires précédentes.
A la fin de la procédure en arrière-plan, l'icône affectée au fichier devient grise pour indiquer clairement à l'utilisateur que le fichier a été archivé. Toutefois, le dossier et la structure de fichiers sont toujours visibles pour que l'utilisateur puisse retrouver aisément le fichier à des fins de restauration.
• Base de données : ce type de fichier est utilisé uniquement dans FTK 3 (actuellement), mais il contient tous les liens entre les fichiers d'affaire et les fichiers de preuve, ainsi que tous les signets et notes d'investigation. Les fichiers de base de données doivent être sauvegardés tous les jours. Figure 7-2 montre la meilleure pratique suggérée de sauvegarde d'un laboratoire d'investigation des données numériques.
Hors hôte et réseau Compte tenu de la taille des données à transférer sur bande pour la restauration en cas de sinistre dans les laboratoires d'investigation, le stockage dans des LUN est divisé en LUN de 15 To. Cela facilite la gestion et la sauvegarde et réduit les risques associés au cluster du système de fichiers en cas d'incident. Deux types de sauvegarde peuvent être exécutés : réseau ou hors hôte.
L'illustration suivante montre les agents nécessaires pour chaque serveur pour la sauvegarde : Figure 7-3.
Archivage en utilisant la solution Dell Digital Forensics Archivage à la demande Les logiciels NTP ODDM et NTP Right-Click Data Movement (RCDM) fonctionnent avec Enterprise Vault pour réduire la nécessité d'analyser l'ensemble du système de fichiers, comme dans le cas d'un archivage classique, en mettant en oeuvre l'archivage à la demande. Les coûts de stockage sont réduits et la qualité de l'archivage augmente.
Archivage en utilisant le logiciel NTP ODDM Archivage géré par l'utilisateur 1 Lorsque l'analyste stocke des fichiers de données, le logiciel NTP QFS indique à l'utilisateur que les fichiers doivent être archivés. 2 L'analyste sélectionne les fichiers à archiver en utilisant le logiciel NTP Storage Investigator et cliquez sur Archive. Toutefois, si le module complémentaire NTP RCDM est installé, il clique avec le bouton droite de la souris sur les fichiers.
Dépannage Triage Ingest Store Analyze Present Archive Conseils généraux de dépannage • Vérifiez que tous les clients et serveurs se voient mutuellement, qu'ils peuvent s'envoyer une commande Ping en fonction du nom NetBIOS et de l'adresse IP. • Vérifiez que les pare-feu ne bloquent pas le trafic. • Redémarrez les serveurs et les clients pour vérifier que toutes les modifications d'installation et de configuration ont été reconnues par les systèmes.
FTK Lab : le navigateur lancé par le client n'affiche pas l'interface utilisateur 1 Vérifiez que le client dispose de MS Silverlight. 2 Vérifiez sur les services Oracle sont démarrés sur le serveur de la base de données Oracle. FTK 1.8 : message de version d'évaluation avec limite à 5 000 objets Si vous recevez ce message, cela implique que FTK n'a pas de licence. Vérifiez que le serveur de licences réseau fonctionne et qu'il dispose des licences FTK 1.
5 Ouvrez la Console de gestion Citrix (Démarrer→ Programmes→ Citrix→ Management Consoles→ Citrix Delivery services console). Exécutez une découverte pour vérifier que tous les serveurs XenApp sont présents dans la batterie. 6 Vérifiez que l'application a été publiée sur un serveur XenApp valide (inclus dans la batterie). 7 Consultez la console Citrix Delivery Services pour vérifier que l'utilisateur qui lance l'application se trouve dans un groupe autorisé à lancer l'application.
98 Dépannage
Index A B acquisition dynamique par rapport à.
D I Dépannage, 95 Citrix, 96 conseils généraux, 95 EnCase, 95 FTK 1.
SPEKTOR configuration d'un collecteur pour l'acquisition, 24 déploiement par rapport à des cibles, 34 enregistrer un collecteur ou un disque de stockage, 21 incorporation, 51 module de génération d'image en option, 10 nettoyer un collecteur ou un disque de stockage, 23 vérifier les rapports, 37 Stockage, 9-10, 63 Stockage multiniveau, 66 T Traitement réparti comparé au traitement parallèle, 78 définition, 78 utilisation de FTK 3.
102 Index
