Dell Digital Forensics Solution software Manuel utilisateur

Dell™ Digital Forensics
Guide de la solution
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui facilitent
l'utilisation de l'ordinateur.
PRÉCAUTION : Une PRÉCAUTION indique un endommagement potentiel du matériel
ou une perte de données potentielle si les instructions ne sont pas respectées.
AVERTISSEMENT : Un AVERTISSEMENT indique un endommagement potentiel
d'un bien, une blessure potentielle ou un risque mortel.
____________________
Les informations de ce document peuvent être modifiées sans préavis.
© 2011 Dell Inc. Tous droits réservés.
Toute reproduction de ce contenu est strictement interdite sans autorisation préalable de Dell Inc.
Marques commercales citées dans ce texte : Dell™, le logo DELL™, PowerEdge™, EqualLogic™
et PowerConnect™ sont des marques commerciales de Dell Inc. Oracle® est une marque d'Oracle
Corporation et/ou de ses filiales. Citrix® est une marque de Citrix Systems, Inc. aux Etats-Unis et/ou
dans d'autres pays.
Les autres marques et noms commerciaux utilisés dans ce document font référence à des entités propriétaires
des marques et des noms de leurs produits. Dell Inc. ne revendique aucun intérêt concernant ces marques
et noms.
2011 - 07
Rév. A00
Table des matières
1
Présentation
. . . . . . . . . . . . . . . . . . . . . . .
Le cycle de vie Dell Digital Forensics.
. . . . . . . . . .
La solution Dell élimine les problèmes du secteur .
11
. . . . . . . . . . . . . . .
12
. . . . . . . . . . . . . . . . . . . . . . .
12
. . . . . . . . . . . .
13
. . . . . . . . . . . . . . . .
15
Dans le centre de données .
A propos de ce document
Documentation et ressources associées
2
Triage .
9
. .
Composants de la solution
Sur site
7
. . . . . . . .
15
. . . . . . . . . . . . . . . . . . . . . . . . . . .
17
Qu'est-ce que le triage ?.
. . . . . . . . . . . . . . . .
17
Avantage de la solution de triage de Dell .
. . . . . . .
17
Collecte des preuves avec l'investigation
informatique numérique . . . . . . . . . .
. . . . . . .
19
Acquisition standard et acquisition dynamique
. . . .
Table des matières
20
1
Exécution du triage en utilisant la solution
Digital Forensics de Dell. . . . . . . . . . .
. . . . . .
Mettre sous tension l'ordinateur portable
renforcée Dell . . . . . . . . . . . . . . .
Graver un CD pour les procédures
d'acquisition standard . . . . . . .
. . . . .
20
. . . . . . . .
21
Enregistrer un collecteur ou un disque
de stockage . . . . . . . . . . . . . . .
. . . . . .
21
. . . . . . . .
23
. . . . . . . . .
23
. . . . . . . . . . . .
34
Nettoyer un collecteur ou un disque
de stockage . . . . . . . . . . . . .
Configurer un profil de collecteur
Déployer les outils de triage
Vérification des fichiers collectés
après le triage . . . . . . . . . . .
3
Incorporation .
. . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
37
39
EnCase 6 de centre de données
. . . . . . . . . . . . .
39
Solution à un seul serveur
. . . . . . . . . . . . .
40
. . . . .
40
. . . . . . . . . . . . . .
42
Solution multiserveur (haut disponibilité).
FTK 1.8 de centre de données
Session FTK 1.8 par ordinateur de bureau
. . . . .
42
. . . . . . . . . . . . .
42
. . . . . . . . . . . . . . .
43
Plusieurs sessions FTK 1.8
par ordinateur de bureau .
FTK 3 de centre de données
Solution monoserveur FTK 3
. . . . . . . . . . . .
44
Solution multiserveur
(pas de haute disponibilité) .
. . . . . . . . . . . .
44
. . . . . . . . . . . . . . . . . . . .
46
FTK 3 Lab Edition .
Plusieurs applications d'investigation
informatique sur seul ordinateur de bureau .
2
20
Table des matières
. . . . . .
47
Recommandations de configuration réseau
Exécution de l'incorporation en utilisant
la solution Dell Digital Forensics . . . . .
48
. . . . . . .
51
. . . . . . . .
51
. . . . . . . . .
54
Incorporation en utilisant SPEKTOR
Incorporation en utilisant EnCase
. . . . . .
Incorporer en utilisant FTK 1.8 et 3.0
de centre de données . . . . . . .
. . . . . . . .
. . . .
61
. . . . . . . . . . . . . . . . . . . . . . . . .
63
Incorporation en utilisant FTK 3 Lab Edition
4
Stockage
58
Efficacité .
. . . . . . . . . . . . . . . . . . . . . . . .
63
Evolutivité
. . . . . . . . . . . . . . . . . . . . . . . .
64
. . . . . . . . . . . . . . . . . . . . . . . . .
64
Sécurité
Couche d'accès physique
. . . . . . . . . . . . .
Couche de surveillance administrative
et Active Directory . . . . . . . . . . .
. . . . . .
65
. . . . . . .
66
. . . . . . . . . . . . . . . . . .
66
Couche de sécurité des ordinateurs
et Active Directory . . . . . . . . . .
Stockage multiniveau
65
Correspondance entre l'archivage des
preuves et l'extraction et la vie de l'affaire .
. . . . . .
Table des matières
67
3
Configuration de la sécurité du stockage en
utilisant la solution Dell Digital Forensics
Solution et Active Directory . . . . . . . . .
Création et remplissage de groupes
dans Active Directory . . . . . . . .
. . . . . .
69
. . . . . . . .
69
Application de stratégies de sécurité en
utilisant des objets de stratégie de groupe .
Création et modification des objets de
stratégie de groupe . . . . . . . . . . .
. . . .
70
. . . . . .
70
. .
70
. . .
71
. . . . . . .
72
Modification d'un GPO (Windows Server 2008) .
Support Active Directory pour les stratégies
de mot de passe sécurisé. . . . . . . . . . .
Comptes utilisateur Active Directory .
. . .
74
. . . . .
75
Créer un compte utilisateur non administratif
Configuration de la sécurité des fichiers
d'affaire et de preuve individuels . . . . .
5
Analyse
. . . . . . . . . . . . . . . . . . . . . . . . .
Types d'analyses .
. . . . . . . . . . . . . . . . . . . .
Analyse de hachage
. . . . . . . . . . . . . . . .
77
77
Analyse de signature de fichier .
. . . . . . . . . .
78
Qu'est-ce que le traitement réparti ?
. . . . . . . . . .
78
. . . . .
79
. . . . . . . . . . . .
81
Utilisation du traitement réparti dans FTK 3.1 .
Vérification de l'installation .
Recherche de fichiers sur le réseau
Analyse en utilisant FTK
. . . . . . . . . .
81
. . . . . . . . . . . . . . . . .
82
Ouvrir une affaire existante .
. . . . . . . . . . . .
Traitement de la preuve d'affaire .
4
77
Table des matières
. . . . . . . . .
82
82
Analyse en utilisant EnCase .
. . . . . . . . . . . . . .
. . . . . . . . . . . .
82
. . . . . . . . . . . . .
83
Ouvrir une affaire existante
Créer un travail d'analyse
Exécuter un travail d'analyse .
. . . . . . . . . . .
84
. . . . . . . .
84
. . . . . . . . . . . . . . . . . . . . . .
85
Affichage des résultats de l'analyse
des signatures . . . . . . . . . . .
Présentation
Création de rapports en utilisant la solution
Dell Digital Forensics . . . . . . . . . . . .
. . . . . .
85
. . . . . . . . . .
85
. . . . . . . . . . . . .
86
. . . . . . . . . . . . . . . . . . . . . . . .
87
Créer et exporter des rapports
en utilisant EnCase 6 . . . . . .
Rapports en utilisant FTK .
7
Archivage
84
. . . . . . .
Exécution d'une analyse de signature
6
82
Solution client d'archivage en un clic
. . . . . . . . .
Recommandations de sauvegarde Dell .
. . . . . . . .
Sauvegardes fichiers de preuve et d'affaire .
Hors hôte et réseau .
89
. . .
89
. . . . . . . . . . . . . . . .
91
Archivage en utilisant la solution
Dell Digital Forensics . . . . . . .
Archivage à la demande
. . . . . . . . . . .
93
. . . . . . . . . . . . . .
93
. . . . . . . . . . . . .
93
. . . . . . . . . . . . . . . . . . . . .
93
Configuration nécessaire .
Installation
88
Archivage en utilisant le logiciel NTP ODDM
. . .
Table des matières
94
5
8
Dépannage .
. . . . . . . . . . . . . . . . . . . . . .
Conseils généraux de dépannage .
. . . . . . . . . . .
Problèmes logiciels d'investigation .
. . . . . . . . . .
EnCase: EnCase démarre en mode Acquisition .
FTK Lab : le navigateur lancé par le
client n'affiche pas l'interface utilisateur
. . . . .
96
. . . .
96
. .
96
. . . . . . . . . . . . . . . . . . . . .
96
. . . . .
96
. . . . . . . .
97
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
Citrix : les applications ne démarrent pas
Sessions Citrix gelées ou bloquées.
6
95
95
FTK 1.8 : un message d'accès impossible au
fichier temporaire apparaît lors du lancement .
Index
95
. .
FTK 1.8 : message de version d'évaluation
avec limite à 5 000 objets . . . . . . . . . .
Problèmes Citrix
95
Table des matières
Présentation
Triage
Ingest
Store
Analyze
Present
Archive
Ces dernières années ont vu une augmentation exponentielle de l'activité
numérique par les criminels et les groupes terroristes du monde entier tant du
point de vue du volume, de la rapidité et de la variété que de la sophistication.
Actuellement, la plupart des crimes ont une composante numérique. Pour
certains, il s'agit d'un véritable tsunami numérique. Cette croissance s'explique
par les avancées remarquables qui touchent les matériels électroniques. La
diversité croissante des appareils électroniques grand public et leur capacité
de mémoire et de stockage croissante donnent aux criminels et aux terroristes
une multitude de possibilités pour masquer des informations malveillantes.
Les PC et les ordinateurs portables disposant de disques durs de plusieurs
centaines de gigaoctets ne sont pas rares. Les derniers disques durs offrent
une capacité de 1 à 4 téraoctets. Sachez qu'un téraoctet permet de stocker le
contenu de deux cents DVD ; une énorme capacité de stockage qui représente
un problème grandissant.
Qu'il s'agisse de PC ou d'ordinateurs portables, de téléphones mobiles ou de
clés USB et même de consoles de jeux, les professionnels de l'investigation
numérique sont amenés à cloner, incorporer, indexer, analyser et stocker des
volumes croissants de données suspectes tout en préservant la chaîne de
conservation et en continuant de protéger les citoyens.
Présentation
7
Table 1-1. Quelle est la taille d'un zettaoctet ?
Kilo-octets (Ko) 1 000 octets
2 Ko
Une page dactylographiée
Megaoctet
(Mo)
1 000 000 octets
5 Mo
L'oeuvre complète de
Shakespeare
Gigaoctet (Go)
1 000 000 000 octets
20 Go
Une bonne partie de l'oeuvre
de Beethoven
Téraoctet (To)
1 000 000 000 000 octets
10 To
Une bibliothèque de
recherche d'université
Pétaoctets (Po)
1 000 000 000 000 000 octets
20 Po
Production annuelle de disque
dur
Exaoctets (Eo)
1 000 000 000 000 000 000
octets
5 Eo
Tous les mots prononcés par
les être humains
Zettaoctets
(Zo)
1 000 000 000 000 000 000 000
octets
2 Zo
Données qui ont été créées au
niveau mondial en 2010*
* Roger E. Bohn, et. al., How Much Information? 2009, Global Information Industry Center,
University of California, San Diego (January, 2010).
Lorsque des criminels sont accusés et des ordinateurs et d'autres ressources
numériques saisis, les professionnels de l'investigation numérique sont soumis
à d'énormes pressions sur une brève période et dans des environnements qui ne
sont pas propices à l'établissement aisé de la preuve. Lorsque des organisations
entières sont suspectées d'activités criminelles ou terroristes, le nombre
d'appareils à analyser peut augmenter de manière exponentielle.
L'investigation numérique permet d'acquérir les données extraire des ordinateurs
et d'autres appareils numériques (téléphones mobiles, consoles de jeux, unités
flash, GPS, etc.) et d'analyse et de vérifier scientifiquement ces données pour
les utiliser devant un tribunal. La solution Dell Digital Forensics comprend la
première vraie solution de niveau entreprise de bout en bout destinée aux
organismes chargés de l'application de la loi, aux agences de sécurité d'entreprise
et publiques et aux organisations d'e-discovery, qui fournit tout le matériel, le
logiciel, le service et le support nécessaire pour collecter, trier, incorporer, créer
des images, stocker, analyser, générer des rapports et archiver les preuves
numériques.
8
Présentation
En utilisant le serveur d'entreprise évolutif et économique et le matériel de
stockage de Dell et, selon la configuration de votre environnement logiciel,
des systèmes de base de données Oracle sur le back-end, une combinaison
d'ordinateurs portables dédiés Dell, le logiciel SPEKTOR sur le terrain et le
support de Dell, les enquêteurs peuvent effectuer rapidement et aisément des
opérations de collecte et de triage des données d'investigation numérique, en
maintenant la chaîne de conservation du site au centre de données et au tribunal.
Le cycle de vie Dell Digital Forensics
La solution Dell Digital Forensics soutient l'enquêteur informatique pendant
les six phases du cycle de vie de l'investigation : Triage, Incorporation, Stockage,
Analyse, Présentation et Archivage.
Figure 1-1. Le cycle de vie Dell Digital Forensics
Triage
Le triage permet à l'enquêteur informatique de visualiser rapidement le contenu
des périphériques cible pour déterminer si le périphérique doit être envoyé au
laboratoire pour être analysé et préparer un dossier en vue d'un procès.
Présentation
9
Incorporation
Il s'agit de l'étape du processus d'investigation informatique au cours de laquelle
l'image des données cible est créée (si elle n'a pas été créée sur le site pendant
le triage) et une copie exacte du périphérique de stockage suspect est générée
de sorte que l'intégrité de la copie peut être garantie en comparant les hachages
du périphérique de données d'origine et de la copie du périphérique.
Conformément aux pratiques existantes, l'image des données suspectes est
créée dans la solution Dell Digital Forensics. Au lieu de créer l'image des
données sur un seul poste de travail, l'image est incorporée dans un référentiel
de preuves central. En incorporant immédiatement les données au centre de
données, les données sont accessibles à plusieurs analystes, peuvent être
transférées d'un périphérique vers un autre en un minimum de temps et la
productivité et l'efficacité augmentent considérablement. Toutefois, l'incorporation
a lieu sur site si la capacité de stockage cible est insuffisante. La solution Dell
Digital Forensics permet l'incorporation sur site en utilisant un module
SPEKTOR Imager en option.
Stockage
La solution Dell Digital Forensics fournit un large éventail d'options de stockage
et d'accès réseau pour répondre aux besoins de chaque client. Le stockage et
l'extraction haut débit dans un environnement réseau d'entreprise permet
d'utiliser une configuration multiutilisateur qui accroît la productivité et
l'efficacité. Les analystes n'ont plus à allouer leurs ressources informatiques
à l'analyse des preuves, car tout se passe sur le serveur dédié.
Analyse
Le traitement parallèle fournit par la solution Dell Digital Forensics permet
à l'analyste d'indexer et de trier les données sur des serveurs haute performance
plutôt que sur des PC beaucoup moins puissants. En outre, il est possible
d'exécuter simultanément plusieurs sessions d'analyse sur un ou plusieurs
postes de travail en utilisant les configurations qui incluent la solution. Cela
permet de protéger le système et l'intégrité des preuves, de réinstaller les
postes de travail si du code malveillant est exécuté par accident, de préserver
la chaîne de conservation et de ne pas avoir à régénérer les postes de travail
des analystes lors du passage d'une affaire à une autre. Dans l'environnement
Digital Forensics, la chaîne de conservation vise à maintenir l'intégrité des
données numériques de la collecte et la communication des conclusions
jusqu'à la présentation des preuves au tribunal.
10
Présentation
Présentation
En utilisant solution Dell Digital Forensics, les équipes de visualisation et les
enquêteurs peuvent accéder à des preuves potentielles en toute sécurité en
temps réel, ce qui évite de transférer les preuves sur des DVD ou aux experts
de se rendre au laboratoire pour accéder aux fichiers.
Archivage
La solution Dell fournit une infrastructure de sauvegarde, de récupération et
d'archivage formalisée pour optimiser la coopération entre les agences et les
divisions de sécurité et même les pays, éliminer la charge administrative,
garantir la cohérence entre les laboratoires et réduire les risques au niveau de
la chaîne de conservation des données numériques.
De plus, la solution Digital Forensics de Dell contient un compostant de
recherche en option qui permet d'établir des corrélations entre les ensembles
de données incorporés.
La solution Dell élimine les problèmes du secteur
La solution Dell Digital Forensics facilite considérablement l'apport des preuves
numériques de la scène du crime au tribunal pour les professionnels de
l'investigation en fournissant :
•
des communications réseau de centre de données de pointe qui accélèrent
l'incorporation, l'analyse et le partage des informations numériques
•
une garantie sur les informations en automatisant davantage l'investigation
des données numériques en réduisant les risques d'erreurs et de compromission
des données
•
une garantie d'intégrité étendue des données en utilisant les protocoles de
hachage les plus sûrs et bientôt par la mise en oeuvre d'une fonction d'audit
qui permettra d'automatiser les enregistrements de la chaîne de conservation
REMARQUE : Toute conclusion ou recommandation dans ce document qui peut
ressembler à un conseil juridique doit être analysé par un conseiller juridique. Contactez
la juridiction locale, le tribunal local et le laboratoire d'investigation informatique
local pour connaître les méthodes de collecte des preuves numériques à appliquer.
•
une solution de bout en bout qui réduit sensiblement la complexité de la
planification, de la mise en oeuvre et de la gestion d'une procédure
d'investigation numérique d'entreprise
•
une solution souple, économique, modulaire, évolutive, durable et sur mesure
Présentation
11
Composants de la solution
Sur site
La partie mobile de la solution entre dans une malette robuste qui entre dans
le rack d'un avion. La malette contient tous les outils et les logiciels nécessaires
au triage sur site des périphériques de stockage suspects, ainsi qu'un ordinateur
portable renforcé Dell E6400 XFR doté du logiciel d'investigation SPEKTOR
préinstallé, des bloqueurs d'écriture d'investigation Tableau avec des accessoires,
des unités de disques externes USB en qui peuvent fonctionner sous licence
avec le logiciel SPEKTOR comme collecteurs d'image de triage, un lecteur de
cartes 50:1 et les adaptateurs et les câbles répertoriés dans la Figure 1-2.
Figure 1-2.
Solution Dell Digital Forensics : Composant mobiles
1
2
3
10
4
9
12
8
6
7
5
1
Lecteur de cartes 50:1
6
Disque de restauration d'image
2
ROM USB DVD
7
Disque de démarrage SPEKTOR
3
Câbles USB de collecteur
8
Ordinateur portable renforcé Dell
4
Options de câbles téléphoniques
pour SPEKTOR PI (en option)
9
Alimentation électrique pour
ordinateur portable renforcé
5
Collecteurs pour disque
dur externe (5)
10
Affaire Pelican
Présentation
Dans le centre de données
Dans le centre de données, la solution Dell Digital Forensics inclut une
configuration personnalisée constituée des composants suivants :
•
Serveurs en rack Dell PowerEdge R410, R610 et R710
•
Serveurs Dell PowerEdge M610 et M710 Blade
•
Dell EqualLogic 4000\6000 Series SAN
•
Windows Server 2008 R2
•
Citrix XenApp 6.0
•
AccessData FTK 1.8, AccessData FTK 3, AccessData Lab
•
Guidance En e 6.15
•
NTP Software On-Demand Data Management (ODDM)
•
Symantec Enterprise Vault
•
Symantec Backup Exec 2010
•
Commutateurs Dell PowerConnect
•
Commutateurs Extreme Networks
Les serveurs en rack et lames Dell PowerEdge peuvent remplir différents rôles :
serveur de fichiers, serveur de preuves, serveur d'archives, serveur de base de
données, serveur de licences En e et FTK, serveur de sauvegarde ou contrôleur
de domaine. Ils sont compatibles avec Microsoft Active Directory et tous les
logiciels de sécurité et d'investigation informatique de la solution Dell Digital
Forensics.
Présentation
13
Figure 1-3.
Solution Dell Digital Forensics : Centre de données
9
1
2
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
1
9
2
10
3
11
4
12
5
13
6
14
7
15
8
16
1
9
2
10
3
11
4
12
5
13
6
14
7
15
3
14
4
5
8
16
6
8
1
Serveur PowerEdge R410 ou R610
(en option)
2
Commutateur Dell PowerConnect
7
Flux de données 10 Go
3
Poste de travail Dell Precision
ou OptiPlex
8
Systèmes de stockage Dell EqualLogic
PS4000 ou PS6000 Series
4
Commutateur Dell PowerConnect
9
Sockage Dell PowerVault ML
5
Flux de données 1 Go
Présentation
6
7
Serveurs Dell PowerEdge M1000E
et M610 Blade
A propos de ce document
Ce document couvre chaque étape de l'investigation informatique dans un
chapitre distinct et contient des chapitres sur la résolution des problèmes et
les matériels et les logiciels pris en charge par la solution. Chacun des chapitres
de la procédure commence par une discussion sur les meilleures pratiques et
les problèmes que vous pouvez rencontrer lors de la mise en oeuvre et de la
gestion de la solution et se termine avec la description des outils et des
composants correspondant à l'étape de la solution.
Documentation et ressources associées
Vous pouvez accéder à des informations complémentaires sur le site
support.dell.com/manuals.
Présentation
15
16
Présentation
Triage
Ingest
Store
Analyze
Present
Archive
Qu'est-ce que le triage ?
Le triage permet à la personne chargée de l'investigation informatique de
parcourir les données contenues dans des périphériques suspects et de
prendre des décisions relatives aux périphériques qui nécessitent à l'évidence
d'être saisis pour créer une image immédiatement sur site (si les données
représentent un petit volume) ou plus tard dans le centre de données. La
possibilité de prévisualiser et de saisir certains périphériques uniquement
peut permettre aux enquêteurs de respecter le délai de présentation des
preuves en accélérant sensiblement le processus. Le triage permet de réduire
le nombre de périphériques de stockage qui doivent faire l'objet d'investigation
en évitant d'encombrer davantage une file d'attente déjà saturée et en
diminuant considérablement les coûts.
Avantage de la solution de triage de Dell
Mobilité
La solution Digital Forensics de Dell peut se trouver sur la scène du crime
avec l'enquêteur ; tous les composants ont été soigneusement prétestés pour
fonctionner ensemble et ils couvrent un large éventail de ports et de connecteurs
de périphérique cible qui peuvent exister.
Triage
17
Rapide
Les solutions de triage de l'investigation informatique peuvent être lentes et
peuvent même ne pas tenir compte de données, car elles exécutent des tâches
de recherche de mot de passe ou de correspondance de hachage pendant la
collecte des données. La solution Digital Forensics de Dell élimine ces
obstacles en utilisant la puissance de traitement de l'ordinateur portable éprouvé
de Dell et non pas le PC cible pour analyser les données collectées. Dans
certains cas, vous pouvez ne pas créer d'image ni indexer les données dans le
laboratoire d'investigation informatique.
Simplicité d'utilisation de solution
Les composants de triage de la solution sont prêts à l'emploi. Le logiciel préinstallé
dispose d'une interface graphique tactile intuitive. Vous pouvez créer des profils
réutilisables de collecte pour différents scénarios pour un déploiement standard.
Processus d'investigation acceptable
Le logiciel de triage applique un processus d'analyse efficace et acceptable
d'un point de vue investigation pour que chaque preuve potentielle puisse
être capturée, vérifiées et stockée sans compromis.
Souplesse
Les composants de triage peuvent être utilisés pour examiner la plupart des
périphériques et plates-formes de stockage numériques, notamment les
périphériques fonctionnant sous les systèmes d'exploitation Windows et Mac
OS X d'Apple, ainsi qu'un large éventail de types de périphériques de stockage
numériques, tels que les lecteurs MP3, les disques durs externes, les cartes
mémoire, les téléphones mobiles et satellites, les unités GPS, les iPads et les
iPhones et les unités flash. En outre, vous pouvez exporter vers d'autres
programmes les résultats du triage en utilisant la solution Digital Forensics
de Dell.
Puissance
L'ordinateur portable éprouvé de Dell contrôle l'ensemble du processus, de
l'analyse automatique des données ciblées à la fourniture des résultats détaillés
dans un format de rapport clair en quelques minutes. Avec la solution Dell,
l'enquêteur est à même d'exécuter plusieurs analyses de triage en parallèle
avec une seule clé de licence.
18
Triage
Collecte des preuves avec l'investigation
informatique numérique
Figure 2-1. Flux de collecte des données
Protection de
la scène
Le périphérique
est-il sous
tension ?
Disposez-vous
d'un personnel
qualifié ?
Le périphérique est-il
un environnement
de réseau ?
Ne pas
mettre le
périphériq
ue hors
tension.
Des processus
destructeurs
sont-ils actifs ?
La preuve est-elle
visible sur l'écran ?
Ne pas
mettre le
périphérique
sous tension
Informations de
documents et de
photographies
Demande
d'assistance
Retirer le cordon
d'alimentation du ou
des périphérique
Etiqueter toutes les
connexions sur le ou
les périphériques
Rechercher et
protéger la preuve
Traiter tous les
périphériques
Protéger la preuve
Triage
19
Acquisition standard et acquisition dynamique
La solution Digital Forensics de Dell permet d'exécuter deux types d'acquisition :
standard et dynamique. Au cours de la procédure d'acquisition standard,
l'ordinateur portable éprouvé de Dell utilise le disque de démarrage SPEKTOR
pour capture les données de triage sur un périphérique de stockage hors
tension. En revanche, la procédure d'acquisition dynamique capture les
données de triage depuis un périphérique de stockage sous tension pour
obtenir les preuves qui ne pourraient pas être obtenues autrement.
Auparavant, les normes du secteur imposaient à l'enquêteur de débrancher
l'appareil numérique et de le saisir pour l'emmener au laboratoire. Il s'en
suivait une perte potentielle de preuve dans les données volatiles stockées :
données stockées dans le presse-papiers, fichiers ouverts, contenu de la
mémoire RAM, mots de passe en mémoire cache, etc. En outre, les données
chiffrées peuvent être perdues si l'ordinateur est mis hors tension avant la
création de l'image du disque. D'autre part, sachant que la plupart des
ordinateurs protègent le BIOS et le disque dur par des mots de passe définis
par l'utilisateur, la mise hors tension d'un système dont le BIOS est protégé
par un mot de passe peut empêcher d'accéder à l'ensemble du contenu du
périphérique.
Les meilleures pratiques du secteur recommandent à un enquêteur de suivre
les instructions ci-dessous pour traiter un périphérique de stockage de
données suspect :
•
Si le périphérique est sous tension, maintenez-le sous tension dans la
mesure du possible jusqu'à ce qu'une investigation soit exécutée.
•
Si le périphérique est hors tension, laissez-le hors tension.
Ces instructions visent à permettre à l'enquêteur de conserver tels quels les
périphériques de stockage sur le site et d'apporter le moins de modifications
possibles au périphérique et à son contenu.
Exécution du triage en utilisant la solution Digital
Forensics de Dell
Mettre sous tension l'ordinateur portable renforcée Dell
1 Appuyez sur le bouton d'alimentation pour ouvrir une session sur
l'ordinateur. L'ordinateur charge automatiquement le logiciel SPEKTOR.
2 Tapez ou cliquez sur Accept EULA. L'écran d'accueil s'affiche.
20
Triage
Figure 2-2. Ecran d'accueil
Graver un CD pour les procédures d'acquisition standard
1 Dans l'écran d'accueil, tapez ou cliquez sur Admin. Tapez ou cliquez sur
Burn Boot CD.
Figure 2-3. Bouton Burn Boot CD dans l'écran d'accueil
2 Suivez les instructions qui s'affichent et cliquez sur Finish.
Enregistrer un collecteur ou un disque de stockage
REMARQUE : Les collecteurs doivent avoir une licence et être configurés par
SPEKTOR pour pouvoir être utilisés avec la solution Dell Digital Forensics.
Contactez l'administrateur système si vous avez besoin de collecteurs ou de
licences supplémentaires.
1 Connectez un nouveau collecteur ou disque de stockage à l'un des ports
USB sur le côté gauche de l'ordinateur portable renforcée Dell. Le périphérique
apparaît comme périphérique non reconnu.
Triage
21
Figure 2-4.
Indicateur d'état Inconnu de collecteur ou de disque de stockage
2 Tapez ou cliquez sur l'icône d'indicateur d'état du collecteur ou du disque
de stockage que vous avez connecté. L'icône du périphérique qui a été
enregistrée devient verte (pour un collecteur) ou orange (pour un disque
de stockage).
3 Le menu Unknown Device (Périphérique inconnu) s'affiche.
Figure 2-5.
Menu Unknown Device
4 Tapez ou cliquez sur Register this device as a Collector ou Register this
device as a Store Disk.
5 Tapez ou cliquez sur Oui.
L'indicateur d'état indique le numéro du nouveau collecteur ou disque de
stockage et son état devient Dirty.
22
Triage
Figure 2-6. Icônes de collecteur et de disque de stockage sales
REMARQUE : Les collecteurs et les disques de stockage, qu'ils viennent d'être
enregistrés ou qu'ils aient été déjà utilisés pour d'autres collectes de données, doivent
être nettoyés pour pouvoir être déployés de nouveau par rapport à une cible.
6 Pour un disque de stockage uniquement, entrez le numéro de série du disque.
Nettoyer un collecteur ou un disque de stockage
REMARQUE : L'opération prend environ deux heures pour un volume de collecteur
de 100 Go.
1 Sélectionnez l'indicateur d'état du collecteur à nettoyer.
2 Dans le Collector Menu tapez ou cliquez sur Clean Collector.
3 Tapez ou cliquez sur Yes pour confirmer la sélection. Le nettoyage démarre
et l'indicateur d'état indique l'avancement de l'opération.
A la fin du nettoyage, le logiciel exécute un programme de vérification
pour confirmer que le collecteur ne contient que des zéro.
Figure 2-7. Indicateurs Registered, Clean Collector and Store Disk Status
REMARQUE : Si le nettoyage échoue, l'indicateur d'état indique que le collecteur
est sale. Dans ce cas, vous devez relancer le nettoyage. S'il échoue de nouveau,
essayez un autre collecteur ou disque de stockage.
Configurer un profil de collecteur
REMARQUE : Par défaut, les paramètres de configuration du logiciel de triage ne
permettent de ne collecter aucun fichier. Définissez un sous-groupe de tous les
fichiers sur le périphérique cible pour réduire la durée de la collecte et pour ne pas
dépasser la capacité du collecteur.
Triage
23
La configuration d'un collecteur permet de déterminer une série de types de
fichiers ou de fichiers créés entre des dates données entre lesquelles le collecteur
collecte les données d'un périphérique de stockage suspect pour les trier. Plus
vous limitez les paramètres de collecte, plus la durée de la collecte des données
à vérifier est rapide.
Dell recommande de créer des profils de configuration standard que vous ou
votre agent rencontrez fréquemment. Exemple de profils de configuration
standard :
•
Photo and Vidéos capture les types de fichiers *.jpg, *.png, *.swf, *.vob
et *.wmv qui sont associés aux photographiques, vidéos et autres types
de supports visuels.
•
Documents collecte les types de fichiers *.pdf, *.doc, *.docx, *.txt.
•
Audio_Files collecte les fichiers *.mp3, *.mp4, *.wav et d'autres fichiers
audio.
Configuration d'un collecteur pour l'acquisition
REMARQUE : Pour les différences existant entre l'acquisition standard et
l'acquisition dynamique, voir « Acquisition standard et acquisition dynamique »,
page 20.
REMARQUE : Lorsqu'un collecteur est configuré pour l'acquisition standard ou
dynamique, vous devez le nettoyer pour pouvoir le reconfigurer pour l'utiliser dans
l'autre type d'acquisition.
24
Triage
1 Dans le Collector Menu tapez ou cliquez sur Clean Collector.
Figure 2-8. Menu Collector
2 Si vous avez déjà créé un profil de configuration que vous voulez utiliser,
sélectionnez le profil et tapez ou cliquez sur Configure using selected
profile pour lancer la configuration du collecteur. Sinon, tapez ou cliquez
sur New pour créer un profil.
REMARQUE : Figure 2-9 montre l'écran Selected Profile lorsque vous utilisez le
logiciel pour la première fois avant de définir ou d'enregistrer des profils. Lorsque
vous commencez à créer des profils de configuration, les profils apparaissent dans
cet écran pour les utiliser.
REMARQUE : Pour passer d'un écran de configuration de collecteur à un autre,
tapez ou cliquez les boutons fléchés gauche et droit situés dans la partie supérieure
et sur l'un des côtés de l'écran.
Triage
25
Figure 2-9.
Sélectionner un profil
3 Déterminez le type d'acquisition à exécuter, l'acquisition dynamique ou
standard (voir « Acquisition standard et acquisition dynamique », page 20
pour plus d'informations sur les différences entre ces deux types d'acquisitions),
puis tapez ou cliquez sur Live Acquisition ou Standard Acquisition.
26
Triage
Figure 2-10.
Etape 1 de la configuration de profil : Type d'acquisition
4 Définissez les paramètres d'horodatage du nouveau profil. Plus vous êtes
spécifique, plus le traitement des fichiers capturés est rapide.
Figure 2-11.
Etape 2 de configuration de profil : Paramètres d'horodatage des fichiers
Triage
27
5 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
6 Dans l'écran File Extension Filter sélectionnez les types de fichiers à collecter.
Utilisez la flèche Droite pour transférer les types de fichiers sélectionnés et
leurs extension de la zone de liste Not Selected vers la zone de liste
Currently Selected.
Figure 2-12.
Etape 3 de la configuration de profil : Filtre d'extensions de fichier
7 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran après
avoir sélectionné les types de fichiers et les extensions.
REMARQUE : Laissez Quick Mode (Mode rapide) désactivé, sauf indication
contraire.
8 Dans l'écran Quick Mode, sélectionnez le nombre de mégaoctets (1 Mo,
5 Mo, 10 Mo, ou Entire File de la première partie des fichiers à capturer.
En collectant uniquement la première partie de fichiers très volumineux
(fichiers multimédia, généralement), vous pouvez vérifier un nombre
suffisant de fichiers pour déterminer le sujet tout en réduisant le temps de
traitement nécessaire.
REMARQUE : Si vous n'avez pas sélectionné d'extensions de fichier à l'étape 6,
aucun fichier n'est collecté et aucun type de fichier ne s'affiche pour la sélection
dans cet écran. Revenez à l'étape 6 et sélectionnez les types de fichiers à activer
pour l'étape 8.
28
Triage
Figure 2-13.
Etape 4 de la configuration de profil : Quick Mode
9 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
10 Tapez ou cliquez sur le bouton approprié pour sélectionner les fichiers
système à inclure dans la collecte.
Triage
29
Figure 2-14.
Etape 5 de la configuration de profil : fichiers système
11 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
30
Triage
12 Dans l'écran Deleted File Filter, indiquez si vous voulez inclure les fichiers
actifs et supprimés, uniquement les fichiers actifs ou uniquement les
fichiers supprimés dans la collecte. Si vous ne sélectionnez pas ces options,
aucun fichier n'est collecté.
Figure 2-15.
Etape 6 de la configuration de profil : Filtre d'extensions de fichier
REMARQUE : Seuls les fichiers supprimés qui n'ont pas été remplacés sur le
périphérique cible sont collectés. Les fichiers supprimés et remplacés sont
endommagés ou inextractibles.
13 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
Triage
31
14 Dans l'écran Profile Name, entrez le nom du profil, puis tapez ou cliquez
sur Save Profile.
Figure 2-16.
Etape 7 de la configuration de profil : Nom du profil
15 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran. Le
nouveau profil apparaît dans l'écran Selected Profile. L'écran Collector
Configuration affiche le nom du profil (14 days all files (14 jours tous les
fichiers, en l'occurrence) et les informations du profil dans la partie
principale de l'écran.
32
Triage
Figure 2-17.
Profil sélectionné après la création du profil
16 Tapez ou cliquez sur Configure using selected profile pour lancer la
configuration du collecteur.
Triage
33
Figure 2-18.
Profil sélectionné après la création du profil
17 Tapez ou cliquez sur OK pour configurer le collecteur. L'opération prend
une ou deux minutes uniquement.
Une fois le collecteur configuré, vous pouvez le déployer par rapport à un
ordinateur cible ou un périphérique de stockage cible. Voir « Déployer les
outils de triage », page 34.
18 Cliquez sur la flèche Droite dans l'angle supérieur droit de l'écran.
Déployer les outils de triage
REMARQUE : Pour les différences existant entre l'acquisition dynamique et
l'acquisition standard, voir « Acquisition standard et acquisition dynamique »,
page 20.
REMARQUE : Bien que vous puissiez utiliser un collecteur pour plusieurs affaires,
il est vivement recommandé que chaque collecteur contienne uniquement les
données d'une seule affaire, même si les données de plusieurs périphériques de
stockage de l'affaire peuvent être stockés dans le collecteur.
34
Triage
Déployer un collecteur pour l'acquisition standard par rapport à un ordinateur cible
AVERTISSEMENT : Vous devez modifier la séquence de démarrage du système
dans le BIOS du système de l'ordinateur cible pour pouvoir exécuter une acquisition
standard. Si l'ordinateur cible est configuré pour démarrer depuis son disque dur
et non pas le lecteur optique avec le disque de démarrage SPEKTOR, le contenu du
disque de l'ordinateur cible sera altéré. Vérifiez que vous savez accéder au BIOS
du système de l'ordinateur cible avant de mettre l'ordinateur cible sous tension.
AVERTISSEMENT : Avant de mettre l'ordinateur cible sous tension, veillez
à placer le disque de démarrage SPEKTOR dans le lecteur optique depuis lequel
l'ordinateur doit démarrer. Si vous démarrez l'ordinateur sans le disque de démarrage,
vous altérez le contenu de l'unité de l'ordinateur.
REMARQUE : Vous devez disposer d'un disque de démarrage SPEKTOR pour pouvoir
déployer l'acquisition standard acquisition par rapport à un ordinateur cible. Voir
« Graver un CD pour les procédures d'acquisition standard », page 21 pour plus
d'informations sur la création d'un disque de démarrage.
1 Sur l'ordinateur portable renforcé Dell, tapez ou cliquez sur Deploy
Collector.
2 Sélectionnez Target Computer.
3 Cliquez sur OK et débranchez le collecteur de l'ordinateur portable
renforcé Dell.
4 Connectez le collecteur à un port USB sur l'ordinateur cible.
REMARQUE : Dell recommande de toujours utiliser le lecteur optique interne de
l'ordinateur cible avec le disque de démarrage. Si ce n'est pas possible, utilisez un
lecteur optique externe avec un connecteur USB.
5 Placez le disque de démarrage SPEKTOR dans le lecteur optique.
6 Accédez au BIO du système de l'ordinateur cible et changez l'ordre de
démarrage pour que l'ordinateur démarre depuis le lecteur optique.
Le disque de démarrage SPEKTOR se charge et l'interface du disque de
démarrage s'affiche.
7 Entrez les informations demandée en appuyant sur <Entrée> ou les
touches fléchées pour passer d'un champ à l'autre, puis accédez au champ
COLLECT et appuyez sur <Entrée> pour lancer la collecte des données.
PRÉCAUTION : Ne retirez pas le disque de démarrage SPEKTOR du lecteur
optique tant que l'ordinateur cible ne s'est pas arrêté complètement.
8 A la fin de la collecte, appuyez sur <Entrée> pour arrêter l'ordinateur.
Triage
35
9 Retirez le disque de démarrage SPEKTOR du lecteur optique, débranchez
le collecteur du port USB de l'ordinateur cible et branchez-le dans un port
USB de l'ordinateur portable renforcé Dell.
Déployer un collecteur pour l'acquisition standard par rapport à un ordinateur cible
1 Connectez le périphérique de stockage cible au port USB en lecture seul
ou au port Firewire de l'ordinateur portable renforcé Dell.
2 Tapez ou cliquez sur Deploy Collector.
3 Tapez ou cliquez sur Target Storage Device, entrez les informations
demandées, puis tapez ou cliquez sur Collect from Device.
4 A la fin de la collecte, débranchez le périphérique de stockage cible du port
USB et tapez ou cliquez sur OK.
Déployer un collecteur pour l'acquisition dynamique
REMARQUE : Veillez à conserver des notes précises et détaillées au cours de
cette procédure comme meilleures pratiques de chaîne de conservation.
REMARQUE : Vous n'avez pas besoin du disque démarrage SPEKTOR pour
exécuter un déploiement d'acquisition dynamique.
1 Cliquez sur Deploy Collector→ Target Computer.
2 Sur le périphérique cible, accédez à Poste de travail (Ordinateur sur les
ordinateurs qui fonctionnent sous Windows Vista ou Windows 7).
3 Cliquez deux fois sur l'icône Collector qui apparaît pour afficher le
contenu du collecteur.
Figure 2-19.
Icône Collector
4 Cliquez sur le dossier portant le numéro le plus élevé. Un seul dossier
apparaît s'il s'agit du premier déploiement depuis le nettoyage du collecteur.
5 Cliquez avec le bouton droit de la souris sur spektor-live.exe, puis
sélectionnez Exécuter comme administrateur dans la zone de liste
déroulante. Si un message demande votre autorisation pour exécuter
l'application comme administrateur, cliquez sur Continue (Continuer).
36
Triage
Figure 2-20.
Exécuter comme administrateur
6 Entrez les informations demandées dans l'écran SPEKTOR Live Collection,
puis cliquez sur Run.
7 Cliquez sur Close lorsqu'un message vous le demande.
8 Déconnectez le collecteur du périphérique cible et stockez-le dans un
endroit sûr pour le placer plus tard dans le centre de données.
Vérification des fichiers collectés après le triage
1 Dans le Collector Menu, cliquez sur Reporting. Cette option indexe les
données collectées et crée un groupe de rapports automatiquement.
2 Dans l'écran Collector Collections, sélectionnez un rapport principal,
puis cliquez sur Generate Selected Reports.
Triage
37
Figure 2-21.
Générer des rapports
3 Cliquez sur OK à la fin de la génération des rapports pour revenir au menu
Reporting.
REMARQUE : Voir le manuel d'utilisation SPEKTOR pour plus d'informations sur la
création et l'exportation de rapports en utilisant des critères. Voir « Documentation
et ressources associées », page 15.
4 Cliquez sur View Collection Report pour consulter les rapports, puis
cliquez sur l'une des cinq catégories de rapports Images, Documents,
Multimedia, Other ou System pour afficher des rapports.
38
Triage
Incorporation
Triage
Store
Analyze
Present
Archive
La phase d'incorporation de la solution Dell Digital consiste à créer une image
du périphérique de stockage cible (si cela n'a pas été fait lors du triage), puis
à transférer l'image vers un emplacement central accessible pour y être analysée
Pour transférer les applications d'investigation informatique vers le centre de
données tout en continuant de préserver l'environnement de l'ordinateur,
Dell, en partenariat avec Citrix, a créé des progiciels distincts pour les principales
applications d'investigation pour les transférer de manière transparente vers le
centre de données, en créant un environnement utilisateur plus disponible et
plus rapide.
Dans le cadre de la solution Digital Forensics, Dell a certifié les applications
d'investigation informatique suivantes :
•
SPEKTOR
•
EnCase 6
•
FTK 1.8
•
Version standard FTK 3
•
FTK 3 Lab
Vous pouvez utiliser n'importe quelle combinaison de ces applications pour
y accéder simultanément depuis un seul périphérique utilisateur.
EnCase 6 de centre de données
Dans l'exemple de solution suivant, l'application EnCase 6 est hébergée sur
un ou plusieurs périphériques de serveur Dell dans le centre de données pour
fournir des sessions EnCase 6 multi-utilisateurs.
Incorporation
39
Solution à un seul serveur
Dans la solution EnCase 6 à un seul serveur, plusieurs clients peuvent se connecter
à un serveur. Tous les clients pointent vers ce serveur et ne peuvent pas se
connecter à un autre serveur EnCase 6. En cas de défaillance du serveur, toutes
les connexions client sont perdues.
Solution multiserveur (haut disponibilité)
Dans la solution multiserveur, l'utilisateur se connecte à l'application EnCase
6 de la batterie Citrix et il est dirigé de manière transparente vers le serveur
EnCase 6 ayant la charge de travail la plus faible. Si l'utilisateur exécute
plusieurs instanciations du logiciel EnCase 6, chaque instanciation peut être
créée par un serveur différent. L'environnement utilisateur est préservé, car
l'utilisateur ne sait pas du tout comment les instances sont créées et toutes les
sessions semblent s'exécuter sur le même serveur avec la même interface.
40
Incorporation
Figure 3-1. Schéma Client/Serveur EnCase 6 de centre de données
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
En cas de défaillance d'un serveur, l'utilisateur doit cliquer de nouveau sur
l'icône de l'application EnCase sur le bureau et le système dirige la connexion
utilisateur vers le serveur disponible suivant qui héberge EnCase 6. Chaque
serveur EnCase peut prendre en charge x sessions utilisateur, où x = (nombre
de coeurs x 2). Chaque session utilisateur nécessite 3 Go de RAM sur le serveur.
Incorporation
41
FTK 1.8 de centre de données
Dans la solution FTK 1.8 de centre de données, l'application FTK 1.8 est
hébergée sur un ou plusieurs périphériques de serveur Dell dans le centre de
données pour fournir des sessions FTK 1.8 multi-utilisateurs (une session
utilisateur unique par serveur).
Session FTK 1.8 par ordinateur de bureau
Dans la solution FTK 1.8 monoserveur, plusieurs clients peuvent se connecter
à un seul serveur. Tous les clients pointent vers ce serveur et ne peuvent pas se
connecter à un autre serveur FTK 1.8. En cas de défaillance du serveur, toutes
les connexions client sont perdues. L'utilisateur peut exécuter une seule
session FTK 1.8 par compte utilisateur Windows.
Plusieurs sessions FTK 1.8 par ordinateur de bureau
Dan la solution FTK 1.8 multiserveur, l'utilisateur se connecte aux serveurs
FTK 1.8 en utilisant plusieurs icônes de bureau, FTK Server1, FTK Server2,
etc. Chaque liaison est associée à un serveur donné. La Figure 3-2montre la
bordure colorée de la session de serveur FTK 1.8 active sur le serveur exécutant
la session FTK 1.8 (serveur 1 = bleu, serveur2 = rouge). Deux sessions de
l'application FTK 1.8 ne peuvent pas s'exécuter depuis le même serveur en
utilisant le même compte utilisateur. L'environnement utilisateur de l'application
serveur FTK 1.8 est identique sur tous les clients.
42
Incorporation
Figure 3-2. Schéma multiclient et multiserveur FTK 1.8
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
En cas de défaillance d'un serveur, l'utilisateur perd l'accès à la session de
serveur correspondante FTK 1.8. Dans ce cas, il doit utiliser les autres serveurs
FTK. Toutes les informations d'affaire et de preuve (en supposant que
l'utilisateur dispose de privilèges NAS) sont disponibles depuis toutes les
sessions serveur FTK 1.8 via le NAS/SAN partagé.
Chaque serveur FTK 1.8 peut prendre en charge x sessions utilisateur, où x =
(nombre de coeurs x 2). Chaque session utilisateur nécessite 3 GO de RAM de
serveur et 1 000 E/S par seconde pour le disque du centre de données.
FTK 3 de centre de données
Dans la solution FTK 3 de centre de données, l'application est hébergée sur
un ou plusieurs périphériques de serveur Dell dans le centre de données pour
fournir une seule session d'application FTK 3 par serveur.
Incorporation
43
Solution monoserveur FTK 3
Dans la solution FTK 3 monoserveur, un seul client FTK 3 peut se connecter
à un seul serveur. Tous les clients pointent vers ce serveur et ne peuvent pas se
connecter à un autre serveur FTK 3. En cas de défaillance du serveur, toutes
les connexions client sont perdues. Le serveur FTK 3 exécute également la base
de données Oracle intégrée FTK, car cette version de la base de données ne
prend pas en charge la collaboration entre les autres bases de données Oracle
FTK ou d'autres utilisateurs FTK.
Solution multiserveur (pas de haute disponibilité)
Dans la solution multiserveur, chaque client se connecte à son serveur de base
FTK 3 et ne peut pas se connecter à aucun autre serveur FTK 3. Lorsqu'une
session FTK 3 est active sur un serveur, le serveur n'est plus disponible pour
accepter de nouvelles sessions client FTK 3 ; le programme de configuration
de l'infrastructure d'investigation informatique Dell empêche un serveur
d'exécuter plusieurs sessions de l'application FTK 3 simultanément. En
autorisant une seule session active par serveur, l'application FTK 3 à unités
d'exécution multiples alloue toutes les ressources serveur au traitement d'une
affaire pour améliorer les performances.
44
Incorporation
Figure 3-3. Schéma Client/Serveur FTK 3 de centre de données
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
Avec l'édition FTK standard, chaque serveur doit exécuter une version locale
de la base de données Oracle intégrée FTK (une version de la base de données
Oracle par utilisateur simultané). Cette version de l'application FTK et de la
base de données Oracle ne permet pas la collaboration entre les utilisateurs
FTK et les autres bases de données Oracle FTK.
Chaque base de données dispose d'un agent de sauvegarde Oracle sur le serveur
et la base de données est sauvegardée lors des sauvegardes normales (voir
« Archivage », page 87 pour plus d'informations).
En cas de défaillance d'un serveur, l'utilisateur doit se connecter manuellement
à un autre serveur FTK 3 disponible (si n+1 FTK 3 serveurs sont disponibles).
Toutefois, en cas de défaillance simultanée de la base de données Oracle,
aucun accès n'est disponible aux affaires préexistantes déjà traitées, car elles
sont liées spécifiquement à la base de données Oracle FTK 3 d'origine de
l'utilisateur.
Incorporation
45
Chaque serveur FTK 3 peut prendre en charge une seule session utilisateur
simultanée. Chaque session utilisateur nécessite 64 Go de RAM de serveur
(48 Go pour Oracle et 16 Go pour FTK) et plus de 1 000 E/S par seconde
pour le magasin de fichiers et plus 600 E/S par seconde pour la base de
données (configuration minimale).
FTK 3 Lab Edition
Dans la configuration FTK 3 Lab Edition, l'utilisateur se connecte à un serveur
qui héberge AccessData Lab et la base de données centralisée des affaires.
Plusieurs utilisateurs peuvent se connecter simultanément à la même affaire
et exécuter différentes analyses au même moment. Le traitement est géré en
utilisant le modèle de traitement distribué.
Figure 3-4.
Schéma Client/Serveur FTK 3 Lab Edition
EST
0
1
2
3
4
5
EST
0
1
EST
2
3
0
4
1
5
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
EST
3
4
0
5
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
Le stockage des affaires est optimisé en combinant du matériel SAS et SATA
et l'ensemble du centre de données d'investigation informatique peut être
géré centralement par un gestionnaire d'administration.
46
Incorporation
Plusieurs applications d'investigation
informatique sur seul ordinateur de bureau
Dans la solution multifournisseur ou multiapplication, toutes les solutions
d'application individuelle décrites précédemment sont combinées pour
permettre à l'enquêteur informatique d'accéder à toutes les applications
d'investigation informatique (EnCase 6, FTK 1.8 et FTK 3 ou FTK 3 Lab
edition) depuis un seul ordinateur de bureau. Toutes les applications peuvent
être fournies en mode haute disponibilité pour que, en cas de défaillance,
l'utilisateur puisse toujours accéder à l'application et dans le cas de FTK 1.8,
en utilisant l'une des autres icônes FTK 1.8 sur l'ordinateur de bureau.
Incorporation
47
Recommandations de configuration réseau
Table 3-1. Structure d'adresse IP recommandée
Adresse IP
Fonction serveur
192.168.1.1
Contrôleur de domaine 1
DF-DC1
192.168.1,2
Contrôleur de domaine 2
DF-DC2
192.168.1.3
Serveur de preuve
DF-Evidence
192.168.1.4
Serveur d'espace de travail
DF-Workspace
192.168.1.5
FTK Oracle Server
DF-FTK
10.1.0.0/24
Plage d'adresses IP statiques
1 Go
10.1.1.0/24
Plage d'adresses IP statiques
10 Go
10.1.2.0/24
Plage DHCP 1 Go, clients
10.1.0.250-254
Commutateur(s) 1 Go
10.1.1.250-254
Commutateur(s) 10 Go
10.1.0.200
Serveur DNS
Table 3-2.
Nom
48
Nom du serveur
Conventions d'appellation recommandées pour les serveurs de la solution
Abréviation
Nom de domaine
DF (Digital Forensics)
Contrôleur de domaine 1
DF-DC1
Contrôleur de domaine 2
DF-DC2
Stockage de preuve
DF-Evidence
Espace de travail
DF-Workspace
Oracle
DF-Oracle
SQL
DF-SQL
FTK-Lab
FTK-Lab
FTK-Standalone
FTK
Gestionnaire(s) de traitement
distribué
DF-DPM, DF-DPM1, DF-DPM2
Moteur(s) de traitement distribué
DF-DPE, DF-DPE1, DF-DPE2
Incorporation
Table 3-3. Conventions d'appellation recommandées pour l'association de cartes
réseau
Association de cartes
Réseau public
Pour les serveurs
réseau 1
interconnectés
Association de cartes
réseau 2
iSCSI
Pour les serveurs connectés
à des périphériques de
stockage EqualLogic
Table 3-4. Structure d'association de lettres d'unité
Nom d'appel
Unité Local
RAID
Notes
ou SAN
Unité locale
C:
Local
D:
Local
CD-ROM
E:
RAID1 (2 disques 15 k SAS)
F:
G:
SQL
H:
SAN
RAID0+1
Ne doivent pas
être des
disques SATA
Oracle
I:
SAN
RAID0+1
Ne doivent pas
être des
disques SATA
Unité EV Vault
J:
SAN
RAID50
Sauvegarde
sur disque
K:
SAN
RAID50
Secours
L:
SAN
RAID50
Preuve 1
M:
SAN
RAID50
Preuve 2
N:
SAN
RAID50
Preuve 3
O:
SAN
RAID50
Preuve 4
P:
SAN
RAID50
Preuve 5
Q:
SAN
RAID50
Preuve 6
R:
SAN
RAID50
Preuve 7
S:
SAN
RAID50
Incorporation
49
Nom d'appel
Unité
Local
ou SAN
RAID
Preuve 8
T:
SAN
RAID50
Preuve 9
U:
SAN
RAID50
Espace de
travail 1
V:
SAN
RAID50
Espace de
travail 2
W:
SAN
RAID50
Espace de
travail 3
X:
SAN
RAID50
Espace de
travail 4
Y:
SAN
RAID50
Espace de
travail 5
Z:
SAN
RAID50
Figure 3-5.
Notes
Structure de fichier recommandée
Dell Forensics Domain
XXXXX.&&&
XXXXX.&&&
XXXXX.&&&
Export
Encase6
V:\
CASE0001
XXXXX.&&&
Temp
Index
XXXXX.&&&
Workspace Share
FTK3
\\Workspace\Share
XXXXX.&&&
FTK1.8
XXXXX.&&&
XXXXX.&&&
Export
Encase6
Case0001-01.E01
Case0001-02.E01
Case0001-03.E01
M:\
\\Fileserver\Evidence
50
Incorporation
XXXXX.&&&
Temp
Index
XXXXX.&&&
Case0002-01.E01
Case0002-02.E01
CASE0001
Evidence Share
CASE0002
FTK3
FTK1.8
CASE0002
Exécution de l'incorporation en utilisant la
solution Dell Digital Forensics
Incorporation en utilisant SPEKTOR
Enregistrer et nettoyer un périphérique USB externe comme disque de stockage
1 Connectez le périphérique USB externe non enregistré à un port Collector
sur l'ordinateur portable renforcé.
2 Cliquez ou tapez sur l'cône de périphérique lorsqu'elle apparaît, puis sur
Register the Device as a Store Disk→ Yes. Entrez les informations demandées.
3 Dans le menu contextuel accessible en cliquant avec le bouton droit de la
souris, sélectionnez le périphérique enregistré, puis tapez ou cliquez sur
Clean/Reformat→ Clean.
4 Cliquez sur OK à la fin de l'opération.
Déployer le disque de stockage
1 Connectez le disque de magasin à l'ordinateur renforcé, puis tapez ou
cliquez sur le disque pour afficher le Store Disk Menu.
2 Dans le Store Disk Menu, tapez ou cliquez sur Deploy.
Si vous effectuez le déploiement par rapport à un ordinateur cible :
a
Tapez ou cliquez sur Target Computer.
b
Retirez le disque de stockage de l'ordinateur portable renforcé et
connectez-le à un port USB sur l'ordinateur cible.
c
Suivez les mêmes instructions de déploiement que celles utilisées pour
capturer une image de triage dans « Déployer les outils de triage »,
page 34.
d
Lorsque le CD de démarrage est chargé, l'assistant SPEKTOR Imaging
(Image SPECKTOR) vous aide à exécuter le reste du processus de
création d'image. Les instructions détaillées se trouvent dans le manuel
d'utilisation de SPEKTOR. Voir « Documentation et ressources associées »,
page 15 pour plus d'informations
e
Arrêtez l'ordinateur cible, débranchez le disque de stockage et replacez-le
dans le centre de données pour le stockage.
Incorporation
51
Si vous effectuez le déploiement par rapport à un périphérique de stockage
cible locament :
a
Tapez ou cliquez sur Target Storage Device.
b
Connectez le périphérique de stockage cible au port USB en lecture
seule ou FireWire sur le côté droit de l'ordinateur portable renforcé.
c
Sélectionnez le périphérique ou la partition pour laquelle vous voulez
créer une image, puis cliquez sur la flèche dans l'angle supérieur droit.
d
Entrez les informations d'affaire demandées, puis tapez ou cliquez sur
Image Now.
e
Si nécessaire, tapez ou cliquez sur Configure Imaging Options pour
changer le format d'image ou le type de compression ou pour nettoyer
les secteurs en cas d'erreurs de lecture ou exécuter un hachage SHA1
supplémentaire.
REMARQUE : Un hachage MDS est toujours généré au cours du traitement d'une
image.
REMARQUE : Voir le manuel d'utilisation SPEKTOR pour plus d'informations sur
chacune de ces options d'image. Voir « Documentation et ressources associées »,
page 15.
52
Incorporation
Figure 3-6. Définir les options d'image
f
Tapez ou cliquez sur Image Now→ Yes pour créer une image.
g
A la fin de l'opération, tapez ou cliquez sur OK.
h
Débranchez le périphérique de stockage cible et le disque de stockage
de l'ordinateur portable renforcé, puis remplacez le disque de stockage
dans le centre de données pour le stockage et l'analyse.
REMARQUE : Le transfert d'une image peut durer longtemps ; 6 heures pour un
disque dur de 60 Go standard n'est pas inhabituel.
Incorporation
53
Incorporation en utilisant EnCase
Dans la solution Dell Digital Forensics, l'obtention d'une licence EnCase est
réalisée en utilisant un système d'affectation de licence réseau. Généralement,
une instance de EnCase SAFE est installée sur l'un des serveurs du centre de
données et une clé (dongle) contenant plusieurs licences utilisateur est
connectée au serveur. Les clients EnCase sont configurés pour rechercher une
licence sur ce serveur et aucune clé n'est nécessaire. Voir le Guide d'installation
et de configuration de Dell Digital Forensics pour plus d'informations. Voir
« Documentation et ressources associées », page 15. En outre, contactez
l'administrateur des systèmes réseau pour plus d'informations sur l'installation
de la solution de votre agence.
1 Connectez le périphérique de stockage cible au poste de travail
d'incorporation approprié dans le centre de données.
a
Si vous créez l'image d'un périphérique SATA, voir « Connexion du
bloqueur Tableau à un disque dur SATA », page 56 pour plus
d'informations.
b
Si vous créez l'image d'un périphérique IDE, voir « Connexion du
bloqueur Tableau à un disque dur IDE », page 57 pour plus
d'informations.
2 Créez une affaire.
REMARQUE : Les instructions suivantes portent sur le réseau et la structure de
dossier décrite comme meilleure pratique proposée par Dell pour sa solution Digital
Forensics Solution. Voir Figure 3-5pour plus d'informations.
54
a
Cliquez sur New, puis entrez les informations demandées.
b
Sur l'unité W:\ (zone de travail), créez les dossiers en utilisant la
structure suivante :
•
W:\[CaseName]\EnCase6\Export
•
W:\[CaseName]\EnCase6\Temp
•
W:\[CaseName]\EnCase6\Index
c
Cliquez sur Finish.
d
Cliquez sur Yes pour chaque demande de création d'un dossier.
e
Dans l'écran EnCase Acquisition, cliquez sur l'option de menu Add
Device.
f
Cochez la case Sessions.
Incorporation
g
Dans le volet de droitre, sélectionnez l'affaire.
h
Cliquez sur Add Evidence Files, puis accédez au référentiel E01 (en
utilisant la configuration de meilleure pratique décrite dans Figure 3-5,
ce référentiel doit être stocké sur l'unité X:\).
i
Cliquez sur Next→ Next→ Finish. Une icône de chronomètre apparaît
dans la partie inférieure droite de l'écran EnCase Acquisition et EnCase
va vérifier le fichier E01. La vérification peut durer un certain temps
en fonction de la taille du fichier.
3 Dans le logiciel EnCase, ajoutez le périphérique de stockage cible en
utilisant l'assistant Add Device.
4 Obtenez le contenu du périphérique.
a
Depuis le logiciel EnCase, cliquez sur Cases→ Entries→ Home, puis
cliquez avec le bouton droit de la souris sur le périphérique dont vous
voulez obtenir le contenu.
b
Sélectionnez Acquire dans le menu déroulant.
c
Dans la boîte de dialogue After Acquisition, sélectionnez le type du
fichier de la nouvelle image :
d
•
N'ajoutez pas les options qui excluent la nouvelle image acquise
de l'affaire ouverte.
•
Add to Case ajoute la nouvelle image acquise dans le fichier
d'affaire associé au périphérique sur lequel l'image a été prise.
•
Replace a source device ajoute la nouvelle image acquise à l'affaire
et supprime le périphérique prévisualisé où a été exécuté l'acquisition.
Cliquez sur Finish. A la fin de la création d'image, la boîte de dialogue
Acquisition Results s'affiche.
Utilisation des bloqueurs d'écriture de Tableau
PRÉCAUTION : Ne retirez pas un disque dur un point d'investigation informatique
sous tension.
PRÉCAUTION : N'utilisez pas de rallonge USB avec un pont d'investigation
informatique.
Incorporation
55
Connexion du bloqueur Tableau à un disque dur SATA
1 Placez le DC IN B du pont T35es Forensic SATA/IDE sur la position B On.
2 Connectez la source d'alimentation TP2 ou TP3 sur le côté gauche du
pont SATA T35es en utilisant le connecteur Mini-DIN à 5 broches.
3 Connectez le cordon d'alimentation à la source d'alimentation TP2 et au
connecteur électrique.
4 Mettez sous tension le pont pour vérifier que le voyant de bloc blanc
s'allume. Mettez sous tension le pont avant de connecter le périphérique
de stockage cible.
5 Connectez le connecteur Molex femelle du câble d'alimentation TC5-8
SATA à l'emplacement DC OUT situé sur le côté droit du pont T35es
SATA/IDE.
6 Connectez le connecteur d'alimentation SATA du câble d'alimentation
TC5-8 SATA au connecteur d'alimentation SATA du disque dur cible.
PRÉCAUTION : L'utilisation de connexions électriques Molex et SATA lors de la
connexion d'un périphérique de stockage cible surcharge le périphérique cible.
7 Connectez le câble d'interface TC3-8 SATA au pont T35es SATA/IDE.
8 Connectez l'autre extrémité du câble d'interface TC3-8 SATA au périphérique
de stockage cible.
9 Connectez l'une des extrémités du câble de données (USB 2,0, deux
connexions Fire Wire 800 ou FireWire 400 4 broches Orion) à l'un des
ports sur le côté gauche du pont T35es SATA/IDE.
10 Connectez l'autre extrémité du câble de données à un port de l'ordinateur
portable renforcé Dell ou du poste de travail Dell OptiPlex.
11 Placez le commutateur sur la partie supérieure du pont T35es SATA/IDE
sur la position A ON. L'ordinateur portable renforcé Dell ou le poste de
travail Dell OptiPlex doit maintenant enregistrer la présence du périphérique
de stockage cible.
56
Incorporation
Connexion du bloqueur Tableau à un disque dur IDE
1 Placez le DC IN B du pont T35es Forensic SATA/IDE sur la position B On.
2 Connectez la source d'alimentation TP2 ou TP3 sur le côté gauche du
pont SATA/IDE T35es en utilisant le connecteur Mini-DIN à 5 broches.
REMARQUE : Le connecteur DIN à 7 broches sur l'alimentation électrique TP3 ne
fonctionnera pas avec les ponts Tableau. Vous devez utiliser le câble adaptateur
TCA-P7-P5 7 DIN 7 broches-DIN 5 broches pour connecter l'alimentation électrique
TP3 aux ponts Tableau.
3 Connectez le cordon d'alimentation à la source d'alimentation TP2 et au
connecteur électrique.
4 Mettez sous tension le pont pour vérifier que le voyant de bloc blanc est
allumé, puis mettez le pont hors tension avant de connectez le disque dur cible.
5 Connectez le connecteur Molex femelle du câble d'alimentation TC2-8
SATA à l'emplacement DC OUT situé sur le côté droit du pont T35es
SATA/IDE.
6 Connectez l'autre connecteur Molex femelle du câble d'alimentation
TC2-8 Molex au connecteur Molex du disque dur suspect.
7 Connectez l'extrémité bleue du câble d'interface TC6-8 IDE (pour aligner
la broche 1) au pont T35es SATA/IDE.
8 Connectez l'autre extrémité du câble d'interface TC6-8 IDE au périphérique
de stockage cible.
9 Connectez l'une des extrémités du câble de données (USB 2,0, deux
connexions Fire Wire 800 ou FireWire 400 4 broches Orion) à l'un des
ports sur le côté gauche du pont T35es SATA/IDE.
10 Connectez l'autre extrémité du câble de données à un port de l'ordinateur
portable renforcé Dell ou du poste de travail Dell OptiPlex.
11 Placez le commutateur sur la partie supérieure du pont T35es SATA/IDE
sur la position A ON. L'ordinateur portable renforcé Dell ou le poste de
travail Dell OptiPlex doit maintenant enregistrer la présence du périphérique
de stockage cible.
Incorporation
57
Incorporer en utilisant FTK 1.8 et 3.0 de centre de données
Dans la solution Dell Digital Forensics, l'obtention d'une licence FTK est
réalisée en utilisant un système d'affectation de licence réseau. Généralement,
le serveur de licences réseau FTK est installé sur l'un des serveurs du centre de
données et une clé (dongle) FTK contenant plusieurs licences utilisateur est
connectée au serveur. Les clients FTK sont configurés pour rechercher une
licence sur ce serveur et aucune clé n'est nécessaire. Voir le Guide d'installation
et de configuration de Dell Digital Forensics pour plus d'informations. Voir
« Documentation et ressources associées », page 15. En outre, contactez
l'administrateur des systèmes réseau pour plus d'informations sur l'installation
de la solution de votre agence.
Créer une image du périphérique de stockage cible
1 Dans l'application AccessData FTK Imager, cliquez sur File→ Create Disk
Image. . .
2 Dans la fenêtre contextuelle Select Source (Sélectionner une source),
sélectionnez le type de preuve pour laquelle vous voulez créer une image :
Physical Drive (Unité physique), Logical Drive (Unité logique), Image File
(Fichier image), Contents of a Folder (Contenu d'un dossier) ou Fernico
Device (Unité Fernico), puis cliquez sur Next.
REMARQUE : L'exemple suivant utilise l'option Imaging a Physical Drive
pour montrer la procédure de création d'une image. Les autres options de
fichier sont converties dans le guide d'utilisation FTK. Voir « Documentation
et ressources associées », page 15.
3 Dans la zone déroulante, sélectionnez l'unité physique pour laquelle vous
voulez créer une image dans les unités disponibles et cliquez sur Finish.
4 Dans la fenêtre contextuelle Create Image (Créer une image, cliquez sur
Add. . . et sélectionnez le type d'image à créer (Raw, SMART, E01, or AFF).
Cliquez sur Next.
5 Entrez les informations demandées dans la fenêtre Evidence Item
Information (numéro d'affaire, numéro de preuve, description unique et
remarques). Cliquez sur Next.
6 Dans la fenêtre Select Image Destination, accédez à la zone de stockage
allouée aux images de preuve (voir Figure 3-5pour le fichiers recommandé
de Dell et la nomenclature de serveur), entrez le nom de fichier de l'image
et cliquez sur→
58
Incorporation
7 Cliquez sur Start. La fenêtre Creating Image. . . s'affiche et affiche la barre
d'avancement de l'opération.
REMARQUE : La création d'une image peut prendre plusieurs heures en
fonction du volume de données ajouté.
8 Si vous avez décidé précédemment d'afficher le résumé du résultat de
l'image, la fenêtre Drive/Image Verify Results s'affiche à la fin de la
création de l'image. Vérifiez le résultat et cliquez sur Close.
9 Cliquez de nouveau sur Close pour fermer la fenêtre Creating Image . . .
Créer une affaire
1 Cliquez sur File→ New Case. Entrez les informations suivantes : le nom de
l'enquêteur, le numéro de l'affaire, le nom de l'affaire, le chemin de
l'affaire et le dossier de l'affaire.
2 Dans la fenêtre Forensic Examiner Information entrez l'agence/la société
et le nom, l'adresse, le numéro de téléphone, le fax, l'adresse électronique
et les commentaires de l'analyseur. Cliquez sur Next.
3 Dans la fenêtre Case Log Options sélectionnez les options à modifier :
•
Case and evidence events (Evénements d'affaire et de preuve)
•
Error messages (Messages d'erreur)
•
Bookmarking events (Evénement de signet)
•
Data Carving events (Evénement de reconstruction de fichiers)
•
Data carving/Internet searches (Evénement de reconstruction de
fichiers/Recherches Internet)
•
Autres événements
4 Dans la fenêtre Processes to Perform, sélectionnez les processus à exécuter.
Vous pouvez sélectionner les processus suivants :
•
MD5 Hash
•
SHA1 Hash
•
KFF Lookup
•
Entropy Test
•
Full Text Index
•
Store Thumbnails
Incorporation
59
•
Decrypt EFS Files
•
File Listing Database
•
HTML File Listing
•
Data Carve
•
Registry Reports
5 Cliquez sur Next.
6 Dans la fenêtre Refine Case incluez ou excluez différents types de données
de l'affaire. Les options prédéfinies incluent cinq conditions communes :
•
Include All Items
•
Optimal Settings
•
Email Emphasis
•
Text Emphasis
•
Graphics Emphasis
7 Cliquez sur Next.
8 Dans la fenêtre Refine Index, incluez ou excluez différents types de données
de l'indexaction.
9 Cliquez sur Next.
Ajouter une preuve
1 Cliquez sur Add Evidence. La fenêtre contextuelle Add Evidence to Case
s'affiche.
2 Sélectionnez le type de preuve à ajouter à l'affaire : Acquired Image of Drive,
Local Drive, Contents of a Folder ou Individual File en sélectionnez le
bouton radio. Cliquez sur Continue.
3 Accédez à l'image, à l'unité, au dossier ou au fichier, sélectionnez le fichier
et cliquez sur Open.
Si vous avez sélectionné Aquired Image of Drive comme type de preuve,
une fenêtre contextuelle Evidence Information s'affiche. Entrez les
informations demandées et cliquez sur OK.
60
Incorporation
Si vous avez sélectionné Local Drive comme type de preuve,
a
la fenêtre Select Local Drive s'affiche. Sélectionnez l'unité locale
à ajouter et Logical Analysis ou Physical Analysis. Cliquez sur OK.
b
Dans la fenêtre Evidence Information, entrez les informations
demandées et cliquez sur OK.
Si vous avez sélectionné Cntents of a Folder ou Individual File, sélectionnez
le dossier ou le fichier à ajouter à l'affaire et cliquez sur Open.
4 Cliquez sur Next.
5 Dans la fenêtre New Case Setup is Now Complete, vérifiez vos sélections.
Cliquez sur Finish.
Incorporation en utilisant FTK 3 Lab Edition
Créer une image du périphérique de stockage cible
Voir « Créer une image du périphérique de stockage cible », page 58.
Créer une affaire
1 Cliquez sur Case→ New. La fenêtre New Case Options s'affiche.
2 Entrez le nom de l'affaire et les informations de référence ou descriptives
demandées par votre agence.
3 Accédez au répertoire du dossier de l'affaire et sélectionnez le gestionnaire
de traitement dans la zone de liste déroulante.
REMARQUE : Si vous ne savez pas ou se trouvent ce répertoire et le gestionnaire,
contactez l'administrateur système.
4 Cliquez sur Detailed Options pour afficher les données à inclure dans
l'affaire. Voir le guide d'utilisation d'AccessData FTK 3 pour plus d'informations
sur la limitation des données des affaires. Voir « Documentation et ressources
associées », page 15.
5 Cliquez sur OK. La fenêtre Manage Evidence s'ouvre.
Incorporation
61
Ajouter une preuve à une affaire
1 Dans la fenêtre Manage Evidence, cliquez sur Add. Cliquez sur le bouton
radio à côté du type de preuve à ajouter : Acquired Image(s), All Images in
Directory, Contents of a Directory, Individual File(s), Physical Drive ou
Logical Drive. Cliquez sur OK.
2 Accédez au répertoire Evidence et sélectionnez le fichier de preuve.
Cliquez sur Open.
3 Choisissez un fuseau horaire (obligatoire).
4 Cliquez sur OK. La fenêtre Data Processing Status s'affiche.
5 Lorsque l'état du processus devient Finished, cliquez sur Close. La preuve
apparaît dans l'affaire dans l'interface du logiciel.
62
Incorporation
Stockage
Triage
Ingest
Analyze
Present
Archive
La méthode classique en matière de stockage des preuves numériques commence
par les recherches qu'effectuent indépendamment les enquêteurs sur des postes
de travail individuels dans une configuration multisilos. Le fichier de preuve
est stocké plus ou moins de manière sécurisée sur le poste de travail ou transféré
chaque jour d'un serveur de stockage vers le poste de travail, le transfert en
continu de fichiers très volumineux augmentant la charge du réseau. La
structure ne tire pas partie de la vitesse du traitement réparti, des économies
d'échelle et des économies de coût substantielles qu'offre un traitement
parallèle au niveau de l'entreprise et une architecture de stockage multiniveau.
En outre, dans cette configuration, il est difficile, au mieux, de partager des
données ou de collaborer avec les équipes internes et externes pour sauvegarder
régulièrement et de manière fiable les données et surtout garantir l'intégrité
et la sécurité des fichiers.
Efficacité
La solution Dell Digital Forensics peut s'adapter à de nombreuses configurations
informatiques différentes. Plus la configuration est proche d'une véritable
conception d'entreprise, constituée de postes de travail, de serveurs de traitement
dédiés capables de répartir le traitement, d'une infrastructure réseau basée sur
les communications parallèles et non série et d'un stockage, plus la configuration
est efficace. Le trafic réseau est moins élevé et plus rapide, car ce sont les
processeurs répartis qui effectuent la plus grande partie du travail ; le réseau
se limite à transférer les résultats de ce travail et non pas les fichiers de preuve
eux-mêmes.
Stockage
63
Lorsque les fichiers sont gérés sur le serveur et non pas sur le poste de travail,
l'analyste est libre d'utiliser le poste de travail pour lancer et contrôler plusieurs
travaux au lieu d'être limité à tenter de traiter un seul travail. En outre, les
analyses peuvent être exécutées encore plus rapidement, car plusieurs
analystes et spécialistes conseil, tels que des experts en langues étrangères,
peuvent travailler sur le même fichier *.E01 simultanément depuis des postes
de travail différents.
Le travail peut être trié en fonction des difficultés et affecté à des analystes
ayant des niveaux de compétences différents ; un analyste non expérimenté
peut être chargé des longues tâches d'extraction des fichiers graphiques d'un
fichier *.E01 alors que l'analyste expérimenté peut effectuer des analyses et
des vérifications plus complexes sur ces fichiers.
Evolutivité
Sur le back end, les composants du centre de données de la solution sont
modulaires et évolutifs. Comme le centre de données gère la charge de travail,
il n'est pas nécessaire que les postes de travail disposent de mémoire et d'une
puissance de traitement. En fait, vous pouvez utiliser des terminaux légers
pour accéder aux fichiers de preuve nécessaires et même au logiciel analytique
stocké dans le centre de données.
Sécurité
La tendance croissante d'agréger les informations rend les systèmes de stockage
des données plus vulnérables. Mais, l'accès au stockage des preuves doit être le
point le plus contrôlé d'un système d'investigation numérique. Les meilleures
pratiques impliquent de mettre en oeuvre une stratégie à trois niveaux :
•
Contrôle strict de l'accès physique au matériel où résident les données
de preuve
•
Couche de contrôle administratif qui inclut l'utilisation de groupes de
stratégies
•
Sécurité des ordinateurs, telle que règles de création de mots de passe
sécurisés
A cette fin, lors de la détermination du volume et de la structure qui répondent
à vos besoins (voir « Incorporation », page 39), la sécurité constitue la principale
priorité d'une agence en terme de stockage.
64
Stockage
Couche d'accès physique
Les fichiers du serveur de preuves pour l'investigation numérique doivent
être plus protégés que les autres fichiers de l'entreprise, y compris ceux des
Ressources Humaines.
Voici quelques suggestions :
•
Placez les serveurs d'analyse et le stockage des données dans un emplacement
dédié du laboratoire d'analyse. Ainsi, tous les serveurs, entrepôts de données,
câblages physiques, commutateurs et routeurs sont protégés physiquement
par les mêmes mesures de sécurité qui limitent l'accès au laboratoire.
•
Utilisez des protocoles de contrôle des entrées, tels que des lectures
d'empreintes digitales ou des caractéristiques de la rétine ou des cartes
d'accès à puces.
•
Routez tout le trafic d'analyse via des commutateurs réseau dédiés et
connectés physiquement à des serveurs et des postes de travail d'analyse.
Couche de surveillance administrative et Active Directory
Votre solution de configuration fonctionnera sur un système d'exploitation
Windows. Par conséquent, le reste de ce chapitre porte sur Windows et ses
fonctions de sécurité Groupe et utilisateur Active Directory. Active Directory
repose sur la sécurité de groupe et ses fonctions associées. Un groupe est un
ensemble d'utilisateurs ou d'ordinateurs dans un domaine. Les deux types de
groupes de base sont les groupes de distribution (utilisés pour la distribution
du courrier électronique) et les groupes de sécurité. La création de groupes de
sécurité permet de créer et d'appliquer des règles de sécurité, notamment :
•
Accès aux ressources partagées et niveau de l'accès
•
Droits d'utilisateur, y compris exigences de mot de passe
•
Règles de verrouillage de compte
•
Règles de limitation de logiciel
•
Distribution des correctifs de sécurité aux ordinateurs portables, aux
ordinateurs de bureau et aux serveurs
Par exemple, vous pouvez créer un groupe contenant les postes de travail et
un second groupe contenant les utilisateurs administratifs. Vous pouvez
utiliser des objets de stratégie de groupe pour limiter l'accès à ces postes de
travail et aux membres du groupe d'utilisateurs administratifs. (Voir « Application
de stratégies de sécurité en utilisant des objets de stratégie de groupe », page 70
pour plus d'informations sur l'utilisation des objets de stratégie de group.)
Stockage
65
Couche de sécurité des ordinateurs et Active Directory
Active Directory fournit également Kerneros, un protocole de sécurité
d'authentification réseau qui permet aux noeuds qui communiquent sur des
réseaux non sécurisés pour prouver leur identité à un autre noeud d'une
manière sécurisée. Voir « Comptes utilisateur Active Directory », page 72
pour plus d'informations sur l'utilisation des comptes utilisateur et « Support
Active Directory pour les stratégies de mot de passe sécurisé », page 71 pour
plus d'informations sur la création de mots de passe.
Informations complémentaires sur la sécurité et l'investigation numérique
SP 800-41 Rév. 1 Sept. 2009 Guidelines on Firewalls and Firewall Policy
SP 800-46 Rév. 1 Jun. 2009 Guide to Enterprise Telework and Remote Access
Security
SP 800-55 Rév. 1 Jul 2008 Performance Measurement Guide for Information
Security
Stockage multiniveau
La solution Digital Forensics de Dell utilise des stratégies de stockage multiniveau
pour faire face à l'augmentation croissante du volume de données tout en
contrôlant les coûts. Vous pouvez personnaliser une combinaison d'unités
SATA et SAS de différentes capacités et ayant des niveaux de performances
différents pour qu'elles correspondent aux profils de données et vous pouvez
réévaluer cette combinaison régulièrement pour maintenir un niveau de
fonctionnement optimal dans le temps. Généralement, les données stratégiques,
telles que les données des affaires en cours d'analyse, sont stockées sur des
unités chères haute performance, alors que les données moins urgentes, telles
que les fichiers des affaires en début d'appel ou fermés sont placés sur des
unités économiques de grande capacité.
66
Stockage
Figure 4-1. Stockage multiniveau pour l'archivage et l'extraction
Figure 4-1 montre le chemin suggéré pour le stockage des preuves numériques
entre la collecte des preuves et le stockage à long terme des preuves sur bande
et la suppression finale.
Correspondance entre l'archivage des preuves et
l'extraction et la vie de l'affaire
Saisie de la preuve (Analyse) – Lors de la saisie du périphérique, un laboratoire
High Tech anticrime cherchera normalement à extraire la preuve du périphérique
et à lancer l'analyse dès que possible. Plus la recherche et l'indexation d'un
fichier de preuve par un analyste est rapide, plus il est possible de prendre
rapidement une décision quant aux suites à donner à l'affaire.
Identification de la preuve (Présentation) – Lorsqu'une preuve a été potentiellement
trouvée au cours de l'analyse, différents groupes de compétences peuvent être
maintenant nécessaires (langue, dessins techniques, comptabilité, etc.). La
preuve doit être maintenant catégorisée par les équipes d'analyse. La partie
« lourde » du traitement est maintenant terminée. La preuve peut donc
résider dans un emplacement de stockage à long terme plus économique.
Stockage
67
Attente du procès (Archivage) – Lorsque toutes les preuves ont été rassemblées
et que le dossier est en cours, il est généralement inutile de continuer de
stocker en ligne les données et les images des preuves de l'affaire qui sont
accessibles instantanément. Généralement, le laboratoire peut répondre aux
demandes d'extraction de périodes, ce qui peut être effectué de manière
proactive si un événement connu d'envoi justifie la nécessité des données de
l'affaire. Cette approche réduit le coût du stockage dans le laboratoire
d'investigation, car il n'est pas nécessaire de conserver toutes les données dans
le laboratoire ; qu'elle que soit la pertinence actuelle, elles peuvent être
transférées de manière transparente vers un emplacement de stockage plus lent.
Procès (Présentation) – Si le dossier fait l'objet d'un procès, le laboratoire
d'investigation informatique voudra pouvoir accéder rapidement à la preuve
et aux données de l'affaire pour répondre aux questions des juges.
Garde à vue (Archive) – En cas de mise en garde à vue, la législation de la
plupart des pays impose à la police ou au Ministère de la Justice de conserver
la preuve et les fichiers de l'affaire pendant une période minimale ou le temps
de la garde à vue et pendant un délai d'appel raisonnable ou 99 ans. Cette
disposition vise à placer les données sur un support de stockage à long terme
économique qui protège l'intégrité et la confidentialité des données.
Appel (Présentation) – En cas d'appel, les données de l'affaire et la preuve
peuvent être extraites pour une nouvelle analyse. Cette extraction doit
intervenir à un moment bien défini, mais les données sont rarement
demandées immédiatement.
Suppression – Dans la plupart des pays, les organismes publics ne sont pas
autorisés à conserver les données indéfiniment après un certain délai. Un
processus simple doit permettre de supprimer les données. Ce processus peut
être nécessaire également lorsqu'une non-culpabilité est reconnue et que les
données doivent être également détruites.
68
Stockage
Configuration de la sécurité du stockage en
utilisant la solution Dell Digital Forensics
Solution et Active Directory
Création et remplissage de groupes dans Active Directory
Vous créez des groupes via les services de domaine Active Directory Domain
(Windows Server 2008).
Création d'un groupe (Windows Server 2008)
1 Cliquez sur Démarrer→ Outils d'administration→ Active Directory
Administrative Center.
2 Dans le volet de navigation, cliquez avec le bouton droit de la souris sur le
noeud auquel vous voulez ajouter un groupe, puis cliquez sur Nouveau.
Cliquez sur Groupe.
3 Entrez le nom du nouveau groupe.
4 Sélectionnez l'option appropriée dans Etendue du groupe.
5 Sélectionnez le type du groupe.
6 Sélectionnez Protéger contre la suppression accidentelle.
7 Modifiez les sections Géré par, Membre de et Membres, puis cliquez sur
OK.
Ajout de membre à un groupe (Windows Server 2008)
1 Cliquez sur Démarrer→ Outils d'administration→ Active Directory
Administrative Center.
2 Dans le volet de navigation, cliquez sur le dossier du groupe.
3 Cliquez avec le bouton droit de la souris, puis sur Propriétés.
4 Sélectionnez Ajouter dans l'onglet Membres.
5 Entrez le nom de l'utilisateur, de l'ordinateur ou du groupe que vous
ajoutez, puis cliquez sur OK.
Stockage
69
Application de stratégies de sécurité en utilisant des objets de stratégie
de groupe
Après avoir créé un groupe, vous pouvez appliquer collectivement des paramètres
de sécurité et d'autres attributs aux membres du groupe en créant et en
configurant un objet de stratégie de groupe. Ainsi, vous pouvez gérer aisément la
sécurité des utilisateurs et des ressources lorsque votre organisation d'investigation
numérique évolue.
Création et modification des objets de stratégie de groupe
Création d'un GPO (Windows Server 2008)
Dans Windows Server 2008, les objets de stratégie de groupe sont gérés en
utilisant la console de gestion des stratégies de groupe (GPMC).
1 Pour ouvrir la console, cliquez sur Démarrer→ Outils d'administration→
Stratégie de groupe.
2 Accédez à la forêt et au domaine dans lesquels vous allez créer le nouvel
objet, puis cliquez sur Objets de stratégie de groupe.
3 Cliquez sur Nouveau.
4 Entrez le nom de l'objet de stratégie de groupe, puis cliquez sur OK.
Modification d'un GPO (Windows Server 2008)
Dans Windows Server 2008, les objets de stratégie de groupe sont gérés en
utilisant la console GPMC.
1 Pour ouvrir la console, cliquez sur Démarrer→ Outils d'administration→
Stratégie de groupe.
2 Accédez à la forêt et au domaine de l'objet de stratégie de groupe, puis
cliquez sur Objets de stratégie de groupe.
3 Cliquez avec le bouton droit de la souris sur l'objet de stratégie de groupe.
4 Modifiez les paramètres de manière appropriée et enregistrez-les.
70
Stockage
Support Active Directory pour les stratégies de mot de passe sécurisé
Active Directory prend en charge diverses stratégies d'authentification,
notamment les cartes à puce, les mots de passe renforcés et des paramètres de
verrouillage de compte.
Les mots de passe et les autres stratégies d'authentification sont créés en utilisant
des objets de stratégie de groupes. Voir « Application de stratégies de sécurité
en utilisant des objets de stratégie de groupe », page 70 pour plus d'informations
sur la création et la modification d'un objet de stratégie de groupe.
Paramètres de mot de passe renforcé suggérés
Les valeurs suivantes sont suggérées lors de la définition des paramètres de
mot de passe :
•
Appliquer l'historique des mots de passe - Nombre de mots de passe
uniques qui peuvent être utilisés avant qu'un mot de passe puisse être
réutilisé. Entrez la valeur 24.
•
Age maximal du mot de passe - Les mots de passe doivent être changés
tous les x jours. Entrez la valeur 90.
•
Durée de vie minimale du mot de passe - Nombre de jours d'utilisation
d'un mot de passe pour pouvoir le changer. Entrez la valeur 1 ou 2.
•
Longueur minimale du mot de passe - Utilisez 8 ou 12 caractères.
•
Le mot de passe doit respecter des exigences de complexité - Activé. Les
stratégies suivantes sont appliquées :
–
Les mots de passe doivent contenir au moins 6 caractères.
–
Les mots de passe doivent contenir des caractères d'au moins trois des
quatre catégories suivantes :
–
•
Majuscules
•
Minuscules
•
Chiffres (0 à 9)
•
Symboles
Les mots de passe doivent contenir au moins trois caractères
consécutifs du nom du compte ou de l'utilisateur
Stockage
71
Stratégies de mot de passe affinées
Dans Windows Server 2008, les services de domaine Active Directory prennent
en charge les objets PSO (Password Setting Objects) qui s'appliquent à des
groupes de sécurité globaux ou des utilisateurs dans un domaine. Un objet
PSO peut définir une longueur de mot de passe en caractères, la complexité
d'un mot de passe, l'âge minimum et l'âge maximum d'un mot de passe et
d'autres attributs.
Par conséquent, vous pouvez créer plusieurs objets PSO qui correspondent
à la structure organisationnelle de l'investigation numérique. Par exemple,
vous pouvez utiliser des objets PSO pour mettre en oeuvre des mots de passe
plus longs qui expirent mensuellement pour les utilisateurs administratifs et
des mots de passe plus courts qui expirent tous les trois mois pour les analystes.
Comptes utilisateur Active Directory
Création de comptes utilisateur pour les analyses de l'investigation informatique
1 Ouvrez Utilisateurs et ordinateurs Active Directory :
a
Cliquez sur Démarrer→ Panneau de configuration
b
Cliquez deux fois sur Outils d'administration, puis cliquez deux fois
sur Utilisateurs et ordinateurs Active Directory.
2 Dans l'arborescence de la console, cliquez avec le bouton droit de la souris
sur le dossier auquel vous voulez ajouter un compte utilisateur.
Où ?
Utilisateurs et ordinateurs Active Directory/noeud de domaine/dossier
3 Pointez sur Nouveau, puis cliquez sur Utilisateur.
4 Dans Prénom, tapez le prénom de l'utilisateur.
5 Dans Initiales, tapez les initiales de l'utilisateur.
6 Dans Nom, tapez le nom de l'utilisateur.
7 Modifiez le nom complet pour ajouter des initiales ou inverser l'ordre du
prénom et du nom.
72
Stockage
8 Dans Nom d'ouverture de session de l'utilisateur, tapez le nom d'ouverture
de session de l'utilisateur, cliquez sur le suffixe UPN dans la zone
déroulante et sur Suivant.
Si l'utilisateur utilisera un nom différent pour se connecter à des ordinateurs
exécutant Windows 95, Windows 98 ou Windows NT, vous pouvez
remplacer le nom d'ouverture de session de l'utilisateur dans Nom d'ouverture
de session de l'utilisateur (avant Windows 2000) par un nom différent.
9 Dans Mot de passe et Confirmer le mot de passe, tapez le mot de passe de
l'utilisateur et sélectionnez les options de mot de passe appropriées.
REMARQUE : Pour pouvoir exécuter cette procédure, vous devez être membre du
groupe Opérateurs de compte, Administrateurs de domaine ou Administrateurs de
l'entreprise dans Directory ou vous devez avoir délégué le droit approprié. Comme
bonne pratique de sécurité, utilisez Exécuter en tant que pour exécuter cette
procédure. Pour plus d'informations, voir Groupes locaux par défaut, Groupes par
défaut et Utilisation de Exécuter en tant que.
Créer un compte de gestionnaire de service FTK
REMARQUE : Au cours de l'installation de FTK, le système demande le nom du
compte utilisateur que vous envisagez d'utiliser pour gérer la fonction de traitement
réparti. Ne pas utiliser.
Si vous utilisez la fonction de traitement réparti de FTK comme l'un des
outils d'investigation numérique, vous devez créer un compte de gestionnaire
de service FTK dans Active Directory pour gérer la mise à jour automatique
des mots de passe. Au cours de l'installation de FTK, le système demande le
nom de l'utilisateur qui sera utilisé pour contrôler et gérer la fonction de
traitement réparti. Ce compte doit être créé comme service dans Active
Directory et il doit disposer des privilèges d'administrateur (mais il ne doit pas
être le compte Administrateur) pour établir une liaison continue entre FTK
et le serveur de preuves nécessaire à la fonction de traitement réparti.
1 Dans Active Directory, ouvrez Outils d'administration, puis cliquez sur
Utilisateurs et ordinateurs Active Directory.
2 Dans l'arborescence de la console, cliquez deux fois sur le noeud du
domaine.
3 Dans le volet Détails, cliquez avec le bouton droit de la souris sur l'unité
d'organisation à laquelle vous voulez ajouter le compte de service.
Sélectionnez Nouveau, puis cliquez sur Utilisateur.
Stockage
73
4 Dans Nom, tapez FTKServMgr pour le compte de service ; n'entrez pas
le nom.
5 Modifiez le nom complet de manière appropriée.
6 Dans Nom d'ouverture de session de l'utilisateur, tapez FTKServMgr. Le
compte de service se connectera avec le nom que vous avez entré. Dans la
liste déroulante, cliquez sur le suffixe UPN qui doit être ajouté au nom
d'ouverture de session du compte de service (après le symbole @). Cliquez
sur Suivant.
7 Dans Mot de passe et Confirmer le mot de passe, tapez un mot de passe
pour le compte de service.
8 Sélectionnez les options de mot de passe appropriées, puis cliquez sur
Suivant.
9 Cliquez sur Terminer pour terminer la création du compte de service.
Créer un compte utilisateur non administratif
1 Ouvrez une session sur un ordinateur Windows Vista avec un compte
utilisateur administratif.
2 Ouvrez le menu Démarrer. Cliquez avec le bouton droit de la souris sur
Ordinateur, puis cliquez sur Gérer.
3 Cliquez sur la flèche en regard de Utilisateur et groupes locaux.
4 Cliquez avec le bouton droit de la souris sur Utilisateurs, cliquez sur
Nouvel utilisateur.
5 Tapez le nom de l'utilisateur pour lequel vous créez un compte. Par
exemple, si vous voulez appeler l'utilisateur utilisateurweb1, tapez
utilisateurweb1 dans la zone Nom d'utilisateur et dans la zone
Nom complet.
6 Tapez un mot de passe à mémoriser dans les zones Mot de passe et
Confirmer le mot de passe.
REMARQUE : Les mots de passe sont sensibles à la casse. Le mot de passe
que vous tapez dans les zones Mot de passe et Confirmer le mot de
passe doivent correspondre pour pouvoir ajouter le compte utilisateur.
7 Désélectionnez la case L'utilisateur doit changer le mot de passe à la
prochaine ouverture de session.
74
Stockage
8 Cochez les cases Le mot de passe n'expire jamais et L'utilisateur ne peut
pas changer le mot de passe.
9 Cliquez sur Créer et sur Fermer.
10 Cliquez sur Fichier et sur Quitter.
Configuration de la sécurité des fichiers d'affaire et de preuve
individuels
1 Dans Windows Explorer, accédez au fichier pour lequel vous voulez définir
des autorisations. Cliquez avec le bouton droit de la souris sur le fichier,
puis sélectionnez Propriétés.
2 Cliquez sur l'onglet Sécurité.
3 Désélectionnez la case Tout le monde, si nécessaire.
4 Ajoutez uniquement les utilisateurs qui devront accéder au fichier, comme
défini par la stratégie de votre espace de travail.
a
Cliquez sur Ajouter.
b
Dans la zone Entrer les noms d'objet à sélectionner, entrez les noms
des utilisateurs appropriés. Cliquez sur OK.
c
Modifiez les autorisations de chaque utilisateur, comme défini par la
stratégie de votre espace de travail.
Stockage
75
76
Stockage
Analyse
Triage
Ingest
Store
Present
Archive
L'analyste doit pouvoir exécuter différents types d'investigation sur les données
de preuve, notamment, des analyses de signature, de hachage et d'indexation
étendue et des recherches de mots de passe. Toutes ces analyses nécessitent
une puissance de traitement considérable, car les fichiers de preuve d'une
affaire peuvent atteindre le téraoctet et le traitement de ces fichiers peut
prendre des dizaines d'heures, voir de jours, en utilisant les architectures de
centre de données qui existent généralement actuellement. Les enquêteurs
qui tentent ce type d'analyse sur un poste de travail doivent tenir compte de
ce fait lors de la planification du traitement d'une affaire, car l'analyse et
l'indexation d'un cas peuvent utiliser toutes les ressources matérielles de
l'enquêteur. La solution Digital Forensics de Dell offre des avantages de
traitement distribués significatifs et cela peut tout changer. Nous allons aborder
le traitement réparti dans quelques instants, mais examinons préalablement
quelques types d'analyses qu'exécute généralement l'enquêteur informatique.
Types d'analyses
Analyse de hachage
Une fonction de hachage utilise des algorithmes cryptographiques pour créer
une empreinte numérique des données. Le hachage peut être utilisé pour
comparer un hachage des données d'origine à l'un des hachages des données
d'investigation informatique analysées, ce que peuvent accepter les juges
comme preuve que les deux groupes de données sont identiques. L'analyse de
hachage compare les valeurs de hachage d'un fichier d'affaire à des valeurs de
hachage stockées connues.
Analyse
77
Analyse de signature de fichier
Chaque fichier a un type de fichier généralement indiqué par l'extension
à trois ou quatre lettres du nom du fichier. Par exemple, un fichier texte peut
porter l'extension *.txt et un fichier image peut avoir l'extension *.jpg. Il est
fréquent que ces extensions de fichier soient été remplacées par quelque chose
d'apparemment inoffensif. Un fichier image, par exemple, peut être renommé
avec une extension de fichier texte pour masquer un contenu pornographique.
Toutefois, chaque fichier dispose également d'un en-tête qui contient un
code de type de fichier différent de l'extension, mais qui indique uniquement
un type de fichier spécifique. Par exemple, un fichier *.bmp a le code d'en-tête
de type de fichier *.bm8. Lorsque ce code et l'extension de fichier diffèrent,
l'enquêteur informatique doit analyser les données de manière plus approfondie.
Figure 5-1.
Traitement réparti
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
EST
0
1
2
3
4
5
Qu'est-ce que le traitement réparti ?
Le traitement réparti fait référence à l'utilisation de plusieurs processeurs,
chacun disposant de sa propre ressource de mémoire, qui sont appliqués
individuellement à une partie différente d'une tâche de calcul et qui utilisent
un système d'envoi de messages pour communiquer entre eux dans le groupe.
78
Analyse
Le traitement réparti n'est pas identique au traitement parallèle qui fait
référence à l'utilisation de plusieurs processeurs qui partagent une seule
ressource de mémoire.
Tenez compte des points suivants, qui vous donneront une idée générale des
avantages de la solution Dell de l'utilisation d'une installation de traitement
réparti. L'utilisation du traitement réparti pour exécuter une analyse de cinq
fichiers de 200 Go peut ne prendre que 3,5 heures alors que celle d'un seul
fichier de 200 Go sur un poste de travail autonome peut nécessiter environ
7 à 8 heures.
Le transfert du traitement des données de preuve du poste de travail de
l'analyste vers le serveur ne signifie pas la fin de l'opération. La solution Dell
permet d'exécuter un logiciel d'analyse, tel que FTK ou EnCase sur le serveur
en transformant le poste de travail en interface intégrée pouvant exécuter
plusieurs instances de différents progiciels d'investigation informatique sous
des systèmes d'exploitation utilisés simultanément sans affecter les
performances des clients.
Utilisation du traitement réparti dans FTK 3.1
Le traitement réparti permet d'appliquer les ressources supplémentaires de
trois ordinateurs supplémentaires simultanément au traitement des affaires.
Après avoir installé et configuré le moteur de traitement réparti, vous pouvez
réduire la durée de traitement des affaires de manière exponentielle.
REMARQUE : L'utilisation du traitement réparti, en général, ne réduit pas la durée
du traitement si le nombre d'objets à traiter n'excède pas 1 000 fois le nombre de
processeurs dans le système. Par exemple, sur un système à huit coeurs, les
machines supplémentaires à moteur de traitement réparti ne réduisent pas la durée
du traitement si la preuve ne contient pas plus de 8 000 éléments.
REMARQUE : Pour des informations sur l'installation et la configuration du module
de traitement réparti dans le cadre de la solution, voir la section appropriée du
guide d'utilisation FTK.
1 Veillez à ce que le dossier de l'affaire soit partagé avant d'ajouter et de
traiter la preuve. Si vous suivez les conventions recommandées de Dell
d'appellation des fichiers, le dossier de l'affaire doit se trouver sur l'unité
W:/ du poste de travail. Si vous ne savez pas où se trouve le dossier de
l'affaire, contactez l'administrateur système.
Analyse
79
2 Entrez le chemin du dossier de l'affaire dans la boîte de dialogue Create
New Case dans le format UNC :
(\\[computername_or_IP_address]\[pathname]\
[filename])
3 Cliquez sur Detailed Options et sélectionnez les options comme vous le
faites habituellement.
4 Cliquez sur OK pour revenir à la boîte de dialogue New Case Options et
cochez l'option Open the case. Cliquez sur OK pour créer une affaire et
l'ouvrir.
5 Cliquez sur Add après avoir ouvert l'affaire et l'ouverture automatique de
la boîte de dialogue Manage Evidence. Sélectionnez le fichier de preuve et
cliquez sur Open.
6 Le chemin de la preuve est désigné par la lettre d'unité par défaut. Changez
le chemin pour utiliser le format UNC en remplaçant la lettre d'unité par
le nom de la machine ou l'adresse IP de la machine où se trouve le fichier
de preuve en respectant la syntaxe suivante :
\\[computername_or_IP_address]\[pathname]\[filename]
7 Laissez le chemin restant tel quel.
8 Le chemin UNC de la preuve est indiqué dans l'illustration suivante :
Figure 5-2.
Boîte de dialogue Manage Evidence (Gérer la preuve)
9 Cliquez sur OK.
80
Analyse
Vérification de l'installation
Une fois l'installation effectuée, ouvrez le gestionnaire de tâches sur l'ordinateur
distant et maintenez-le ouvert lorsque vous ajoutez la preuve et commencez
le traitement. Ces étapes permettent de surveiller l'activité de ProcessingEngine.exe
dans l'onglet Processes (Processus).
Le moteur de traitement réparti ne s'active pas tant que l'affaire ne dépasse
pas 30 000 éléments environ. Lorsqu'il s'active, le pourcentage UC et
l'utilisation de la mémoire augmente pour ProcessingEngine.exe dans le
gestionnaire des tâches.
Recherche de fichiers sur le réseau
La meilleure pratique impose de stocker séparément les fichiers de preuve et
de travail sur le réseau. Dell recommande de définir jusqu'à deux unités de
partage en créant les fichiers et les sous-fichiers d'affaire à partir de cet
emplacement, comme indiqué dans la Figure 5-3.
Figure 5-3. Structure de fichiers recommandées par Dell
Dell Forensics Domain
XXXXX.&&&
XXXXX.&&&
XXXXX.&&&
Export
Encase6
V:\
CASE0001
XXXXX.&&&
Temp
Index
XXXXX.&&&
Workspace Share
FTK3
\\Workspace\Share
XXXXX.&&&
FTK1.8
XXXXX.&&&
XXXXX.&&&
Export
Encase6
Case0001-01.E01
Case0001-02.E01
Case0001-03.E01
M:\
Evidence Share
\\Fileserver\Evidence
CASE0002
Index
XXXXX.&&&
Case0002-01.E01
Case0002-02.E01
CASE0001
XXXXX.&&&
Temp
FTK3
FTK1.8
CASE0002
Analyse
81
Analyse en utilisant FTK
Ouvrir une affaire existante
Utilisation du menu File (Fichier)
1 Dans FTK, sélectionnez File et sélectionnez Open Case.
2 Sélectionnez l'affaire à ouvrir et cliquez dessus pour lancer l'affaire.
REMARQUE : Tous les fichiers d'affaire s'appellent case.ftk. Le fichier case.ftk de
chaque affaire est stocké dans le dossier d'affaire correspondant.
Depuis la ligne de commande
Sur la ligne de commande, tapez :
path_to_ftk_program_file\ftk.exe /OpenCase
target_case_directory
Traitement de la preuve d'affaire
FTK traite la preuve lorsqu'une affaire est créée ou que la preuve est ajoutée
ensuite à l'affaire. Pour les instructions de création d'une affaire, voir « Créer
une affaire », page 61 ou le guide d'utilisation de FTK. Pour les instructions
d'ajout de preuves à une affaire existante, voir « Ajouter une preuve à une
affaire », page 62 ou le guide d'utilisation de FTK. Voir « Documentation et
ressources associées », page 15 pour plus d'informations.
Analyse en utilisant EnCase
Ouvrir une affaire existante
1 Dans le menu File (Fichier), sélectionnez File→ Open.
2 Accédez à l'affaire et cliquez sur Open.
82
Analyse
Créer un travail d'analyse
1 Cliquez sur l'onglet Analysis Jobs dans la boîte de dialogue Source Processor.
2 Cliquez sur New. La boîte de dialogue Create Analysis Job/Job Name
s'affiche.
Le nom par défaut est Job__[yyyy_mm_dd__hh_mm_ss], par exemple :
Job___2009_06_24__03_42_42_PM.
Un nom de travail ne peut pas commencer et se terminer par un espace ni
par les caractères \ / : * ? " < > |
3 Entrez un nom de travail et cliquez sur Next. La boîte de dialogue Create
Analysis Job/Module Name (Créer un travail d'analyse/Nom de travail)
s'affiche.
Cette boîte de dialogue contient les dossiers de module dans le volet de
gauche et les modules individuels dans ces dossiers dans le volet de droite.
Si un module est inclus dans un travail d'analyse et qu'il n'existe aucune
donnée pour le module lorsque le travail est exécuté par rapport à une
collecte, le module est ignoré. Cette fonction permet de créer des travaux
d'analyse génériques pour divers ensembles de données collectées.
4 Cochez la case du module.
Vous pouvez sélectionner plusieurs modules.
Les modules d'analyse n'ont pas de paramètres définissables par l'utilisateur.
Pour sélectionner tous les modules dans un groupe, cochez le nom de
dossier du groupe dans le volet de gauche.
5 Cliquez sur Finish.
REMARQUE : Les travaux d'analyse peuvent répertorier les modules disponibles
qui ne le sont pas dans les travaux de collecte. Ces modules sont identifiés comme
des modules existants. Par conséquent, vous pouvez analyser les données collectées
dans les versions précédentes du processeur source en utilisant des modules qui
n'existent plus.
Analyse
83
Exécuter un travail d'analyse
1 Dans l'onglet Collected Data, sélectionnez la preuve à analyser en
sélectionnant préalablement le nom du travail dans le volet de gauche.
Sélectionnez les fichiers de preuve dans le tableau sur la droite.
2 Cliquez sur Run Analysis. La boîte de dialogue Select Analysis to Run.
3 Sélectionnez le travail d'analyse, puis cliquez sur Run. Le processeur source
exécute l'analyse sur la preuve sélectionnée. A la fin de l'analyse, le navigateur
de données s'affiche.
Exécution d'une analyse de signature
1 Cliquez Search.
2 Cochez la case Verify file signatures (Vérifier la signature des fichiers)
dans la zone Additional Options (Options supplémentaires) dans la partie
droite, puis cliquez sur Start. L'analyse des signatures s'exécute en arrière-plan.
A la fin de l'opération, une boîte de fin de recherche s'affiche. Elle contient
l'état, les heures et les données de fichiers de la recherche.
Vous pouvez également visualiser ces données dans la console.
Affichage des résultats de l'analyse des signatures
1 Cliquez sur Set-Include dans le volet Tree pour afficher tous les fichiers de
l'affaire.
A ce stade, Set Include sélectionne tout le contenu du fichier de preuve.
2 Organisez les colonnes dans le volet Table pour que les colonnes Name,
File Ext et Signature soient côte à côte.
3 Triez les colonnes avec Signature au premier niveau, File Ext, au deuxième
et Name, au troisième.
Faites défiler vers le haut ou vers le bas pour afficher toutes les signatures.
4 Cliquez sur Set-Include dans la section Entries dans le volet Tree.
La liste des fichiers d'affaire avec leurs signatures de fichier associées et
d'autres données s'affichent dans le volet Table.
5 Triez les données de manière appropriée.
84
Analyse
Présentation
Triage
Ingest
Store
Analyze
Archive
Créer un rapport sur les résultats de l'analyse fait partie intégrante de la
solution Dell Digital Forensics. Cette opération s'effectue via le logiciel
d'investigation que vous utilisez dans la solution.
Création de rapports en utilisant la solution Dell
Digital Forensics
Créer et exporter des rapports en utilisant EnCase 6
1 Sélectionnez les éléments pour lesquels vous voulez créer un rapport, qu'ils
s'agissent de fichiers, de signets, de résultats de recherche ou autres.
2 Sélectionnez le type de rapport à utiliser en utilisant les onglets du
panneau Tree.
3 Dans l'onglet Table dans le panneau Table, activez les éléments que vous
voulez placer dans le rapport.
4 Dans l'onglet Table, accédez à l'onglet Report.
5 Modifiez le rapport de manière appropriée.
6 Exportez le rapport dans un format lisible en dehors de EnCase.
a
Cliquez avec le bouton droit de la souris dans le rapport et cliquez sur
Export dans le menu déroulant. La boîte de dialogue Export Report
s'affiche.
b
Cliquez sur le bouton radio approprié pour sélectionner le format de
sortie à utiliser (TEXT, RTF ou HTML).
Présentation
85
c
Entrez le chemin de sortie ou accédez-y.
d
Si nécessaire, sélectionnez Burn to Disc pour activer la zone Destination
Folder, puis cliquez avec le bouton droit de la souris sur Archive Files
pour créer un dossier et enregistrer un fichier .iso sur disque.
e
Cliquez sur OK
Rapports en utilisant FTK
1 Cliquez sur File→ Report pour lancer l'assistant Report.
2 Entrez les informations de cas de base demandées par l'assistant.
3 Sélectionnez les propriétés des signets.
4 Déterminez si vous voulez afficher des graphiques de cas dans le rapport et
le mode d'affichage.
5 Détermine si vous voulez inclure dans le rapport une section qui répertorie
les chemins et les propriétés des fichiers dans les catégories sélectionnées.
6 Ajoutez les sections Registry Viewer, si nécessaire.
Afficher le rapport en dehors de FTK
1 Accédez au fichier du rapport.
2 Cliquez sur le fichier, puis :
86
•
cliquez sur index.htm pour ouvrir un document HTML dans un
navigateur Web.
•
cliquez sur [report].pdf pour ouvrir le rapport dans un visualiseur PDF.
Présentation
Archivage
Triage
Ingest
Store
Analyze
Present
Aucune solution d'investigation informatique digne de ce nom ne peut se
passer d'un composant d'archivage et d'extraction évolutif, sûr et complet. La
solution Dell Digital Forensics vous offre bien plus. Dans l'infrastructure de la
solution Dell, nous nous sommes efforcés de créer une interface simple qui
fonctionne avec toutes les applications d'investigation informatique pour
contrôler le cycle de vie des fichiers de preuve et d'affaire. Comme il est
difficile de savoir quand des données peuvent être nécessaires ou de déterminer
la durée d'une enquête, nous avons créé une solution souple qui demande
à l'enquêteur de déterminer les fichiers qu'il rappellera et archivera. Cette
solution utilise une méthode de stockage multiniveau adaptée à vos besoins :
une combinaison de matériels SATA et SAS et l'archivage géré par l'utilisateur
utilisant le logiciel d'archivage à la demande de NTP.
La solution Dell est constituée de composants modulaires qui fournissent un
environnement évolutif qui peut être étendu pour répondre aux besoins
croissants de traitement et de stockage. L'infrastructure formalisée de sauvegarde,
de récupération et d'archivage (BURA) optimise la coopération entre les
agences, les organismes concernés et les pays. Elle élimine la charge
administrative en automatisant la plupart des tâches de sauvegarde, garantir
la cohérence entre les laboratoires des agences et réduit les risques associés
à la chaîne de conservation des données numériques.
Archivage
87
Figure 7-1.
Fonctions de recherche multimédia et multi-affaires de la solution Dell
Un composant de recherche très puissant en option permet de corréler les
informations entre les ensembles de données incorporés. Ce composant permet
d'effectuer des recherches Internet dans l'ensemble du magasin d'affaires dans
le contenu actif et en ligne et dans les données archivées des affaires précédentes.
Solution client d'archivage en un clic
Avec les outils d'archivage et d'extraction de la solution Dell Digital Forensics,
un analyste peut archiver ou rappeler des fichiers individuels et des structures
entières de répertoires en cliquant simplement avec le bouton droit de la
souris. Des commandes contextuelles supplémentaires ont été ajoutées au
logiciel d'archivage à la demande NTP pour que l'utilisateur puisse sélectionner et
archiver ou sélectionner et restaurer simplement les données. Lorsqu'un
fichier est sélectionné pour être archivé, une fenêtre supplémentaire s'affiche
pour demander à l'utilisateur de confirmer l'action. Une fois l'action confirmée,
la solution exécute une procédure en arrière-plan pour transférer le fichier
vers une unité de bande ou un périphérique de stockage quasi en ligne. Ce
processus s'exécute d'une manière entièrement transparente en arrière-plan
sans affecter les performances du poste de travail de l'utilisateur.
88
Archivage
A la fin de la procédure en arrière-plan, l'icône affectée au fichier devient grise
pour indiquer clairement à l'utilisateur que le fichier a été archivé. Toutefois,
le dossier et la structure de fichiers sont toujours visibles pour que l'utilisateur
puisse retrouver aisément le fichier à des fins de restauration. Pour restaurer
un fichier, l'utilisateur navigue simplement dans la structure des dossiers
d'origine, recherche le dossier ou le fichier à restaurer, clique avec le bouton
droit de la souris sur le fichier ou le dossier et sélectionnez l'option de
restauration.
Dell recommande de placer tous les fichiers de preuve et d'affaire sur un
périphérique NAS central évolutif permettant d'utiliser un point de stockage
central extensible facilitant la collaboration entre les analystes. Cette
recommandation permet aussi de disposer d'un seul point d'audit pour la
chaîne de conservation. Lorsqu'un fichier est sélectionné pour être archivé, il
est transféré vers la fenêtre de traitement disponible suivante du stockage
principal vers l'option secondaire (bande ou périphérique quasi en ligne).
La vitesse d'archivage et de rappel varie considérablement en fonction du
trafic vers et depuis le stockage NAS central, les fichiers à archiver et le type
de support de l'option de stockage secondaire. Par exemple, SATA quasi en
ligne est plus rapide que les bandes. Tous les fichiers peuvent être chiffrés sur
bande pour renforcer la sécurité lorsqu'ils restent archivés longtemps dans la
solution, ce qui peut nécessiter d'autres licences.
Recommandations de sauvegarde Dell
Sauvegardes fichiers de preuve et d'affaire
Un laboratoire utilise trois types de fichiers principaux :
•
Fichiers images : il s'agit des images sûres d'investigation du périphérique
incriminé. Une fois incorporés, ils ne changent jamais et ils ne doivent être
sauvegardés qu'une seule fois (extensions possibles : E01, DD, etc.). Les
fichiers de preuve sont généralement moins nombreux, mais plus volumineux.
•
Fichiers d'affaire : il s'agit des fichiers de données et des index résultant des
analyses ; il peut être nécessaire de les exporter de l'application d'investigation.
Les fichiers changent fréquemment si l'affaire est active et ils peuvent
contenir plusieurs types d'extension, ce qui implique qu'ils doivent être
sauvegardés tous les jours. Les fichiers d'affaire sont généralement nombreux,
mais de petite taille.
Archivage
89
•
Base de données : ce type de fichier est utilisé uniquement dans FTK 3
(actuellement), mais il contient tous les liens entre les fichiers d'affaire et
les fichiers de preuve, ainsi que tous les signets et notes d'investigation.
Les fichiers de base de données doivent être sauvegardés tous les jours.
Figure 7-2 montre la meilleure pratique suggérée de sauvegarde d'un laboratoire
d'investigation des données numériques. Comme les laboratoires d'investigation
utilisent généralement un stockage de plus de 50 To, l'exécution d'une
sauvegarde complète dans une fenêtre de sauvegarde de fin de semaine
standard peut ne pas pouvoir être possible. Pour que les données puissent
être restaurées en cas de sinistre avec le point de récupération minimum, la
sauvegarde est divisée en sections égales et elle est exécutée sur un mois.
Ce processus nécessite de limiter la taille maximale des sauvegardes complètes
à 15 To. Chaque LUN accepte les mises à jour incrémentielles pour le reste du
cycle de la sauvegarde jusqu'à la prochaine sauvegarde complète.
Figure 7-2.
90
Plan de sauvegarde - Meilleure pratique
Archivage
Hors hôte et réseau
Compte tenu de la taille des données à transférer sur bande pour la restauration
en cas de sinistre dans les laboratoires d'investigation, le stockage dans des
LUN est divisé en LUN de 15 To. Cela facilite la gestion et la sauvegarde et
réduit les risques associés au cluster du système de fichiers en cas d'incident.
Deux types de sauvegarde peuvent être exécutés : réseau ou hors hôte.
•
Dans une configuration de sauvegarde sur réseau, toutes les données de
sauvegarde sont transmises sur le réseau au serveur de sauvegarde en
utilisant un agent de sauvegarde qui réside sur le serveur.
•
Dans une solution de sauvegarde hors hôte, certains des serveurs disposant
des fichiers magasins de fichiers les plus grands ne sauvegardent pas leurs
données sur le réseau. A la place, le module de stockage crée un instantané
de la LUN et monte cette copie directement sur le serveur de sauvegarde.
Ce processus accélère la sauvegarde, car aucun fichier de sauvegarde n'est
envoyé sur le réseau normal pour provoquer des problèmes d'encombrement
supplémentaires.
Dans la plupart des laboratoires d'investigation actuels, les sauvegardes sont
créées sur des réseaux de 10 Go.
Archivage
91
L'illustration suivante montre les agents nécessaires pour chaque serveur pour
la sauvegarde :
Figure 7-3.
Agents de sauvegarde
OF
Agent Open File
AD
Active Directory
OA
Agent Oracle (agent de base de données générique nécessaire sur Backup
Exec de Symantec)
SA
Agent Oracle (agent de base de données générique nécessaire sur Backup
Exec de Symantec)
NBU
Net Backup Server
BE
Backup Exec Server
EV
Licence de sauvegarde Symantec Enterprise Vault
MI
Sauvegarde complète mensuelle, incrémentielle quotidienne
SS
Etat système relevé une fois par mois
REMARQUE : Alors que la quantité augmente au fil du temps, une solution de
sauvegarde hors hôte peut être nécessaire.
92
Archivage
Archivage en utilisant la solution Dell Digital
Forensics
Archivage à la demande
Les logiciels NTP ODDM et NTP Right-Click Data Movement (RCDM)
fonctionnent avec Enterprise Vault pour réduire la nécessité d'analyser
l'ensemble du système de fichiers, comme dans le cas d'un archivage classique,
en mettant en oeuvre l'archivage à la demande. Les coûts de stockage sont
réduits et la qualité de l'archivage augmente.
Selon l'étape du cycle de vie des données, comme décrit dans « Correspondance
entre l'archivage des preuves et l'extraction et la vie de l'affaire », page 67, l'analyste
peut décider d'archiver les données à long terme ou de conserver les données
pour y accéder et les traiter immédiatement.
En outre, le logiciel NTP ODDM peut être utilisé pour archiver automatiquement
les données qui doivent être stockées à des fins judiciaires.
Configuration nécessaire
Le logiciel NTP ODDM nécessite Microsoft IIS, Microsoft .NET Framework,
SQL et Enterprise Vault. Les logiciels NTP ODDM et Enterprise Vault doivent
être installés sur le même serveur. Les installations plus grandes peuvent gérer
la base de données SQL sur un serveur dédié.
Installation
Pour les instructions d'installation détaillées, pour les logiciels NTP ODDM
et RCDM, voir le Guide d'installation et de configuration de Dell Digital
Forensics. Voir « Documentation et ressources associées », page 15 pour plus
d'informations.
Archivage
93
Archivage en utilisant le logiciel NTP ODDM
Archivage géré par l'utilisateur
1 Lorsque l'analyste stocke des fichiers de données, le logiciel NTP QFS
indique à l'utilisateur que les fichiers doivent être archivés.
2 L'analyste sélectionne les fichiers à archiver en utilisant le logiciel NTP
Storage Investigator et cliquez sur Archive. Toutefois, si le module
complémentaire NTP RCDM est installé, il clique avec le bouton droite de
la souris sur les fichiers.
Une fois les fichiers sélectionnés, le logiciel NTP Storage Investigator
le signale au logiciel NTP ODDM qui active Enterprise Vault.
La demande d'archivage est ajoutée à la file d'attente d'archivage.
94
Archivage
Dépannage
Triage
Ingest
Store
Analyze
Present
Archive
Conseils généraux de dépannage
•
Vérifiez que tous les clients et serveurs se voient mutuellement, qu'ils peuvent
s'envoyer une commande Ping en fonction du nom NetBIOS et de l'adresse IP.
•
Vérifiez que les pare-feu ne bloquent pas le trafic.
•
Redémarrez les serveurs et les clients pour vérifier que toutes les modifications
d'installation et de configuration ont été reconnues par les systèmes.
Problèmes logiciels d'investigation
EnCase: EnCase démarre en mode Acquisition
Ce problème indique que EnCase n'a pas de licence.
1 Dans EnCase sélectionnez Tools→ Options et définissez le chemin de clé
utilisateur, le chemin de clé serveur et l'adresse serveur sont définis (ces
champs doivent désignent les emplacements des clés de licence).
2 Vérifiez le pare-feu sur le client et le serveur de licences EnCase pour
déterminer si le port 4445 est ouvert.
3 Vérifiez que le client peut envoyer une commande Ping au serveur de
licences EnCase.
Dépannage
95
FTK Lab : le navigateur lancé par le client n'affiche pas l'interface
utilisateur
1 Vérifiez que le client dispose de MS Silverlight.
2 Vérifiez sur les services Oracle sont démarrés sur le serveur de la base de
données Oracle.
FTK 1.8 : message de version d'évaluation avec limite à 5 000 objets
Si vous recevez ce message, cela implique que FTK n'a pas de licence. Vérifiez
que le serveur de licences réseau fonctionne et qu'il dispose des licences FTK 1.8 :
1 Ouvrez une fenêtre de navigateur sur le serveur qui héberge le service de
licence réseau et entrez http://localhost:5555 dans la barre d'adresse.
2 Vérifiez que les licences sont en place. Si tel n'est pas le cas, vous devez les
installer.
FTK 1.8 : un message d'accès impossible au fichier temporaire apparaît
lors du lancement
Autorisez l'utilisateur à lancer l'application (ou sa session Citrix) pour avoir
accès au disque dur du serveur OU exécuter l'application comme administrateur.
Problèmes Citrix
Citrix : les applications ne démarrent pas
1 Vérifiez que tous les services (notamment MFCOM et IMA) ont démarré
sur les serveurs qui hébergent XenApp.
2 Vérifiez que le client peut voir et envoyer une commande Ping aux
serveurs XenApp.
3 Vérifiez le pare-feu sur les clients et les serveurs XenApp pour déterminer
si les ports XenApp sont ouverts.
4 Vérifiez le serveur de licences Citrix pour déterminer que le service de
licence réseau dispose d'une licence qu'il peut émettre. Le service de
licences Citrix est généralement installé sur l'un des serveurs Citrix
XenApp accessible via Démarrer→ Programmes→ Citrix→ Management
Consoles→ Citrix Licensing.
96
Dépannage
5 Ouvrez la Console de gestion Citrix (Démarrer→ Programmes→ Citrix→
Management Consoles→ Citrix Delivery services console). Exécutez une
découverte pour vérifier que tous les serveurs XenApp sont présents dans
la batterie.
6 Vérifiez que l'application a été publiée sur un serveur XenApp valide
(inclus dans la batterie).
7 Consultez la console Citrix Delivery Services pour vérifier que l'utilisateur
qui lance l'application se trouve dans un groupe autorisé à lancer l'application.
8 Pour les applications en continu, vérifiez que le contrôle de compte
d'utilisateur est désactivé sur le serveur.
Sessions Citrix gelées ou bloquées
Lorsque les utilisateurs ne se déconnectent pas de leurs sessions Citrix
correctement, les sessions orphelines ralentissent et peuvent amener le serveur
à se geler ou se bloquer. Par conséquent, il est très important que les utilisateurs
respectent les meilleures pratiques pour fermer chaque session formellement
et correctement (Démarrer→ Logoff→ Ok) et qu'ils ne se limitent pas à cliquer
sur la croix (x) dans l'angle supérieur droit de la fenêtre de session.
Toutefois, ce problème peut continuer d'apparaître. Vous pouvez le résoudre
des deux manières suivantes :
1 Déconnectez manuellement l'utilisateur.
a
Ouvrez une session comme administrateur Citrix.
b
Vérifiez la liste des sessions ouvertes et fermez manuellement chaque
session.
2 Redémarrez le serveur.
Dépannage
97
98
Dépannage
Index
A
B
acquisition dynamique
par rapport à. acquisition
standard, 20
Bloqueur d'écriture Tableau, 55
connexion à un disque
HD IDE, 57
connexion à un disque
HD SATA, 56
acquisition standard
par rapport à acquisition
dynamique, 20
Analyse, 9-10, 67, 77
EnCase, 82
types d'analyses, 77
Analyse de hachage, 77
Analyse de signature
de fichier, 78
Archivage, 9, 11, 68, 93
et durée de rappel, 89
un clic client, 88
utilisation du logiciel
NTP ODDM, 94
Archivage à la demande, 93
conditions, 93
installation, 93
ODDM, 93
RCDM, 93
C
Collecteur
déploiement, 35
enregistrer, 21
nettoyage, 23
Composants de la solution, 12
dans le centre de données, 13
sur site, 12
Configuration réseau, 48
convention d'appellation
des serveurs, 48
conventions d'appellation
des associations de cartes
réseau NIC, 49
mappage de lettres d'unité, 49
structure d'adresse IP, 48
structure de fichier, 50
Index
99
D
I
Dépannage, 95
Citrix, 96
conseils généraux, 95
EnCase, 95
FTK 1.8, 96
FTK Lab, 96
logiciel d'investigation, 95
Incorporation, 9, 39, 51
definition, 10
utilisation de EnCase, 54
utilisation de FTK, 58
utilisation de SPEKTOR, 51
Disque de stockage
enregistrer, 21
nettoyage, 23
L
Logiciel NTP ODDM, 93
Logiciel NTP RCDM, 93
E
EnCase
analyse, 82
création d'un travail d'analyse, 83
créer et exporter des rapports, 85
de centre de données, 39
dépannage, 95
exécution d'un travail
d'analyse, 84
exécution d'une analyse
de signature, 84
ouverture d'un cas existant, 82
O
F
S
FTK
1.8 et de centre de donnée 3.0,
incorporation, 58
1.8, de centre de données, 42
3, de centre de données, 43
3, Lab Edition, 46
3.0 Lab Edition, incorporation, 61
affichage des rapports, 86
Sauvegarde, 89
agents, 92
hors hôte par rapport à réseau, 91
hors site, 91
meilleure pratique, 90
réseau, 91
100
Index
Ordinateur portable renforcé
mise sous tension, 20
P
Présentation, 9, 11, 67-68, 85
Profil de collecteur
configuration, 23
SPEKTOR
configuration d'un collecteur
pour l'acquisition, 24
déploiement par rapport
à des cibles, 34
enregistrer un collecteur ou
un disque de stockage, 21
incorporation, 51
module de génération d'image
en option, 10
nettoyer un collecteur ou un
disque de stockage, 23
vérifier les rapports, 37
Stockage, 9-10, 63
Stockage multiniveau, 66
T
Traitement réparti
comparé au traitement
parallèle, 78
définition, 78
utilisation de FTK 3.1, 79
Triage, 9, 17, 87
définition, 17
exécution, 20
vérification des fichiers
collectés, 37
Index
101
102
Index