Chapitre 4 : Stratégie de base des serveurs membres
Dernière mise à jour le 27 décembre 2005
Sur cette page
Présentation
Stratégie de référence pour Windows Server 2003
Stratégie d'audit
Attribution des droits de l’utilisateur
Options de sécurité
Journal d’événements
Entrées de Registre supplémentaires
Groupes restreints
Sécurisation du système de fichiers
Paramètres de sécurité supplémentaires
Résumé
Présentation
Ce chapitre indique comment parvenir à une configuration permettant de gérer un modèle de sécurité de base pour tous les serveurs qui exécutent Microsoft® Windows Server™ 2003 avec le Service Pack 1 (SP1). Il fournit également des conseils d'administration pour la mise en place d'une configuration sécurisée de Windows Server 2003 avec SP1 dans trois environnements distincts. Les exigences de configuration abordées dans ce chapitre constituent la base de toutes les procédures qui sont décrites dans les chapitres ultérieurs de ce guide. Ces chapitres indiquent comment renforcer des rôles de serveur spécifiques.
Les recommandations de paramètres de ce chapitre facilitent la mise en place de la sécurité au cœur des serveurs d'applications professionnels dans un environnement d'entreprise. Vous devez toutefois tester de façon exhaustive la coexistence de ces configurations de sécurité avec les applications métier de votre organisation avant de les mettre en œuvre dans des environnements de production.
Les recommandations de ce chapitre s'appliquent à la plupart des organisations et peuvent être déployées sur les ordinateurs existants ou nouveaux qui exécutent Windows Server 2003 avec SP1. Les configurations de sécurité par défaut de Windows Server 2003 avec SP1 ont été analysées, révisées et testées par l'équipe qui a créé ce guide. Pour plus d'informations sur les paramètres par défaut et une explication détaillée des paramètres qui sont abordés dans ce chapitre, consultez le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP, disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159. De manière générale, la plupart des recommandations de configuration suivantes offrent une plus grande sécurité que les paramètres par défaut.
Les paramètres de sécurité qui sont abordés dans ce chapitre sont liés aux trois environnements suivants :
Client hérité (LC). Cet environnement inclut les ordinateurs qui exécutent Windows NT® 4.0 et Microsoft Windows® 98, qui sont parfois appelés systèmes d'exploitation hérités. Cet environnement fournit une sécurité suffisante. Cependant il s'agit de l'environnement le moins sécurisé parmi les trois environnements définis dans ce guide. Pour renforcer la sécurité, les organisations peuvent choisir de migrer vers un environnement Client Entreprise plus sécurisé. En supplément des systèmes d'exploitation hérités, l'environnement LC inclut Windows 2000 Professionnel et les stations de travail de Windows XP Professionnel. Cet environnement contient uniquement les contrôleurs de domaine de Windows 2000 ou Windows Server 2003. Il n'existe pas de contrôleurs de domaine Windows NT 4.0 dans cet environnement, mais éventuellement des serveurs membres Windows NT.
Client Entreprise (EC). Cet environnement permet de mettre en place une sécurité solide et est conçu pour les versions les plus récentes du système d'exploitation Windows. L'environnement EC inclut les ordinateurs clients qui exécutent Windows 2000 Professionnel et Windows XP Professionnel. La mise à jour de clients hérités, tels que Windows 98 et Windows NT 4.0 Workstation vers Windows 2000 ou Windows XP constitue l'essentiel des tâches de migration vers l'environnement EC. Tous les contrôleurs de domaine et les serveurs membres de cet environnement exécutent Windows 2000 Server ou Windows Server 2003.
Sécurité spécialisée – Fonctionnalité limitée (SSLF) Cet environnement est beaucoup plus sécurisé que l'environnement EC. La migration de l'environnement EC vers l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF) nécessite la mise en conformité avec des stratégies de sécurité rigoureuses pour les ordinateurs clients et serveurs. Cet environnement inclut les ordinateurs clients qui exécutent Windows 2000 Professionnel et Windows XP Professionnel ainsi que les contrôleurs de domaine qui exécutent Windows 2000 Server ou Windows Server 2003. Dans l'environnement SSLF, la préoccupation sécuritaire est tellement importante qu'une perte de fonctionnalité et de gérabilité du client est considérée comme une contrepartie acceptable pour un niveau maximal de sécurité. Les serveurs de membre de cet environnement exécutent Windows 2000 Server ou Windows Server 2003.
Dans la plupart des cas, l'environnement SSLF définit de façon explicite la valeur par défaut. Vous devez partir du principe que cette configuration affecte la compatibilité, car les applications qui tentent de modifier certains paramètres de façon locale risquent d'échouer. Par exemple, certaines applications doivent adapter les attributions de droits utilisateur pour accorder des privilèges supplémentaires à leurs comptes de service. Dans la mesure où les stratégies de groupe sont prioritaires par rapport aux stratégies d'ordinateur local, ces opérations échouent. Vous devez tester de façon exhaustive toutes les applications avant de déployer l'un des paramètres recommandés sur vos ordinateurs de production, notamment les paramètres SSLF.
L'illustration suivante présente les trois environnements de sécurité avec les clients pris en charge à chaque niveau.
.gif)
Environnements de sécurité existants et prévus
Les organisations qui souhaitent sécuriser leurs environnements de façon graduelle peuvent commencer par choisir l'environnement Client hérité et migrer progressivement vers des environnements plus sécurisés en mettant à jour et en testant leurs applications et leurs ordinateurs clients avec des paramètres de sécurité renforcés.
L'illustration suivante indique comment les modèles de sécurité (fichiers .inf) servent de référence à la stratégie de base des serveurs membres (MSBP - Member Server Baseline Policy) de l'environnement Client Entreprise. Cette illustration présente également l'une des méthodes de liaison et d'application de cette stratégie à l'ensemble des serveurs d'une organisation.
Windows Server 2003 avec SP1 est livré avec des paramètres par défaut qui sont configurés pour créer un environnement sécurisé. Dans de nombreux cas, ce chapitre recommande des paramètres qui diffèrent des valeurs de l'environnement par défaut. Ce chapitre applique également des valeurs par défaut spécifiques pour les trois environnements. Pour plus d'informations sur les paramètres par défaut, consultez le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP, à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
.gif)
Illustration 4.2 Le modèle de sécurité EC-Member Server Baseline.inf est importé dans la stratégie MSBP, laquelle est ensuite liée à l'unité d'organisation (UO) des serveurs membres.
Les procédures de renforcement des rôles de serveur spécifiques sont définies dans les chapitres suivants. Les rôles primaires de serveur qui sont abordés dans ce guide comprennent :
Les contrôleurs de domaine qui incluent des services DNS
Les serveurs d'infrastructure qui incluent les services WINS et DHCP
Serveurs de fichiers
Serveurs d’impression
Les serveurs Web qui utilisent IIS (Internet information Services)
Serveurs d'authentification Internet Microsoft (IAS)
Serveurs Certificate Services (CA)
Bastions Internet
La plupart des paramètres figurant dans la stratégie MSBP pour Client Entreprise s'appliquent également aux rôles serveur dans les trois environnements définis dans ce guide. Les modèles de sécurité sont spécialement conçus pour répondre aux besoins sécuritaires de chaque environnement. Le tableau suivant donne les noms des modèles de sécurité de référence pour les trois environnements.
Tableau 4.1 Modèles de sécurité de base pour les trois environnements
| LC-Member Server Baseline.inf |
EC-Member Server Baseline.inf |
SSLF-Member Server Baseline.inf |
Les paramètres de sécurité communs aux trois environnements et donc à tous les modèles de sécurité de **base du serveur membre** sont décrits dans le reste de ce chapitre.
Les modèles de sécurité de base servent également de base aux modèles de sécurité de contrôleur de domaine qui sont définis dans le chapitre 5, « Stratégie de base du contrôleur de domaine ». Les modèles de sécurité du **rôle des contrôleurs de domaine** incluent les paramètres de base pour l'objet GPO de contrôleurs de domaine, qui est lié à l'UO de contrôleurs de domaine dans les trois environnements. Vous trouverez des instructions détaillées de création des UO et des stratégies de groupe et d'importation du modèle de sécurité approprié dans chaque objet GPO dans le chapitre 2, « Mécanismes de renforcement de Windows Server 2003 ».
**Remarque** : Certaines procédures utilisées pour renforcer les serveurs ne peuvent pas être automatisées au moyen de la stratégie de groupe. Ces procédures sont décrites dans la section « Paramètres de sécurité supplémentaires » de ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Stratégie de référence pour Windows Server 2003
Les paramètres du niveau UO de serveur membre définissent les paramètres communs à l'ensemble des rôles de serveur membre qui sont abordés dans ce guide. Pour appliquer ces paramètres, vous pouvez créer un objet GPO lié à l'UO de serveur membre, ce qui constitue une stratégie de base. L'objet GPO automatise la configuration des paramètres de sécurité spécifiques sur chaque serveur. Vous devez déplacer les comptes de serveur vers les UO enfant appropriées de l'UO de serveur membre en fonction des différents rôles de serveur.
Les paramètres suivants sont décrits tels qu'ils apparaissent dans l'interface utilisateur du composant logiciel enfichable de l'Éditeur de configuration de sécurité (SCE).
[](#mainsection)[Haut de page](#mainsection)
### Stratégie d'audit
Les administrateurs doivent créer une stratégie d'audit qui définit les événements de sécurité devant faire l'objet d'un rapport et enregistre les activités de l'utilisateur ou de l'ordinateur dans les catégories d'événement spécifiées. Les administrateurs peuvent surveiller les activités associées à la sécurité, par exemple, les personnes qui accèdent à un objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur. Ils peuvent également voir si des modifications sont apportées à un paramètre de stratégie d'audit.
Avant de mettre en œuvre une stratégie d'audit, vous devez décider des catégories d'événement à vérifier dans l'environnement en question. Les paramètres d'audit que choisit un administrateur pour les catégories d'événement définissent la stratégie d'audit de l'entreprise. En définissant des paramètres d'audit pour des catégories d'événement particulières, un administrateur peut créer une stratégie d'audit adaptée aux besoins de l'organisation en matière de sécurité.
Si aucune stratégie d'audit n'est configurée, il est alors difficile, voire impossible d'identifier l'origine d'un incident lié à la sécurité. Dans le cas contraire, si les paramètres d'audit définissent de trop nombreuses activités autorisées qui génèrent des événements, le journal de sécurité deviendra vite saturé par des données superflues. Les recommandations suivantes et les descriptions de paramètres sont fournies pour vous aider à déterminer les éléments à contrôler pour que les données recueillies soient exploitables.
Les journaux des échecs sont souvent beaucoup plus instructifs que les journaux des succès, car les échecs révèlent généralement la présence d'erreurs. Par exemple, une ouverture de session réussie sur un ordinateur par un utilisateur serait généralement considérée comme normale. Cependant, si quelqu'un essaie à plusieurs reprises d'ouvrir une session sur un ordinateur sans succès, cela peut indiquer qu'un utilisateur malveillant tente de pénétrer dans l'ordinateur avec les informations d'identification de compte de quelqu'un d'autre. Le journal d'événements enregistre les événements sur l'ordinateur. Les systèmes d'exploitation Microsoft Windows disposent de journaux d'événements spécifiques pour les applications, les événements de sécurité et les événements système. Le journal de sécurité enregistre les événements d'audit. Le conteneur du journal des événements de la stratégie de groupe permet de définir les attributs associés aux journaux des événements relatifs aux applications, à la sécurité et au système, notamment la taille maximale des journaux, les droits d'accès à chaque journal, ainsi que les paramètres et les méthodes appliqués à la durée de conservation.
Avant de mettre en œuvre une stratégie d'audit, les organisations doivent déterminer comment collecter, organiser et analyser les données. Les grands volumes de données d'audit ont peu de valeur en l'absence de plan d'exploitation. D'autre part, les performances risquent d'être affectées pendant l'audit de réseaux. L'effet d'une combinaison de paramètres donnée peut être négligeable sur l'ordinateur de l'utilisateur, mais tout à fait perceptible sur un serveur occupé. Par conséquent, vous devez tester l'impact sur les performances avant de déployer de nouveaux paramètres d'audit dans votre environnement de production.
Le tableau récapitule les recommandations relatives aux paramètres de la stratégie d'audit pour les trois environnements qui sont définis dans ce guide. Vous pouvez remarquer que les paramètres de la plupart des valeurs sont semblables pour les trois environnements. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.
Vous pouvez configurer ce paramètre de stratégie d'audit dans Windows Server 2003 avec SP1 à l’emplacement suivant, dans l’Éditeur d’objets stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales**
\\**Stratégie d'audit**
Pour un résumé des paramètres recommandés dans cette section, consultez le classeur Microsoft Excel® « Windows Server 2003 Security Guide Settings » (Paramètres du guide de sécurité de Windows Server 2003) qui est inclus avec la version téléchargeable de ce guide. Pour plus d'informations sur les paramètres par défaut et une explication détaillée des paramètres qui sont abordés dans cette section, consultez le guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponible à l'adresse [http://go.microsoft.com/fwlink/?LinkId=15159](http://go.microsoft.com/fwlink/?linkid=15159).
**Tableau 4.2 Paramètres de stratégie d'audit**
| Auditer les événements de connexion aux comptes |
Succès |
Succès |
Réussite Échec |
| Auditer la gestion des comptes |
Succès |
Succès |
Réussite Échec |
| Auditer les événements de connexion |
Succès |
Succès |
Réussite Échec |
| Auditer l'accès aux objets |
Pas d’audit |
Pas d’audit |
Échec |
| Auditer les modifications de stratégie |
Succès |
Succès |
Succès |
| Auditer l'utilisation des privilèges |
Pas d’audit |
Pas d’audit |
Échec |
| Auditer le suivi des processus |
Pas d’audit |
Pas d’audit |
Pas d’audit |
| Auditer les événements système |
Succès |
Succès |
Succès |
#### Auditer les événements de connexion aux comptes
Ce paramètre de stratégie détermine s'il convient d'auditer chaque instance de connexion d'un utilisateur à un ordinateur qui valide le compte. L'authentification d'un compte utilisateur de domaine sur un contrôleur de domaine génère un événement de connexion à un compte qui est consigné dans le journal de sécurité du contrôleur de domaine. L'authentification d'un utilisateur local sur un ordinateur local génère un événement d'ouverture de session qui est consigné dans le journal de sécurité local. Aucun événement de fermeture de session n'est consigné.
Le paramètre **Auditer les événements de connexion aux comptes** est configuré pour consigner les valeurs de **succès** des stratégies de base LC et EC, et pour consigner les événements de type **Succès** et **Échec** de la stratégie de base SSLF.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre de stratégie doit consigner dans le journal de sécurité. Ces ID d'événements peuvent être utiles lorsque vous créez des alertes personnalisées pour contrôler une suite de logiciels, telle que Microsoft Operations Manager (MOM).
**Tableau 4.3 Événements de connexion au compte**
| 672 |
Émission et validation d’un ticket du service d'authentification (AS). Dans Windows Server 2003 avec SP1, le type de cet événement est Success Audit pour les requêtes qui aboutissent ou Failure Audit pour les requêtes qui échouent. |
| 673 |
Octroi d’un ticket du service d’attribution de tickets (TGS). Un ticket TGS est un ticket qui est généré par le service d'attribution des tickets Kerberos version 5, ce qui permet à un utilisateur d'authentifier un service donné du domaine. Windows Server 2003 avec SP1 consigne des succès et des échecs pour ce type d'événement. |
| 674 |
Renouvellement d’un ticket AS ou TGS par une entité de sécurité. |
| 675 |
Échec de la pré-authentification. Cet événement est généré sur un centre de distribution de clés (KDC) lorsqu'un utilisateur saisit un mot de passe incorrect. |
| 676 |
Échec de la requête de ticket d’authentification. Cet événement n'est pas généré par Windows Server 2003 avec SP1. Les autres versions de Windows utilisent cet événement pour indiquer une défaillance d'authentification qui n'était pas due à des informations d'authentification inexactes. |
| 677 |
Ticket TGS non attribué. Cet événement n'est pas généré par Windows Server 2003 avec SP1, qui utilise un événement d’audit d’échec avec l'ID 672 dans ce cas. |
| 678 |
Mappage d’un compte sur un compte de domaine. |
| 681 |
Échec de l'ouverture de session. Tentative d’ouverture de session de compte de domaine. Cet événement est uniquement généré par les contrôleurs de domaine. |
| 682 |
Un utilisateur s'est reconnecté à une session Terminal Server déconnectée. |
| 683 |
Un utilisateur a déconnecté une session Terminal Server, mais n'a pas fermé la session. |
#### Auditer la gestion des comptes
Ce paramètre de stratégie détermine s'il convient d'auditer chaque événement de gestion de compte sur un ordinateur. Exemples d'événements de gestion de compte :
- Un compte utilisateur ou un groupe est créé, modifié ou supprimé.
- Un compte utilisateur est renommé, désactivé ou activé.
- Un mot de passe est défini ou modifié.
Les organisations doivent pouvoir définir qui crée, modifie ou supprime les comptes de domaine ou locaux. Toute modification non autorisée peut être le signe de changements effectués par erreur par un administrateur ne comprenant pas les stratégies de l'organisation ou pourrait révéler une attaque délibérée.
Par exemple, les événements de défaillance de gestion de compte correspondent souvent à des tentatives d'élévation de privilège par un administrateur de plus bas niveau ou un utilisateur malveillant qui a compromis un compte administrateur de plus bas niveau. Les journaux permettent de déterminer les comptes pouvant être modifiés et créés par un utilisateur malveillant.
Le paramètre **Auditer la gestion des comptes** est configuré pour consigner les valeurs de type **Succès** des stratégies de base LC et EC, et consigner les valeurs de type **Succès** et **Échec** pour la stratégie de base SSLF.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre de stratégie doit enregistrer dans le journal de sécurité. Ces ID d'événements peuvent être utiles lorsque vous créez des alertes personnalisées pour contrôler une suite de logiciels, telle que MOM. La plupart des logiciels de gestion opérationnelle peuvent être personnalisés avec des scripts pour capturer ou signaler des événements qui sont basés sur ces ID d'événement.
**Tableau 4.4 Événements de gestion des comptes**
| 624 |
Un compte utilisateur a été créé. |
| 627 |
Un mot de passe utilisateur a été modifié. |
| 628 |
Un mot de passe utilisateur a été défini. |
| 630 |
Un compte utilisateur a été supprimé. |
| 631 |
Un groupe global a été créé. |
| 632 |
Un membre a été ajouté à un groupe global. |
| 633 |
Un membre a été supprimé d'un groupe global. |
| 634 |
Un groupe global a été supprimé. |
| 635 |
Un nouveau groupe local a été créé. |
| 636 |
Un membre a été ajouté à un groupe local. |
| 637 |
Un membre a été supprimé d'un groupe local. |
| 638 |
Un groupe local a été supprimé. |
| 639 |
Un compte de groupe local a été modifié. |
| 641 |
Un compte de groupe global a été modifié. |
| 642 |
Un compte utilisateur a été modifié. |
| 643 |
Une stratégie de domaine a été modifiée. |
| 644 |
Un compte utilisateur a été verrouillé automatiquement. |
| 645 |
Un compte d'ordinateur a été créé. |
| 646 |
Un compte d'ordinateur a été modifié. |
| 647 |
Un compte d'ordinateur a été supprimé. |
| 648 |
Un groupe de sécurité local dont la sécurité est désactivée a été créé.
Remarque : La présence de SECURITY_DISABLED dans le nom formel signifie que ce groupe ne peut pas être utilisé pour accorder des autorisations de vérification d'accès. |
| 649 |
Un groupe local de sécurité dont la sécurité est désactivée a été modifié. |
| 650 |
Un membre a été ajouté à un groupe local de sécurité dont la sécurité est désactivée. |
| 651 |
Un membre a été supprimé d'un groupe local de sécurité dont la sécurité est désactivée. |
| 652 |
Un groupe local dont la sécurité est désactivée a été supprimé. |
| 653 |
Un groupe global dont la sécurité est désactivée a été créé. |
| 654 |
Un groupe global dont la sécurité est désactivée a été modifié. |
| 655 |
Un membre a été ajouté à un groupe global dont la sécurité est désactivée. |
| 656 |
Un membre a été supprimé d'un groupe global dont la sécurité est désactivée. |
| 657 |
Un groupe global dont la sécurité est désactivée a été supprimé. |
| 658 |
Un groupe universel dont la sécurité est activée a été créé. |
| 659 |
Un groupe universel dont la sécurité est activée a été modifié. |
| 660 |
Un membre a été ajouté à un groupe universel dont la sécurité est activée. |
| 661 |
Un membre a été supprimé d'un groupe universel dont la sécurité est activée. |
| 662 |
Un groupe universel dont la sécurité est activée a été supprimé. |
| 663 |
Un groupe universel dont la sécurité est désactivée a été créé. |
| 664 |
Un groupe universel dont la sécurité est désactivée a été modifié. |
| 665 |
Un membre a été ajouté à un groupe universel dont la sécurité est désactivée. |
| 666 |
Un membre a été supprimé d'un groupe universel dont la sécurité est désactivée. |
| 667 |
Un groupe universel dont la sécurité est désactivée a été supprimé. |
| 668 |
Un type de groupe a été modifié. |
| 684 |
Le descripteur de sécurité des membres du groupe d'administration a été défini.
Remarque : Sur un contrôleur de domaine, toutes les 60 minutes, un thread d'arrière-plan recherche tous les membres des groupes d'administration (administrateurs de domaine, d'entreprise et de schéma) et leur applique un descripteur de sécurité fixe. Cet événement est inclus dans le journal. |
| 685 |
Le nom d'un compte a été modifié. |
#### Auditer les événements de connexion
Ce paramètre de stratégie détermine s'il convient d'auditer chaque instance de connexion ou de déconnexion d'un utilisateur à partir d'un autre ordinateur. Le paramètre **Auditer les événements de connexion** génère des enregistrements sur les contrôleurs du domaine pour surveiller l'activité des comptes du domaine et sur les ordinateurs locaux pour surveiller l'activité des comptes locaux.
Si vous configurez le paramètre **Auditer les événements de connexion** sur **Pas d’audit**, il est difficile ou impossible de déterminer quel utilisateur s'est connecté ou a tenté de se connecter aux ordinateurs de l'organisation. Si vous sélectionnez la valeur **Succès** pour le paramètre **Auditer les événements de connexion** d'un membre de domaine, un événement est généré à chaque fois qu'un utilisateur se connecte au réseau, quel que soit l'emplacement des comptes sur le réseau. Si l'utilisateur se connecte à un compte local et que le paramètre **Auditer les événements de connexion aux comptes** est **activé**, la connexion de l'utilisateur génère deux événements.
Même si vous ne modifiez pas les valeurs par défaut de ce paramètre de stratégie, aucune trace d'audit ne sera disponible pour analyse suite à un incident de sécurité. Le paramètre **Auditer les événements de connexion** est configuré pour consigner les valeurs de type **Succès** des stratégies de base LC et EC, et consigner les valeurs de type **Succès** et **Échec** pour la stratégie de base SSLF.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre de stratégie doit enregistrer dans le journal de sécurité.
**Tableau 4.5 Auditer les événements de connexion**
| 528 |
Ouverture de session réussie sur un ordinateur. |
| 529 |
Échec de l'ouverture de session. Tentative d'ouverture de session avec un nom utilisateur inconnu ou avec un nom connu et un mot de passe incorrect. |
| 530 |
Échec de l'ouverture de session. Tentative d'ouverture de session en dehors du temps imparti. |
| 531 |
Échec de l'ouverture de session. Tentative d'ouverture de session par un compte désactivé. |
| 532 |
Échec de l'ouverture de session. Tentative d'ouverture de session par un compte expiré. |
| 533 |
Échec de l'ouverture de session. Tentative d'ouverture de session par un utilisateur non autorisé à ouvrir une session sur l'ordinateur indiqué. |
| 534 |
Échec de l'ouverture de session. L'utilisateur a tenté d'ouvrir une session à l'aide d'un type de mot de passe non autorisé. |
| 535 |
Échec de l'ouverture de session. Le mot de passe du compte indiqué a expiré. |
| 536 |
Échec de l'ouverture de session. Le service Ouverture de session réseau n’est pas activé. |
| 537 |
Échec de l'ouverture de session. La tentative de connexion a échoué pour d’autres raisons.
Remarque : Dans certains cas, la raison de l'échec de l'ouverture de session n'est pas connue. |
| 538 |
Le processus de fermeture de session a été accompli pour un utilisateur. |
| 539 |
Échec de l'ouverture de session. Verrouillage d'un compte lors d'une tentative d'ouverture de session. |
| 540 |
Un utilisateur est parvenu à ouvrir une session sur le réseau. |
| 541 |
Une authentification IKE de mode principal a été accomplie entre l'ordinateur local et l'identité d'homologue répertoriée (définition d'une association de sécurité) ou le mode rapide a établi un canal de données. |
| 542 |
Un canal de données a été interrompu. |
| 543 |
Le mode principal a été interrompu.
Remarque : Ceci peut être dû à l'expiration du délai de l'association de sécurité (la valeur par défaut est de huit heures) causée par des changements de stratégie ou une interruption de l'homologue. |
| 544 |
L'authentification du mode principal a échoué parce que l'homologue n'a pas fourni de certificat valide ou parce que la signature n'a pas été validée. |
| 545 |
L'authentification du mode principal a échoué à cause d'un échec du protocole d'authentification Kerberos ou d'un mot de passe non valide. |
| 546 |
La définition de l'association de sécurité IKE a échoué car l'homologue a envoyé une proposition non valide. Un paquet contenant des données non valides a été reçu. |
| 547 |
Un échec s'est produit au cours de la négociation IKE. |
| 548 |
Échec de l'ouverture de session. L'identificateur de sécurité (SID) d'un domaine approuvé ne correspond pas au SID de domaine de compte du client. |
| 549 |
Échec de l'ouverture de session. Tous les SID correspondant à des espaces de noms non approuvés ont été filtrés et rejetés au cours de l'authentification dans les forêts. |
| 550 |
Message de notification pouvant indiquer une attaque par refus de service. |
| 551 |
Un utilisateur a lancé le processus de fermeture de session. |
| 552 |
Un utilisateur est parvenu à ouvrir une session sur un ordinateur à l'aide d'informations d'authentification explicites tout en ayant déjà ouvert une session à l'aide d'un nom d'utilisateur différent. |
| 682 |
Un utilisateur s'est reconnecté à une session Terminal Server déconnectée. |
| 683 |
Un utilisateur a déconnecté une session Terminal Server, mais n'a pas fermé la session.
Remarque : Cet événement est généré lorsqu'un utilisateur est connecté à une session Terminal Server sur le réseau. Il s’affiche sur le serveur Terminal Server. |
Auditer l'accès aux objets
En lui-même, ce paramètre de stratégie n'entraîne l'audit d'aucun événement. Le paramètre Auditer l'accès aux objets détermine s'il convient d'auditer l'événement correspondant à l'accès d'un utilisateur à un objet (par exemple, un fichier, un dossier, une clé de Registre, une imprimante) doté de sa propre liste de contrôle d'accès (SACL).
Une liste SACL est composée d'entrées de contrôle d'accès (ACE). Chaque ACE contient trois éléments :
L'entité de sécurité (utilisateur, ordinateur ou groupe) à auditer.
Le type d'accès spécifique à auditer, appelé masque d'accès.
Un indicateur pour signaler s'il convient d'auditer les événements d'accès ayant échoué et/ou les événements d'accès ayant abouti.
Si vous configurez le paramètre Auditer l'accès aux objets pour consigner les valeurs de type Succès, une entrée d'audit est générée lorsqu'un utilisateur tente d'accéder à un objet disposant d'une liste SACL spécifique. Si vous configurez ce paramètre pour consigner les valeurs de type Échec, une entrée d'audit est générée lorsqu'un utilisateur ne parvient pas à accéder à un objet disposant d'une liste SACL spécifique.
Les organisations doivent définir uniquement les actions qu'elles souhaitent activer lors de la configuration des listes SACL. Par exemple, vous pourriez activer le paramètre d'audit Écriture de données et Ajouter les données pour les fichiers exécutables de manière à faire le suivi de leurs modifications ou remplacements, dans la mesure où les virus informatiques, les vers et les chevaux de Troie ciblent généralement les fichiers exécutables. De même, vous pourriez suivre les accès aux documents sensibles ou la modification de ces derniers.
Le paramètre Auditer l'accès aux objets est configuré sur la valeur par défaut, Pas d'audit, dans la stratégie de base des environnements LC et EC. Cependant, ces paramètres de stratégie sont configurés pour consigner les valeurs de défaillance dans la stratégie de base de l'environnement SSLF.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre de stratégie doit enregistrer dans le journal de sécurité.
Tableau 4.6 Événements d’accès aux objets
| 560 |
Accès accordé à un objet existant. |
| 562 |
Fermeture d’un descripteur d’objet |
| 563 |
Tentative d’ouverture d’un objet avec l’intention de le supprimer
Remarque : Ceci est utilisé par les systèmes de fichiers lorsque l'indicateur FILE_DELETE_ON_CLOSE est précisé dans Createfile(). |
| 564 |
Suppression d’un objet protégé. |
| 565 |
L'accès a été accordé à un type d'objet qui existe déjà. |
| 567 |
Une autorisation associée à un handle a été utilisée.
Remarque : Un handle est créé avec certaines autorisations (Lecture, Écriture, etc.). Lorsque le handle est utilisé, une audition est générée pour chaque autorisation utilisée. |
| 568 |
Tentative de création d'un lien symbolique vers un fichier en cours d'audition. |
| 569 |
Le gestionnaire de ressources du Gestionnaire d'autorisations a tenté de créer un contexte client. |
| 570 |
Un client a tenté d'accéder à un objet.
Remarque : Un événement sera généré pour chaque opération tentée sur l'objet. |
| 571 |
Le contexte client a été supprimé par l'application du Gestionnaire d'autorisations. |
| 572 |
Le Gestionnaire d'administrateurs a initialisé l'application. |
| 772 |
Le Gestionnaire de certificats a refusé une demande de certificat en attente. |
| 773 |
Les services de certificats ont reçu une demande de certificat soumise une deuxième fois. |
| 774 |
Les services de certificats ont révoqué un certificat. |
| 775 |
Les services de certificats ont reçu une demande de publication de la liste de révocation de certificats. |
| 776 |
Les Services de certificats ont publié la liste de révocation des certificats. |
| 777 |
Une extension de demande de certificat a été effectuée. |
| 778 |
Un ou plusieurs attributs de demande de certificat ont changé. |
| 779 |
Les services de certificats ont reçu une demande d'arrêt. |
| 780 |
La sauvegarde des services de certificats a démarré. |
| 781 |
La sauvegarde des services de certificats s'est terminée. |
| 782 |
La restauration des services de certificats a démarré. |
| 783 |
La restauration des services de certificats s'est terminée. |
| 784 |
Les services de certificats ont démarré. |
| 785 |
Les services de certificats ont pris fin. |
| 786 |
Les autorisations de sécurité des services de certificats ont changé. |
| 787 |
Les services de certificats ont récupéré une clé archivée. |
| 788 |
Les services de certificats ont importé un certificat dans la base de données. |
| 789 |
Le filtre d'audit des services de certificats a changé. |
| 790 |
Les services de certificats ont reçu une demande de certificat. |
| 791 |
Les services de certificats ont approuvé une demande de certificat et émis un certificat. |
| 792 |
Les services de certificats ont refusé une demande de certificat. |
| 793 |
Les services de certificats ont défini le statut « en attente » sur une demande de certificat. |
| 794 |
Les paramètres du gestionnaire de certificats pour les services de certificats ont changé. |
| 795 |
Une entrée de configuration a changé dans les services de certificats. |
| 796 |
Une propriété des Services de certificats a été modifiée. |
| 797 |
Les services de certificats ont archivé une clé. |
| 798 |
Les services de certificats ont importé et archivé une clé. |
| 799 |
Les services de certificats ont publié le certificat de l'autorité de certification (CA) dans Active Directory. |
| 800 |
Une ou plusieurs rangées ont été supprimées de la base de données de certificats. |
| 801 |
Séparation de rôle activée |
#### Auditer les modifications de stratégie
Ce paramètre de stratégie détermine s'il convient d'auditer chaque incident au niveau d'une modification dans les stratégies d'attribution de droits utilisateur, dans les stratégies d'approbation ou directement dans les stratégies d'audit.
Si vous configurez le paramètre **Auditer les modifications de stratégie** pour consigner les valeurs de type **Succès**, une entrée d'audit sera générée pour chaque modification réussie apportée aux stratégies de droits utilisateur, stratégies d'approbation ou stratégies d'audit. Si vous configurez ce paramètre pour consigner les valeurs de type **Échec**, une entrée d'audit sera générée pour chaque échec de modification des stratégies de droits utilisateur, stratégies d'approbation ou stratégies d'audit.
Les paramètres recommandés permettraient de détecter les privilèges de compte qu'un utilisateur malveillant tenterait d'élever. Par exemple, s'ils tentaient d'ajouter le privilège **Déboguer des programmes** ou **Sauvegarder des fichiers et des répertoires**.
Le paramètre **Auditer les modifications de stratégie** est configuré pour consigner les valeurs de type **Succès** dans la stratégie de base des trois environnements qui sont définis dans ce guide. Actuellement, la valeur **Échec** ne capture pas les événements significatifs.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre de stratégie doit enregistrer dans le journal de sécurité.
**Tableau 4.7 Événements d'audit des modifications de stratégie**
| 608 |
Attribution d’un droit d’utilisateur |
| 609 |
Suppression d’un droit d’utilisateur |
| 610 |
Création d’une relation de confiance avec un autre domaine |
| 611 |
Suppression d’une relation de confiance avec un autre domaine |
| 612 |
Modification d’une stratégie d’audit |
| 613 |
Un agent de stratégie IPsec (Internet Protocol Security) a démarré. |
| 614 |
Un agent de stratégie IPsec a été désactivé. |
| 615 |
Un agent de stratégie IPsec a été modifié. |
| 616 |
Un agent de stratégie IPsec a subi un échec potentiellement grave. |
| 617 |
Une stratégie Kerberos version 5 a été modifiée. |
| 618 |
La stratégie de récupération de données cryptées a changé. |
| 620 |
Une relation d'approbation avec un autre domaine a été modifiée. |
| 621 |
L'accès au système a été accordé à un compte. |
| 622 |
L'accès au système a été supprimé d'un compte. |
| 623 |
La stratégie d'audit a été définie selon les utilisateurs. |
| 625 |
La stratégie d'audit a été actualisée selon les utilisateurs. |
| 768 |
Détection d’un conflit entre des éléments d’espaces de noms de deux forêts
Remarque : Lorsqu'un élément d'espace de nom appartenant à une forêt en chevauche un autre appartenant à une autre forêt, une ambiguïté peut se produire lors de la résolution d'un nom appartenant à l'un des éléments d'espace de nom. Ce chevauchement est également appelé collision. Tous les paramètres ne sont pas valides pour chaque type d'entrée. Par exemple, les champs tels que les noms DNS, les noms NetBIOS et les SID ne sont pas valides pour les entrées de type « TopLevelName ». |
| 769 |
Des informations de forêt approuvée ont été ajoutées.
Remarque : Ce message d'événement est généré lorsque des informations d'approbation de forêt sont mises à jour et qu'au moins une entrée est ajoutée. Un message d'événement est généré pour chaque entrée ajoutée, supprimée ou modifiée. Si plusieurs entrées ont été ajoutées, supprimées ou modifiées au cours d'une même mise à jour des informations d'approbation de forêt, un identificateur unique appelé ID d'opération est attribué à tous les messages d'événement générés. Cette fonctionnalité permet de voir que les divers messages d'événement générés sont le résultat d'une seule opération. Tous les paramètres ne sont pas valides pour chaque type d'entrée. Par exemple, les paramètres tels que les noms DNS, les noms NetBIOS et les SID ne sont pas valides pour les entrées du type « TopLevelName ». |
| 770 |
Des informations de forêt approuvée ont été supprimées.
Remarque : voir la description de l'événement 769. |
| 771 |
Des informations de forêt approuvée ont été modifiées.
Remarque : voir la description de l'événement 769. |
| 805 |
Le service d'enregistrement d'événement a lu la configuration du journal de sécurité pour une session. |
#### Auditer l'utilisation des privilèges
Ce paramètre de stratégie détermine s'il convient d'effectuer un audit à chaque fois qu'un utilisateur exerce l'un de ses droits. Si vous configurez le paramètre **Auditer l'utilisation des privilèges** pour consigner les valeurs de type **Succès**, une entrée d'audit est générée à chaque fois qu'un droit d'utilisateur est exercé avec succès. La configuration de ce paramètre de stratégie sur **Échec** génère une entrée d'audit à chaque fois qu'un droit d'utilisateur est exercé sans succès.
Aucune entrée d'audit n'est générée lorsque les droits utilisateur suivants sont exercés, même si vous configurez le paramètre **Auditer l'utilisation des privilèges**, car ces droits utilisateur généreraient beaucoup trop d'événements dans le journal de sécurité. Les performances des ordinateurs risqueraient d'être affectées si ces droits utilisateur faisaient l'objet d'un audit :
- Ignorer la recherche de l'autorisation Passer sur le dossier
- Déboguer des programmes
- Créer un objet-jeton
- Remplacer un jeton au niveau des processus
- Générer des audits de sécurité
- Sauvegarder les fichiers et les répertoires
- Restaurer des fichiers et des répertoires
**Remarque** : Si vous souhaitez auditer ces droits utilisateur, vous devez activer l'option de sécurité **Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration** dans la stratégie de groupe.
Le paramètre **Auditer l'utilisation des privilèges** conserve sa valeur par défaut, **Pas d'audit**, dans la stratégie de base des environnements LC et EC. Cependant, ces paramètres de stratégie sont configurés pour consigner les valeurs de **défaillance** dans la stratégie de base de l'environnement SSLF. L'échec d'utilisation d'un droit utilisateur est un indice de problème général sur le réseau et correspond souvent à une tentative de violation de la sécurité. Il est recommandé aux organisations de configurer le paramètre **Auditer l'utilisation des privilèges** sur **Activé** uniquement si une raison professionnelle précise les y oblige.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre doit consigner dans le journal de sécurité.
**Tableau 4.8 Événements d'utilisation des privilèges**
| 576 |
Ajout de privilèges spécifiés au jeton d’accès d’un utilisateur
Remarque : Cet événement est généré lorsque l'utilisateur ouvre une session. |
| 577 |
Tentative par un utilisateur de réaliser une opération privilégiée de service système |
| 578 |
Des privilèges ont été utilisés sur un handle ouvert d'objet protégé. |
#### Auditer le suivi des processus
Ce paramètre de stratégie détermine s'il convient d'auditer les informations de suivi détaillé des événements (activation de programme, sortie de processus, duplication de pointeur et accès indirect à un objet). Si vous configurez ce paramètre de stratégie pour consigner les valeurs de type **Succès**, une entrée d'audit est générée lorsqu'un processus est suivi avec succès. Si vous configurez ce paramètre de stratégie pour consigner les valeurs de type **Échec**, une entrée d'audit est générée lorsqu'un processus est suivi sans succès.
Le paramètre **Auditer le suivi des processus** génère de très nombreux événements, par conséquent il est généralement configuré sur **Pas d'audit**, comme dans la stratégie de base pour les trois environnements qui sont définis dans ce guide. Cependant, ce paramètre de stratégie peut être très utile au cours d'une réponse à l'incident, car il fournit un journal détaillé des processus actifs et de leur heure de lancement.
Le tableau suivant regroupe les événements de sécurité importants que ce paramètre doit consigner dans le journal de sécurité.
**Tableau 4.9 Événements de suivi des processus**
| 592 |
Création d’un nouveau processus |
| 593 |
Sortie de processus |
| 594 |
Duplication d’un descripteur d’objet |
| 595 |
Obtention d’un accès indirect à un objet |
| 596 |
Une clé principale de protection des données a été sauvegardée.
Remarque : La clé principale est utilisée par les routines CryptProtectData et CryptUnprotectData, ainsi que par le système de fichiers EFS (Encrypting File System). La clé principale est sauvegardée chaque fois qu'une nouvelle clé est créée. (Le paramètre par défaut est de 9 jours.) La clé est généralement sauvegardée par un contrôleur de domaine. |
| 597 |
Une clé principale de protection des données a été récupérée depuis un serveur de récupération. |
| 598 |
Les données pouvant être auditées ont été protégées. |
| 599 |
Les données pouvant être auditées n'ont pas été protégées. |
| 600 |
Un jeton principal a été attribué à un processus. |
| 601 |
Un utilisateur a tenté d'installer un service. |
| 602 |
Un objet Scheduler Job a été créé. |
#### Auditer les événements système
Ce paramètre de stratégie détermine s'il convient d'effectuer un audit en cas de redémarrage ou d'arrêt d'un ordinateur par un utilisateur ou en cas d'événement ayant un impact sur la sécurité système ou le journal de sécurité. La configuration de ce paramètre de stratégie sur **Succès** génère une entrée d'audit lorsqu'un événement système est exécuté avec succès. La configuration de ce paramètre de stratégie sur **Échec** génère une entrée d'audit lorsqu'un événement système est exécuté sans succès.
Le tableau suivant regroupe les événements de type Succès les plus utiles pour ces paramètres.
**Tableau 4.10 Messages d'événements système pour les événements Auditer les événements système**
| 512 |
Démarrage de Windows |
| 513 |
Fermeture de Windows |
| 514 |
Chargement d’un système d’authentification par l’autorité de sécurité locale |
| 515 |
Enregistrement d’un processus d’ouverture de session approuvé par l’autorité de sécurité locale |
| 516 |
Épuisement des ressources internes allouées à la file de messages d’événements de sécurité, ce qui a conduit à la perte de certains d’entre eux. |
| 517 |
Le journal d'audit a été effacé. |
| 518 |
Chargement d’un système de notification par le Gestionnaire de comptes de sécurité |
| 519 |
Un processus utilise un port d'appel de procédure local non valide en essayant de se faire passer pour un client et de répondre, lire ou écrire dans l'espace d'adresse du client. |
| 520 |
L'heure du système a été modifiée.
Remarque : Cet audit apparaît généralement deux fois. |
Haut de page
Attribution des droits de l’utilisateur
L'attribution des droits utilisateur détermine quels utilisateurs ou groupes possèdent des droits ou des privilèges de connexion sur les ordinateurs de votre entreprise. Le droit de se connecter à un ordinateur en local constitue un exemple de droit de connexion de façon interactive. Le droit d’arrêter l'ordinateur est un exemple de privilège. Les deux types sont attribués par les administrateurs aux utilisateurs individuels ou aux groupes en tant que paramètres de sécurité pour l’ordinateur.
Remarque : Au cours de cette section, « Non défini » s'applique seulement aux utilisateurs ; les administrateurs ont toujours le droit utilisateur. Les administrateurs locaux peuvent effectuer des modifications, mais ces dernières seront écrasées par les paramètres de stratégie de groupe basés sur le domaine à chaque rafraîchissement ou réapplication des stratégies de groupe.
Vous pouvez configurer les paramètres d'attribution des droits utilisateur dans Windows Server 2003 avec SP1 à l'emplacement suivant, dans l'Éditeur d'objets de stratégie de groupe
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales
\Attribution des droits utilisateurs
L'attribution des droits utilisateur par défaut varie selon les types de serveurs de l'organisation. Par exemple, Windows Server 2003 attribue des droits différents aux groupes prédéfinis sur les serveurs membres et les contrôleurs de domaine. (Les similarités entre les groupes prédéfinis sur les différents types de serveurs ne sont pas décrites dans la liste suivante.)
Serveurs membres
Utilisateurs avec pouvoir. Possèdent la plupart des pouvoirs administratifs avec quelques restrictions. Les utilisateurs avec pouvoir peuvent exécuter les applications héritées en supplément des applications qui sont certifiées pour Windows Server 2003 avec SP1 ou Windows XP.
HelpServicesGroup. Groupe correspondant au centre d'aide et de support. Par défaut, Support_388945a0 est un membre de ce groupe.
TelnetClients. Les membres de ce groupe ont accès au serveur Telnet sur le réseau.
Contrôleurs de domaine
Opérateurs de serveur. Les membres de ce groupe peuvent administrer des serveurs de domaine.
Terminal Server License Services. Les membres de ce groupe ont accès aux serveurs de licence Terminal Server sur le réseau.
Groupe d'accès d'autorisation Windows. Les membres de ce groupe ont accès à l'attribut calculé tokenGroupsGlobalAndUniversal sur les objets de l'utilisateur.
Le groupe Invités et les comptes de l'utilisateur Invité et Support_388945a0 possèdent des identificateurs de sécurité (SID) uniques entre les différents domaines. Il pourrait donc être nécessaire de modifier cette stratégie de groupe pour l'attribution des droits utilisateur sur un ordinateur lorsque seul le groupe cible spécifique existe. D'autre part, il est possible de modifier individuellement les modèles de stratégie pour inclure les groupes appropriés dans les fichiers .inf. Par exemple, une stratégie de groupe de contrôleur de domaine doit être créée dans un environnement de test.
Remarque : Étant donné les SID uniques existant entre les membres du groupe Invités, Support_388945a0 et Invité, il n'est pas possible d'automatiser certains paramètres de renforcement de la sécurité à l'aide des modèles de sécurité qui figurent dans ce guide. Ces procédures sont décrites dans la section « Paramètres de sécurité supplémentaires », plus bas dans ce chapitre.
Cette section fournit des informations détaillées sur les paramètres d'attribution des droits utilisateur MSBP pour les trois environnements qui sont définis dans ce guide. Pour un résumé des paramètres recommandés dans cette section, consultez le classeur Microsoft Excel « Windows Server 2003 Security Guide Settings » (Paramètres du Guide de sécurité de Windows Server 2003) qui est inclus avec la version téléchargeable de ce guide. Pour consulter des informations sur les paramètres par défaut et obtenir une explication détaillée des paramètres qui sont abordés dans cette section, consultez le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans WindowsServer2003 et Windows XP.
Le tableau récapitule les recommandations relatives aux paramètres d'attribution de droits utilisateur pour les trois environnements qui sont définis dans ce guide. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.
Tableau 4.11 Recommandations relatives aux paramètres d'attribution de droits utilisateur
| Accéder à cet ordinateur à partir du réseau |
Non défini |
Non défini |
Administrateurs, Utilisateurs authentifiés, ENTERPRISE DOMAIN CONTROLLERS |
| Agir en tant que partie du système d'exploitation |
Non défini |
Non défini |
Personne |
| Régler les quotas de mémoire pour un processus |
Non défini |
Non défini |
Administrateurs, SERVICE RÉSEAU, SERVICE LOCAL |
| Permettre l’ouverture d’une session locale |
Administrateurs, Opérateurs de sauvegarde, Utilisateurs avec pouvoir |
Administrateurs, Opérateurs de sauvegarde, Utilisateurs avec pouvoir |
Administrateurs |
| Autoriser l'ouverture de session par les services Terminal Server |
Administrateurs et Utilisateurs du Bureau à distance |
Administrateurs et Utilisateurs du Bureau à distance |
Administrateurs |
| Sauvegarder les fichiers et les répertoires |
Non défini |
Non défini |
Administrateurs |
| Ignorer la recherche de l'autorisation Passer sur le dossier |
Non défini |
Non défini |
Utilisateurs authentifiés |
| Modifier l'heure du système |
Non défini |
Non défini |
Administrateurs |
| Créer un fichier d'échange |
Non défini |
Non défini |
Administrateurs |
| Créer un objet-jeton |
Non défini |
Non défini |
Personne |
| Create global objects (Créer des objets globaux) |
Non défini |
Non défini |
Administrateurs, SERVICE |
| Créer des objets partagés permanents |
Non défini |
Non défini |
Personne |
| Déboguer des programmes |
Non défini |
Administrateurs |
Personne |
| Interdire l’accès à cet ordinateur à partir du réseau |
OUVERTURE DE SESSION ANONYME ; Invités ; Support_388945a0 ;
tout compte de service hors système d'exploitation |
OUVERTURE DE SESSION ANONYME ; Invités ; Support_388945a0 ;
tout compte de service hors système d'exploitation |
OUVERTURE DE SESSION ANONYME ; Invités ; Support_388945a0 ;
tout compte de service hors système d'exploitation |
| Interdire l'ouverture de session en tant que tâche |
Invités ; Support_388945a0 |
Invités ; Support_388945a0 |
Invités ; Support_388945a0; |
| Refuser l'ouverture de session en tant que service |
Non défini |
Non défini |
Personne |
| Refuser les ouvertures de session locales |
Non défini |
Non défini |
Invités ; Support_388945a0; |
| Interdire l'ouverture de session par les services Terminal Server |
Invités |
Invités |
Invités |
| Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation |
Non défini |
Non défini |
Administrateurs |
| Forcer l'arrêt à partir d'un système distant |
Non défini |
Non défini |
Administrateurs |
| Générer des audits de sécurité |
Non défini |
Non défini |
SERVICE RÉSEAU, SERVICE LOCAL |
| Emprunter l'identité d'un client après son authentification |
Non défini |
Non défini |
Administrateurs, SERVICE |
| Accroître la priorité de planification |
Non défini |
Non défini |
Administrateurs |
| Télécharger les pilotes du périphérique |
Non défini |
Non défini |
Administrateurs |
| Verrouiller les pages en mémoire |
Non défini |
Non défini |
Personne |
| Ouvrir une session en tant que tâche |
Non défini |
Non défini |
Non défini |
| Ouvrir une session en tant que service |
Non défini |
Non défini |
SERVICE RÉSEAU |
| Gérer le journal d'audit et de sécurité |
Non défini |
Non défini |
Administrateurs |
| Modifier les valeurs d'environnement du microprogramme |
Non défini |
Non défini |
Administrateurs |
| Procéder aux tâches de maintenance du volume |
Non défini |
Non défini |
Administrateurs |
| Profil d'un processus unique |
Non défini |
Non défini |
Administrateurs |
| Performances du système de profil |
Non défini |
Non défini |
Administrateurs |
| Retirer l'ordinateur de la station d'accueil |
Non défini |
Non défini |
Administrateurs |
| Remplacer un jeton au niveau des processus |
Non défini |
Non défini |
SERVICE RÉSEAU, SERVICE LOCAL |
| Restaurer des fichiers et des répertoires |
Non défini |
Non défini |
Administrateurs |
| Arrêter le système |
Non défini |
Non défini |
Administrateurs |
| Synchroniser des données du service d'annuaire |
Non défini |
Non défini |
Personne |
| S'approprier les fichiers et les autres objets |
Non défini |
Non défini |
Administrateurs |
#### Accéder à cet ordinateur à partir du réseau
Ce paramètre de stratégie détermine les utilisateurs et les groupes qui sont autorisés à se connecter à l'ordinateur par l'intermédiaire du réseau. Il est requis par de nombreux protocoles réseau, notamment les protocoles basés SMB (Server Message Block), Netbios, CIFS (Common Internet File System), HTTP et COM+ (Component Object Model Plus)
Le paramètre **Accéder à cet ordinateur à partir du réseau** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, bien que les autorisations accordées au groupe de sécurité **Tous les utilisateurs** dans Windows Server 2003 avec SP1 ne donnent plus accès aux utilisateurs anonymes, elles continuent à le faire pour les groupes et lescomptes invités. De ce fait, le groupe de sécurité **Tous les utilisateurs** ne dispose pas du droit utilisateur **Accéder à cet ordinateur à partir du réseau** dans l'environnement SSLF, ce qui permet de se protéger contre les attaques qui ciblent l'accès invité au domaine. Seuls les groupes **Administrateurs**, **Utilisateurs authentifiés** et **CONTRÔLEURS DE DOMAINE D'ENTREPRISE** bénéficient de ce droit utilisateur dans l'environnement SSLF.
#### Agir en tant que partie du système d'exploitation
Ce paramètre de stratégie détermine si un processus peut prendre l'identité d'un utilisateur et avoir ainsi accès aux ressources auxquelles ce dernier a le droit d'accéder. En règle générale, seuls les services d'authentification de niveau faible requièrent ce droit d'utilisateur.
Le droit d'utilisateur **Agir en tant que partie du système d'exploitation** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, pour l'environnement SSLF ce paramètre de stratégie est configuré sur une valeur nulle (null) ou vide, qui refuse ce droit d'utilisateur à tous les groupes de sécurité et comptes.
#### Régler les quotas de mémoire pour un processus
Ce paramètre de stratégie détermine si les utilisateurs peuvent définir la quantité maximale de mémoire disponible pour un processus. Ceci est particulièrement utile pour la configuration des ordinateurs, mais risque de faire l'objet d'abus. Un utilisateur malveillant pourrait exploiter ce droit utilisateur pour lancer une attaque par déni de service.
Le paramètre **Régler les quotas de mémoire pour un processus** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit utilisateur est attribué au groupe **Administrateurs**, au SERVICE RÉSEAU et au SERVICE LOCAL pour l'environnement SSLF.
#### Permettre l’ouverture d’une session locale
Ce paramètre de stratégie détermine les utilisateurs qui peuvent ouvrir une session de façon interactive sur l'ordinateur voulu. Pour lancer des connexions avec la combinaison de touches CTRL+ALT+SUPPR au clavier, l'utilisateur doit posséder ce droit. Tout compte possédant ce droit d'utilisateur peut permettre une ouverture de session sur la console locale de l'ordinateur.
Le droit utilisateur **Permettre l'ouverture d'une session locale** est limité aux groupes **Administrateurs**, **Opérateurs de sauvegarde** et **Utilisateurs avec pouvoir** pour les environnements LC et EC, ce qui permet d'empêcher l'ouverture de session par des utilisateurs non autorisés, qui pourraient tenter d'élever leurs privilèges ou introduire des virus dans l'environnement. Ce droit d'utilisateur est uniquement associé au groupe **Administrateurs** de l'environnement SSLF.
#### Autoriser l'ouverture de session par les services Terminal Server
Ce paramètre de stratégie détermine les utilisateurs ou les groupes autorisés à ouvrir une session en tant que client du serveur Terminal Server.
Pour les environnements LC et EC, le droit utilisateur **Autoriser l'ouverture de session par les services Terminal Server** est limité aux groupes **Administrateurs** et **Utilisateurs du Bureau à distance.** Pour l'environnement SSLF, seuls les membres du groupe **Administrateurs** reçoivent ce droit utilisateur.
#### Sauvegarder les fichiers et les répertoires
Ce paramètre de stratégie détermine si les utilisateurs peuvent contourner les autorisations de fichier et d'annuaire pour sauvegarder le contenu de l'ordinateur. Il est uniquement utilisé si une application tente d'accéder à l'ordinateur par l'intermédiaire de l’interface de programmation d’application (API) de sauvegarde NTFS qui inclut un utilitaire de sauvegarde, tel que NTBACKUP.EXE. Si ce n'est pas le cas, les autorisations standard de fichier et de dossier s'appliquent.
Le paramètre **Sauvegarder des fichiers et des répertoires** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Ignorer la recherche de l'autorisation Passer sur le dossier
Ce paramètre de stratégie détermine si les utilisateurs peuvent traverser des dossiers sans fournir l’autorisation d’accès spéciale « Passer sur le dossier » pendant le parcours du chemin d’accès à un objet dans le système de fichiers NTFS ou dans le Registre. Ce droit utilisateur ne permet pas à l'utilisateur de parcourir le contenu d'un dossier ; il lui permet uniquement de traverser ses dossiers.
Le paramètre **Ignorer la recherche de l'autorisation Passer sur le dossier** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit d'utilisateur est uniquement associé au groupe **Utilisateurs authentifiés** de l'environnement SSLF.
#### Modifier l'heure du système
Ce paramètre de stratégie détermine les utilisateurs qui peuvent modifier l'heure et la date de l'horloge interne de l'ordinateur. Les utilisateurs qui bénéficient de ce droit d'utilisateur peuvent modifier l'aspect des journaux d'événements, qui sont datés par l'horloge interne de l'ordinateur. Si l'heure de l'ordinateur est modifiée, les journaux ne donnent plus l'heure réelle des événements qui sont survenus.
Le paramètre **Modifier l'heure du système** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit d'utilisateur est uniquement associé au groupe **Administrateurs** de l'environnement SSLF.
**Remarque**: Des différences entre l'heure de l'ordinateur local et celle des contrôleurs de domaine peuvent provoquer des problèmes pour le protocole d'authentification Kerberos. Cela risque d'empêcher les utilisateurs de se connecter au domaine ou d'obtenir l'autorisation d'accéder aux ressources du domaine après avoir ouvert une session.
#### Créer un fichier d'échange
Ce paramètre de stratégie détermine si les utilisateurs peuvent créer et modifier la taille du fichier d’échange. Pour exécuter cette tâche, l'utilisateur spécifie une taille de fichier d'échange pour un lecteur spécifique dans la zone **Options de performances** située dans l’onglet **Avancé** de la boîte de dialogue **Propriétés système**.
Le paramètre **Créer un fichier d'échange** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit utilisateur est attribué uniquement au groupe **Administrateurs** dans l'environnement SSLF.
#### Créer un objet-jeton
Ce paramètre de stratégie permet à un processus de créer un jeton qu’il peut ensuite utiliser pour accéder à n’importe quelle ressource locale lorsqu’il appelle NtCreateToken() ou d’autres API de création de jeton.
Le paramètre **Créer un objet-jeton** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
#### Créer des objets globaux
Ce paramètre de stratégie permet aux utilisateurs de créer des objets globaux qui sont disponibles pour toutes les sessions. Les utilisateurs peuvent néanmoins créer des objets spécifiques à leurs propres sessions sans devoir disposer de ce droit.
Le paramètre **Créer des objets globaux** est configuré sur **Non défini** pour les environnements LC et EC. Pour l'environnement SSLF, ce droit utilisateur est uniquement assigné aux groupes **SERVICE** et **Administrateurs**.
#### Créer des objets partagés permanents
Ce paramètre de stratégie détermine si les utilisateurs peuvent créer des objets de dossier dans le gestionnaire d'objets, ce qui signifie qu'ils peuvent créer des dossiers, des imprimantes et d’autres objets partagés. Ce privilège est utile aux composants de mode noyau qui étendent l'espace de noms d'objets et ce type de composant dispose de ce droit en standard. Par conséquent, il est généralement inutile d'attribuer de façon spécifique ce droit d'utilisateur.
Le paramètre **Créer des objets partagés permanents** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
#### Déboguer des programmes
Ce paramètre de stratégie détermine les utilisateurs qui peuvent joindre un débogueur à tout processus ou au noyau. Il fournit un accès complet aux composants du système d'exploitation sensibles et cruciaux. Le débogage des programmes est déconseillé dans les environnements de production, sauf dans des circonstances exceptionnelles, telles que le dépannage d'une application professionnelle essentielle ne pouvant pas être effectué dans l'environnement de test.
Le paramètre **Déboguer des programmes** est configuré sur **Non défini** pour l'environnement LC. Pour l'environnement EC, ce droit utilisateur est attribué uniquement au groupe **Administrateurs**. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
**Remarque** : Sur Windows Server 2003 avec SP1, la suppression du droit utilisateur **Déboguer des programmes** peut entraîner l'incapacité à utiliser le service Windows Update. Il est toutefois possible de télécharger et d'installer manuellement des correctifs par d'autres moyens. La suppression de ce droit d'utilisateur risque d'interférer avec le service de cluster. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft « [How to apply more restrictive security settings on a Windows Server 2003–based cluster server](http://support.microsoft.com/kb/891597/fr) » à l'adresse [http://support.microsoft.com/kb/891597/fr.](http://support.microsoft.com/kb/891597/fr)
#### Interdire l’accès à cet ordinateur à partir du réseau
**Remarque**: CONNEXION ANONYME, Administrateur intégré, Support\_388945a0, Invité et tous les comptes de service ne faisant pas partie du système d'exploitation ne sont pas inclus dans le modèle de sécurité .inf. Ces comptes et ces groupes comportent des identificateurs de sécurité uniques pour chaque domaine de votre entreprise. Ils doivent donc être ajoutés manuellement. Pour plus d'informations, voir la section « Procédures de renforcement manuelles » à la fin de ce chapitre.
Ce paramètre de stratégie détermine les utilisateurs qui ne peuvent pas accéder à un ordinateur sur le réseau. Il refuse plusieurs protocoles réseaux, notamment les protocoles basés sur le SMB : NetBIOS, CIFS, HTTP et COM+. Ce paramètre de stratégie prime sur le droit d'utilisateur **Accéder à cet ordinateur à partir du réseau** lorsqu'un compte utilisateur est soumis aux deux paramètres.
Pour les trois environnements définis dans ce guide, le droit utilisateur **Interdire l’accès à cet ordinateur à partir du réseau** est attribué au groupe **Invités**, OUVERTURE DE SESSION ANONYME, Support\_388945a0 et tous les comptes de service qui ne font pas partie du système d'exploitation.
La configuration de ce paramètre de stratégie pour d'autres groupes risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.
#### Interdire l'ouverture de session en tant que tâche
**Remarque**: CONNEXION ANONYME, Administrateur intégré, Support\_388945a0, Invité et tous les comptes de service ne faisant pas partie du système d'exploitation ne sont pas inclus dans le modèle de sécurité .inf. Ces comptes et ces groupes comportent des identificateurs de sécurité uniques pour chaque domaine de votre entreprise. Ils doivent donc être ajoutés manuellement. Pour plus d'informations, voir la section « Procédures de renforcement manuelles » à la fin de ce chapitre.
Ce paramètre de stratégie détermine les comptes qui ne pourront pas ouvrir une session sur l'ordinateur en tant que tâche. Une tâche n'est pas un fichier de commandes (.bat), mais plutôt une fonctionnalité de file d'attente de commandes. Les comptes qui utilisent le Planificateur de tâches pour planifier des travaux doivent disposer de ce droit d'utilisateur.
Le droit d'utilisateur **Interdire l'ouverture de session en tant que tâche** remplace le droit d'utilisateur **Ouvrir une session en tant que tâche**, qui pourrait être utilisé pour autoriser les comptes à planifier des tâches risquant de consommer trop de ressources système. Ce type d'événement pourrait provoquer une condition de déni de service (DoS). Par conséquent, le droit d'utilisateur **Interdire l'ouverture de session en tant que tâche** est attribué au groupe **Invités** et au compte utilisateur Support\_388945a0 dans la stratégie de base des trois environnements qui sont définis dans ce guide. Vous devez associer ce droit d'utilisateur aux comptes recommandés pour ne pas compromettre la sécurité.
#### Refuser l'ouverture de session en tant que service
Ce paramètre de stratégie détermine si les services peuvent être lancés dans le contexte du compte indiqué.
Le paramètre **Refuser l'ouverture de session en tant que service** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
#### Refuser les ouvertures de session locales
Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir une session directement à l'aide du clavier de l'ordinateur.
Le paramètre **Refuser les ouvertures de session locales** est configuré sur **Non défini** pour les environnements EC et LC. Cependant, ce droit d'utilisateur est uniquement attribué au groupe **Invités** et au compte d'utilisateur Support\_388945a0 pour l'environnement SSLF. Vous devez associer ce droit d'utilisateur aux comptes recommandés pour ne pas compromettre la sécurité.
#### Interdire l'ouverture de session par les services Terminal Server
**Remarque**: CONNEXION ANONYME, Administrateur intégré, Support\_388945a0, Invité et tous les comptes de service ne faisant pas partie du système d'exploitation ne sont pas inclus dans le modèle de sécurité .inf. Ces comptes et ces groupes comportent des identificateurs de sécurité uniques pour chaque domaine de votre entreprise. Ils doivent donc être ajoutés manuellement. Pour plus d'informations, voir la section « Procédures de renforcement manuelles » à la fin de ce chapitre.
Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir une session en tant que clients de service Terminal Server. Après avoir associé la référence de serveur membre à un environnement de domaine, il n'est plus nécessaire d'utiliser des comptes locaux pour accéder au serveur à partir du réseau. Les comptes de domaine peuvent accéder au serveur à des fins d'administration et de traitement d'utilisateur final.
Pour les trois environnements qui sont définis dans ce guide, le groupe **Invités** reçoit le droit **Interdire l'ouverture de session par les services Terminal Server** afin de l'empêcher d'ouvrir une session par l'intermédiaire des services Terminal Server.
#### Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation
Ce paramètre de stratégie détermine si les utilisateurs peuvent modifier le paramètre **Approuvés pour la délégation** d'un objet utilisateur ou ordinateur dans Active Directory. Les utilisateurs ou les ordinateurs qui bénéficient de ce droit d'utilisateur doivent avoir un accès en écriture aux indicateurs de contrôle de compte sur l'objet. Un abus de ce droit d'utilisateur pourrait entraîner l'usurpation de l'identité d'autres utilisateurs du réseau.
Le paramètre **Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Forcer l'arrêt à partir d'un système distant
Ce paramètre de stratégie détermine si les utilisateurs peuvent arrêter des ordinateurs à distance via le réseau. Tout utilisateur qui pourrait arrêter l'ordinateur de cette façon pourrait provoquer une attaque par déni de service (Dos). Par conséquent, ce droit d'utilisateur doit faire l'objet de limitations strictes.
Le paramètre **Forcer l'arrêt à partir d'un système distant** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Générer des audits de sécurité
Ce paramètre de stratégie détermine si un processus peut générer des entrées d'audit dans le journal de sécurité. Dans la mesure où le journal de sécurité peut être utilisé pour suivre l'accès non autorisé, les comptes autorisés à écrire dans le journal de sécurité peuvent être exploités par une personne malveillante pour remplir le journal avec des événements insignifiants. Si l'ordinateur est configuré pour écraser les événements selon les besoins, l'utilisateur malveillant peut exploiter cette fonctionnalité pour supprimer la preuve de ses activités non autorisées. Si vous configurez l'ordinateur de façon à ce qu'il s'arrête lorsqu'il lui est impossible d'écrire dans le journal de sécurité, un utilisateur malveillant pourrait exploiter cette fonctionnalité pour lancer une attaque par déni de service (DoS).
Le paramètre **Générer des audits de sécurité** est configuré sur **Non défini** pour les environnements LC et EC. Ce droit d'utilisateur est attribué aux comptes SERVICE RÉSEAU et SERVICE LOCAL pour l'environnement SSLF.
#### Emprunter l'identité d'un client après son authentification
Ce paramètre de stratégie détermine si les applications qui s'exécutent au nom d'un utilisateur authentifié peuvent emprunter l'identité des clients. Si ce droit d'utilisateur est nécessité pour ce type d'emprunt d'identité, les utilisateurs non autorisés ne pourront pas convaincre un client de se connecter, par exemple par l'appel de procédure distante (RPC) ou les canaux nommés, à un service qu'ils ont créé pour emprunter l'identité de ce client. L'utilisateur non autorisé pourrait exploiter cette fonctionnalité pour élever ses autorisations au niveau administratif ou système.
Le paramètre **Emprunter l'identité d'un client après son authentification** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** et à SERVICE pour l'environnement SSLF.
#### Accroître la priorité de planification
Ce paramètre de stratégie détermine si les utilisateurs peuvent augmenter la classe de priorité de base d'un processus. L'augmentation de la priorité relative au sein d'une classe de priorité n'est pas une opération privilégiée. Ce droit d'utilisateur n'est pas requis par les outils administratifs fournis avec le système d'exploitation, mais pourrait l'être par les outils de développement logiciel. Tout utilisateur qui bénéficie de ce droit d'utilisateur peut augmenter la priorité de planification d'un processus à Temps réel, ce qui laisse très peu de temps de traitement pour les autres processus et risquerait de générer une condition de déni de service.
Le paramètre **Accroître la priorité de planification** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Télécharger les pilotes du périphérique
Ce paramètre de stratégie désigne les utilisateurs qui peuvent charger et décharger de façon dynamique les pilotes de périphérique. Ce droit utilisateur n'est pas requis si un pilote signé pour le nouveau matériel existe déjà dans le fichier Driver.cab sur l'ordinateur. Les pilotes de périphérique s'exécutent sous forme de code hautement privilégié. Tout utilisateur qui bénéficie du droit utilisateur **Télécharger les pilotes du périphérique** peut installer malencontreusement ou non du code malveillant qui simule un pilote de périphérique. (Les administrateurs doivent rester très circonspects et installer uniquement les pilotes disposant de signatures numériques vérifiées.)
Le paramètre **Télécharger les pilotes du périphérique** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Verrouiller les pages en mémoire
Ce paramètre de stratégie détermine si un processus peut stocker les données dans la mémoire physique, pour empêcher le système de procéder à une pagination des données en mémoire virtuelle sur disque. Ce type d'événement risquerait de nuire considérablement aux performances. Les utilisateurs qui bénéficient de ce droit d'utilisateur peuvent attribuer une partie de la mémoire physique à plusieurs processus, en laissant peu ou pas de RAM pour les autres processus, ce qui pourrait donner lieu à une condition de déni de service.
Le paramètre **Verrouiller les pages en mémoire** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
#### Ouvrir une session en tant que service
Ce paramètre de stratégie détermine si une entité de sécurité peut ouvrir une session en tant que service. Les services peuvent être configurés pour s’exécuter sous les comptes locaux Système, Service local ou Service réseau qui disposent d’un droit prédéfini de connexion en tant que service. Ce droit doit être accordé à tout service s’exécutant sous un compte utilisateur distinct.
Le paramètre **Ouvrir une session en tant que service** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au compte Service réseau de l'environnement SSLF.
#### Gérer le journal d'audit et de sécurité
Ce paramètre de stratégie détermine si les utilisateurs peuvent spécifier des options d'audit d'accès aux objets pour les différentes ressources, telles que des fichiers, des objets Active Directory et des clés de Registre. Ce droit d'utilisateur est particulièrement puissant et doit être utilisé avec circonspection. Toute personne avec ce droit d'utilisateur peut vider le journal de sécurité, en effaçant éventuellement une preuve importante d'activité non autorisée.
Le paramètre **Gérer le journal d'audit et de sécurité** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
**Important** : Microsoft Exchange Server 2003 modifie ce droit d'utilisateur dans la stratégie de contrôleur de domaine par défaut pendant le processus d'installation. Pour plus de détails, consultez la page [Exchange Server 2003 Deployment](http://www.microsoft.com/technet/prodtechnol/exchange/guides/e2k3adperm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx) en ligne à l'adresse [http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx](http://www.microsoft.com/technet/prodtechnol/exchange/guides/e2k3adperm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx). Si ce droit d'utilisateur est limité au groupe Administrateur, Exchange enregistre de nombreux messages d'erreur dans le journal des événements de l'application. Si vous utilisez Exchange Server 2003, vous devez régler la valeur de ce paramètre en fonction des contrôleurs de domaine. Comme pour tous les paramètres qui sont recommandés dans ce guide, il peut être nécessaire d'effectuer certains réglages pour permettre aux applications de votre organisation de fonctionner normalement.
#### Modifier les valeurs d'environnement du microprogramme
Ce paramètre de stratégie détermine si les variables d'environnement de l'ordinateur peuvent être modifiées, soit par un processus par l’intermédiaire d’une API, soit par un utilisateur par l’intermédiaire de **Propriétés système**. Toute personne dotée de ce droit d'utilisateur peut configurer les paramètres d'un composant matériel pour entraîner son échec, ce qui peut entraîner la corruption des données ou une condition de déni de service.
Le paramètre **Modifier les valeurs de l'environnement du microprogramme** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Procéder aux tâches de maintenance du volume
Ce paramètre de stratégie détermine si un utilisateur qui ne dispose pas de droits administratifs ou un utilisateur distant peut gérer des volumes ou des disques. Tout utilisateur qui bénéficie de ce droit utilisateur pourrait effacer un volume, ce qui entraînerait la perte de données ou une condition de déni de service (DoS).
Le paramètre **Procéder aux tâches de maintenance du volume** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Profil d'un processus unique
Ce paramètre de stratégie désigne les utilisateurs qui peuvent utiliser les outils de surveillance des performances des processus non-système. Ce droit d'utilisateur présente une vulnérabilité modérée ; un utilisateur malveillant doté de ce droit pourrait surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il serait susceptible d'attaquer directement. Un utilisateur pourrait également déterminer les processus qui s'exécutent sur l'ordinateur pour identifier les contre-mesures à éviter, telles que les logiciels antivirus, les systèmes de détection d'intrusion ou les utilisateurs connectés à un ordinateur.
Le paramètre **Profil d'un processus unique** est configuré sur **Non défini** pour les environnements LC et EC. Pour renforcer la sécurité, assurez-vous que le groupe **Utilisateurs avec pouvoir** ne dispose pas de ce droit utilisateur dans l'environnement SSLF. Seuls les membres du groupe **Administrateurs** doivent avoir cette capacité dans ce type d'environnement.
#### Performances du système de profil
Ce paramètre de stratégie est similaire au paramètre précédent. Il détermine si les utilisateurs peuvent contrôler les performances de processus système. Ce droit d'utilisateur présente une vulnérabilité modérée ; un utilisateur malveillant doté de ce droit pourrait surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il serait susceptible d'attaquer directement. L'utilisateur malveillant pourrait également identifier les processus en cours d'exécution sur le système pour identifier les contre-mesures à éviter, telles que les logiciels antivirus ou les systèmes de détection d'intrusion.
Le paramètre **Performances du système de profil** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Retirer l'ordinateur de la station d'accueil
Ce paramètre de stratégie détermine si les utilisateurs d'ordinateurs portables peuvent cliquer sur **Éjecter le PC** dans le menu **Démarrer** pour retirer leur ordinateur de la station d'accueil. Toute personne qui dispose de ce droit d'utilisateur peut retirer son ordinateur portable de la station d'accueil.
Le paramètre **Retirer l'ordinateur de la station d'accueil** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est associé uniquement au groupe **Administrateurs** de l'environnement SSLF.
#### Remplacer un jeton au niveau des processus
Ce paramètre de stratégie détermine si un processus parent peut remplacer le jeton d’accès qui est associé à un processus enfant.
Le paramètre **Remplacer un jeton au niveau des processus** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, ce droit d'utilisateur est attribué uniquement aux comptes SERVICE et SERVICE RÉSEAU pour l'environnement SSLF.
#### Restaurer des fichiers et des répertoires
Ce paramètre de stratégie détermine les utilisateurs qui peuvent contourner les autorisations de fichier, de répertoire, de registre et autres autorisations d'objets persistantes lorsqu'ils restaurent les fichiers et les répertoires sauvegardés. Il détermine également quels utilisateurs peuvent définir une entité principale de sécurité comme propriétaire d'un objet.
Le paramètre **Restaurer des fichiers et des répertoires** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, seul le groupe **Administrateurs** bénéficie de ce droit d'utilisateur pour l'environnement SSLF. Les tâches de restauration de fichier sont généralement exécutées par les administrateurs ou les membres d'un autre groupe de sécurité bénéficiant de délégations spéciales, surtout pour les serveurs critiques et les contrôleurs de domaine.
#### Arrêter le système
Ce paramètre de stratégie désigne les utilisateurs connectés de façon locale qui peuvent éteindre le système d'exploitation avec la commande **Arrêter**. Dans la mesure où l'abus de cette fonctionnalité pourrait entraîner une condition de déni de service (DoS), la fonctionnalité d'arrêt des contrôleurs de domaine doit être limitée à un très petit nombre d'administrateurs de confiance. Même si un arrêt système exige la capacité à se connecter au serveur, soyez très vigilants sur les comptes et les groupes que vous autorisez à arrêter un contrôleur de domaine.
Le paramètre **Arrêter le système** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, seul le groupe **Administrateurs** bénéficie de ce droit d'utilisateur pour l'environnement SSLF.
#### Synchroniser des données du service d'annuaire
Ces paramètres de stratégie déterminent si un processus peut lire tous les objets et toutes les propriétés dans l'annuaire, sans tenir compte des paramètres de protection des objets et des propriétés. Ce droit utilisateur est requis pour utiliser les services de synchronisation d'annuaire LDAP (Dirsync).
Le paramètre **Synchroniser des données du service d'annuaire** est configuré par défaut sur **Non défini**, ce qui est suffisant pour les environnements LC et EC. Cependant, pour l'environnement SSLF, ces paramètres de stratégie sont configurés sur une valeur nulle ou vide, ce qui signifie qu'aucun groupe de sécurité ou compte n'aura ce droit d'utilisateur.
#### S'approprier les fichiers et les autres objets
Ce paramètre de stratégie détermine si les utilisateurs peuvent s'approprier tout objet sécurisable dans le réseau, comme des objets Active Directory, des fichiers du système de fichiers NTFS, et des dossiers, imprimantes, clés de Registre, processus et threads.
Le paramètre **S'approprier les fichiers et les autres objets** est configuré sur **Non défini** pour les environnements LC et EC. Cependant, vous devez limiter ce droit d'utilisateur au groupe **Administrateurs** local pour l'environnement SSLF.
[](#mainsection)[Haut de page](#mainsection)
### Options de sécurité
Les paramètres de stratégie de la section Options de sécurité de la stratégie de groupe sont utilisés pour activer ou désactiver des capacités et des fonctionnalités, telles que l'accès au lecteur de disquettes, au lecteur de CD-ROM et les invites d'ouverture de session. Ces paramètres de stratégie sont également utilisés pour configurer divers autres paramètres, tels que la signature numérique de données, les noms d'administrateur et de compte Invité et le fonctionnement des tâches d'installation de pilotes.
Vous pouvez configurer les paramètres de sécurité dans Windows Server 2003 avec SP1 à l'emplacement suivant, dans l'Éditeur d'objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\**
**Options de sécurité**
Les paramètres inclus dans cette section n'existent pas sur tous les types d'ordinateur. Par conséquent, les paramètres inclus dans la partie Options de sécurité de la stratégie de groupe définie dans cette section, devront peut-être être modifiés manuellement sur les ordinateurs qui contiennent ces paramètres afin de les activer.
Les sections suivantes fournissent des informations sur les options de sécurité MSBP recommandées pour les trois environnements qui sont définis dans ce guide. Pour un résumé des paramètres recommandés, consultez le classeur Microsoft Excel « Windows Server 2003 Security Guide Settings » (Paramètres du Guide de sécurité de Windows Server 2003) qui est inclus dans la version téléchargeable de ce guide. Pour consulter des informations sur la configuration par défaut et une explication détaillée des paramètres, consultez le guide compagnon, *Menaces et contre-mesures : Paramètres de sécurité dans Windows* *Server* *2003 et Windows* *XP*.
Les tableaux figurant dans les sections suivantes résument les paramètres recommandés pour les différents types de paramètres d'option de sécurité. Des informations détaillées sur les paramètres figurent dans les sous-sections qui suivent chaque tableau.
#### Paramètres de compte
**Tableau 4.12 Options de Sécurité : Recommandations relatives aux paramètres de compte**
| État de compte d'administrateur |
Non défini |
Non défini |
Activé |
| État de compte d'invité |
Désactivé |
Désactivé |
Désactivé |
| Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console |
Activé |
Activé |
Activé |
##### Comptes : État de compte d'administrateur
Ce paramètre de stratégie active ou désactive le compte Administrateur dans le cadre d'une exploitation standard. Lorsque vous démarrez un ordinateur en mode sécurisé, le compte administrateur est toujours activé, sans tenir compte de ce paramètre.
Le paramètre **Comptes : État de compte d'administrateur** est configuré sur **Non défini** pour les environnements LC et EC et sur **Activé** pour l'environnement SSLF.
##### Comptes : État de compte d'invité
Ce paramètre de stratégie détermine si le compte Invité est activé ou désactivé. Ce compte permet aux utilisateurs non authentifiés du réseau d'ouvrir une session en tant qu'Invité et ainsi d'accéder à l'ordinateur.
Le paramètre **Comptes : État de compte d'invité** est configuré sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console
Ce paramètre de stratégie détermine si les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour ouvrir des sessions à partir d'emplacements distants autres que la console des ordinateurs. Si ce paramètre de stratégie est activé, les comptes locaux associés à des mots de passe non vierges ne peuvent pas ouvrir de session à partir d'un client distant. Les comptes locaux non protégés par un mot de passe peuvent uniquement se connecter physiquement via le clavier de l'ordinateur.
Le paramètre **Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console** est configuré par défaut sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Paramètres d'audit
**Tableau 4.13 Options de Sécurité : Recommandations relatives aux paramètres d'audit**
| Auditer l'accès des objets système globaux |
Désactivé |
Désactivé |
Désactivé |
| Auditer l'utilisation des privilèges de sauvegarde et de restauration |
Désactivé |
Désactivé |
Désactivé |
| Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité |
Désactivé |
Désactivé |
Activé |
##### Audit : Auditer l'accès des objets système globaux
Ce paramètre de stratégie audite l'accès des objets système globaux lorsqu'il est en vigueur. Si les paramètres **Audit : Auditer l'accès des objets système globaux** et **Auditer l'accès aux objets** sont activés, un grand nombre d'événements d'audit sera généré.
Le paramètre **Audit : Auditer l'accès des objets système globaux** est configuré par défaut sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque**: Les modifications apportées à la configuration de paramètre de stratégie prennent effet après le redémarrage de Windows Server 2003.
##### Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration
Ce paramètre de stratégie détermine s'il convient d'auditer l'utilisation de tous les privilèges utilisateur, notamment Sauvegarder et Restaurer, lorsque le paramètre de stratégie **Auditer l'utilisation des privilèges** est en vigueur. L'activation de ce paramètre risque de générer un grand nombre d'événements de sécurité, ralentissant le temps de réponse des serveurs et forçant le journal des événements de sécurité à consigner de nombreux événements sans importance.
Par conséquent, le paramètre **Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration** est défini par défaut sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque**: Les modifications apportées à la configuration de paramètre de stratégie prennent effet après le redémarrage de Windows Server 2003.
##### Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Ce paramètre de stratégie détermine si le système s'arrête immédiatement s'il n'est pas capable de consigner les événements de sécurité.
La surcharge administrative requise pour activer le paramètre **Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité** dans les environnements LC et EC a été jugée trop élevée. Ainsi, ce paramètre de stratégie est configuré sur **Désactivé** dans la stratégie de base de ces environnements. Cependant, ce paramètre de stratégie est configuré sur **Activé** dans la stratégie de base de l'environnement SSLF, car la surcharge administrative supplémentaire a été jugée suffisante pour empêcher la suppression d'événements du journal de sécurité. Seuls les administrateurs sont alors habilités à supprimer ces événements.
#### Paramètres de périphériques
**Tableau 4.14 Options de Sécurité : Recommandations relatives aux paramètres de périphériques**
| Autoriser le retrait sans ouverture de session préalable |
Désactivé |
Désactivé |
Désactivé |
| Permettre le formatage et l'éjection des supports amovibles |
Administrateurs |
Administrateurs |
Administrateurs |
| Empêcher les utilisateurs d'installer des pilotes d'imprimante |
Activé |
Activé |
Activé |
| Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement |
Non défini |
Non défini |
Désactivé |
| Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement |
Non défini |
Non défini |
Désactivé |
| Comportement d'installation d'un pilote non signé |
Avertir, mais autoriser l’installation |
Avertir, mais autoriser l’installation |
Avertir, mais autoriser l’installation |
##### Périphériques : Autoriser le retrait sans ouverture de session préalable
Ce paramètre de stratégie détermine s'il est possible de retirer un ordinateur portable sans que l'utilisateur doive se connecter au système. Si ce paramètre est activé, il est inutile d'ouvrir une session et il est possible d'utiliser un bouton d'éjection physique externe pour retirer l'ordinateur. Si vous désactivez ce paramètre de stratégie, attribuez le droit **Retirer l'ordinateur de la station d'accueil** à tout utilisateur qui n'a pas ouvert de session.
Le paramètre **Périphériques : Autoriser le retrait sans ouverture de session préalable** est configuré sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Périphériques : Permettre le formatage et l'éjection des supports amovibles
Ce paramètre de stratégie identifie le ou les utilisateurs autorisés à formater et à éjecter des supports amovibles. Seuls les administrateurs doivent pouvoir éjecter des supports amovibles sur les serveurs.
Par conséquent, la valeur recommandée pour le paramètre **Périphériques : Permettre le formatage et l'éjection des supports amovibles** correspond à la valeur par défaut, **Administrateurs**, dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Périphériques : Empêcher les utilisateurs d'installer des pilotes d'imprimante
Pour qu'un ordinateur lance une impression sur une imprimante réseau, le pilote correspondant doit être installé. Si vous activez le paramètre **Périphériques : Empêcher les utilisateurs d'installer des pilotes d'imprimante**, seuls les utilisateurs des groupes **Administrateurs** ou **Utilisateurs avec pouvoir**, ou disposant de droits Opérateur de serveur sont autorisés à installer un pilote d'imprimante dans le cadre de l'ajout d'une imprimante réseau. Si vous désactivez ce paramètre de stratégie, tout utilisateur peut installer un pilote d'imprimante.
Le paramètre **Périphériques : Empêcher les utilisateurs d'installer des pilotes d'imprimante** est configuré sur sa valeur par défaut, **Activé**, dans la stratégie de base pour les trois environnements qui sont définis dans ce guide.
##### Périphériques : Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si un CD-ROM est accessible à la fois aux utilisateurs locaux et distants. Si vous activez ce paramètre de stratégie, seul l’utilisateur ayant ouvert une session de manière interactive peut accéder au lecteur de CD-ROM amovible. Si ce paramètre de stratégie est activé et personne n'est connecté de façon interactive, le CD-ROM est accessible sur le réseau.
Le paramètre **Périphériques : Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement** est configuré sur **Non défini** dans la stratégie de base des environnements LC et EC. Dans la stratégie de base de l'environnement SSLF, ce paramètre de stratégie est configuré sur **Désactivé**.
##### Périphériques : Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si un lecteur de disquettes est accessible à la fois aux utilisateurs locaux et distants. Si vous activez ce paramètre de stratégie, seul l’utilisateur ayant ouvert une session de manière interactive peut accéder à une disquette amovible. Si ce paramètre de stratégie est activé et personne n'est connecté de façon interactive, la disquette est accessible sur le réseau.
Le paramètre **Périphériques : Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement** est configuré sur **Non défini** dans la stratégie de base des environnements LC et EC. Dans la stratégie de base de l'environnement SSLF, ce paramètre de stratégie est configuré sur **Désactivé**.
##### Périphériques : Comportement d'installation d'un pilote non signé
Ce paramètre de stratégie détermine ce qui se passe en cas de tentative d'installation d'un pilote de périphérique (au moyen de l'API d'installation) qui n'a pas été approuvé et signé par les laboratoires Microsoft de contrôle qualité du matériel conçu pour Windows (WHQL). Selon sa configuration, ce paramètre de stratégie empêche l'installation de pilotes non signés ou avertit l'administrateur qu'un pilote non signé va être installé.
Le paramètre **Périphériques : Comportement d'installation d'un pilote non signé** permet d'empêcher l'installation de pilotes qui n'ont pas été certifiés pour s'exécuter sur Windows Server 2003 avec SP1. Cependant, ce paramètre de stratégie est configuré sur **Avertir, mais autoriser l'installation** dans la stratégie de base des trois environnements qui sont définis dans ce guide. L'un des problèmes potentiels de cette configuration est que ces scripts d'installation échouent lorsqu'ils tentent d'installer des pilotes non signés.
#### Paramètres de membre de domaine
**Tableau 4.15 Options de sécurité : Recommandations relatives aux membres de domaine**
| crypter ou signer numériquement les données des canaux sécurisés (toujours) |
Désactivé |
Activé |
Activé |
| crypter numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
Activé |
Activé |
| signer numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
Activé |
Activé |
| désactive les modifications de mot de passe du compte ordinateur |
Désactivé |
Désactivé |
Désactivé |
| âge maximal du mot de passe du compte ordinateur |
30 jours |
30 jours |
30 jours |
| nécessite une clé de session forte (Windows 2000, Windows XP ou Windows Server 2003) |
Activé |
Activé |
Activé |
##### Membre de domaine : Crypter ou signer numériquement les données des canaux sécurisés (toujours)
Ce paramètre de stratégie détermine si le trafic de tous les canaux sécurisés qui a été amorcé par le membre de domaine doit être signé ou chiffré. Si un ordinateur est configuré pour chiffrer ou signer systématiquement des données des canaux sécurisés, il ne peut pas mettre en place de canaux sécurisés avec un contrôleur de domaine non capable de signer ou de chiffrer tout le trafic des canaux sécurisés.
Le paramètre **Membre du domaine : Crypter ou signer numériquement les données des canaux sécurisés (toujours)** est configuré sur **Désactivé** dans la stratégie de base de l'environnement LC et sur **Activé** dans les environnements EC et SSLF.
**Remarque** : Pour tirer parti de ce paramètre d'option de sécurité sur les stations de travail et les serveurs membres, tous les contrôleurs de domaine qui constituent le domaine membre doivent exécuter Windows NT 4.0 avec le Service Pack 6a ou plus récent. En outre, ce paramètre n'est pas pris en charge dans les clients Windows 98 Deuxième édition, sauf si Dsclient est installé.
##### Membre de domaine : Crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre de domaine peut tenter de négocier le chiffrement de tous les canaux sécurisés qu'il amorce. Si vous activez ce paramètre de stratégie, le membre du domaine demande le chiffrement du trafic de tous les canaux sécurisés. Si vous désactivez ce paramètre de stratégie, le membre de domaine ne pourra pas négocier le chiffrement de canal sécurisé.
Par conséquent, le paramètre **Membre de domaine : Crypter numériquement les données des canaux sécurisés (si possible)** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Membre de domaine : Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre de domaine peut tenter de négocier la signature de tous les canaux sécurisés qu'il initie. L'exigence d'une signature protège le trafic contre les modifications par toute personne susceptible de capturer les données.
Par conséquent, le paramètre **Membre de domaine : Signer numériquement les données des canaux sécurisés (si possible)** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Membre de domaine : Désactiver les modifications de mot de passe du compte ordinateur
Ce paramètre de stratégie détermine si un membre du domaine peut changer périodiquement le mot de passe de son compte ordinateur. Si vous activez ce paramètre de stratégie, le membre du domaine ne pourra pas modifier son mot de passe de compte d'ordinateur. Si vous désactivez ce paramètre de stratégie, le membre du domaine peut modifier le mot de passe de son compte ordinateur comme spécifié par le paramètre **Membre de domaine : Âge maximal du mot de passe du compte ordinateur**, soit tous les 30 jours par défaut.
Les ordinateurs qui ne seraient plus capables de modifier automatiquement leurs mots de passe de compte pourraient faire l'objet d'une attaque par une personne qui aurait déterminé le mot de passe du compte de domaine de l'ordinateur. Par conséquent, le paramètre **Membre de domaine : Désactiver les modifications de mot de passe du compte ordinateur** est configuré sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Membre de domaine : Âge maximal du mot de passe du compte ordinateur
Ce paramètre de stratégie détermine l'âge maximal acceptable pour le mot de passe d'un compte ordinateur. Il s'applique également aux ordinateurs sur Windows 2000, mais n'est pas disponible via les outils du Gestionnaire de configuration de sécurité sur ces ordinateurs. Par défaut, les membres de domaine changent automatiquement leurs mots de passe de domaine tous les 30 jours. Si cette période est prolongée de façon significative ou si elle est définie sur 0 pour que les ordinateurs ne changent plus leur mot de passe, un utilisateur malveillant aura plus de temps pour entreprendre une attaque en force brute et deviner le mot de passe d'un compte ordinateur ou plus.
Par conséquent, le paramètre **Membre de domaine : Âge maximal du mot de passe du compte ordinateur** est configuré sur **30 jours** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Membre de domaine : Nécessite une clé de session forte (Windows 2000 ou version ultérieure)
Ce paramètre de stratégie détermine si la force de la clé 128 bits est requise pour les données chiffrées des canaux sécurisés. Si vous activez ce paramètre de stratégie, tout canal sécurisé devra appliquer le chiffrement de 128 bits. Si vous désactivez ce paramètre de stratégie, le membre de domaine doit négocier la force de la clé avec le contrôleur de domaine. Les clés de session utilisées pour établir les communications des canaux sécurisés entre les contrôleurs de domaine et les ordinateurs membres sont beaucoup plus fortes dans Windows 2000 que dans les systèmes d'exploitation Microsoft précédents.
Par conséquent, les trois environnements de sécurité décrits dans ce guide contiennent des contrôleurs de domaine Windows 2000 ou version ultérieure, le paramètre **Membre de domaine : Nécessite une clé de session forte (Windows 2000 ou ultérieur)** est configuré sur **Activé** dans la stratégie de base des trois environnements.
**Remarque** : Si vous activez ce paramètre de stratégie, vous ne pourrez plus intégrer les ordinateurs qui exécutent Windows 2000 dans les domaines Windows NT 4.0.
#### Paramètres d'ouverture de session interactive
**Tableau 4.16 Options de sécurité : Recommandations relatives aux paramètres d'ouverture de session interactive**
| afficher des données utilisateur lorsque la session est verrouillée |
Non défini |
Non défini |
l'utilisateur affiche le nom, le domaine et les noms d'utilisateur |
| ne pas afficher le dernier nom d'utilisateur |
Activé |
Activé |
Activé |
| ne pas demander la combinaison de touches CTRL+ALT+SUPPR |
Désactivé |
Désactivé |
Désactivé |
| contenu du message pour les utilisateurs essayant de se connecter |
(Consultez les personnes compétentes dans votre organisation.) |
(Consultez les personnes compétentes dans votre organisation.) |
(Consultez les personnes compétentes dans votre organisation.) |
| titre du message pour les utilisateurs essayant de se connecter |
(Consultez les personnes compétentes dans votre organisation.) |
(Consultez les personnes compétentes dans votre organisation.) |
(Consultez les personnes compétentes dans votre organisation.) |
| nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible) |
1 |
0 |
0 |
| prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire |
14 jours |
14 jours |
14 jours |
| nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail |
Activé |
Activé |
Activé |
| carte à puce nécessaire |
Non défini |
Non défini |
Désactivé |
| comportement lorsque la carte à puce est retirée |
Non défini |
Verrouiller la station de travail |
Verrouiller la station de travail |
##### Ouverture de session interactive : Afficher des données utilisateur lorsque la session est verrouillée
Ce paramètre de stratégie détermine si le nom du dernier utilisateur qui a ouvert une session sur l'ordinateur doit s'afficher dans l'écran d'ouverture de session de Windows de tous les ordinateurs de l'organisation. Si vous activez ce paramètre de stratégie, les intrus ne pourront pas collecter les noms de compte à partir des écrans des ordinateurs de bureau ou des ordinateurs portables de votre entreprise.
Le paramètre **Ouverture de session interactive : Afficher des données utilisateur lorsque la session est verrouillée** est configuré sur **Non défini** pour les environnements LC et EC. Il est configuré sur **L'utilisateur affiche le nom, le domaineet les noms d'utilisateur** dans la stratégie de serveur de base de l'environnement SSLF.
##### Ouverture de session interactive : Ne pas afficher le dernier nom d'utilisateur
Ce paramètre de stratégie détermine si le nom du dernier utilisateur qui a ouvert une session sur l'ordinateur doit s'afficher dans l'écran d'ouverture de session de Windows. Si vous activez ce paramètre de stratégie, le nom du dernier utilisateur connecté ne s'affiche pas dans la boîte de dialogue **Ouverture d'une session Windows**.
Le paramètre **Ouverture de session interactive : Ne pas afficher le dernier nom d'utilisateur** est configuré sur **Activé** dans la stratégie de serveur de base des trois environnements qui sont définis dans ce guide.
##### Ouverture de session interactive : Ne pas demander la combinaison de touches Ctrl+Alt+Suppr
Ce paramètre de stratégie détermine si un utilisateur doit appuyer sur Ctrl+Alt+Suppr avant d'ouvrir une session. Si vous désactivez ce paramètre de stratégie, tous les utilisateurs doivent appuyer sur Ctrl+Alt+Suppr avant d'ouvrir une session sur Windows (sauf s'ils utilisent une carte à puce pour l'ouverture de session Windows).
Le paramètre **Ouverture de session interactive : Ne pas demander la combinaison de touches Ctrl+Alt+Suppr** est configuré sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide pour réduire les risques d'interception des mots de passe utilisateur à l'aide d'un cheval de Troie.
##### Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie spécifie le message texte qui doit s'afficher lorsque les utilisateurs ouvrent une session. Ce texte est souvent utilisé à des fins légales, par exemple, pour prévenir les utilisateurs des conséquences que pourraient avoir pour eux un accès non autorisé, une utilisation abusive des informations de la société ou pour les avertir que leurs actions risquent d'être auditées.
Il est recommandé d'appliquer le paramètre de sécurité **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter**. Vous devez consulter les personnes compétentes au sein de votre organisation pour déterminer le contenu de ce texte.
**Remarque**: Les paramètres **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter** et **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter** doivent tous deux être activés pour bien fonctionner.
##### Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier un titre dans la barre de titre de la fenêtre d'ouverture de session interactive qui s'ouvre lorsque les utilisateurs se connectent au système. Ce paramètre de stratégie répond au même principe que le paramètre **Contenu du message pour les utilisateurs essayant de se connecter**.
Par conséquent, il est recommandé d'appliquer le paramètre de sécurité **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter**. Vous devez consulter les personnes compétentes au sein de votre entreprise pour déterminer le contenu de ce texte.
**Remarque**: Les paramètres **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter** et **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter** doivent tous deux être activés pour bien fonctionner.
##### Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible)
Ce paramètre de stratégie détermine si un utilisateur peut ouvrir une session sur un domaine Windows à l'aide des informations de compte se trouvant dans le cache. Les informations d'ouverture de session peuvent être placées dans le cache local. Ainsi, l'utilisateur peut toujours ouvrir une session, même si l'un des contrôleurs de domaine ne peut être contacté lors des connexions suivantes. Cela pourrait permettre aux utilisateurs d'ouvrir une session après la désactivation ou l'effacement de leur compte, dans la mesure où la station de travail ne contacte pas le contrôleur de domaine. Ce paramètre de stratégie détermine le nombre d'utilisateurs uniques pour lesquels les informations de connexion sont placées dans le cache local. Si vous configurez ce paramètre sur 0, le cache d'ouverture de session est désactivé.
Le paramètre **Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas ou le contrôleur de domaine ne serait pas disponible)** est configuré sur **0** dans la stratégie de base des environnements EC et SSLF. Dans l'environnement LC, ce paramètre est configuré sur **1** pour autoriser l'accès des clients légitimes lorsqu'ils ne peuvent pas contacter le contrôleur de domaine.
##### Ouverture de session interactive : Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
Ce paramètre de stratégie détermine combien de jours à l'avance les utilisateurs sont prévenus que leur mot de passe est sur le point d'expirer. La section « Stratégies de compte » du chapitre 3 recommande de configurer les mots de passe utilisateur de façon à ce qu'ils expirent périodiquement. Si les utilisateurs ne sont pas prévenus de l'expiration prochaine de leur mot de passe, ils risquent de ne pas en avoir conscience avant son expiration réelle, ce qui risque d'interférer avec leurs tâches quotidiennes. Les expirations imprévues bloquent également les connexions des utilisateurs distants qui dépendent d'un accès réseau à distance ou d'un réseau privé virtuel (VPN).
Par conséquent, le paramètre **Ouverture de session interactive : Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire** est configuré sur sa valeur par défaut, 14 jours, dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Ouverture de session interactive : Nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail
Pour les comptes de domaine, ce paramètre de stratégie détermine si un contrôleur de domaine doit être contacté pour déverrouiller un ordinateur. Ce paramètre de stratégie porte sur une vulnérabilité potentielle qui est similaire au paramètre suivant **Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas ou le contrôleur de domaine ne serait pas disponible)**. Un utilisateur pourrait débrancher le câble réseau du serveur, déverrouiller le serveur avec un ancien mot de passe et sans authentification.
Afin de prévenir cette situation, le paramètre **Ouverture de session interactive : Nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Important** : Ce paramètre de stratégie s'applique aux ordinateurs qui exécutent Windows 2000, Windows XP, et Windows Server 2003, mais n'est pas disponible par l'intermédiaire des outils Gestionnaire de configuration de sécurité des ordinateurs qui exécutent Windows 2000.
##### Ouverture de session interactive : Carte à puce nécessaire
Ce paramètre de stratégie force les utilisateurs à ouvrir une session sur un ordinateur à l'aide d'une carte à puce. Le fait de demander aux utilisateurs d'utiliser des mots de passe complexes et longs pour l'authentification renforce la sécurité, notamment s'ils doivent en changer régulièrement. Les risques de déduction du mot de passe utilisateur lors d'une attaque en force sont ainsi réduits. Cependant, il est difficile de demander aux utilisateurs de choisir des mots de passe forts, sachant que ces mots de passe sont eux-mêmes vulnérables aux attaques en force.
Le remplacement des mots de passe par des cartes à puce pour l'authentification renforce considérablement la sécurité, dans la mesure où cette technologie rend pratiquement impossible toute tentative d'usurpation d'identité. Les cartes à puce exigeant des numéros d'identification personnels (PIN) fournissent une authentification à deux facteurs : l'utilisateur doit posséder la carte à puce et connaître son numéro d'identification personnel. Tout utilisateur malveillant qui capturerait le trafic d'authentification entre l'ordinateur de l'utilisateur et le contrôleur du domaine aurait beaucoup de mal à le déchiffrer. En supposant qu'il y parvienne, lors de l'ouverture de session suivante de l'utilisateur sur le réseau, une nouvelle clé de session serait générée pour chiffrer le trafic entre l'utilisateur et le contrôleur.
Microsoft encourage les entreprises à adopter les cartes à puce ou toute autre technologie d'authentification forte. Cependant, vous ne devez activer le paramètre **Ouverture de session interactive : Carte à puce nécessaire** que si les cartes à puce ont déjà été déployées. Par conséquent, ce paramètre de stratégie est configuré sur **Non défini** dans la stratégie de base des environnements LC et EC. Cependant, ce paramètre de stratégie est configuré sur **Désactivé** dans la stratégie de base de l'environnement SSLF.
##### Ouverture de session interactive : Comportement lorsque la carte à puce est retirée
Ce paramètre de stratégie détermine l'action à effectuer lors du retrait de la carte à puce du lecteur de cartes d'un utilisateur connecté. Si vous configurez ce paramètre sur **Verrouiller la station de travail**, la station de travail est verrouillée lorsque la carte à puce est retirée, ce qui permet aux utilisateurs de quitter le site en emportant leur carte à puce. Si vous configurez ce paramètre sur **Forcer la fermeture de session**, l'utilisateur est déconnecté automatiquement lorsque la carte à puce est retirée.
Le paramètre **Ouverture de session interactive : Comportement lorsque la carte à puce est retirée** est configuré sur **Non défini** dans la stratégie de base de l'environnement LC et sur **Verrouiller la station de travail** pour les environnements EC et SSLF.
#### Paramètres du client réseau Microsoft
**Tableau 4.17 Options de sécurité : Recommandations relatives au client réseau Microsoft**
| signer numériquement les communications (toujours) |
Désactivé |
Activé |
Activé |
| signer numériquement les communications (lorsque le serveur l'accepte) |
Activé |
Activé |
Activé |
| envoyer un mot de passe non crypté aux serveurs SMB tierce partie |
Désactivé |
Désactivé |
Désactivé |
##### Client réseau Microsoft : Signer numériquement les communications (toujours)
Ce paramètre de stratégie détermine si la signature de paquet est requise par le composant client SMB. L'activation de ce paramètre empêche la communication entre le client réseau Microsoft et un serveur réseau Microsoft sauf si ce serveur accepte d'effectuer une signature de paquet SMB. Dans des environnements mixtes comportant des clients hérités, définissez cette option sur **Désactivé**, car ces clients ne peuvent pas s'authentifier ou accéder aux contrôleurs de domaine. Cependant, vous pouvez utiliser ce paramètre dans les environnements qui exécutent Windows 2000, Windows XP et Windows Server 2003. Les environnements EC et SSLF qui sont définis dans ce guide contiennent uniquement des ordinateurs qui exécutent ces systèmes d'exploitation. Ces systèmes prennent tous en charge les signatures numériques.
Par conséquent, pour accroître la sécurité des communications entre les systèmes de cet environnement, le paramètre **Client réseau Microsoft : Signer numériquement les communications (toujours)** est configuré sur **Activé** dans la stratégie de base des environnements EC et SSLF.
##### Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le client SMB va essayer de négocier la signature de paquet SMB. La mise en œuvre de signatures numériques dans les réseaux Windows permet d'empêcher le détournement des sessions. Si vous activez ce paramètre de stratégie, les clients réseau Microsoft des serveurs membres n'exigent une signature que si les serveurs avec lesquels ils communiquent acceptent les communications signées numériquement.
Par conséquent, le paramètre **Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Client réseau Microsoft : Envoyer un mot de passe non chiffré aux serveurs SMB tierce partie
Si vous activez ce paramètre de stratégie, le redirecteur SMB est autorisé à envoyer des mots de passe en clair aux serveurs, autres que SMB Microsoft, qui ne prennent pas en charge le chiffrement de mots de passe au cours de l'authentification.
Le paramètre **Client réseau Microsoft : Envoyer un mot de passe non chiffré aux serveurs SMB tierce partie** est configuré par défaut sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide, sauf si les exigences de l'application priment sur le besoin de maintenir des mots de passe secrets.
#### Paramètres de serveur réseau Microsoft
**Tableau 4.18 Options de sécurité : Recommandations relatives au serveur réseau Microsoft**
| durée d'inactivité avant la suspension d'une session |
15 minutes |
15 minutes |
15 minutes |
| signer numériquement les communications (toujours) |
Désactivé |
Activé |
Activé |
| signer numériquement les communications (lorsque le client l'accepte) |
Activé |
Activé |
Activé |
| déconnecter les clients à l'expiration du délai de la durée de session |
Activé |
Activé |
Activé |
##### Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session
Ce paramètre de stratégie détermine la durée d'inactivité d'une session SMB avant sa suspension. Les administrateurs peuvent utiliser ce paramètre de stratégie pour contrôler à quel moment un ordinateur suspend une session SMB inactive. Si l'activité du client reprend, la session est automatiquement rétablie.
Le paramètre **Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session** est configuré sur **15 minutes** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Serveur réseau Microsoft : Signer numériquement les communications (toujours)
Ce paramètre de stratégie détermine si la signature de paquet est requise par le composant serveur SMB avant toute communication avec un client SMB. Windows 2000 Server, Windows 2000 Professionnel, Windows Server 2003 et Windows XP Professionnel contiennent des versions de SMB qui prennent en charge une authentification mutuelle. Cela bloque les tentatives de piratage de session et prend en charge l'authentification de message (en évitant ainsi les attaques de type « man-in-the-middle » (attaque de l'intercepteur). La signature SMB fournit cette authentification en plaçant une signature numérique dans chaque paquet SMB. Cette signature est ensuite vérifiée par le client et le serveur. Lorsque les ordinateurs sont configurés pour ignorer toutes les communications SMB non signées, les systèmes d'exploitation et les applications héritées ne peuvent pas se connecter. Si la fonctionnalité de signature SMB est complètement désactivée, les ordinateurs sont vulnérables aux attaques de type détournement des sessions de communication.
Le paramètre **Serveur réseau Microsoft : Signer numériquement les communications (toujours)** est configuré sur **Désactivé** dans la stratégie de base de l'environnement LC et sur **Activé** pour les environnements de EC et SSLF.
##### Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)
Ce paramètre de stratégie détermine si le serveur SMB va essayer de négocier la signature de paquet SMB avec les clients qui l'exigent. Windows 2000 Server, Windows 2000 Professionnel, Windows Server 2003 et Windows XP Professionnel contiennent des versions de SMB qui prennent en charge une authentification mutuelle. Cela bloque les tentatives de piratage de session et prend en charge l'authentification de message (en évitant ainsi les attaques de type « man-in-the-middle » (attaque de l'intercepteur). La signature SMB fournit cette authentification en plaçant une signature numérique dans chaque paquet SMB. Cette signature est ensuite vérifiée par le client et le serveur. Lorsque les ordinateurs sont configurés pour ignorer toutes les communications SMB non signées, les systèmes d'exploitation et les applications héritées ne peuvent pas se connecter. Si la fonctionnalité de signature SMB est complètement désactivée, les ordinateurs sont vulnérables aux attaques de type détournement des sessions de communication.
Par conséquent, le paramètre **Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Serveur réseau Microsoft : Déconnecter les clients à l'expiration du délai de connexion
Ce paramètre de stratégie détermine s'il est nécessaire de déconnecter l'utilisateur du réseau hors des heures d'ouverture de session valides figurant dans son compte. Ce paramètre de stratégie affecte le composant SMB. Si votre organisation a configuré des heures de connexion pour les utilisateurs, il est recommandé d'activer ce paramètre de stratégie. Si ce n'est pas le cas, les utilisateurs qui ne doivent pas accéder aux ressources réseaux en dehors du temps imparti risqueraient de pouvoir continuer à accéder à ces dernières par l'intermédiaire de sessions établies pendant les heures autorisées.
Par conséquent, le paramètre **Serveur réseau Microsoft : Déconnecter les clients à l'expiration du délai de connexion** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Paramètres d'accès réseau
**Tableau 4.19 Options de sécurité : Recommandations relatives aux paramètres d'accès réseau**
| permet la traduction de noms/SID anonymes |
Non défini |
Non défini |
Désactivé |
| ne pas autoriser l'énumération anonyme des comptes SAM |
Activé |
Activé |
Activé |
| ne pas autoriser l'énumération anonyme des comptes et partages SAM |
Activé |
Activé |
Activé |
| ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau |
Activé |
Activé |
Activé |
| les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes |
Désactivé |
Désactivé |
Désactivé |
| les canaux nommés qui sont accessibles de manière anonyme |
Non défini |
Non défini |
COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, netlogon, lsarpc, samr, browser |
| les chemins de Registre accessibles à distance |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Applications serveur ;
Software\Microsoft\
Windows NT\Current
Version |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Applications serveur ;
Software\Microsoft\
Windows NT\Current
Version |
System\CurrentControlSet\Control\Product Options;
System\CurrentControlSet\Control\
Applications serveur ;
Software\Microsoft\
Windows NT\Current
Version |
| chemins et sous-chemins de Registre accessibles à distance |
(voir la sous-section suivante pour les informations de configuration) |
(voir la sous-section suivante pour les informations de configuration) |
(voir la sous-section suivante pour les informations de configuration) |
| limiter l'accès anonyme aux canaux nommés et aux partages |
Activé |
Activé |
Activé |
| les partages qui sont accessibles de manière anonyme |
Non défini |
Non défini |
Aucun |
| modèle de partage et de sécurité pour les comptes locaux |
Classique : Les utilisateurs locaux s'authentifient sous leur propre identité |
Classique : Les utilisateurs locaux s'authentifient sous leur propre identité |
Classique : Les utilisateurs locaux s'authentifient sous leur propre identité |
##### Accès réseau : Permettre la traduction de noms/SID anonymes
Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander les attributs SID d'un autre utilisateur. Lorsque ce paramètre de stratégie est activé, un utilisateur pourrait utiliser le SID du compte Administrateur, qui est facile à obtenir, pour identifier le nom réel de l'administrateur intégré, même si le compte a été renommé. Cette personne pourrait ensuite utiliser ce compte pour lancer une attaque de recherche de mot de passe.
Le paramètre **Accès réseau : Permettre la traduction de noms/SID anonymes** est configuré sur **Non défini** dans la stratégie de base des environnements LC et EC. Cependant, ce paramètre de stratégie est configuré sur **Désactivé** dans la stratégie de base de l'environnement SSLF.
##### Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM
Cette stratégie détermine les autorisations supplémentaires qui sont octroyées aux connexions anonymes à l'ordinateur. Windows autorise les utilisateurs anonymes à effectuer certaines activités, comme l'énumération des noms des comptes de domaine. Ceci est pratique, par exemple lorsqu'un administrateur veut accorder aux utilisateurs l'accès dans un domaine approuvé ne conservant pas une approbation réciproque. Toutefois, même lorsque ce paramètre est activé, les utilisateurs anonymes ont quand même accès à des ressources dotées de droits d'accès incluant explicitement le groupe intégré **ANONYMOUS LOGON**.
Le paramètre **Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Accès réseau : Ne pas autoriser l'énumération anonyme des comptes et partages SAM
Ce paramètre de stratégie détermine si l'énumération anonyme des comptes et des partages SAM est autorisée.
Le paramètre **Accès réseau : Ne pas autoriser l'énumération anonyme des comptes et partages SAM** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Accès réseau : Ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau
Ce paramètre de stratégie détermine si les paramètres de **Noms et mots de passe utilisateur enregistrés** permettent d'enregistrer les mots de passe, les informations d'identification ou les passeports Microsoft .NET pour une utilisation ultérieure après obtention de l'authentification au domaine.
Le paramètre **Accès réseau : Ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau** est configuré sur **Activé** dans la stratégie de base des trois environnements de sécurité qui sont définis dans ce guide.
**Remarque**: Les modifications apportées à la configuration de ce paramètre de stratégie prennent effet après le redémarrage de Windows.
##### Accès réseau : Les autorisations Tout le monde s'appliquent aux utilisateurs anonymes
Ce paramètre de stratégie détermine les autorisations supplémentaires qui sont octroyées pour les connexions anonymes à l'ordinateur. Ce paramètre de stratégie autorise les utilisateurs anonymes à effectuer certaines activités, comme l'énumération des noms des comptes de domaine et les partages réseau. Un utilisateur non autorisé pourrait lister de façon anonyme les noms de compte et les ressources partagées, puis utiliser ces informations pour deviner les mots de passe ou réaliser des attaques d'ingénierie sociale.
Par conséquent, le paramètre **Accès réseau : Les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes** est configuré sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque** : Les domaines pour lesquels ce paramètre de stratégie est activé ne pourront pas établir ou maintenir des relations de confiance avec des domaines ou des contrôleurs de domaine Windows NT 4.0.
##### Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les sessions de communication (canaux nommés) qui disposeront d'attributs et d'autorisations permettant un accès anonyme.
Vous devez appliquer les valeurs par défaut du paramètre **Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme** dans l'environnement SSLF. Les valeurs par défaut incluent les canaux nommés suivants :
- COMNAP : Accès à la session SNA
- COMNODE : Accès à la session SNA
- SQL\\QUERY : Accès aux instances SQL
- SPOOLSS : Service de spouleur
- LLSRPC : Service d'enregistrement de licences
- Netlogon : Service Ouverture de session réseau
- Lsarpc : Accès au LSA
- Samr : Accès au SAM
- browser : Service Explorateur d'ordinateur
**Important**: Si vous devez activer ce paramètre de stratégie, ajoutez uniquement les canaux nommés nécessaires à la prise en charge des applications dans votre environnement. Comme pour tous les paramètres recommandés dans ce guide, vous devez tester soigneusement ce paramètre de stratégie avant de le déployer dans un environnement de production.
##### Accès réseau : Les chemins de registre accessibles à distance
Ce paramètre de stratégie détermine les chemins de Registre qui sont accessibles par l'intermédiaire du réseau.
Le paramètre **Accès réseau : Chemins de Registre accessibles à distance** est configuré sur sa valeur par défaut dans les modèles de sécurité de base des trois environnements de sécurité qui sont définis dans ce guide.
**Remarque**: Même si ce paramètre de stratégie est défini, vous devez également démarrer le service système d'accès à distance au Registre si les utilisateurs autorisés doivent pouvoir accéder au Registre sur le réseau.
##### Accès réseau : Chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de stratégie détermine les chemins et sous-chemins de Registre qui sont accessibles par l'intermédiaire du réseau.
Les valeurs par défaut du paramètre **Accès réseau : Chemins et sous-chemins de Registre accessibles à distance** s'appliquent dans les modèles de sécurité de base des trois environnements de sécurité qui sont définis dans ce guide. Les valeurs par défaut reprennent les chemins et les sous-chemins suivants :
- System\\CurrentControlSet\\Control\\Print\\Printers
- System\\CurrentControlSet\\Services\\Eventlog
- Software\\Microsoft\\OLAP Server
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Print
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
- System\\CurrentControlSet\\Control\\ContentIndex
- System\\CurrentControlSet\\Control\\Terminal Server
- System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig
- System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration
- Software\\Microsoft\\Windows NT\\CurrentVersion\\Perflib
- System\\CurrentControlSet\\Services\\SysmonLog
##### Accès réseau : Limiter l'accès anonyme aux canaux nommés et aux partages
Ce paramètre de stratégie peut être utilisé pour limiter l'accès anonyme aux canaux nommés et aux partages des paramètres suivants :
- **Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme**
- **Accès réseau : Les partages qui sont accessibles de manière anonyme**
Le paramètre **Accès réseau : Limiter l'accès anonyme aux canaux nommés et aux partages** est configuré par défaut sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Accès réseau : Les partages qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les partages réseau qui sont accessibles par les utilisateurs anonymes. La valeur par défaut de ce paramètre a peu d'impact dans la mesure où tous les utilisateurs doivent être authentifiés avant de pouvoir accéder à des ressources partagées sur le serveur.
Le paramètre **Accès réseau : Limiter l'accès anonyme aux canaux nommés et aux partages** est configuré sur **Non défini** pour les environnements LC et EC et sur **Aucun** dans l'environnement SSLF.
**Remarque**: L'activation de ce paramètre de stratégie est très dangereuse, dans la mesure où tout utilisateur du réseau peut accéder à tous les partages répertoriés. Les données sensibles pourraient être exposées ou corrompues si ce paramètre de stratégie était activé.
##### Accès réseau : Modèle de partage et de sécurité pour les comptes locaux
Ce paramètre de stratégie détermine comment authentifier les connexions réseau qui utilisent des comptes locaux. La configuration **Classique** permet de contrôler précisément l'accès aux ressources et permet d'accorder à différents utilisateurs différents types d'accès à une même ressource. Le paramètre **Invité seul** permet de traiter tous les utilisateurs de la même façon. Dans ce contexte, tous les utilisateurs s'authentifient comme **Invité seul** pour recevoir le même niveau d'accès à une ressource donnée.
Le paramètre **Accès réseau : Modèle de partage et de sécurité pour les comptes locaux** est configuré par défaut sur **Classique** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Paramètres de sécurité réseau
**Tableau 4.20 Options de sécurité : Recommandations relatives aux paramètres de sécurité réseau**
| ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe |
Activé |
Activé |
Activé |
| niveau d'authentification Lan Manager |
Envoyer uniquement les réponses NTLMv2 |
Envoyer uniquement les réponses NTLMv2\refuser LM |
Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM |
| conditions requises pour la signature de client LDAP |
Négociation des signatures |
Négociation des signatures |
Négociation des signatures |
| sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) |
Pas de minimum |
Activation de tous les paramètres |
Activation de tous les paramètres |
| sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) |
Pas de minimum |
Activation de tous les paramètres |
Activation de tous les paramètres |
##### Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe
Ce paramètre de stratégie détermine si la valeur de hachage de LAN Manager (LM) pour le nouveau mot de passe est enregistrée lorsque le mot de passe est modifié. Le hachage LAN Manager est relativement faible et sujet aux attaques, comparé à celui de Windows NT, qui est plus fort d'un point de vue cryptographique.
Par conséquent, le paramètre **Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau LAN Manager lors de la prochaine modification du mot de passe** est configuré sur **Activé** dans la stratégie de base des trois environnements de sécurité qui sont définis dans ce guide.
**Remarque**: Lorsque ce paramètre est activé, il se peut que de très anciens systèmes d'exploitation hérités et certaines applications échouent. En outre, après avoir activé ce paramètre, vous devrez changer le mot de passe de tous les comptes.
##### Sécurité réseau : Niveau d'authentification Lan Manager
Ce paramètre de stratégie détermine le protocole d'authentification de stimulation/réponse utilisé pour les ouvertures de session réseau. Ce choix a un impact sur le niveau du protocole d'authentification utilisé par les clients, le niveau de sécurité négocié et le niveau d'authentification accepté par les serveurs, comme indiqué ci-après. Les chiffres figurant dans le tableau suivant correspondent aux paramètres de la valeur de registre **LMCompatibilityLevel**.
**Tableau 4.21 Paramètres de la valeur de registre LMCompatibilityLevel**
| 0 |
Les clients utilisent l'authentification LAN Manager et NTLM et n'ont jamais recours à la sécurité de session NTLMv2. |
| 1 |
Les clients utilisent l'authentification LAN Manager et NTLM ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. |
| 2 |
Les clients appliquent l'authentification NTLM uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. |
| 3 |
Les clients appliquent l'authentification NTLMv2 uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. |
| 4 |
Les clients appliquent l'authentification NTLM uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Le contrôleur de domaine refuse l'authentification LAN Manager. |
| 5 |
Les clients appliquent l'authentification NTLMv2 uniquement, ainsi que la sécurité de session NTLMv2 si le serveur la prend en charge. Le contrôleur de domaine refuse l'authentification LAN Manager et NTLM et accepte uniquement NTLMv2. |
Vous devez configurer ce paramètre sur le niveau le plus élevé autorisé par votre environnement, selon les indications suivantes :
Dans un environnement qui inclut uniquement Windows NT 4.0 SP4, Windows 2000 et Windows XP Professionnel, configurez ce paramètre de stratégie sur **Envoyer uniquement les réponses NTLMv2\\refuser LM et NTLM** sur tous les clients, puis sur **Envoyer uniquement les réponses NTLMv2\\refuser LM et NTLM** sur tous les serveurs une fois que l'ensemble des clients ont été configurés. Exception à cette recommandation : les serveurs de routage et d'accès distant Windows Server 2003, qui ne fonctionnent pas correctement si ce paramètre est défini sur une valeur supérieure à **Envoyer uniquement les réponses NTLMv2\\refuser LM**.
L'environnement EC peut avoir à prendre en charge les serveurs de routage et d'accès distant. Par conséquent, le paramètre **Sécurité réseau : Niveau d'authentification de LAN Manager** de cet environnement est configuré sur **Envoyer uniquement les réponses NTLMv2\\refuser LM** dans la stratégie de base. Les serveurs de routage et d'accès distant ne sont pas pris en charge dans l'environnement SSLF. Par conséquent, le paramètre de stratégie de cet environnement est configuré sur **Envoyer uniquement les réponses NTLMv2\\refuser LM et NTLM**.
Si vous disposez de clients Windows 9x sur lesquels installer DSClient, configurez ce paramètre de stratégie sur **Envoyer uniquement les réponses NTLMv2\\refuser LM et NTLM** pour les ordinateurs qui exécutent Windows NT (Windows NT, Windows 2000 et Windows XP Professionnel). Sinon, ce paramètre de stratégie doit être configuré tout au plus sur **Envoyer des réponses NTLM version 2 uniquement** dans la stratégie de base des ordinateurs qui n'exécutent pas Windows 9x, ce qui correspond à la configuration des paramètres dans l'environnement LC.
Si vous trouvez des applications qui s'interrompent lorsque ce paramètre de stratégie est activé, revenez en arrière, étape par étape, pour découvrir la cause de l'incident. Vous devez configurer ce paramètre de stratégie au moins sur **Envoyer LM et NTLM - utiliser la sécurité de session NTLM version 2 si négociée** dans la stratégie de base de tous les ordinateurs. De manière générale, vous pouvez le configurer sur **Envoyer des réponses NTLM version 2 uniquement** pour tous les ordinateurs de l'environnement.
##### Sécurité réseau : Conditions requises pour la signature de client LDAP
Ce paramètre de stratégie détermine le niveau de signature des données qui est demandé pour le compte des clients émettant des requêtes LDAP BIND. Le trafic réseau non signé est susceptible de faire l'objet d'attaques de type « man in the middle » (attaque de l'intercepteur). Dans le cas d'un serveur LDAP, ceci signifie qu'un agresseur pourrait pousser un serveur à prendre des décisions sur la base de requêtes erronées provenant du client LDAP.
Par conséquent, le paramètre **Sécurité réseau : Conditions requises pour la signature de client LDAP** est configuré sur **Négociation des signatures** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Sécurité réseau : Sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Ces paramètre de stratégie permet à un client de demander la négociation de la confidentialité des messages (chiffrement), la signature de messages, le chiffrement 128 bits ou la sécurité de session NTLM version 2 (NTLMv2). Sélectionnez le niveau de sécurité le plus élevé possible pour ce paramètre de sécurité, sans pour autant entraver le fonctionnement des applications du réseau. Une configuration adéquate de ce paramètre de stratégie assure que le trafic réseau provenant de serveurs basés sur NTLM SSP est protégé contre les attaques de données du type « man-in-the-middle » (attaque de l'intercepteur) et contre l'exposition des données.
Le paramètre **Sécurité réseau : Sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)** est configuré sur **Aucun minimum** dans la stratégie de base de l'environnement LC. Tous les paramètres sont activés pour les environnements EC et SSLF.
##### Sécurité réseau : Sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie permet à un serveur de demander la négociation de la confidentialité des messages (chiffrement), l'intégrité des messages, le chiffrement 128 bits ou la sécurité de session NTLMv2. Sélectionnez le niveau de sécurité le plus élevé possible pour ce paramètre de sécurité, sans pour autant entraver le fonctionnement des applications du réseau. Comme pour le paramètre de stratégie précédent, une configuration adéquate de ce paramètre de stratégie assure que le trafic réseau provenant de clients basés sur NTLM SSP est protégé contre les attaques de données de type « man-in-the-middle » (attaque de l'intercepteur) et contre l'exposition des données.
Le paramètre **Sécurité réseau : Sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)** est configuré sur **Aucun minimum** dans la stratégie de base de l'environnement LC. Tous les paramètres sont activés pour les environnements EC et SSLF.
#### Paramètres de la console de récupération
**Tableau 4.22 Options de sécurité : Recommandations relatives aux paramètres de la console de récupération**
| autoriser l'ouverture de session d'administration automatique |
Désactivé |
Désactivé |
Désactivé |
| autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers |
Activé |
Activé |
Désactivé |
##### Console de récupération : Autoriser l'ouverture de session d'administration automatique
Ce paramètre de stratégie détermine si le mot de passe du compte Administrateur doit être entré avant d'autoriser l'accès à l'ordinateur. Si ce paramètre de stratégie est activé, il n'est pas nécessaire de fournir un mot de passe et la console de récupération ouvre automatiquement une session sur l'ordinateur. La console de récupération peut être très utile lorsque vous êtes confronté à des ordinateurs qui ont des problèmes de démarrage. Cependant, l'activation de ce paramètre peut avoir des effets indésirables, dans la mesure où n'importe qui pourrait accéder au serveur, le débrancher, le redémarrer, sélectionner **Recover Console** dans le menu **Restart** et prendre le contrôle du serveur.
Par conséquent, le paramètre **Console de récupération : Autoriser l'ouverture de session d'administration automatique** est configuré par défaut sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide. Pour utiliser la console de récupération lorsque ce paramètre est désactivé, l'utilisateur doit entrer un nom d'utilisateur et un mot de passe pour accéder au compte Console de récupération.
##### Console de récupération : Autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Vous pouvez activer ce paramètre de stratégie qui rend disponible la commande **SET** de la console de récupération et permet de définir les variables d'environnement suivantes :
- **AllowWildCards**. permet la prise en charge des caractères génériques pour certaines commandes (comme la commande SUPPR).
- **AllowAllPaths**. permet d'accéder à tous les fichiers et dossiers de l'ordinateur.
- **AllowRemovableMedia**. autorise la copie des fichiers sur un support amovible, comme une disquette.
- **NoCopyPrompt**. n'avertit pas du remplacement d'un fichier existant.
Pour une sécurité maximale, le paramètre **Console de récupération : Autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers** est configuré sur **Désactivé** dans la stratégie de base de l'environnement SSLF. Cependant, ce paramètre de stratégie est configuré sur **Activé** pour les environnements LC et EC.
#### Paramètres d'arrêt
**Tableau 4.23 Options de Sécurité : Recommandations relatives aux paramètres d'arrêt**
| permet au système d'être arrêté sans avoir à se connecter |
Désactivé |
Désactivé |
Désactivé |
| créer un fichier d’échange de mémoire virtuelle |
Désactivé |
Désactivé |
Désactivé |
##### Arrêt : Permet au système d'être arrêté sans avoir à se connecter
Ce paramètre de stratégie détermine si un ordinateur peut être arrêté par un utilisateur qui n'est pas tenu d'ouvrir une session sur le système d'exploitation Windows. Les utilisateurs qui peuvent accéder à la console pourraient arrêter le système. Un utilisateur malveillant ou un utilisateur induit en erreur pourrait alors se connecter au serveur via les services Terminal Server et arrêter ou redémarrer le système sans avoir à s'identifier.
Par conséquent, le paramètre **Arrêt : Permet au système d'être arrêté sans avoir à se connecter** est configuré par défaut sur **Désactivé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Arrêt : Efface le fichier d'échange de mémoire virtuelle
Ce paramètre de stratégie détermine si le fichier d'échange de mémoire virtuelle doit être effacé lors de l'arrêt de l'ordinateur. Lorsque ce paramètre de stratégie est activé, le fichier d'échange système est effacé à chaque arrêt normal de l'ordinateur. Si vous activez ce paramètre de stratégie, le fichier de mise en veille prolongée (Hiberfil.sys) est également remis à zéro lorsque la mise en veille est désactivée sur un ordinateur portable. Les arrêts et redémarrages de serveur prennent plus de temps et deviennent perceptibles sur les serveurs comportant des fichiers volumineux d'échange de mémoire virtuelle.
Par conséquent, le paramètre **Arrêt : Efface le fichier d'échange de mémoire virtuelle** est configuré sur **Désactivé** dans les trois environnements qui sont définis dans ce guide.
**Remarque** : Tout utilisateur malveillant qui disposerait d'un accès physique au serveur pourrait simplement débrancher le serveur de sa source d'alimentation pour contourner cette contre-mesure.
#### Paramètres de cryptographie système
**Tableau 4.24 Options de sécurité : Recommandations relatives aux paramètres de cryptographie système**
| force une protection forte des clés utilisateur enregistrées sur l'ordinateur |
L'utilisateur doit entrer un mot de passe à la première utilisation de la clé |
L'utilisateur doit entrer un mot de passe à la première utilisation de la clé |
L'utilisateur doit entrer un mot de passe à la première utilisation de la clé |
| utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature |
Désactivé |
Désactivé |
Activé |
##### Cryptographie système : Force une protection forte des clés utilisateur enregistrées sur l'ordinateur
Ce paramètre de stratégie détermine si les clés privées des utilisateurs, telles que leurs clés S-MIME, requièrent l'utilisation d'un mot de passe. Configurez ce paramètre de stratégie de sorte que les utilisateurs doivent fournir un mot de passe, différent de leur mot de passe de domaine, à chaque utilisation d'une clé, afin de limiter les attaques sur les clés utilisateur stockées localement, même si l'utilisateur malveillant parvenait à déterminer les mots de passe d'ouverture de session.
Pour les besoins d'utilisation dans les environnements LC et EC, le paramètre **Cryptographie système : Force une protection forte des clés utilisateur enregistrées sur l'ordinateur** est configuré sur **L'utilisateur doit entrer un mot de passe à la première utilisation de la clé** dans la stratégie de base. Pour plus de sécurité, ce paramètre de stratégie est configuré sur **L'utilisateur doit entrer un mot de passe à la première utilisation de la clé** dans l'environnement SSLF.
##### Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Ce paramètre de stratégie détermine si le fournisseur de sécurité TLS/SSL (Transport Layer Security/Secure Sockets Layer) prend uniquement en charge la suite de chiffrement TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA. Ce paramètre de stratégie renforce la sécurité, cependant la plupart des sites Web publics sécurisés avec TLS ou SSL ne prennent pas en charge ces algorithmes. De nombreux ordinateurs clients ne sont pas configurés pour prendre en charge ces algorithmes.
Par conséquent, le paramètre **Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage,** **le hachageet la signature** est configuré sur **Désactivé** dans la stratégie de base des environnements LC et EC. Ce paramètre de stratégie est configuré sur **Activé** pour l'environnement SSLF.
#### Paramètres d'objets système
**Tableau 4.25 Options de sécurité : Recommandations relatives aux paramètres d'objets système**
| propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs |
Créateur d'objet |
Créateur d'objet |
Créateur d'objet |
| les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-système autres que Windows |
Activé |
Activé |
Activé |
| renforcer les autorisations par défaut des objets système internes (comme les liens de symboles) |
Activé |
Activé |
Activé |
##### Objets système : Propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs
Ce paramètre de stratégie détermine si le groupe **Administrateurs** ou un créateur d'objet est le propriétaire par défaut des objets système qui sont créés. Lorsque des objets système sont créés, leur appartenance indique quel compte les a créés de façon plus précise que le groupe **Administrateurs**, qui ne donne qu'une indication générale.
Le paramètre **Objets système : Propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs** est configuré sur **Créateur d’objet** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Objets système : Les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Ce paramètre de stratégie détermine si le non-respect de la casse est activé pour tous les sous-systèmes. Le sous-système Microsoft Win32® ne fait pas la distinction entre les majuscules et les minuscules. Toutefois, le noyau prend en charge le respect des majuscules/minuscules pour les autres sous-systèmes, comme POSIX (Portable Operating System Interface for UNIX). Dans la mesure où Windows ne fait pas la distinction majuscules/minuscules (mais que le sous-système POSIX la prend en charge), si ce paramètre n'était pas activé, un utilisateur de POSIX pourrait créer un ficher du même nom qu'un autre fichier en mélangeant les majuscules et les minuscules. Cette action risque de bloquer l'accès d'un autre utilisateur à ces fichiers avec des outils Win32 standard, car un seul de ces fichiers sera disponible.
Afin d'assurer la cohérence des noms de fichier, le paramètre **System objects: Require case insensitivity for non-Windows subsystems** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Objets système : Renforcer les autorisations par défaut des objets système internes (comme les liens de symboles)
Ce paramètre de stratégie détermine la force de la liste DACL par défaut pour les objets et permet de sécuriser les objets qui peuvent être localisés et partagés entre des processus. Pour renforcer la liste DACL, vous pouvez appliquer la valeur par défaut, **Activé**, ce qui permet aux utilisateurs qui ne sont pas administrateurs de lire les objets partagés, mais pas de les modifier s'ils n'en sont pas les créateurs.
Le paramètre **Objets système : Renforcer les autorisations par défaut des objets système internes (comme les liens de symboles)** est configuré par défaut sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Paramètres système
**Tableau 4.26 Options de Sécurité : Recommandations relatives aux paramètres système**
| Paramètres système : Sous-systèmes facultatifs |
Aucun |
Aucun |
Aucun |
| Paramètres systèmes : Appliquez les règles de certificat des exécutables Windows pour les stratégies de restriction logicielle |
Non défini |
Désactivé |
Activé |
##### Paramètres système : Sous-systèmes facultatifs
Ce paramètre de stratégie identifie les sous-systèmes qui doivent prendre en charge les applications de votre environnement. La valeur par défaut de ce paramètre dans Windows Server 2003 est **POSIX**.
Afin de désactiver le sous-système POSIX, le paramètre **Paramètres système : Sous-systèmes facultatifs** est configuré sur **Aucun** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
##### Paramètres systèmes : Appliquez les règles de certificat des exécutables Windows pour les stratégies de restriction logicielle
Ce paramètre de stratégie détermine si les certificats numériques sont traités lorsqu'un utilisateur ou un processus tente d'exécuter des logiciels comportant l'extension .exe. Il active ou désactive les règles de certificat (un type de règle de stratégies de restriction logicielle). Grâce aux stratégies de restriction, vous pouvez créer une règle de certificat qui autorise ou non l'exécution de logiciels signés par la technologie Microsoft Authenticode®, en fonction du certificat numérique qui leur est associé. Pour que les règles de certificat prennent effet dans les stratégies de restriction logicielle, vous devez activer ce paramètre de stratégie.
Le paramètre **Paramètres systèmes : Appliquer les règles de certificat des exécutables Windows pour les stratégies de restriction logicielle** est configuré sur **Activé** dans l'environnement SSLF. Cependant, il est configuré sur **Désactivé** dans l'environnement EC et sur **Non défini** dans l'environnement LC à cause du risque d'impact sur les performances.
[](#mainsection)[Haut de page](#mainsection)
### Journal d’événements
Ce journal enregistre les événements de l'ordinateur et le journal de sécurité enregistre les événements d'audit. Le conteneur du journal des événements de la stratégie de groupe permet de définir les attributs associés aux journaux des événements relatifs aux applications, à la sécurité et au système, notamment la taille maximale des journaux, les droits d'accès à chaque journal, ainsi que les paramètres et les méthodes appliqués à la durée du stockage. Les paramètres des journaux des événements relatifs aux applications, à la sécurité et au système sont configurés dans la stratégie MSBP et appliqués à tous les serveurs membres du domaine.
Vous pouvez configurer les paramètres du journal d'événements dans Windows Server 2003 avec SP1 à l'emplacement suivant, dans l'Éditeur d'objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Journal d'événements**
Cette section fournit des informations détaillées sur les paramètres d'attribution du journal d'événements MSBP pour les trois environnements qui sont définis dans ce guide. Pour un résumé des paramètres recommandés dans cette section, consultez le classeur Microsoft Excel « Windows Server 2003 Security Guide Settings » (Paramètres du Guide de sécurité de Windows Server 2003) qui est disponible dans la version téléchargeable de ce guide. Pour plus d'informations sur les paramètres par défaut et une explication détaillée des paramètres qui sont abordés dans ce chapitre, consultez le guide compagnon, *Menaces et contre-mesures : Paramètres de sécurité dans Windows* *Server* *2003 et Windows* *XP*, qui est disponible à l'adresse [http://go.microsoft.com/fwlink/?LinkId=15159](http://go.microsoft.com/fwlink/?linkid=15159).
Le tableau suivant récapitule les recommandations relatives aux paramètres du journal d'événements pour les trois environnements qui sont définis dans ce guide. Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 4.27 Recommandations relatives aux paramètres du journal d'événements**
| Taille maximale du journal des applications |
16 384 Ko |
16 384 Ko |
16 384 Ko |
| Taille maximale du journal de sécurité |
81 920 KB |
81 920 KB |
81 920 KB |
| Taille maximale du journal système |
16 384 Ko |
16 384 Ko |
16 384 Ko |
| Interdire au groupe local Invité l'accès au journal des applications |
Activé |
Activé |
Activé |
| Empêcher le groupe d'invités locaux d'accéder au journal de sécurité |
Activé |
Activé |
Activé |
| Empêcher le groupe d'invités locaux d'accéder au journal système |
Activé |
Activé |
Activé |
| Méthode de conservation du journal des applications |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
| Méthode de conservation du journal de sécurité |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
| Méthode de conservation du journal système |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
#### Taille maximale du journal des applications
Ce paramètre de stratégie indique la taille maximale du journal d'événements de l'application, dont la capacité maximale est de 4 Go. Cependant, cette taille n'est pas recommandée en raison du risque de fragmentation de la mémoire, qui provoque un ralentissement des performances et une consignation des événements peu fiable. Les exigences en matière de taille du journal des applications varient selon la fonction de la plate-forme et le besoin en enregistrements historiques d'événements liés à l'application.
Le paramètre **Taille maximale du journal des applications** est configuré par défaut sur **16 384 Ko** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Taille maximale du journal de sécurité
Ce paramètre de stratégie indique la taille maximale du journal d'événements de sécurité, dont la capacité maximale est de 4 Go. Vous devez configurer le journal de sécurité sur une valeur d'au moins 80 Mo sur les contrôleurs de domaine et les serveurs autonomes. Cela devrait permettre d'enregistrer suffisamment d'informations pour effectuer des audits. La configuration de ce paramètre de stratégie pour les autres ordinateurs dépend de certains facteurs : fréquence de consultation du journal, espace disque disponible, etc.
Le paramètre **Taille maximale du journal de sécurité** est configuré par défaut sur **81 920 Ko** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Taille maximale du journal système
Ce paramètre de stratégie indique la taille maximale du journal d'événements système, dont la capacité maximale est de 4 Go. Cependant, cette taille n'est pas recommandée en raison du risque de fragmentation de la mémoire, qui provoque un ralentissement des performances et une consignation des événements peu fiable. Les exigences en matière de taille du journal système varient selon la fonction de la plate-forme et le besoin d'enregistrements historiques.
Le paramètre **Taille maximale du journal système** est configuré par défaut sur **16 384 Ko** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Interdire au groupe local Invité l'accès au journal des applications
Ce paramètre de stratégie détermine si l'accès au journal des événements d'application est refusé aux invités. Par défaut, sous Windows Server 2003, l'accès des invités est refusé sur tous les ordinateurs. Donc, ce paramètre de stratégie n'a pas d'effet réel sur les ordinateurs appliquant les configurations par défaut.
Dans la mesure où ce paramètre est considéré comme un paramètre de défense avancé sans effets secondaires, le paramètre **Interdire au groupe local Invité l'accès au journal des applications** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque**: Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
#### Empêcher le groupe d'invités locaux d'accéder au journal de sécurité
Ce paramètre de stratégie détermine si l'accès au journal des événements de sécurité est refusé aux invités. Un utilisateur doit posséder le droit d'utilisateur **Gérer le journal d'audit et de sécurité**, qui n'est pas défini dans ce guide, pour accéder au journal de sécurité. Donc, ce paramètre de stratégie n'a pas d'effet réel sur les ordinateurs appliquant les configurations par défaut.
Dans la mesure où ce paramètre est considéré comme un paramètre de défense avancé sans effets secondaires, le paramètre **Empêcher le groupe d'invités locaux d'accéder au journal de sécurité** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque**: Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
#### Empêcher le groupe d'invités locaux d'accéder au journal système
Ce paramètre de stratégie détermine si l'accès au journal des événements système est refusé aux invités. Par défaut, sous Windows Server 2003, l'accès des invités est refusé sur tous les ordinateurs. Donc, ce paramètre de stratégie n'a pas d'effet réel sur les ordinateurs appliquant les configurations par défaut.
Dans la mesure où ce paramètre est considéré comme une mesure de défense avancé sans effets secondaires, le paramètre **Empêcher le groupe d'invités locaux d'accéder au journal système** est configuré sur **Activé** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
**Remarque**: Ce paramètre ne figure pas dans l'objet Stratégie de l'ordinateur local.
#### Méthode de conservation du journal des applications
Ce paramètre de stratégie détermine la méthode de « présentation » du journal des applications. Il est impératif que le journal des applications soit régulièrement archivé si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si les événements sont écrasés comme nécessaire, le journal conserve les événements les plus récents, bien que cette configuration risque d'entraîner la perte de données historiques.
Le paramètre **Méthode de conservation du journal des applications** est configuré sur **Selon besoin** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Méthode de conservation du journal de sécurité
Ce paramètre de stratégie détermine la méthode de « présentation » du journal de sécurité. Il est impératif que le journal de sécurité soit régulièrement archivé si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si les événements sont écrasés comme nécessaire, le journal conserve les événements les plus récents, bien que cette configuration risque d'entraîner la perte de données historiques.
Le paramètre **Méthode de conservation du journal de sécurité** est configuré sur **Selon besoin** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
#### Méthode de conservation du journal système
Ce paramètre de stratégie détermine la méthode de « présentation » du journal système. Il est impératif que les journaux soient régulièrement archivés si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si les événements sont écrasés comme nécessaire, le journal conserve les événements les plus récents, bien que cette configuration risque d'entraîner la perte de données historiques.
Le paramètre **Méthode de conservation du journal système** est configuré sur **Selon besoin** dans la stratégie de base des trois environnements qui sont définis dans ce guide.
[](#mainsection)[Haut de page](#mainsection)
### Entrées de Registre supplémentaires
Des entrées de registre supplémentaires (également appelées *valeurs de registre*) ont été créées pour les fichiers modèles de sécurité de base non définis dans le fichier Modèle d’administration (.adm) pour les trois environnements de sécurité définis dans ce guide. Les fichiers dotés de l’extension .adm définissent les stratégies et restrictions des paramètres de bureau, d’environnement et de sécurité de Windows Server 2003.
Ces entrées de registre sont intégrées dans les modèles de sécurité, section « Options de sécurité », pour automatiser les modifications. La suppression de cette stratégie n’entraîne pas automatiquement celle de ces entrées de registre. Vous devez les modifier manuellement à l’aide d’un outil de modification du Registre, tel que Regedt32.exe. Les mêmes entrées de registre sont appliquées aux trois environnements.
Ce guide inclut des entrées de registre supplémentaires qui sont ajoutées à l'Éditeur de configuration de sécurité (SCE). Pour ajouter ces entrées de registre, vous devez modifier le fichier Sceregvl.inf (situé dans le dossier **%windir%\\inf**) et enregistrer de nouveau le fichier Scecli.dll. Les entrées de sécurité d'origine, ainsi que les entrées supplémentaires, figurent à l'emplacement **Stratégies locales\\Sécurité** dans les composants logiciels enfichables et les outils mentionnés plus haut dans ce chapitre. Vous devez mettre à jour le fichier Sceregvl.inf et enregistrer de nouveau le fichier Scecli.dll sur tous les ordinateurs où vous aurez à modifier les modèles de sécurité et stratégies de groupe fournis avec ce guide. Pour plus d'informations sur la mise à jour de ces fichiers, consultez le guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponible à l'adresse [http://go.microsoft.com/fwlink/?LinkId=15159](http://go.microsoft.com/fwlink/?linkid=15159).
Cette section est un simple récapitulatif des paramètres de registre supplémentaires qui sont décrits en détail dans le guide compagnon. Pour consulter des informations sur les paramètres par défaut et une explication détaillée des paramètres qui sont abordés dans cette section, voir *Menaces et contre-mesures : Paramètres de sécurité dans Windows* *Server* *2003 et Windows* *XP*.
#### Mesures de sécurité contre les attaques réseau
Les attaques par déni de service (DoS) sont des attaques réseau visant à rendre un ordinateur ou un service particulier sur un ordinateur inaccessible aux utilisateurs du réseau. Il peut être difficile de lutter contre les attaques par déni de service.
Afin de les prévenir, vous devez mettre à jour votre ordinateur avec les derniers correctifs de sécurité et renforcer la pile de protocole TCP/IP sur les ordinateurs qui exécutent Windows Server 2003 et sont exposés aux pirates potentiels. La configuration par défaut de la pile de protocole TCP/IP est ajustée pour traiter le trafic intranet standard. Si vous connectez directement un ordinateur à Internet, Microsoft vous recommande de renforcer la pile de protocole TCP/IP contre les attaques de déni de service.
Vous pouvez ajouter les valeurs de registre du tableau suivant dans le fichier modèle situé dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**
.
**Tableau 4.28 Recommandations relatives aux entrées de registre TCP/IP**
| EnableICMPRedirect |
DWORD |
0 |
0 |
0 |
| SynAttackProtect |
DWORD |
1 |
1 |
1 |
| EnableDeadGWDetect |
DWORD |
0 |
0 |
0 |
| KeepAliveTime |
DWORD |
300 000 |
300 000 |
300 000 |
| DisableIPSourceRouting |
DWORD |
2 |
2 |
2 |
| TcpMaxConnectResponseRetransmissions |
DWORD |
2 |
2 |
2 |
| TcpMaxDataRetransmissions |
DWORD |
3 |
3 |
3 |
| PerformRouterDiscovery |
DWORD |
0 |
0 |
0 |
#### Autres entrées de registre
Les entrées de registre recommandées qui ne sont pas propres à TCP/IP sont indiquées dans le tableau suivant. Des informations supplémentaires concernant les différentes entrées sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 4.29 Recommandations relatives aux autres entrées de registre**
| MSS : (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers |
DWORD |
1 |
1 |
1 |
| MSS : (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) |
DWORD |
0 |
0 |
1 |
| MSS : (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) |
DWORD |
0xFF |
0xFF |
0xFF |
| MSS : (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) |
Chaîne |
0 |
0 |
0 |
| MSS : (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning |
DWORD |
90 |
90 |
90 |
| MSS : (SafeDllSearchMode) Enable Safe DLL search mode (recommended) |
DWORD |
1 |
1 |
1 |
| MSS : (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) |
DWORD |
1 |
1 |
0 |
| MSS : (AutoAdminLogon) Enable Automatic Logon (not recommended) |
DWORD |
0 |
0 |
0 |
| MSS : (AutoShareWks) Enable Administrative Shares (recommended except for highly secure environments) |
DWORD |
1 |
1 |
0 |
| MSS : (DisableSavePassword) Prevent the dial-up password from being saved (recommended) |
DWORD |
1 |
1 |
1 |
| MSS : (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) |
DWORD |
3 |
3 |
3 |
##### Configure NetBIOS Name Release Security: Allow the computer to ignore NetBIOS name release requests except from WINS servers
Cette entrée s'affiche sous la forme **(NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers** dans l’Éditeur de configuration de sécurité.
Netbios sur TCP/IP est un protocole réseau (entre autres choses) qui fournit un moyen de résolution simple des noms NetBIOS enregistrés sur les ordinateurs Windows en adresses IP configurées sur ces ordinateurs. Cette valeur détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une requête de libération de nom.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\**
.
##### Disable Auto Generation of 8.3 File Names : Enable the computer to stop generating 8.3 style filenames
Cette entrée apparaît sous la forme **MSS : (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)** dans le SCE.
Windows Server 2003 avec SP1 prend en charge les formats de nom de fichier 8.3 pour une compatibilité descendante avec les applications 16 bits. La convention de nom de fichier 8.3 est un format de nom qui accepte uniquement les noms de fichier contenant jusqu’à huit caractères.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\**
.
##### Disable Autorun : Disable Autorun for all drives
Cette entrée apparaît sous la forme **MSS : (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)** dans le SCE.
Autorun commence la lecture à partir d’un lecteur de votre ordinateur dès que le support est inséré. Par conséquent, des éléments tels que le fichier d'organisation (pour les programmes) ou le son (pour le contenu audio) démarre immédiatement.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\**
.
##### Make Screensaver Password Protection Immediate : The time in seconds before the screen saver grace period expires (0 recommended)
Cette entrée apparaît sous la forme **MSS : (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)** dans le SCE.
Windows intègre une période de grâce entre le moment où l’écran de veille est lancé et le moment où la console est réellement verrouillée automatiquement lorsque le verrouillage de l’écran de veille est activé.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\**
**Winlogon\\**
.
##### Security Log Near Capacity Warning : Percentage threshold for the security event log at which the system will generate a warning
Cette entrée apparaît sous la forme **MSS : (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning** dans le SCE.
Cette option est devenue disponible avec SP3 pour Windows 2000. Elle génère un audit de sécurité dans le journal de sécurité quand sa taille atteint le seuil défini par l'utilisateur. Par exemple, si vous configurez la valeur de cette entrée de registre sur 90 et si le journal de sécurité atteint 90 pour cent de sa capacité, le journal affiche une entrée avec l'ID d'événement 523, comme suit : « The security event log is 90 percent full ».
**Remarque** : Si les paramètres du journal sont configurés sur **Remplacer les événements si nécessaire** ou sur **Remplacer les événements plus anciens que**, cet événement n’est pas généré.
Vous pouvez ajouter cette valeur de registre au fichier modèle de sécurité dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\**
##### Enable Safe DLL Search Order : Enable Safe DLL search mode (recommended)
Cette entrée apparaît sous la forme **MSS : (SafeDllSearchMode) Enable Safe DLL search mode (recommended)** dans le SCE.
Vous pouvez configurer la commande de recherche DLL pour rechercher les DLL demandées en exécutant les processus de l’une des deux manières suivantes :
- Effectuez d’abord des recherches dans les dossiers spécifiés dans le chemin d’accès au système, puis effectuez des recherches dans le dossier de travail actif.
- Effectuez d’abord des recherches dans le dossier de travail actif, puis effectuez des recherches dans les dossiers spécifiés dans le chemin d’accès au système.
La valeur de registre est configurée sur 1, ce qui force l'ordinateur à effectuer des recherches dans les dossiers qui sont spécifiés dans le chemin d’accès au système, puis dans le dossier de travail actif. Si vous configurez cette entrée sur 0, l'ordinateur effectue d’abord des recherches dans le dossier de travail actif, puis dans les dossiers spécifiés dans le chemin d’accès au fichier.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\**
##### Automatic Reboot : Allow Windows to automatically restart after a system crash
Cette entrée s'affiche sous la forme **MSS : (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments)** dans le SCE.
Lorsqu'elle est activée, elle permet à un serveur de redémarrer automatiquement après une panne irrémédiable. Elle est activée par défaut, ce qui n'est pas souhaitable sur les serveurs extrêmement sécurisés.
Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé
**HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\CrashControl\\**
##### Automatic Logon : Enable Automatic Logon
Cette entrée s'affiche sous la forme **MSS : (AutoAdminLogon) Enable Automatic Logon (not recommended)** dans le SCE. Par défaut, cette entrée n'est pas activée et ne devrait jamais être utilisée sur un serveur dans presque toutes les circonstances.
Pour plus d'informations, consultez l'article de la Base de connaissances Microsoft « [Comment faire pour activer l'ouverture de session automatique dans Windows XP](http://support.microsoft.com/kb/315231/fr) » à l'adresse
| Interdire l’accès à cet ordinateur à partir du réseau |
Administrateur intégré ; Support_388945a0 ;
Invité ; tout compte de service hors système d'exploitation |
Administrateur intégré ; Support_388945a0 ;
Invité ; tout compte de service hors système d'exploitation |
Administrateur intégré ; Support_388945a0 ;
Invité ; tout compte de service hors système d'exploitation |
| Interdire l'ouverture de session en tant que tâche |
Support_388945a0 et Invité |
Support_388945a0 et Invité |
Support_388945a0 et Invité |
| Interdire l'ouverture de session par les services Terminal Server |
Administrateur intégré; Invités; Support_388945a0; Invité ; tous les comptes de service ne faisant pas partie du système d'exploitation |
Administrateur intégré; Invités; Support_388945a0; Invité ; tous les comptes de service ne faisant pas partie du système d'exploitation |
Administrateur intégré; Invités; Support_388945a0; Invité ; tous les comptes de service ne faisant pas partie du système d'exploitation |
**Important**: Tous les comptes de service NE FAISANT PAS PARTIE du système d’exploitation sont des comptes de service destinés à des applications spécifiques de votre entreprise. Ces comptes ne comprennent pas les comptes SYSTÈME LOCAL, SERVICE LOCAL et SERVICE RÉSEAU qui sont des comptes intégrés du système d’exploitation.
Pour ajouter manuellement les groupes de sécurité indiqués à la stratégie de base des serveurs membres (MSBP - Member Server Baseline Policy) de l'environnement Client Entreprise, procédez comme suit.
**Pour ajouter des groupes de sécurité aux attributions de droits utilisateur**
1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur l'UO Serveurs membres, puis sélectionnez **Propriétés**.
2. Dans l'onglet **Stratégie de groupe**, sélectionnez **Stratégie de base du serveur membre pour l’environnement Client Entreprise** pour modifier l'objet GPO lié.
3. Sélectionnez **Stratégie de base du serveur membre pour l’environnement Client Entreprise**, puis cliquez sur **Modifier**.
4. Dans la fenêtre **Stratégie de groupe**, cliquez sur **Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Attribution des droits utilisateur** pour ajouter les groupes de sécurité uniques du tableau précédent pour chaque droit.
5. Fermez la stratégie de groupe que vous avez modifiée.
6. Fermez la fenêtre **Propriétés de l'UO Serveurs membres**.
7. Forcez la réplication entre les contrôleurs de domaine de façon à leur appliquer la stratégie de la façon suivante :
1. Ouvrez la fenêtre de commande, **gpupdate /Force**, puis appuyez sur ENTRÉE pour forcer le serveur à actualiser la stratégie.
2. Redémarrez le serveur.
8. Vérifiez dans le journal des événements que la Stratégie de groupe a été téléchargée avec succès et que le serveur peut communiquer avec les autres contrôleurs du domaine.
##### Sécurisation de comptes bien connus
Windows Server 2003 avec SP1 comprend un certain nombre de comptes d’utilisateurs intégrés qu’il est impossible de supprimer, mais qui peuvent être renommés. Parmi les comptes intégrés les plus connus de Windows Server 2003, citons les deux suivants : Invité et Administrateur.
Par défaut, le compte Invité est désactivé sur les serveurs membres et les contrôleurs de domaine. Il est déconseillé de modifier cette configuration. De nombreuses variations de code malveillant font appel au compte Administrateur intégré dans une tentative initiale de compromettre un serveur. Par conséquent, le compte Administrateur intégré est renommé et sa description est modifiée pour protéger les serveurs distants contre les attaques portant sur ce compte facile à identifier.
L’impact de ce changement de configuration s’est amenuisé au fil des dernières années avec l’apparition d’outils d’attaque qui ciblent l’identificateur de sécurité (SID, Security Identifier) du compte Administrateur intégré afin de déterminer son véritable nom et d'accéder ainsi au serveur. L'identificateur de sécurité correspond à la valeur qui définit de manière unique un compte d'utilisateur, de groupe ou d'ordinateur et une session en cours sur un réseau. Il est impossible de modifier l'identificateur de sécurité de ce compte intégré. Cependant, vos groupes d'opérations peuvent contrôler facilement les attaques tentées contre ce compte Administrateur si vous lui donnez un nom unique.
Pour sécuriser les comptes connus sur les domaines et serveurs, procédez comme suit :
- Renommez les comptes Administrateur et Invité, et modifiez leurs mots de passe en leur attribuant une valeur longue et complexe sur chaque domaine et serveur.
- Choisissez des noms et mots de passe différents sur tous les serveurs. Si vous utilisez un seul nom et un seul mot de passe de compte pour l’ensemble des domaines et des serveurs, un pirate qui parvient à accéder à un serveur membre sera en mesure d’accéder à tous les autres serveurs grâce à ces nom et mot de passe identiques.
- Modifiez les descriptions des comptes en remplaçant les valeurs définies par défaut afin de rendre l’identification des comptes plus difficile.
- Enregistrez les modifications apportées dans un emplacement sécurisé.
**Remarque**: Vous pouvez renommer le compte administrateur intégré par le biais de la stratégie de groupe. Ce paramètre n'a pas été mis en œuvre dans la stratégie de base, car chaque organisation doit choisir un nom unique pour ce compte. Cependant, vous pouvez configurer le paramètre **Comptes : Renommer le compte administrateur** pour renommer des comptes administrateur dans les trois environnements définis dans ce guide. Ce paramètre de stratégie fait partie de la section des options de sécurité d’un GPO.
##### Sécurisation des comptes de service
À moins que cela ne s’avère absolument nécessaire, évitez de configurer un service pour qu’il fonctionne dans le contexte de sécurité d’un compte de domaine. Si le serveur est endommagé physiquement, les mots de passe de comptes de domaine risquent d'être facilement obtenus en vidant les secrets LSA. Pour plus d'informations sur la sécurisation des comptes de service, voir le [Guide de planification de la sécurité des services et comptes de service](http://www.microsoft.com/france/technet/security/guidance/serversecurity/serviceaccount/default.mspx) à l'adresse
| Définir le niveau de cryptage de la connexion client |
Élevée |
Élevée |
Élevée |
Les trois niveaux de cryptage disponibles sont décrits dans le tableau suivant :
**Tableau 4.32 Niveaux de cryptage des services Terminal Server**
| Niveau haut |
Crypte les données envoyées par les clients au serveur et par le serveur au client au moyen d’un cryptage fort à 128 bits. Utilisez ce niveau quand le serveur Terminal Server s’exécute dans un environnement contenant uniquement des clients 128 bits (tels que des clients Connexion Bureau à distance). Les clients qui ne prennent pas en charge ce niveau de cryptage ne peuvent pas se connecter. |
| Compatible avec le client |
Crypte les données transmises entre le client et le serveur à la puissance maximale de clé prise en charge par le client. Utilisez ce niveau quand le serveur Terminal Server s'exécute dans un environnement comportant des clients mixtes ou des clients hérités. |
| Niveau bas |
Crypte les données qui sont envoyées du client vers le serveur avec un cryptage de 56 bits.
Important : les données transmises du serveur vers le client ne sont pas cryptées. |
Signalement d’erreurs
Tableau 4.33 Paramètres de signalement d’erreurs recommandés
| Désactiver le signalement d'erreurs de Windows |
Activé |
Activé |
Activé |
Ce service permet à Microsoft de détecter les erreurs et de les corriger. Vous pouvez configurer ce service en vue de générer des rapports relatifs aux erreurs du système d’exploitation, aux erreurs des composants Windows ou encore aux erreurs des applications. Ceci est uniquement disponible sous Windows XP Professionnel et Windows Server 2003.
Le service de **rapport d'erreurs** peut signaler ces erreurs à Microsoft par l'intermédiaire d'Internet ou d'un fichier interne de partage. Les rapports d'erreur peuvent contenir des données sensibles, voire confidentielles ; cependant, la stratégie de confidentialité de Microsoft concernant le signalement d'erreurs garantit que Microsoft n'utilisera pas ces données de façon inconsidérée. Les données sont toutefois envoyées en texte simple au format HTTP, et peuvent donc être interceptées sur Internet et visualisées par des tiers.
Le paramètre **Désactiver le signalement d'erreurs de Windows** détermine si le service de signalement d'erreurs doit transmettre des données.
Vous pouvez configurer ce paramètre de stratégie dans Windows Server 2003 à l’emplacement suivant, dans l’éditeur d’objets Stratégie de groupe :
**Configuration ordinateur\\Modèles d’administration\\Système\\Gestion des communications Internet\\Paramètres de communication Internet**
Configurez le paramètre **Désactiver le signalement d'erreurs de Windows** sur **Activé** dans le DCBP pour les trois environnements définis dans ce guide.
##### Activez le vidage manuel de mémoire
Windows Server 2003 avec SP1 inclut une fonctionnalité qui permet d'arrêter l'ordinateur et de générer le fichier Memory.dmp. Vous devez activer cette fonctionnalité de façon explicite, bien qu'elle ne convienne pas nécessairement à tous les serveurs de votre organisation. Si vous jugez utile de capturer le vidage de mémoire sur certains serveurs, vous pouvez suivre les instructions qui sont fournies dans le document [Une fonctionnalité de Windows permet de créer un fichier Memory.dmp à l'aide du clavier](http://support.microsoft.com/kb/315231/fr) à [http://support.microsoft.com/kb/244139/fr.](http://support.microsoft.com/kb/315231/fr)
**Important** : Lorsque la mémoire est copiée sur un disque comme décrit dans l'article mentionné ci-dessus, les informations sensibles peuvent être incluses dans le fichier Memory.dmp. Dans l'idéal, tous les serveurs doivent être protégés contre les accès physiques non autorisés. Si vous générez un fichier de vidage de mémoire sur un serveur qui est vulnérable physiquement, vous devez effacer le fichier de vidage à la fin de la procédure de dépannage.
#### Création de la stratégie de base recourant à l'Assistant Configuration de la sécurité (SCW)
Pour déployer les paramètres de sécurité requis, vous devez au préalable créer une stratégie de base des serveurs membres (MSBP). Pour ce faire, vous devez utiliser l'Assistant SCW (l'outil Assistant Configuration de la sécurité) et les modèles de sécurité qui sont inclus avec la version téléchargeable de ce guide.
Lorsque vous créez votre propre stratégie, ignorez les sections « Paramètres de Registre » et « Stratégie d'audit ». Ces paramètres sont fournis par les modèles de sécurité pour l'environnement choisi. Cette approche permet de s'assurer que les éléments de stratégie fournis par les modèles sont prioritaires par rapport à ceux qui seraient configurés par SCW.
Vous devez utiliser une nouvelle installation du système d'exploitation pour commencer votre travail de configuration, ce qui permet de s'assurer qu'il ne subsiste aucun paramètre ou logiciel provenant des configurations précédentes. Vous devez utiliser un matériel aussi proche que possible de l'environnement de déploiement afin d'assurer la compatibilité. La nouvelle installation est appelée *ordinateur de référence.*
Pendant la procédure de création de la stratégie MSBP, vous aurez probablement à supprimer le rôle de serveur de fichiers de la liste de rôles détectés. Ce rôle est généralement configuré sur les serveurs qui ne le nécessitent pas et pourrait être considéré comme un risque. Pour activer le rôle de serveur de fichiers sur les serveurs qui le nécessitent, vous pouvez appliquer une deuxième stratégie au cours de ce processus.
**Créez la stratégie de base des serveurs membres.**
1. Installez de nouveau Windows Server 2003 avec SP1 sur un nouvel ordinateur de référence.
2. Installez le composant Assistant Configuration de la sécurité sur l'ordinateur en cliquant sur Panneau de configuration, Ajouter ou supprimer des programmes, Ajouter/Supprimer des composants Windows.
3. Intégrez l’ordinateur au domaine.
4. Installez et configurez uniquement les applications obligatoires qui doivent figurer sur tous les serveurs de votre environnement. Les exemples incluent vos agents logiciels et de gestion, les agents de sauvegarde sur bande et les utilitaires antivirus ou de détection des logiciels espions.
5. Lancez l'interface graphique utilisateur (GUI) de l'Assistant de configuration de la sécurité, sélectionnez **Créer une nouvelle stratégie**, et dirigez-la vers l'ordinateur de référence.
6. Supprimez le rôle de serveur de fichiers de la liste de rôles détectés.
7. Assurez-vous que les rôles serveur détectés correspondent à votre environnement.
8. Assurez-vous que les fonctionnalités détectées du client correspondent à votre environnement.
9. Assurez-vous que les options d'administration détectées correspondent à votre environnement.
10. Assurez-vous que les services supplémentaires requis par votre base, tels que les agents de sauvegarde ou les logiciels antivirus, sont détectés.
11. Décidez comment traiter les services non spécifiés dans votre environnement. Pour plus de sécurité, vous pouvez définir ce paramètre de stratégie sur **Désactiver**. Vous devez tester cette configuration avant de la déployer sur votre réseau de production, afin de prévenir les problèmes liés aux serveurs de production exécutant des services supplémentaires qui ne sont pas dupliqués sur votre ordinateur de référence.
12. Assurez-vous que la case **Ignorer cette section** est désactivée dans la section « Sécurité réseau », puis cliquez sur **Suivant**. Les ports et les applications identifiés plus haut sont configurés en tant qu'exceptions pour le pare-feu Windows.
13. Dans la section « Paramètres de Registre », cliquez sur la case **Ignorer cette section**, puis sur **Suivant**. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.
14. Dans la section « Stratégie d'audit », cliquez sur la case **Ignorer cette section**, puis sur **Suivant**. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.
15. Incluez le modèle de sécurité approprié (par exemple, EC-Member Server Baseline.inf).
16. Enregistrez la stratégie sous un nom adéquat (par exemple, Member Server Baseline.xml).
#### Testez la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)
Après avoir créé et enregistré la stratégie, Microsoft recommande fortement de la déployer dans votre environnement de test. Dans l'idéal, vos serveurs de test reproduisent le matériel et la configuration logicielle des serveurs de production. Cette approche permet de trouver et réparer les problèmes potentiels, tels que la présence de services imprévus, requis par des périphériques matériels spécifiques.
Deux options sont disponibles pour tester la stratégie. Vous pouvez utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité, ou déployer les stratégies avec un GPO.
Lorsque vous mettez en place vos stratégies, envisagez d'utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité. Vous pouvez utiliser l'Assistant Configuration de la sécurité (SCW) pour pousser une stratégie de serveur en serveur, ou utiliser Scwcmd pour la pousser vers un groupe de serveurs. La méthode native de déploiement a pour avantage de simplifier la restauration des stratégies déployées à l'aide de l'Assistant Configuration de la sécurité. Cette capacité peut être très utile lorsque vous apportez plusieurs modifications à vos stratégies pendant le processus de test.
La stratégie est testée pour s'assurer que l'application de cette stratégie aux serveurs cibles ne nuira pas à leurs fonctions essentielles. Après avoir appliqué les modifications de configuration, vous devez vérifier les principales fonctionnalités de l'ordinateur. Par exemple, si le serveur est configuré en tant qu'autorité de certification, assurez-vous que les clients peuvent demander et obtenir des certificats, télécharger une liste de révocation de certificats, et ainsi de suite.
Lorsque vos configurations de stratégie sont fiables, vous pouvez utiliser Scwcmd comme indiqué dans la procédure suivante afin de convertir les stratégies en objet de stratégie de groupe (GPO).
Pour plus de détails sur la manière de tester les stratégies de l'Assistant SCW, consulter les documents [Deployment Guide for the Security Configuration Wizard](http://technet2.microsoft.com/windowsserver/fr/library/5254f8cd-143e-4559-a299-9c723b3669461036.mspx?mfr=true) à l'adresse
.gif)
.gif)