Partager via

Guide de sécurité de Windows XP

Chapitre 2 : Configuration de l'infrastructure de domaine Active Directory

Dernière mise à jour le 20 octobre 2005

Sur cette page

Présentation
Création d'une unité d'organisation (UO) pour prendre en charge la gestion de la sécurité
Création d'un objet Stratégie de groupe (GPO) pour prendre en charge la gestion de la sécurité
Stratégie de groupe au niveau du domaine
Paramètres de la stratégie de mot de passe
Paramètres de stratégie de verrouillage du compte
Paramètres d'attribution des droits d'utilisateur
Paramètres des options de sécurité
Stratégie Kerberos
Stratégie de groupe au niveau de l'unité d'organisation
Outils de la stratégie de groupe
Résumé

Présentation

La stratégie de groupe est une fonctionnalité du service d'annuaire Active Directory® facilitant la gestion des changements et des configurations au sein des domaines Microsoft® Windows Server™ 2003 et Microsoft Windows® 2000 Server. Cependant, avant de pouvoir appliquer la stratégie de groupe aux clients Microsoft Windows XP Professionnel avec Service Pack 2 (SP2) de votre environnement, il convient d'exécuter certaines étapes préliminaires sur votre domaine.

Les paramètres de stratégie de groupe sont stockés dans des objets de stratégie de groupe (GPO, Group Policy Object) de la base de données Active Directory. Ces objets GPO sont liés à des conteneurs qui incluent les sites Active Directory, les domaines et les unités d'organisation (UO). Comme la stratégie de groupe est étroitement intégrée à Active Directory, il est important de connaître les bases de la structure d'Active Directory et ce qu'implique, au niveau de la sécurité, la configuration des options de conception avant d'implémenter la stratégie de groupe. Pour plus d'informations sur la structure d’Active Directory, consultez le Chapitre 3, « Stratégie de domaine » du guide de sécurité deWindows Server 2003.

La stratégie de groupe constitue un outil essentiel pour la sécurisation de Windows XP. Ce chapitre présente en détail comment utiliser la stratégie de groupe afin de mettre en œuvre et de gérer une stratégie de sécurité consistante au sein d'un réseau à partir d'un point central.

Ce guide fait état des options pour les environnements Client Entreprise (EC) et Sécurité spécialisée - Fonctionnalité limitée (SSLF). Les paramètres recommandés dans ce module sont identiques pour les ordinateurs de bureau et les ordinateurs portables ; il s'agit de paramètres spéciaux qui sont appliqués au niveau de la racine du domaine et non pas au niveau des unités d'organisation. Par exemple, les stratégies de verrouillage des comptes et de mots de passe pour les domaines Windows Server 2003 et Windows 2000 Server doivent être configurés par le biais d'un objet GPO lié à la racine du domaine. Les noms des fichiers modèles de sécurité de base pour les deux environnements différents sont :

  • EC-Domain.inf

  • SSLF-Domain.inf

Haut de page

Création d'une unité d'organisation (UO) pour prendre en charge la gestion de la sécurité

Une unité d'organisation est un conteneur au sein d'un domaine Active Directory. Une UO peut contenir des utilisateurs, des groupes, des ordinateurs et d'autres unités d'organisation appelées unités enfants. Vous pouvez lier un objet de stratégie de groupe (GPO) à une unité d'organisation. Les paramètres GPO seront appliqués aux utilisateurs et aux ordinateurs qui sont contenus dans cette UO et ses unités enfants. Pour faciliter l'administration, vous pouvez déléguer une autorité d'administration à chaque UO. Les unités d'organisation constituent un moyen simple de regrouper les utilisateurs, les ordinateurs et autres entités de sécurité. Elles offrent également une méthode efficace pour segmenter les limites administratives. Microsoft recommande que les entreprises assignent des utilisateurs et des ordinateurs à des unités d'organisation distinctes, car certains paramètres ne s'appliquent qu'à des utilisateurs et d'autres qu'à des ordinateurs.

De même, vous pouvez déléguer le contrôle d'un groupe ou d'une seule unité d'organisation via l'Assistant Délégation, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console). Vous trouverez des liens vers la documentation sur la délégation d'autorité dans la section « Informations complémentaires » à la fin de ce chapitre.

L'un des principaux objectifs de la création d'une structure d'unités d'organisation pour tout environnement est de fournir les bases de l'implémentation d'une stratégie de groupe transparente qui couvrira toutes les stations de travail résidant dans Active Directory et ce, tout en s'assurant qu'elles sont conformes aux standards de sécurité de votre organisation. La structure d'unités d'organisation doit également être conçue pour fournir les paramètres de sécurité appropriés aux types spécifiques d'utilisateurs de l'organisation. Ainsi, les développeurs pourront être autorisés à effectuer certaines opérations sur leur station de travail alors que les utilisateurs moyens n'auront pas ce droit. Il est possible que les utilisateurs d'ordinateur portable aient des exigences de sécurité légèrement différentes de celles des utilisateurs d'ordinateur de bureau. La figure suivante illustre une simple structure d'unités d'organisation, suffisante pour présenter la stratégie de groupe dans ce chapitre. La structure de cette unité d'organisation peut différer des exigences d'organisation de votre environnement.

Figure 2.1 Structure d'unités d'organisation pour ordinateurs Windows XP

Unité d'organisation de service

Comme les exigences de sécurité varient souvent au sein même d'une entreprise, il peut s'avérer utile de créer des unités d'organisation par service dans votre environnement. Les paramètres de sécurité d'un service peuvent être appliqués aux ordinateurs et utilisateurs par le biais d'un objet de stratégie de groupe et ce, dans chaque unité d'organisation de service.

Unité d'organisation des utilisateurs de XP sécurisé

Cette unité d'organisation contient les comptes des utilisateurs faisant partie à la fois des environnements EC et SSLF. Les paramètres appliqués à cette unité sont traités dans la section « Configuration utilisateur » du chapitre 4, « Modèles d'administration pour Windows XP ».

Unité d'organisation Windows XP

Cette unité d'organisation contient des unités enfants pour chaque type d'ordinateur client Windows XP de votre environnement. Des conseils sont inclus dans ce guide pour les ordinateurs de bureau et les portables. C'est pour cette raison que nous avons créé une unité d'organisation Bureau et une unité Portable.

  • Unité d'organisation Bureau. Cette unité d'organisation contient tous les ordinateurs de bureau connectés en permanence au réseau de votre société. Les paramètres appliqués à cette unité sont traités en détail au chapitre 3, « Paramètres de Sécurité pour les clients Windows XP » et au chapitre 4, « Modèles d'administration pour Windows XP ».

  • Unité d'organisation Portable. Cette unité d'organisation comporte tous les ordinateurs portables des utilisateurs nomades qui ne sont pas connectés en permanence au réseau de votre société. Le chapitre 3, « Paramètres de sécurité pour les clients Windows XP » et le chapitre 4, « Modèles d'administration pour Windows XP » donnent une présentation détaillée sur les paramètres qui sont appliqués à cette unité d'organisation.

Haut de page

Création d'un objet Stratégie de groupe (GPO) pour prendre en charge la gestion de la sécurité

Vous pouvez utiliser les objets de stratégie de groupe pour vous assurer que certains paramètres spécifiques, droits d'utilisateur et comportements s'appliquent à toutes les stations de travail ou utilisateurs au sein d'une unité d'organisation. En utilisant la stratégie de groupe plutôt que la configuration manuelle, la mise à jour de plusieurs stations de travail ou de plusieurs utilisateurs est un jeu d'enfant. La configuration manuelle est inefficace parce qu'elle nécessite qu'un technicien visite chaque ordinateur client. De plus, si les paramètres des objets de stratégie de groupe de domaine sont différents de ceux qui sont appliquées localement, ils les écraseront.

Figure 2.2 Ordre d'application de l'objet de stratégie de groupe

Cette figure montre l'ordre selon lequel les objets de stratégie de groupe sont appliqués à un ordinateur membre d'une unité d'organisation enfant, du plus faible (1) au plus élevé (5). Les stratégies de groupe sont tout d'abord appliquées à partir de la stratégie locale de chaque poste de travail Windows XP. Une fois ces stratégies locales appliquées, tous les objets de stratégie de groupe sont appliqués au niveau du site, puis au niveau du domaine.

Dans le cas des clients Windows XP imbriqués dans plusieurs couches d'unité d'organisation, les objets de stratégie de groupe sont appliqués dans l'ordre du niveau d'unité le plus élevé de la hiérarchie au plus faible. Le dernier objet de stratégie de groupe est appliqué à partir de l'unité d'organisation contenant l'ordinateur client. Cet ordre de traitement des objets de stratégie de groupe (stratégie locale, de site, de domaine, d'unité parente et d'unité enfant) est particulièrement important dans la mesure où les objets appliqués en dernier dans le processus écrasent ceux appliqués précédemment. Les objets de stratégie de groupe utilisateurs sont appliqués de la même manière.

Tenez compte des considérations suivantes lorsque vous concevez la stratégie de groupe.

  • L'administrateur doit définir l'ordre dans lequel vous pouvez lier plusieurs objets de stratégie de groupe à une unité d'organisation ou les stratégies seront appliquées par défaut suivant l'ordre dans lequel elles ont été liées à l'unité d'organisation. Si plusieurs stratégies spécifient le même ordre, c'est la stratégie la plus élevée de la liste des stratégies du conteneur qui aura la priorité.

  • Vous pouvez configurer un objet de stratégie de groupe avec l'option Appliqué. Si vous choisissez cette option, les autres objets de stratégie de groupe ne pourront pas écraser les paramètres configurés dans cet objet GPO.

    Remarque : Dans Windows 2000, l'option Appliqué est appelée option Ne pas passer outre.

  • Vous pouvez configurer un Active Directory, un site, un domaine ou une unité d'organisation avec l'option Bloquer l'héritage de stratégies. Cette option bloque les paramètres d'un objet de stratégie de groupe issus d' objets de stratégie plus élevés dans la hiérarchie Active Directory, sauf si l'option Appliqué est sélectionnée. En d'autres termes, l'option Appliqué a la priorité sur l'option Bloquer l'héritage de stratégies.

  • Les paramètres de stratégie de groupe s'appliquent aux utilisateurs et aux ordinateurs en fonction de l'emplacement de l'objet utilisateur ou ordinateur dans Active Directory. Dans certains cas, les objets utilisateur peuvent nécessiter une stratégie particulière, basée sur l'emplacement de l'objet ordinateur et non sur celui de l'objet utilisateur. La fonctionnalité Mode de traitement par boucle de rappel de la stratégie de groupe offre à l'administrateur la possibilité d'appliquer des paramètres de stratégie de groupe utilisateur en fonction de l'ordinateur auquel l'utilisateur est connecté. Pour plus d'informations sur le support du bouclage, reportez-vous au livre blanc Stratégie de groupe référencé dans la section « Informations complémentaires », à la fin de ce chapitre.

La figure suivante développe la structure d'unité d'organisation préliminaire pour montrer comment les objets de stratégie de groupe peuvent s'appliquer aux clients exécutant Windows XP et appartenant aux unités d'organisation Bureau ou Portable.

Figure 2.3 Structure d'UO étendue pour l'adapter aux ordinateurs de bureau et ordinateurs portables Windows XP

Dans l'exemple précédent, les ordinateurs portables sont membres de l'unité d'organisation Portable. La première stratégie appliquée est la stratégie de sécurité locale sur les ordinateurs portables. Comme il n'existe qu'un seul site dans cet exemple, aucun objet de stratégie de groupe n'est appliqué au niveau du site et la stratégie suivante est par conséquent l'objet de stratégie de groupe de domaine. Enfin, l'objet de stratégie de groupe Portable est appliqué.

Remarque :La stratégie Bureau n'est pas appliquée aux portables car elle n'est pas liée à quelque unité d'organisation que ce soit dans la hiérarchie contenant l'unité d'organisation Portable. En outre, l'unité d'organisation des utilisateurs de XP sécurisé ne dispose pas de modèle de sécurité correspondant (fichier .inf) car cette unité n'inclut que les paramètres des modèles d'administration.

Pour illustrer les mécanismes de priorité, prenons le cas où le paramètre de stratégie de l'unité d'organisation Windows XP Autoriser l'ouverture de session par les services Terminal Server est défini sur le groupe Administrateurs et le paramètre d'objet de stratégie de groupe Portable Autoriser l'ouverture de session par les services Terminal Server est défini sur les groupes Utilisateurs avec pouvoir et Administrateurs. Dans ce cas, l'utilisateur dont le compte fait partie du groupe Utilisateurs avec pouvoir peut se connecter sur un ordinateur portable à l'aide des services Terminal Server parce que l'unité d'organisation Portable est un enfant de l'unité d'organisation Windows XP. Si l'option de stratégie Ne pas passer outre est activée dans l'objet de stratégie de groupe Windows XP, seuls les utilisateurs dont le compte appartient au groupe Administrateurs seront autorisés à se connecter à l'ordinateur client à l'aide des services Terminal Server.

Modèles de sécurité

Les modèles de sécurité sont des fichiers texte qui contiennent des valeurs de paramètres de sécurité. Ils sont des sous-composants d'objets de stratégie de groupe. Les paramètres de stratégie qui sont contenus dans les modèles de sécurité peuvent être modifiés dans le composant logiciel enfichable Éditeur d’objets de stratégie de groupe de la console MMC (Microsoft Management Console) et sont situés dans le dossier Configuration ordinateur\Paramètres Windows\Paramètres de sécurité. Vous pouvez également modifier ces fichiers avec le composant logiciel enfichable Modèles de Sécurité MMC ou avec un éditeur de texte tel que Bloc-notes. Microsoft vous recommande d'utiliser le composant logiciel enfichable Éditeur d'objets de stratégie de groupe pour gérer les paramètres de stratégie dans les modèles de sécurité qui sont dans les objets GPO. Microsot vous recommande également d'utiliser le composant logiciel enfichable Modèles de sécurité pour gérer les paramètres de stratégie dans les modèles de sécurité autonomes.

Certaines sections des fichiers modèles contiennent des listes de contrôle d'accès (ACL) définies par le SDDL (Security Descriptor Definition Language). Pour plus d'informations sur l'édition des modèles de sécurité et SDDL, consultez la section « Informations complémentaires » à la fin de ce chapitre.

Gestion des modèles de sécurité

Il est très important de stocker les modèles de sécurité utilisés pour un environnement de production dans un emplacement sûr au sein de l'infrastructure. L'accès aux modèles de sécurité ne doit être accordé qu’aux administrateurs qui sont responsables de la mise en œuvre des stratégies de groupe. Les modèles de sécurité, qui sont inclus avec Windows XP, Windows 2000 et Windows Server 2003, sont stockés dans le dossier %SystemRoot%\security\templates par défaut. Comme indiqué au Chapitre 1, les modèles de sécurité inclus dans ce guide sont copiés dans le dossier \Windows XP Security Guide Tools and Templates\Security Templates quand vous exécutez le fichier .msi qui est inclus dans le fichier d'archive de WinZip renfermant ce guide. (La version téléchargeable du guide est disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=14840.) Vous pouvez copier ou déplacer les modèles de sécurité de ce dossier à un nouvel emplacement sur des ordinateurs de test pendant que vous évaluez et affinez les paramètres afin de les adapter aux besoins de votre entreprise. À la fin du test, vous devrez déplacer les versions finales des modèles de sécurité à un emplacement centralisé, tel que l'emplacement par défaut des modèles de sécurité intégrés.

Le dossier %SystemRoot%\security\templates n'est pas répliqué sur les contrôleurs de domaine. Vous devez par conséquent sélectionner un contrôleur de domaine qui conservera la copie maître des modèles de sécurité de manière à ne pas rencontrer de problème de contrôle de version avec les modèles. Cette précaution vous permet de vous assurer que vous modifiez toujours le même exemplaire des modèles.

Importation d'un modèle de sécurité

Suivez la procédure ci-dessous pour importer un modèle de sécurité.

Pour importer un modèle de sécurité dans un objet de stratégie de groupe

  1. Accédez au dossier des paramètres Windows dans l'Éditeur d'objet de stratégie de groupe.

  2. Développez le dossier des paramètres Windows et sélectionnez Paramètres de sécurité.

  3. Cliquez avec le bouton droit de la souris sur le dossier Paramètres de sécurité, puis cliquez sur Importer la stratégie...

  4. Sélectionnez le modèle de sécurité que vous souhaitez importer et cliquez sur Ouvrir. Les paramètres du fichier sont importés dans l'objet de stratégie de groupe.

Modèles d'administration

Il existe d'autres paramètres de sécurité, disponibles dans des fichiers Unicode appelés Modèles d'administration. Ces fichiers contiennent les paramètres de registre qui ont une incidence sur Windows XP et ses composants, ainsi que sur d'autres applications telles que Microsoft Office 2003. Les modèles d'administration peuvent inclure des paramètres ordinateur aussi bien que des paramètres utilisateur. Les paramètres ordinateur sont stockés dans la ruche de registre HKEY_LOCAL_MACHINE. Les paramètres utilisateur sont stockés dans la ruche de registre HKEY_CURRENT_USER.

Gestion d'un modèle d'administration

Il est important de stocker les modèles d'administration, tout comme les modèles de sécurité, d'un environnement de production dans un emplacement sûr au sein de l'infrastructure. Seuls les administrateurs responsables de l'implémentation de la stratégie de groupe doivent avoir accès à cet emplacement. Les modèles d'administration livrés avec Windows XP et Windows Server 2003 sont stockés dans le répertoire %systemroot%\inf. Les autres modèles pour Office 2003 sont inclus dans le Kit de ressources Office 2003. Les modèles d'administration Microsoft ne devraient pas être modifiés car ils sont susceptibles de changer à chaque nouveau Service Pack.

Ajout d'un modèle d'administration à une stratégie

Outre les modèles d'administration livrés avec Windows XP, vous pouvez appliquer les modèles Office 2003 aux objets de stratégie de groupe pour lesquels vous souhaitez définir les paramètres Office 2003. Ou bien, vous disposez peut-être de modèles d’administration personnalisés qui sont propres à votre entreprise. Conformez-vous à la procédure suivante pour ajouter un modèle d'administration à un objet de stratégie de groupe.

Pour ajouter un modèle d'administration à un objet de stratégie de groupe

  1. Accédez au dossier Modèles d'administration dans l'Éditeur d'objet Stratégie de groupe.

  2. Cliquez avec le bouton droit de la souris sur le dossier Modèles d'administration, puis cliquez sur Ajout/Suppression de modèles.

  3. Dans la boîte de dialogue Ajout/Suppression de modèles, cliquez sur Ajouter.

  4. Accédez au dossier contenant vos fichiers de modèles d'administration.

  5. Sélectionnez le modèle à ajouter et cliquez sur Ouvrir, puis sur Fermer.

Haut de page

Stratégie de groupe au niveau du domaine

La stratégie de groupe au niveau du domaine inclut des paramètres qui s'appliquent à l'ensemble des ordinateurs et des utilisateurs du domaine. Ce guide vous recommande de configurer les paramètres de niveau du domaine dans un nouveau objet GPO plutôt que dans l'objet de stratégie prédéfini Stratégie de domaine. La raison de cette recommandation est simple : vous pourrez ainsi restaurer plus facilement les paramètres par défaut si les modifications qui sont introduites dans ce guide créent des problèmes. Notez que certaines applications configurent automatiquement la stratégie de domaine par défaut, et que les paramètres de stratégie qui sont modifiés par de telles applications peuvent entrer en conflit avec les paramètres qui sont définis dans l'objet GPO de la stratégie de domaine de ce guide. Cependant, ce risque est minime parce que seuls quelques paramètres sont configurés au niveau du domaine. La sécurité au niveau du domaine est détaillée dans le Chapitre 3, « Stratégie de domaine », du guide de sécurité Windows Server 2003, disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=14845 (en anglais).

Haut de page

Paramètres de la stratégie de mot de passe

L'utilisation de mots de passe complexes que l'on modifie régulièrement réduit les possibilités de réussite des attaques par mot de passe. Les paramètres de stratégie de mot de passe contrôlent la complexité et la durée de vie des mots de passe et peuvent être configurés seulement par la stratégie de groupe au niveau du domaine. Pour plus d’informations sur la manière de définir des stratégies de mot de passe directement dans le Gestionnaire de comptes de sécurité local (SAM) sur les ordinateurs autonomes, consultez le Chapitre 5 « Sécurisation des clients autonomes Windows XP ».

Cette section présente chaque paramètre de stratégie de mot de passe dans le cas d'environnements EC et SSLF.

Vous pouvez configurer les paramètres de stratégie de mot de passe à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe

Le tableau suivant présente les recommandations en matière de paramètres de la stratégie de mot de passe pour les deux types d'environnements sécurisés définis dans ce guide. Vous trouverez des informations plus détaillées sur chacun des paramètres dans les sous-sections suivantes.

Tableau 2.1 Recommandations relatives aux paramètres de la stratégie de mot de passe

Paramètre Valeur par défaut du contrôleur de domaine EC SSLF
Conserver l’historique des mots de passe 24 mots de passe 24 mots de passe 24 mots de passe
Durée de vie maximale du mot de passe 42 jours 90 jours 90 jours
Durée de vie minimale du mot de passe 1 jour 1 jour 1 jour
Longueur minimale du mot de passe 7 caractères 8 caractères 12 caractères
Le mot de passe doit répondre aux exigences de complexité Activé Activé Activé
Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine Désactivé Désactivé Désactivé
#### Conserver l’historique des mots de passe Ce paramètre de stratégie détermine le nombre de nouveaux mots de passe uniques qui doivent être associés à un compte utilisateur avant qu'un ancien mot de passe ne puisse être réutilisé. La valeur de ce paramètre doit être définie entre 0 et 24 mots de passe. La valeur par défaut pour Windows XP est de 0 mot de passe, mais celle d'un domaine est de 24 mots de passe. Pour maintenir l'efficacité de ce paramètre de stratégie, utilisez le paramètre **Durée de vie minimale du mot de passe** pour empêcher les utilisateurs de modifier sans cesse leur mot de passe. Configurez le paramètre **Conserver l'historique des mots de passe** sur **24 mots de passe** pour les deux environnements de sécurité définis dans ce guide. #### Durée de vie maximale du mot de passe Les valeurs de ce paramètre de stratégie peuvent être comprises entre 1 et 999 jours. (Vous pouvez également définir la valeur sur 0 pour indiquer que les mots de passe n'expirent jamais.) Ce paramètre de stratégie définit la durée d'utilisation d'un mot de passe avant son expiration. La valeur par défaut de ce paramètre est de 42 jours. Il est possible de déchiffrer la plupart des mots de passe ; cela signifie que plus le mot de passe est changé régulièrement, moins le pirate aura l'occasion d'utiliser le mot de passe qu'il a découvert. Toutefois, plus cette valeur est faible, plus vous risquez d'augmenter le nombre d'appels passés au support technique. Configurez le paramètre **Durée de vie maximale du mot de passe** sur **90 jours** pour les deux environnements de sécurité définis dans ce guide. #### Durée de vie minimale du mot de passe Ce paramètre de stratégie détermine le nombre de jours pendant lesquels un mot de passe doit être utilisé avant de pouvoir être modifié par un utilisateur. Les valeurs de ce paramètre de stratégie vont de 1 à 998 jours. (Vous pouvez également régler la valeur sur 0 pour autoriser les changements immédiats de mot de passe.) La valeur par défaut pour ces paramètres de stratégie est de 0. La valeur du paramètre **Durée de vie minimale du mot de passe** doit être inférieure à celle du paramètre **Durée de vie maximale du mot de passe**, sauf si la valeur de **Durée de vie maximale du mot de passe** est définie sur 0, ce qui a pour effet que les mots de passe n'expirent jamais. Si la valeur du paramètre **Durée de vie maximale du mot de passe** est définie sur 0, la valeur de ce paramètre peut prendre n'importe quelle valeur entre 0 et 999. Si vous voulez que le paramètre **Conserver l'historique des mots de passe** soit efficace, attribuez-lui une valeur supérieure à 0. Si le paramètre **Durée de vie minimale du mot de passe** est 0, l'utilisateur peut faire défiler ses mots de passe jusqu'à ce qu'il retrouve son ancien mot de passe favori. Configurez le paramètre **Durée de vie minimale du mot de passe** sur 1 jour pour les deux environnements de sécurité définis dans ce guide. Ce paramètre dissuade les utilisateurs d'utiliser sans cesse le même mot de passe parce qu'ils doivent attendre un jour complet avant de pouvoir modifier leurs mots de passe. Il encourage également les utilisateurs à se souvenir des nouveaux mots de passe parce qu'ils doivent les utiliser pendant au moins 1 jour avant de pouvoir les changer. Il les empêche enfin de contourner la restriction du paramètre **Conserver l'historique des mots de passe.** #### Longueur minimale du mot de passe Ce paramètre de stratégie détermine le nombre minimal de caractères que le mot de passe d'un compte utilisateur doit contenir. Il existe de nombreuses théories sur la manière de déterminer la longueur de mot de passe optimale pour une entreprise et le terme « phrase de passe » est peut-être plus approprié que « mot de passe ». Dans Microsoft Windows 2000 et versions ultérieures, les phrases de passe peuvent être relativement longues et inclure des espaces. Une phrase du type « J'aimerais boire un milk-shake à 5 $ » est une phrase de passe valide, qui s'avère beaucoup plus sûre qu'une chaîne de 8 ou 10 caractères et chiffres choisis au hasard, tout en étant plus facile à retenir. N'oubliez pas que les utilisateurs doivent savoir comment choisir et conserver les mots de passe (en particulier leur longueur). Dans l'environnement Client Entreprise, assurez-vous que le paramètre **Longueur minimale du mot de passe** est configuré à **8 caractères.** Il est ainsi suffisamment long pour fournir la sécurité adéquate, mais reste suffisamment court pour que les utilisateurs s'en souviennent aisément. Dans l'environnement SSLF, configurez la valeur à **12 caractères.** #### Le mot de passe doit répondre aux exigences de complexité. Ce paramètre de stratégie vérifie tous les nouveaux mots de passe pour s'assurer qu'ils sont effectivement des mots de passe forts. Par défaut, la valeur de ce paramètre dans Windows XP est **Désactivé**, mais ce paramètre est **Activé** dans un domaine Windows Server 2003. Chaque caractère supplémentaire accroît la complexité du mot de passe de manière exponentielle. Par exemple, un mot de passe à sept chiffres en minuscules aurait 267 combinaisons possibles (approximativement 8 x 109 ou 8 milliards). Avec 1 000 000 de tentatives par seconde (une performance qu'offre la plupart des utilitaires de décodage des mots de passe), 133 heures suffiraient pour essayer tous les mots de passe possibles. Un mot de passe à sept lettres, en respectant la casse, offre 527 combinaisons différentes. Un mot de passe à sept caractères alphanumériques, respectant la casse et sans ponctuation offre 627 combinaisons. Un mot de passe à huit caractères offre 268 combinaisons possibles (ou 2 x 1011). À première vue, ce chiffre semble époustouflant mais, avec 1 000 000 de tentatives par seconde, 59 heures suffiraient pour essayer tous les mots de passe possibles. N'oubliez pas que ce nombre d'heures peut augmenter considérablement dès lors que vous utilisez des mots de passe avec des caractères ALT ou tout autre caractère spécial tel que le point d'exclamation (!) ou le @. L'usage correct des mot de passe rend difficile, voire impossible, une attaque en force. #### Comment stocker des mots de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine Ce paramètre de stratégie détermine si le système d'exploitation stocke des mots de passe à cryptage réversible ; il permet de prendre en charge les applications utilisant des protocoles qui nécessitent la reconnaissance du mot de passe de l'utilisateur dans le cadre du processus d'authentification. Le stockage des mots de passe à l'aide du cryptage réversible revient pratiquement à stocker en clair des versions texte des mots de passe. C'est pour cette raison que ce paramètre de stratégie ne doit jamais être activé, sauf si les exigences d'une application l'emportent sur la protection des données de mots de passe. La valeur par défaut de ce paramètre de stratégie est **Désactivé**. Ce paramètre doit être activé lorsque le protocole CHAP (Challenge Handshake Authentication Protocol) est utilisé via le service d'accès à distance ou d'authentification Internet (IAS). Il est également nécessaire avec l'authentification avancée dans Microsoft Internet Information Services (IIS). Assurez-vous que le paramètre **Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine** est réglé sur **Désactivé**, sa configuration originale dans l'objet de stratégie de groupe du domaine par défaut de Windows Server 2003 et dans la stratégie de sécurité locale pour stations de travail et serveurs. Ce paramètre de stratégie est également **Désactivé** dans les deux environnements qui sont définis dans ce guide. #### Comment empêcher les utilisateurs de changer de mot de passe sauf si nécessaire Outre les stratégies de mot de passe mentionnées précédemment dans ce chapitre, certaines organisations exigent d'exercer un contrôle centralisé sur tous les utilisateurs. Cette section décrit la façon d'empêcher les utilisateurs de changer de mot de passe sauf lorsqu'on le leur demande. Un contrôle centralisé des mots de passe des utilisateurs est à la base d'un schéma de sécurité Windows XP bien réalisé. Comme nous l'avons déjà vu, vous pouvez utiliser une Stratégie de groupe pour définir des durées de vie de mot de passe minimale et maximale. Cependant, les changements fréquents de mot de passe peuvent permettre aux utilisateurs de contourner le paramètre **Conserver l'historique des mots de passe** dans votre environnement. Exiger des mots de passe trop longs peut également entraîner une augmentation du nombre d'appels passés au support technique car certains utilisateurs vont oublier leurs mots de passe. Les utilisateurs peuvent modifier leurs mots de passe pendant la période définie par les paramètres de durée de vie maximale et minimale des mots de passe. Notons toutefois que, de par sa conception, l'environnement Sécurité Spécialisée – Fonctionnalité limitée nécessite que les utilisateurs modifient leur mot de passe uniquement lorsque le système d'exploitation les y invite, après que leur mot de passe a atteint la durée de vie maximale de 42 jours. Pour atteindre ce niveau de contrôle, les administrateurs peuvent désactiver le bouton **Modifier le mot de passe...** dans la boîte de dialogue **Sécurité de Windows** qui apparaît quand vous appuyez CTRL+ALT+SUPPRIMER. Vous pouvez implémenter cette configuration pour l'ensemble d'un domaine en utilisant une stratégie de groupe ou l'implémenter pour un ou plusieurs utilisateurs spécifiques en éditant le registre. Pour plus d’informations sur cette configuration, reportez-vous à l'article 324744 (en anglais) de la Base de connaissances Microsoft, « [How To: Prevent Users from Changing a Password Except When Required in Windows Server 2003](http://support.microsoft.com/kb/324744/fr) », à l'adresse http://support.microsoft.com/default.aspx?scid=324744. (version française « Comment faire pour empêcher les utilisateurs de modifier un mot de passe sauf en cas de nécessité dans Windows Server 2003 » disponible sur http://support.microsoft.com/kb/324744/fr) Si vous avez un domaine Windows 2000, reportez-vous à l'article 309799 (en anglais) de la Base de connaissances Microsoft, « [How To: Prevent Users from Changing a Password Except When Required in Windows 2000](http://support.microsoft.com/kb/309799/fr) » à l'adresse http://support.microsoft.com/default.aspx?scid=309799. (version française « Comment faire : Empêcher les utilisateurs de modifier un mot de passe sauf lorsqu'ils y sont invités » disponible à l'adresse http://support.microsoft.com/kb/309799/fr) [](#mainsection)[Haut de page](#mainsection) ### Paramètres de stratégie de verrouillage du compte La stratégie de verrouillage du compte est une caractéristique de sécurité d'Active Directory qui permet de verrouiller un compte utilisateur et d'en empêcher toute connexion à la suite d'un certain nombre d'échecs de connexion sur une période donnée. Les tentatives d'ouverture de session sont vérifiées par les contrôleurs de domaine. Le nombre de tentatives autorisées et la période reposent sur les valeurs configurées pour les paramètres de verrouillage du compte. La durée du verrouillage peut également être indiquée. Ces paramètres de sécurité permettent d'éviter que des personnes malveillantes devinent les mots de passe des utilisateurs et que les probabilités de réussite des attaques dans votre environnement réseau diminuent. Cependant, une stratégie de verrouillage du compte activée entraînera probablement des problèmes de support pour les utilisateurs réseau. Avant d'activer les paramètres suivants, assurez-vous que votre entreprise est prête à accepter ces frais de gestion supplémentaires. Pour beaucoup d'entreprises, une solution moins coûteuse et plus pratique consiste à contrôler automatiquement les journaux des événements de sécurité des contrôleurs de domaine et à générer des alertes administratives en cas de tentative apparente de décodage des mots de passe de comptes utilisateur. Vous pouvez configurer les paramètres de verrouillage du compte à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe : **Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies de compte\\Stratégie de verrouillage du compte** Le tableau suivant présente les recommandations concernant les paramètres de stratégie de verrouillage du compte pour les deux environnements de sécurité définis dans ce guide. Vous trouverez des informations plus détaillées sur chacun des paramètres dans les sous-sections suivantes. **Tableau 2.2 Recommandations sur les paramètres de stratégie de verrouillage du compte**

Paramètre Valeur par défaut du contrôleur de domaine EC SSLF
Durée de verrouillage du compte Non défini 15 minutes 15 minutes
Seuil de verrouillage du compte 0 tentative d'ouverture de session incorrecte 50 tentatives d'ouverture de session incorrectes 10 tentatives d'ouverture de session incorrectes
Réinitialiser le compteur de verrouillage du compte après Non défini 15 minutes 15 minutes
#### Durée de verrouillage du compte Ce paramètre de stratégie détermine la durée qui doit s'écouler avant qu'un compte ne soit déverrouillé et que l'utilisateur ne puisse à nouveau se connecter. Ce paramètre agit ainsi en spécifiant le nombre de minutes pendant lesquelles un compte verrouillé reste indisponible. Si la valeur de ce paramètre est définie sur 0, les comptes verrouillés restent dans cet état tant qu'un administrateur ne les déverrouille pas. La valeur par défaut Windows XP pour ce paramètre est **Non défini**. Pour réduire le nombre d'appels au support technique, tout en garantissant une infrastructure sécurisée, configurez la valeur du paramètre **Durée de verrouillage du compte** sur **15** minutes pour les environnements Client Entreprise et Sécurité spécialisée – Fonctionnalité limitée définis dans ce guide. Même si le fait de configurer ce paramètre pour qu'il ne se déverrouille jamais peut paraître une bonne idée, un tel paramétrage risque d'accroître le nombre d'appels au support technique de l'entreprise pour déverrouiller les comptes verrouillés par erreur. La valeur recommandée de 15 minutes a été déterminée comme une durée raisonnable que les utilisateurs sont généralement enclins à accepter si leur compte est verrouillé. Les utilisateurs doivent également être informés de la façon dont cette stratégie est configurée afin qu'ils se rendent compte qu'ils ne doivent appeler le support technique que s'ils nécessitent de disposer de toute urgence de l'accès à leur ordinateur. #### Seuil de verrouillage du compte Ce paramètre de stratégie détermine le nombre de tentatives d'ouverture de session qu'un utilisateur peut effectuer avant qu'un compte ne soit verrouillé. Les utilisateurs autorisés peuvent verrouiller eux-mêmes un compte en commettant une erreur lors de la saisie du mot de passe, s'ils ne s'en rappellent pas bien, ou en changeant leur mot de passe sur un ordinateur alors qu'ils sont déjà connectés sur un autre ordinateur. L'ordinateur sur lequel a été saisi le mot de passe erroné continue de tenter d'authentifier l'utilisateur et, comme le mot de passe qu'il utilise est incorrect, le compte de l'utilisateur est finalement verrouillé. Pour éviter le verrouillage accidentel d'utilisateurs autorisés, configurez le seuil de verrouillage du compte sur une valeur élevée. La valeur par défaut de ce paramètre de stratégie est de 0 tentative d'ouverture de session incorrecte, ce qui désactive la fonctionnalité de verrouillage du compte. Fixez la valeur du paramètre **Seuil de verrouillage du compte** à **50** tentatives d'ouverture de session incorrectes pour les environnements EC et **10** pour les environnements SSLF. Parce qu'il est possible pour une personne malveillante d'utiliser cet état de verrouillage comme un refus de service (DoS) en déclenchant un verrouillage sur plusieurs comptes, votre entreprise devrait déterminer si elle doit utiliser cette stratégie en fonction des menaces identifiées et des risques que vous souhaitez minimiser. Deux options doivent être prises en compte pour ce paramètre de stratégie. Première option : - Configurez le paramètre **Seuil de verrouillage du compte** sur **0** pour garantir que les comptes ne seront pas verrouillés. Cette valeur permet d'empêcher les attaques de refus de service visant à verrouiller les comptes de votre organisation. Elle réduira également les appels passés au support technique, car les utilisateurs ne pourront pas verrouiller accidentellement leurs comptes. Cependant, cette valeur n'empêchera pas une attaque en force. Les défenses suivantes devraient être également considérées : - Une stratégie de mot de passe qui oblige tous les utilisateurs à avoir des mots de passe complexes de 8 caractères ou plus. - Un solide mécanisme d'audit permettant d'alerter les administrateurs lorsqu'une série de verrouillages de compte survient dans l'environnement. Ainsi, la solution d'audit doit veiller à l'événement de sécurité 539 qui correspond à un échec de connexion. Cet événement signifie que le compte était verrouillé au moment de la tentative de connexion. Deuxième option : - Configurez le paramètre **Seuil de verrouillage du compte** sur une valeur qui fournira à l'utilisateur la possibilité d'entrer un mot de passe erroné plusieurs fois tout en garantissant que le compte sera verrouillé en cas d'attaque en force. Une valeur de 50 tentatives d'ouverture de session incorrectes pour les environnements EC et une valeur de 10 pour les environnements de type SSLF devraient assurer une sécurité adéquate et permettre une utilisation pratique du compte. Cette configuration évite les verrouillages de compte accidentels et réduit le nombre d'appels passés au support technique mais ne bloque pas les attaques de refus de service décrites précédemment. #### Comment réinitialiser le compteur de verrouillage du compte après Ce paramètre de stratégie détermine le temps qui s'écoule avant de réinitialiser le paramètre **Seuil de verrouillage du compte** à zéro. La valeur par défaut de ce paramètre est **Non défini**. Si le paramètre **Seuil de verrouillage du compte** est défini, la durée de réinitialisation doit alors être inférieure ou égale à la valeur du paramètre **Durée de verrouillage du compte**. Configurez la valeur du paramètre **Réinitialiser le compteur de verrouillage du compte après** sur **15** minutes pour les environnements EC et SSLF qui sont définis dans ce guide. Si vous laissez ce paramètre de stratégie à sa valeur par défaut ou la configurez à un intervalle qui est trop long, votre environnement pourrait être vulnérable à une attaque par refus de service. Une personne malveillante pourrait exécuter un nombre de tentatives d'ouverture de session qui échoueront sur tous les comptes utilisateur de votre entreprise et les verrouiller comme décrit précédemment. Si aucune stratégie n'est définie pour remettre à zéro le verrouillage des comptes, les administrateurs devront déverrouiller manuellement tous les comptes. À l'inverse, si ce paramètre est défini sur une durée raisonnable, les utilisateurs seront verrouillés sur une certaine période jusqu'à ce que les comptes soient déverrouillés automatiquement. La valeur recommandée de 15 minutes a été déterminée comme une durée raisonnable que les utilisateurs sont généralement enclins à accepter. Cette durée doit aider à minimiser le nombre d'appels passés au support technique. Les utilisateurs doivent également être informés de la façon dont cette stratégie est configurée afin qu'ils se rendent compte qu'ils ne doivent appeler le support technique que s'ils nécessitent de disposer de toute urgence de l'accès à leur ordinateur. [](#mainsection)[Haut de page](#mainsection) ### Paramètres d'attribution des droits d'utilisateur Les droits d'utilisateur sont décrits en détail au Chapitre 3, « Paramètres de sécurité des clients Windows XP ». Toutefois, le droit d'utilisateur **Ajouter des stations de travail au domaine** devant être défini sur tous les contrôleurs de domaine, il est donc abordé dans ce chapitre. Vous trouverez des informations complémentaires sur les paramètres du serveur membre et des contrôleurs de domaine aux chapitres 4 et 5 du *guide de sécurité Windows Server 2003*. #### Ajouter des stations de travail au domaine Ce paramètre de stratégie permet à l'utilisateur d'ajouter un ordinateur à un domaine spécifique. **Tableau 2.3 Recommandations sur le paramètre Attribution des droits d'utilisateur**

Paramètre Valeur par défaut du contrôleur de domaine EC SSLF
Ajouter des stations de travail au domaine Utilisateurs authentifiés Administrateurs Administrateurs
Pour que le paramètre **Ajouter des stations de travail au domaine** puisse prendre effet, il doit être assigné à l'utilisateur dans un objet GPO appliqué à tous les contrôleurs du domaine. Un utilisateur disposant de ce droit peut ajouter jusqu'à 10 stations de travail au domaine. Les utilisateurs disposant de l'autorisation **Créer des objets ordinateur** pour une unité d'organisation ou le conteneur Ordinateurs dans Active Directory peuvent également attribuer un ordinateur à un domaine. De plus, ils peuvent ajouter un nombre illimité d'ordinateurs au domaine, indépendamment du fait qu'ils disposent ou non du droit d'utilisateur **Ajouter des stations de travail au domaine**. Par défaut, tous les utilisateurs du groupe **Utilisateurs authentifiés** ont la possibilité d'ajouter jusqu'à 10 comptes ordinateur dans un domaine Active Directory. Ces nouveaux comptes ordinateur sont créés dans le conteneur Ordinateurs. Dans un domaine Active Directory, chaque compte ordinateur est une entité de sécurité complète, capable d'authentifier et d'accéder aux ressources du domaine. Certaines organisations préfèrent limiter le nombre d'ordinateurs dans un environnement Active Directory de manière à pouvoir assurer leur suivi, leur conception et leur gestion de manière cohérente. De tels efforts de gestion peuvent être entravés si les utilisateurs sont autorisés à ajouter des postes de travail au domaine. Ce droit d'utilisateur offre également la possibilité aux utilisateurs d'exercer des activités qui seront plus difficiles à détecter car ils peuvent créer d'autres ordinateurs de domaine non autorisés. C'est pour ces raisons que le droit d'utilisateur **Ajouter des stations de travail au domaine** n'est accordé qu'aux **administrateurs** du groupe, dans les deux environnements définis dans ce guide. [](#mainsection)[Haut de page](#mainsection) ### Paramètres des options de sécurité La stratégie de compte doit être définie dans un objet GPO lié au niveau du domaine, tel que les paramètres de stratégie dans la stratégie de domaine par défaut. Un contrôleur de domaine obtient toujours la stratégie de compte auprès de l'objet de stratégie de groupe du niveau de domaine par défaut, même si une autre stratégie de compte est appliquée à l'unité d'organisation dont il fait partie. Trois paramètres d'options de sécurité similaires aux stratégies de compte doivent être considérés au niveau du domaine. Vous pouvez configurer ces paramètres d'options de sécurité à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe : **Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Options de sécurité** Le tableau suivant présente les recommandations en matière de paramètres d'options de sécurité pour les deux types d'environnements sécurisés définis dans ce guide. Vous trouverez des informations plus détaillées sur chacun des paramètres dans les sous-sections suivantes. **Tableau 2.4 Recommandations concernant les paramètres d'options de sécurité**

Paramètre Valeur par défaut du membre de domaine EC SSLF
Serveur réseau Microsoft : Déconnecter les clients à l'expiration des horaires de connexion Non défini Activé Activé
Accès réseau : Permettre la traduction de noms/SID anonymes Non défini Désactivé Désactivé
Sécurité réseau : Forcer la fermeture de session à l'expiration des horaires de connexion Désactivé Activé Activé
#### Serveur réseau Microsoft : Déconnecter les clients à l'expiration des horaires de connexion Ce paramètre de stratégie détermine s'il est nécessaire de déconnecter l'utilisateur du réseau local hors des horaires de connexion valides du compte utilisateur. Ce paramètre de stratégie affecte le composant bloc de message serveur (SMB). Lorsqu'il est activé, ce paramètre entraîne la déconnexion forcée des sessions client avec le service SMB lorsque les horaires de connexion du client ont expiré. S'il est désactivé, une session client en cours peut se poursuivre, même après expiration des horaires de connexion du client. Si vous activez ce paramètre, veillez à ce que le paramètre **Sécurité réseau : Forcer la fermeture de session à l'expiration des horaires de connexion** soit aussi activé. **Remarque**:Le bloc de message serveur (SMB) constitue le fondement des ressources partagées dans les réseaux Windows. Les paramètres qui affectent le SMB affecteront donc les ressources partagées telles que les dossiers et les imprimantes. Si votre entreprise a limité le temps des sessions utilisateur, il est conseillé d'activer le paramètre **Serveur réseau Microsoft : Déconnecter les clients à l'expiration du délai de connexion**. Dans le cas contraire, les utilisateurs ne pouvant pas accéder aux ressources réseau en dehors des horaires de connexion pourront en fait y accéder et ce, grâce à des sessions ouvertes pendant les horaires autorisés. Si les horaires de connexion ne sont pas utilisés dans votre entreprise, ce paramètre n'aura aucun effet, même s'il est activé. En revanche, s'ils sont utilisés, le système mettra fin aux sessions utilisateur lorsque les horaires de connexion expireront. #### Accès réseau : Permettre la traduction de noms/SID anonymes Le paramètre **Accès réseau : Permettre la traduction de noms/SID anonymes** détermine si un utilisateur anonyme peut demander le SID d'un autre utilisateur. Si ce paramètre de stratégie est activé sur un contrôleur de domaine, l'utilisateur qui connaît un attribut SID d'administrateur peut entrer en contact avec un ordinateur dont le même paramètre est activé et utiliser le SID pour obtenir le nom du compte de l'administrateur. Cette personne pourra ensuite utiliser ce compte pour initier une attaque de recherche de mot de passe. Le paramètre par défaut des *ordinateurs membres* est **Désactivé**. Le paramètre par défaut des *contrôleurs de domaine* en revanche est défini sur **Activé**. Si vous désactivez ce paramètre, les systèmes suivants ne pourront pas communiquer avec les domaines basés sur Windows Server 2003 : - les serveurs de service d'accès à distance sur Microsoft Windows NT® 4.0 - les serveurs de service d'accès à distance s'exécutant sur des ordinateurs Windows 2000, situés dans des domaines Windows NT 3.*x* ou Windows NT 4.0 - les serveurs Microsoft SQL Servers™ exécutés sur les ordinateurs Windows NT 3.*x* ou Windows NT 4.0. - les serveurs SQL exécutés sur des ordinateurs Windows 2000, situés dans des domaines Windows NT 3.*x* ou Windows NT 4.0 - les utilisateurs du domaine Windows NT 4.0 souhaitant attribuer des autorisations d'accès à des fichiers, dossiers partagés et objets de registre aux comptes d'utilisateur des domaines de compte qui contiennent les contrôleurs de domaine Windows Server 2003. #### Sécurité réseau : Forcer la fermeture de session à l'expiration des horaires de connexion Le paramètre **Sécurité réseau : Forcer la fermeture de session à l'expiration des horaires de connexion** détermine s'il convient de déconnecter les utilisateurs reliés au réseau local hors des horaires de connexion valides du compte utilisateur. Ce paramètre affecte le composant SMB. Si vous activez ce paramètre de stratégie, les clients recourant au serveur SMB seront déconnectés à l'expiration des horaires de connexion et devront attendre le créneau horaire suivant pour ouvrir une nouvelle session. Lorsque ce paramètre de stratégie est désactivé, la session en cours d'un utilisateur est conservée après l'expiration des horaires de connexion. Pour affecter les comptes de domaine, ce paramètre doit être défini dans un objet GPO lié à la racine du domaine. [](#mainsection)[Haut de page](#mainsection) ### Stratégie Kerberos La stratégie pour le protocole d'authentification Kerberos, version 5, est configurée sur les contrôleurs de domaine et non sur les ordinateurs membres du domaine. Cette stratégie détermine les paramètres qui se rapportent au protocole Kerberos, tels que la durée de vie des tickets et leur mise en application. Les paramètres Kerberos n'existent pas dans la stratégie de l'ordinateur local. Dans la plupart des environnements, les valeurs par défaut de ces paramètres ne peuvent pas être modifiées. Il est recommandé de ne pas apporter de modification à la stratégie Kerberos par défaut. Pour plus d'informations sur ces paramètres, consultez le guide compagnon (en anglais) [*Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159) sur le site http://go.microsoft.com/fwlink/?LinkId=15159. (version française « Présentation de Menaces et contre-mesures – Paramètres de sécurité dans Windows 2003 Server et Windows XP » disponible à l'adresse http://www.microsoft.com/france/technet/security/guidance/serversecurity/tcg/tcgch00.mspx) [](#mainsection)[Haut de page](#mainsection) ### Stratégie de groupe au niveau de l'unité d'organisation Les paramètres de sécurité inclus dans la stratégie de groupe au niveau de l'unité d'organisation doivent être spécifiques à l'unité. Ces paramètres regroupent à la fois les paramètres ordinateur et les paramètres utilisateur. Pour faciliter la gestion et améliorer la sécurité, la section traitant des stratégies de restriction logicielle (SRP) est distincte des autres paramètres de sécurité dans ce guide. Le chapitre 6, « Stratégie de restriction logicielle pour les clients Windows XP », fournit des informations détaillées sur la stratégie SRP. #### Paramètres de sécurité de la stratégie de groupe Vous devrez créer un objet de stratégie de groupe pour chaque catégorie d'ordinateurs Windows XP dans votre environnement. Les portables et les ordinateurs de bureau se répartissent en unités d'organisation distinctes dans ce guide et ce, afin d'appliquer des objets de stratégie de groupe personnalisés à chacune de ces catégories d'ordinateurs. #### Paramètres de stratégie de restriction logicielle Vous devez créer des objets de stratégie de groupe dédiés pour définir les paramètres de stratégie de restriction logicielle (SRP) dans votre environnement. Il existe de sérieuses raisons pour conserver les paramètres SRP à part des autres paramètres de stratégie de groupe. Tout d'abord, les paramètres de stratégie de restriction logicielle présentent une différence conceptuelle par rapport aux autres paramètres de stratégie de groupe. Les options ne sont pas activées ou désactivées, et les valeurs ne sont pas configurées. Au lieu de cela, la stratégie de restriction logicielle exige des administrateurs qu'ils identifient l'ensemble des applications à prendre en charge, les restrictions à appliquer et la façon de traiter les exceptions. Cette méthode facilite également une reprise rapide en cas d'erreur catastrophique lors de l'implémentation des stratégies de restriction logicielle dans l'environnement de production : les administrateurs peuvent désactiver temporairement les objets de stratégie de groupe dans lesquels les paramètres de stratégie de restriction logicielle sont définis, sans affecter les autres paramètres de sécurité. [](#mainsection)[Haut de page](#mainsection) ### Outils de la stratégie de groupe Il existe plusieurs outils, livrés avec Windows XP, qui facilitent l'utilisation des objets GPO. Vous trouverez une courte présentation de certains de ces outils dans cette section. Pour plus d'informations sur ces outils, consultez l'Aide en ligne dans Windows XP. #### Forcer la mise à jour d'une stratégie de groupe Active Directory met régulièrement à jour la stratégie de groupe mais vous pouvez forcer la version sur vos ordinateurs clients en effectuant la mise à jour via l'outil de ligne de commande GpUpdate, livré avec Windows XP Professionnel. L'outil doit être exécuté en local sur les ordinateurs clients. Pour mettre à jour un ordinateur local avec cet outil, exécutez la commande suivante à l'invite de commande : ``` gpupdate /force ``` Après avoir exécuté Gpupdate, vous verrez s'afficher les informations de confirmation suivantes : ``` 
    C:\Documents and Settings\administrator.MSSLAB>gpupdate /force
    Refreshing Policy...
    User Policy Refresh has completed.
    Computer Policy Refresh has completed.
    To check for errors in policy processing, review the event log.
    C:\Documents and Settings\administrator.MSSLAB> 

Pour les stratégies de groupe utilisateur, vous devrez vous déconnecter puis ouvrir une nouvelle session sur l'ordinateur que vous utilisez afin de tester les stratégies. Les stratégies ordinateur doivent se mettre à jour immédiatement.
  
Pour afficher plus d'options Gpupdate, exécutez la commande suivante à l'invite de commande :
  

gpupdate /?   

#### Affichage du jeu de stratégie résultant
  
Deux outils livrés avec Windows XP vous permettent de déterminer les stratégies qui ont été appliquées aux ordinateurs de votre environnement ainsi que leur date et leur ordre d'application.
  
-   **Logiciel enfichable RSoP**. Cet outil (RSoP.msc) est un logiciel enfichable MMC qui présente tous les paramètres de l'ensemble des stratégies s'appliquant à un ordinateur. L'outil peut être exécuté en local ou à distance à partir d'un autre ordinateur. Pour chaque paramètre de stratégie, l'outil RSoP affiche la configuration de l'ordinateur et l'objet de stratégie de groupe source.
  
-   **Gpresult**. Cet outil de ligne de commande fournit des statistiques sur : la dernière date d'application d'une stratégie de groupe sur un ordinateur, les objets de stratégie de groupe appliqués et l'ordre dans lequel ils ont été appliqués. L'outil fournit en outre des informations sur tous les objets de stratégie de groupe qui ont été appliqués par filtrage. L'outil Gpresult peut être utilisé à distance ou en local sur les ordinateurs clients.
  
#### Console de gestion des stratégies de groupes
  
La console GPMC (Group Policy Management Console) est un composant logiciel enfichable MMC qui est disponible en tant que composant facultatif avec Windows Server 2003 Service Pack 1. Elle est utilisée pour gérer toutes les tâches liées à la stratégie de groupe. La console GPMC aide à planifier, monter, déployer, signaler, scripter et dépanner l'application des objets GPO. D'autres informations sont disponibles sur le site[GPMC](http://www.microsoft.com/windowsserver2003/gpmc/default.mspx) à l'adresse www.microsoft.com/windowsserver2003/gpmc/default.mspx.
  
[](#mainsection)[Haut de page](#mainsection)  
  
### Résumé
  
La stratégie de groupe est une fonctionnalité Active Directory conçue pour contrôler les environnements utilisateur et ordinateur des domaines Windows Server 2003 et Windows 2000. Avant d'appliquer une stratégie de groupe aux ordinateurs de bureau Windows XP de votre environnement, il convient d'exécuter une série d'opérations préliminaires sur votre domaine.
  
Les paramètres de stratégie de groupe stockés dans des objets de stratégie de groupe sur les contrôleurs de domaine de votre environnement sont liés à des sites, domaines ou unités d'organisation résidant au sein de la structure Active Directory. Avant d'implémenter la stratégie de groupe, il est important de comprendre la structure Active Directory et ce qu'implique au niveau de la sécurité la configuration des différentes options
  
La stratégie de groupe constitue un outil essentiel pour la sécurisation de Windows XP. Ce chapitre présente en détail comment utiliser la stratégie de groupe afin de mettre en œuvre et de gérer une stratégie de sécurité consistante au sein d'un réseau à partir d'un point central.
  
Il donne également des informations sur les différents niveaux de la stratégie de groupe ainsi que sur des outils spéciaux pouvant être utilisés pour mettre à jour cette stratégie de groupe dans votre environnement
  
#### Informations complémentaires
  
Cliquez sur les liens suivants pour obtenir des informations complémentaires sur les questions de sécurité liées à Windows XP Professionnel.
  
-   Pour plus d'informations sur la gestion et la conception Active Directory, reportez-vous au site (en anglais) « [Windows 2000 Server Active Directory](http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory) » à l'adresse www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory. (version française « Considérations relatives à la conception d'une délégation d'administration dans Active Directory » disponible à l'adresse http://www.microsoft.com/france/technet/produits/win2000s/addeladm.mspx)
  
-   Pour plus d'informations sur la conception Active Directory, reportez-vous au livre blanc (en anglais) « [Best Practice Active Directory Design for Managing Windows Networks](http://technet.microsoft.com/fr-fr/library/bb727085.aspx) » à l'adresse technet.microsoft.com/fr-fr/library/Bb727085.aspx.
  
-   Pour plus d'informations sur la stratégie de groupe, reportez-vous au livre blanc (en anglais) « [Step-by-Step Guide to Understanding the Group Policy Feature Set](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpfeat.mspx) » à l'adresse www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory  
    /activedirectory/stepbystep/gpfeat.mspx.  
    Consultez également la page d'accueil (en anglais) sur la [Stratégie de groupe](http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx) de Windows Server 2003 à l'adresse www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx.
  
-   Pour plus d'informations sur la sécurité de Windows XP, consultez le document (en anglais) « [Microsoft Windows XP Professional Resource Kit Documentation](http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/default.mspx) » à l'adresse www.microsoft.com//technet/prodtechnol/winxppro/reskit/default.mspx. (version française « Documentation du Kit de ressources techniques Microsoft Windows XP Professionnel » disponible à l'adresse http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/82d599b9-cab8-485a-a914-9e876d6b1246.mspx?mfr=true)
  
-   Pour avoir un aperçu des fonctionnalités de sécurité pour Windows XP, consultez le livre blanc (en anglais) « [What's New in Security for Windows XP Professional and Windows XP Home Edition](http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.mspx) » à l'adresse technet.microsoft.com/en-us/library/bb457059.aspx.
  
-   Pour plus d'informations sur les Modèles d'administration, consultez le livre blanc (en anglais) « [Implementing Registry-Based Group Policy](http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp) » à l'adresse support.microsoft.com/kb/810767.
  
-   Pour plus d'informations sur la console de gestion des stratégies de groupes ([GPMC](http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)), consultez le site www.microsoft.com/windowsserver2003/gpmc/default.mspx.
  
-   Pour plus d’informations sur l’outil Group Update ([GpUpdate](http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/refrgp.mspx)), consultez la page www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/refrgp.mspx.
  
-   Pour plus d’informations sur l'outil [Jeu de stratégie résultant (RSoP)](http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspoverview.mspx?mfr=true), consultez le site www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/rspoverview.mspx?mfr=true.
  
-   Pour plus d’informations sur l'outil de résultats de stratégie de groupe ([Gpresult](http://www.microsoft.com/windowsxp/using/setup/expert/gpresults.mspx)), consultez le site www.microsoft.com/windowsxp/using/setup/expert/gpresults.mspx.
  
-   Pour plus d'informations sur la délégation d’autorité dans Active Directory, consultez la section *Planning Distributed Security* (en anglais) du [Kit de ressources Windows 2000](http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsca_pt3_stbp.mspx?mfr=true) à l'adresse www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/  
    dsca\_pt3\_stbp.mspx?mfr=true.
  
##### Téléchargez
  
[![](images/Cc163071.icon_exe(fr-fr,TechNet.10).gif)Télécharger le Guide de sécurité de Windows XP](http://go.microsoft.com/fwlink/?linkid=14840)
  
[](#mainsection)[Haut de page](#mainsection)