Chapitre 3 : Paramètres de sécurité des clients Windows XP
Dernière mise à jour le 20 octobre 2005
Sur cette page
Présentation
Paramètres de stratégie de compte
Paramètres de stratégie locale
Paramètres de stratégie d’audit
Paramètres d'attribution des droits de l'utilisateur
Paramètres des options de sécurité
Paramètres de sécurité des journaux d'événements
Groupes restreints
Services système
Paramètres de registre supplémentaires
Comment personnaliser l’interface utilisateur de l’Éditeur de configuration de sécurité
Paramètres de sécurité supplémentaires
Sécurisation du système de fichiers
Résumé
Présentation
Ce chapitre décrit les paramètres de sécurité principaux qui sont configurés via la stratégie de groupe dans un domaine de services d'annuaire Active Directory® Microsoft® Windows® 2000 ou Windows Server™ 2003. Mettez en œuvre les paramètres de stratégie recommandés afin de garantir une configuration sécurisée des ordinateurs de bureau et des ordinateurs portables qui exécutent Microsoft Windows XP Professionnel avec Service Pack 2 (SP2) dans votre entreprise. Tous les paramètres de stratégie disponibles dans Windows XP ne sont pas traités ; ce chapitre décrit uniquement ceux qui sont directement liés à la sécurité de l'ordinateur.
Comme décrit dans le Chapitre 1, « Introduction au Guide de sécurité de Windows », les conseils présentés dans ce chapitre sont spécifiques aux environnements Client Entreprise (EC) et Sécurité spécialisée – Fonctionnalité limitée (SSLF) définis dans ce guide. Dans certains cas, ce chapitre recommande des paramètres pour les ordinateurs portables différents de ceux des ordinateurs de bureau, car, par définition, les premiers sont mobiles et ne sont pas toujours connectés aux contrôleurs de domaine de votre environnement par le biais du réseau d'entreprise. Il est également supposé que les utilisateurs de portables travaillent parfois à des heures auxquelles le support technique sur site n'est pas disponible. C'est pour ces raisons que les paramètres de stratégie qui nécessitent une connectivité vers un contrôleur de domaine ou qui régissent des heures d'ouverture de session sont différents pour les ordinateurs client portables.
Des paramètres de stratégie non spécifiés pour des environnements particuliers sont parfois définis au niveau du domaine, comme indiqué dans le Chapitre 2, « Configuration de l'infrastructure de domaine Active Directory ». D'autres paramètres de stratégie indiqués comme Non défini dans ce chapitre sont traités de cette manière parce que la valeur par défaut est suffisamment sécurisée pour cet environnement précis. En outre, les paramètres de stratégie non définis dans ces objets de stratégie de groupe (GPO) facilitent le déploiement d'applications modifiant des paramètres lors de l'installation. Exemple : les outils de gestion d'entreprise pourront avoir besoin d'attribuer des droits d'utilisateur spécifiques aux comptes Service local sur les ordinateurs gérés. Les conseils donnés dans ce chapitre sont des recommandations ; prenez en compte les besoins de votre entreprise avant d'apporter des modifications à votre environnement.
Le tableau ci-dessous définit les fichiers d'infrastructure (.inf), disponibles avec ces instructions. Ces fichiers contiennent l'ensemble des recommandations concernant les paramètres de sécurité de base pour les deux environnements traités dans ce chapitre.
Tableau 3.1. Modèles de sécurité de base
| Modèles de sécurité de base pour ordinateurs de bureau |
EC-Desktop.inf |
SSLF-Desktop.inf |
| Modèles de sécurité de base pour ordinateurs portables |
EC-Laptop.inf |
SSLF-Laptop.inf |
Pour plus d'informations sur les paramètres de stratégie qui sont abordés dans ce chapitre, reportez-vous au guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponibles au téléchargement à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de stratégie de compte
Les informations de paramètres de stratégie de compte ne sont pas fournies dans ce chapitre. Ces paramètres sont abordés dans le Chapitre 2 de ce guide, « Configuration de l'infrastructure de domaine Active Directory ».
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de stratégie locale
Les paramètres de stratégie locale peuvent être configurés sur tout ordinateur exécutant Windows XP Professionnel à l'aide de la console de stratégie de sécurité locale ou par le biais d'objets GPO basés sur un domaine Active Directory. Les paramètres de stratégie locale sont les suivants : stratégie d'audit, attributions des droits de l'utilisateur et options de sécurité.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de stratégie d’audit
Une stratégie d'audit détermine les événements liés à la sécurité à signaler aux administrateurs pour que les activités utilisateur ou système soient enregistrées dans des catégories d'événements spécifiées. L'administrateur peut surveiller les activités associées à la sécurité : par exemple, qui accède à tel objet, quand un utilisateur ouvre ou ferme une session sur un ordinateur. Il peut également voir si des modifications sont apportées à un paramètre de stratégie d'audit. De ce fait, Microsoft vous recommande d'établir une stratégie d'audit qu'un administrateur se chargera d'implémenter dans votre environnement.
Cependant, avant d'implémenter une stratégie d'audit, vous devez choisir les catégories d'événements à auditer dans votre environnement d'entreprise. Les paramètres d'audit que vous sélectionnez dans les catégories d'événement définissent votre stratégie d'audit. En définissant des paramètres de stratégie d'audit pour des catégories d'événement particulières, un administrateur peut créer une stratégie d'audit qui réponde aux besoins de votre entreprise en matière de sécurité.
Si aucun paramètre d'audit n'est défini, il est alors difficile ou impossible d'identifier l'origine d'un incident lié à la sécurité. Dans le cas contraire, si la configuration d'un audit est telle que de trop nombreuses activités autorisées génèrent des événements, le journal d'événements de sécurité sera rempli de données superflues. Les informations contenues dans les sections suivantes sont conçues pour vous aider à décider de ce que vous allez contrôler et de quelle manière vous allez recueillir les données d'audit requises pour votre organisation.
Les paramètres de stratégie d’audit peuvent être configurés dans Windows XP à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Stratégie d'audit**
Le tableau suivant résume les recommandations en matière de paramètres de stratégie d'audit pour les ordinateurs client de bureau et les ordinateurs client portables dans les deux types d'environnements sécurisés abordés dans ce chapitre. L'environnement Client Entreprise est appelé environnement EC et l'environnement Sécurité spécialisée – Fonctionnalité limitée est appelé environnement SSLF. Étudiez ces recommandations et adaptez-les à votre entreprise. Soyez très prudent concernant les paramètres d'audit pouvant générer un volume de trafic important. Par exemple, si vous activez l'audit des succès ou des échecs pour **Auditer l'utilisation des privilèges**, le nombre d'événements d'audit générés sera tellement important qu'il ne sera peut-être pas possible de trouver d'autres types d'entrées dans le journal des événements de sécurité. Une configuration de ce type pourrait également avoir un impact significatif sur les performances. Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections suivantes.
**Tableau 3.2 Recommandations relatives aux paramètres de stratégie d'audit**
| Auditer les événements de connexion aux comptes |
Succès |
Succès |
Succès, Échec |
Succès, Échec |
| Auditer la gestion des comptes |
Succès |
Succès |
Succès, Échec |
Succès, Échec |
| Auditer l'accès au service d'annuaire |
Non défini |
Non défini |
Non défini |
Non défini |
| Auditer les événements de connexion |
Succès |
Succès |
Succès, Échec |
Succès, Échec |
| Auditer l'accès aux objets |
Pas d’audit |
Pas d’audit |
Échec |
Échec |
| Auditer les modifications de stratégie |
Succès |
Succès |
Succès |
Succès |
| Auditer l'utilisation des privilèges |
Pas d’audit |
Pas d’audit |
Échec |
Échec |
| Auditer le suivi des processus |
Pas d’audit |
Pas d’audit |
Pas d’audit |
Pas d’audit |
| Auditer les événements système |
Succès |
Succès |
Succès |
Succès |
#### Auditer les événements de connexion aux comptes
Si ce paramètre de stratégie est activé, des événements sont générés pour la validation d'autorisations. Ces événements surviennent sur l'ordinateur faisant autorité pour ces autorisations. Pour les comptes de domaine, c'est le contrôleur de domaine qui fait autorité, et pour les comptes locaux c'est l'ordinateur local. Dans les environnements de domaine, la plupart des événements de connexion de compte surviennent dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent survenir sur d'autres ordinateurs de l'entreprise, en fonction des comptes utilisés pour ouvrir une session.
Dans ce guide, le paramètre **Auditer les événements de connexion aux comptes** est configuré sur **Succès** uniquement pour l'environnement EC et sur **Succès** et **Échec** pour l'environnement SSLF.
#### Auditer la gestion des comptes
Ce paramètre de stratégie permet de suivre les tentatives suivantes : création d'utilisateurs ou de groupes, attribution d'un nouveau nom aux utilisateurs ou groupes, activation ou désactivation des comptes d'utilisateur, changement des mots de passe des comptes et activation de l'audit pour les événements de gestion des comptes. En activant ce paramètre de stratégie d'audit, un administrateur peut effectuer le suivi d'événements pour détecter les créations malveillantes, accidentelles ou autorisées de comptes d'utilisateur et de groupe.
Le paramètre **Auditer la gestion des comptes** est configuré sur **Succès** pour l'environnement EC et sur **Succès** et **Échec** pour l'environnement SSLF.
#### Auditer l'accès au service d'annuaire
Ce paramètre de stratégie peut être activé uniquement pour l'exécution de tâches d'audit sur les contrôleurs de domaine. De ce fait, ce paramètre n'est défini qu'au niveau des stations de travail. Il ne s'applique pas aux ordinateurs dotés de Windows XP Professionnel. Par conséquent, assurez-vous que le paramètre **Auditer l'accès au service d'annuaire** est configuré sur **Non défini** pour les deux environnements qui sont abordés dans ce chapitre.
#### Auditer les événements de connexion
Ce paramètre de stratégie génère des événements qui enregistrent la création et la destruction d'ouvertures de session. Ces événements surviennent sur l'ordinateur auquel l'utilisateur accède. Pour les ouvertures de session interactives, ces événements sont générés sur l'ordinateur utilisé pour l'ouverture de session. Si une connexion réseau a été exécutée pour accéder à un partage, ce type d'événements est généré sur l'ordinateur hébergeant la ressource à laquelle l'utilisateur a accédé.
Si le paramètre **Auditer les événements** est configuré sur **Pas d'audit**, il est difficile, voire impossible, de déterminer quel utilisateur a accédé ou a tenté d'accéder aux ordinateurs de l'entreprise.
Le paramètre **Auditer les événements** est configuré de façon à consigner les événements **Succès** pour l'environnement EC. Ce paramètre de stratégie est configuré sur **Succès** et **Échec** pour l'environnement SSLF.
#### Auditer l'accès aux objets
En lui-même, ce paramètre n'entraîne l'audit d'aucun événement. Il détermine si le système doit auditer l'événement constitué par un utilisateur qui accède à un objet (fichier, dossier, clé de registre ou imprimante, par exemple) disposant d'une liste de contrôle d'accès système (SACL) spécifiée.
Une liste SACL est composée d'entrées de contrôle d'accès (ACE). Chaque ACE contient trois éléments :
- L'entité de sécurité (utilisateur, ordinateur ou groupe) à auditer.
- Le type d'accès spécifique à auditer, appelé masque d'accès.
- Un indicateur pour signaler s'il convient d'auditer les événements d'accès ayant échoué et/ou les événements d'accès ayant abouti.
La configuration du paramètre **Auditer l'accès aux objets** sur **Succès** génère une entrée d'audit chaque fois qu'un utilisateur réussit à accéder à un objet avec une liste SACL spécifiée. La configuration de ce paramètre sur **Échec** génère une entrée d'audit chaque fois qu'un utilisateur échoue dans sa tentative d'accès à un objet avec une liste SACL spécifiée.
Les entreprises doivent définir uniquement les actions qu'elles souhaitent activer lors de la configuration des listes SACL. Imaginons par exemple que vous vouliez activer le paramètre d'audit **Écriture de données et Ajouter les données** sur les fichiers exécutables de façon à suivre le remplacement ou les modifications de ces fichiers, pouvant être causés par des virus, des vers ou des chevaux de Troie. De même, vous pourriez vouloir surveiller l'accès aux fichiers sensibles ou les modifications de ces fichiers.
Le paramètre **Auditer l'accès aux objets** est configuré sur **Pas d'audit** pour l'environnement EC et sur **Échec** pour l'environnement SSLF. Vous devez activer ce paramètre pour que les procédures suivantes prennent effet.
Les procédures ci-dessous expliquent comment configurer manuellement des règles d'audit dans un fichier ou un dossier, puis comment tester chacune d'elles pour chaque objet dans le fichier ou le dossier indiqué. La procédure de test peut être automatisée au moyen d'un fichier de script.
**Pour définir une règle d'audit pour un fichier ou un dossier**
1. Dans l'Explorateur Windows, repérez le fichier ou le dossier, puis sélectionnez-le.
2. Cliquez sur le menu **Fichier**, puis sélectionnez **Propriétés**.
3. Cliquez sur l'onglet **Sécurité**, puis sur le bouton **Avancé**.
4. Cliquez sur l'onglet **Audit**.
5. Cliquez sur le bouton **Ajouter**, la boîte de dialogue **Sélection d'un utilisateur, d'un ordinateur ou d'un groupe** s'affiche.
6. Cliquez sur le bouton **Types d'objet...**, puis, dans la boîte de dialogue **Types d'objet**, sélectionnez les types d'objet à rechercher.
**Remarque** : Les types d'objet Utilisateur, Groupe et Entité de sécurité intégrée sont sélectionnés par défaut.
7. Cliquez sur le bouton **Emplacements...** et sélectionnez votre domaine ou votre ordinateur local dans la boîte de dialogue **Emplacement**.
8. Dans la boîte de dialogue **Sélection d'un utilisateur ou d'un groupe**, saisissez le nom du groupe ou de l'utilisateur à auditer. Puis, dans la boîte de dialogue **Entrez les noms des objets à sélectionner**, saisissez **Utilisateurs authentifiés** pour auditer l'accès de tous les utilisateurs de ce type. Cliquez sur **OK**. La boîte de dialogue **Audit de l'entrée** s'ouvre.
9. Dans la boîte de dialogue **Audit de l'entrée**, déterminez le type d'accès à auditer dans le fichier ou le dossier.
**Remarque** : N'oubliez pas que chaque accès peut générer plusieurs événements dans le journal des événements, ce qui en entraîne une augmentation de volume rapide.
10. Dans la boîte de dialogue **Audit de l'entrée**, en regard de **Liste du dossier/lecture de données**, sélectionnez **Réussi** et **Échec**, puis cliquez sur **OK**.
11. Les entrées d'audit que vous avez activées s'affichent dans l'onglet **Audit** de la boîte de dialogue **Paramètres de sécurité avancés**.
12. Cliquez sur **OK** pour fermer la boîte de dialogue **Propriétés**.
**Pour tester une règle d'audit pour le fichier ou le dossier**
1. Ouvrez le fichier ou le dossier.
2. Fermez le fichier ou le dossier.
3. Lancez l'Observateur d'événements. Plusieurs événements d’accès aux objets pourvus de l’**ID d’événement 560** apparaissent dans le journal des événements de sécurité.
4. Cliquez deux fois sur les événements dont vous souhaitez afficher les détails.
#### Auditer les modifications de stratégie
Ce paramètre de stratégie détermine si le système doit auditer tous les incidents liés à une modification des stratégies d'attribution des droits d'utilisateur, des stratégies du pare-feu Windows, des stratégies de confiance ou à une modification de la stratégie d'audit elle-même. Les paramètres recommandés doivent vous permettre de visualiser les privilèges de compte qu'un utilisateur malveillant essaie d'élever ; par exemple, en ajoutant le privilège **Déboguer des programmes** ou **Sauvegarder des fichiers et des répertoires**.
Le paramètre de stratégie **Auditer les modifications de stratégie** est configuré sur **Succès** pour les deux environnements abordés dans ce chapitre. Définir ce paramètre sur **Échec** ne permet pas d'obtenir d'informations significatives sur les accès dans le journal des événements de sécurité ; ce paramètre n'est donc pas inclus.
#### Auditer l'utilisation des privilèges
Ce paramètre de stratégie détermine s'il convient d'auditer chaque instance d'un utilisateur exerçant un droit d'utilisateur. La configuration de ce paramètre sur **Succès** génère une entrée d'audit chaque fois qu'un droit d'utilisateur est exercé avec succès. La configuration de ce paramètre sur **Échec** génère une entrée d'audit chaque fois qu'un droit d'utilisateur est exercé sans succès. Ce paramètre de stratégie peut produire un très grand nombre d'enregistrements d'événements.
Le paramètre **Auditer l'utilisation des privilèges** est configuré sur **Pas d'audit** pour les ordinateurs dans l'environnement EC et sur **Échec** pour l'environnement SSLF afin d'auditer toutes les tentatives infructueuses d'utilisation de privilèges.
#### Auditer le suivi des processus
Ce paramètre détermine s'il convient d'auditer les informations de suivi détaillé des événements (activation de programme, sortie de processus, duplication de pointeur et accès indirect à un objet). L'activation du paramètre **Auditer le suivi des processus** génère un grand nombre d'événements ; il est donc généralement défini sur **Aucun audit**. Toutefois, ce paramètre peut se révéler d'un grand intérêt en cas de réponse à un incident grâce au journal détaillé des processus démarrés et à leur heure de lancement.
Le paramètre **Auditer le suivi des processus** est configuré sur **Pas d'audit** pour les deux environnements abordés dans ce chapitre.
#### Auditer les événements système
Ce paramètre de stratégie est très important, car il permet de surveiller les événements système qu'ils réussissent ou non. Il fournit également un enregistrement de ces événements qui peut aider à déterminer les instances des accès au système non autorisés. Les événements système sont notamment le démarrage et l'arrêt des ordinateurs dans votre environnement, des journaux d'événements pleins et les autres événements liés à la sécurité qui ont une incidence sur tout le système.
Le paramètre **Auditer les événements système** est configuré sur **Succès** pour les deux environnements abordés dans ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres d'attribution des droits de l'utilisateur
En plus des nombreux groupes privilégiés dans Windows XP Professionnel, plusieurs droits d'utilisateur peuvent être attribués à des utilisateurs ou à des groupes afin de leur octroyer des privilèges supérieurs à ceux des utilisateurs normaux.
Pour définir la valeur d'un droit de l'utilisateur sur **Personne**, activez le paramètre, mais ne lui ajoutez pas d'utilisateurs ni de groupes. Pour définir la valeur d'un droit de l'utilisateur sur **Non défini**, n'activez pas le paramètre.
Vous pouvez configurer les paramètres de stratégie de droits d'utilisateur à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Attribution des droits utilisateurs**
Le tableau suivant résume les recommandations de paramètres de droits d'utilisateur pour les droits d'utilisateur commençant par les lettres A à E. Le tableau fournit des recommandations pour les ordinateurs client de bureau et les ordinateurs client portables dans les deux types d'environnements sécurisés qui sont abordés dans ce chapitre. Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections suivantes.
Les recommandations pour les droits d'utilisateur commençant par les autres lettres de l'alphabet sont résumées dans le Tableau 3.4 ; vous trouverez en outre des informations détaillées concernant ces droits d'utilisateur dans les sous-sections suivant ce tableau.
**Remarque** : Bon nombre des fonctionnalités d'IIS (Internet Information Server) nécessitent des comptes tels que IIS\_WPG, IIS IUSR\_*<NomOrdinateur>* et IWAM\_*<NomOrdinateur>* pour avoir des privilèges spécifiques. Pour plus d'informations sur les droits d'utilisateur requis par des comptes liés à IIS, reportez-vous à « [IIS and Built-in Accounts (IIS 6.0)](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx) » à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.
#### Droits d'utilisateur A - E
**Tableau 3.3 Recommandations - Paramètres d'attribution des droits d'utilisateur – Partie 1**
| Accéder à cet ordinateur à partir du réseau |
Non défini |
Non défini |
Administrateurs |
Administrateurs |
| Agir en tant que partie du système d'exploitation |
Personne |
Personne |
Personne |
Personne |
| Régler les quotas de mémoire pour un processus |
Non défini |
Non défini |
Administrateurs, Service local, Service réseau |
Administrateurs, Service local, Service réseau |
| Permettre l’ouverture d’une session locale |
Utilisateurs, Administrateurs |
Utilisateurs, Administrateurs |
Utilisateurs, Administrateurs |
Utilisateurs, Administrateurs |
| Autoriser l'ouverture de session par les services Terminal Server |
Non défini |
Non défini |
Personne |
Personne |
| Sauvegarder les fichiers et les répertoires |
Non défini |
Non défini |
Administrateurs |
Administrateurs |
| Ignorer la recherche de l'autorisation Passer sur le dossier |
Non défini |
Non défini |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
| Modifier l'heure du système |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Créer un fichier d'échange |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Créer des objets partagés permanents |
Non défini |
Non défini |
Personne |
Personne |
| Créer un objet-jeton |
Non défini |
Non défini |
Personne |
Personne |
| Déboguer des programmes |
Administrateurs |
Administrateurs |
Personne |
Personne |
| Interdire l’accès à cet ordinateur à partir du réseau |
Support_
388945a0, Invité |
Support_
388945a0, Invité |
Support_
388945a0, Invité |
Support_
388945a0, Invité |
| Interdire l'ouverture de session en tant que tâche |
Non défini |
Non défini |
Support_
388945a0, Invité |
Support_
388945a0, Invité |
| Interdire l’ouverture d’une session locale |
Non défini |
Non défini |
Support_
388945a0,
Invité, tous comptes de service |
Support_
388945a0, Invité, tous comptes de service |
| Interdire l'ouverture de session par les services Terminal Server |
Non défini |
Non défini |
Tous les utilisateurs |
Tous les utilisateurs |
| Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation |
Non défini |
Non défini |
Personne |
Personne |
##### Accéder à cet ordinateur à partir du réseau
Ce paramètre de stratégie permet à d'autres utilisateurs du réseau de se connecter à l'ordinateur ; il est requis par divers protocoles réseau, dont les protocoles SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) et COM+ (Component Object Model Plus).
Le paramètre **Accéder à cet ordinateur à partir du réseau** est configuré sur **Non défini** pour l'environnement EC et sur **Administrateurs** pour l'environnement SSLF.
##### Agir en tant que partie du système d'exploitation
Ce paramètre de stratégie permet à un processus de prendre l'identité de n'importe quel utilisateur, et donc d'accéder aux ressources auxquelles l'utilisateur en question a accès.
C'est pour cette raison que le paramètre **Agir en tant que partie du système d'exploitation** est configuré sur **Personne** pour les deux environnements abordés dans ce chapitre.
##### Régler les quotas de mémoire pour un processus
Ce paramètre de stratégie permet à un utilisateur d'ajuster la quantité maximale de mémoire disponible pour un processus. Ce privilège est utile pour le réglage du système, mais peut faire l'objet d'abus. Dans de mauvaises mains, il pourrait être utilisé pour lancer une attaque par refus de service.
C'est pour cette raison que le paramètre **Régler les quotas de mémoire pour un processus** est configuré sur **Administrateurs**, **Service local** et **Service réseau** pour les deux types d'ordinateurs dans l'environnement SSLF et sur **Non défini** pour les ordinateurs de l'environnement EC.
##### Permettre l’ouverture d’une session locale
Ce paramètre de stratégie détermine les utilisateurs qui sont autorisés à ouvrir une session interactivement sur les ordinateurs de votre environnement. Pour lancer des connexions avec la combinaison de touches CTRL+ALT+SUPPR sur le clavier de l'ordinateur client, l'utilisateur doit posséder ce droit. Vous devez également disposer de ce droit pour ouvrir des sessions par le biais des services Terminal Server ou de Microsoft Internet Information Services (IIS).
Ce droit de l'utilisateur est accordé par défaut au compte **Invité**. Bien que ce compte soit désactivé par défaut, Microsoft vous conseille d'activer ce paramètre par le biais de la stratégie de groupe. En règle générale, ce droit d'utilisateur doit être restreint aux groupes **Administrateurs** et **Utilisateurs**. Attribuez ce droit d'utilisateur au groupe **Opérateurs de sauvegarde** si votre organisation nécessite qu'ils aient cette capacité.
Le paramètre **Permettre l'ouverture d'une session locale** est limité aux groupes **Utilisateurs** et **Administrateurs** pour les deux environnements qui sont abordés dans ce chapitre.
##### Autoriser l'ouverture de session par les services Terminal Server
Ce paramètre de stratégie détermine les utilisateurs ou groupes qui ont le droit d'ouvrir une session en tant que client Terminal Server. Les utilisateurs du bureau à distance ont besoin de ce droit. Si votre entreprise utilise l'assistance à distance dans le cadre de sa stratégie de support technique, créez un groupe, puis attribuez-lui ce droit par le biais de la stratégie de groupe. Si le support technique de votre organisation n'utilise pas l'assistance à distance, attribuez ce droit d'utilisateur uniquement au groupe **Administrateurs** ou utilisez la fonctionnalité de groupes restreints pour vous assurer qu'aucun compte utilisateur ne fera partie du groupe **Utilisateurs du bureau à distance**.
En limitant ce droit au groupe **Administrateurs**, et éventuellement au groupe **Utilisateurs du Bureau à distance**, vous empêchez les utilisateurs indésirables d'accéder aux ordinateurs de votre réseau par le biais de la nouvelle fonctionnalité Assistance à distance de Windows XP Professionnel.
Le paramètre **Autoriser l'ouverture de session par les services Terminal Server** est configuré sur **Non défini** pour l'environnement EC. Pour plus de sécurité, il est cependant configuré sur **Personne** pour l'environnement SSLF.
##### Sauvegarder les fichiers et répertoires
Ce paramètre de stratégie permet aux utilisateurs de passer outre les autorisations sur les fichiers et les répertoires pour procéder à la sauvegarde du système. Ce droit d'utilisateur est activé uniquement lorsqu'une application (telle que NTBACKUP) tente d'accéder à un fichier ou un répertoire par l'interface de programmation d'application (API) de sauvegarde NTFS. Dans les autres cas, les autorisations attribuées s'appliquent.
Le paramètre **Sauvegarder des fichiers et des répertoires** est configuré sur **Non défini** pour les ordinateurs de l'environnement EC. Ce paramètre de stratégie est configuré sur le groupe **Administrateurs** pour l'environnement SSLF.
##### Ignorer la recherche de l'autorisation Passer sur le dossier
Ce paramètre de stratégie permet aux utilisateurs qui ne disposent pas de la permission d'accès spéciale « Parcours du dossier » de « traverser » des dossiers quand ils utilisent un chemin d'accès dans le système de fichiers NTFS ou le registre. Ce droit d'utilisateur ne permet pas aux utilisateurs de voir le contenu d'un dossier ; ils ont uniquement la permission de traverser les répertoires.
Le paramètre **Ignorer la recherche de l'autorisation Passer sur le dossier** est configuré sur **Non défini** pour les ordinateurs de l'environnement EC. Il est configuré sur les groupes **Administrateurs** et **Utilisateurs** pour l'environnement SSLF.
##### Modifier l'heure du système
Ce paramètre de stratégie détermine les utilisateurs et les groupes qui sont autorisés à modifier l'heure et la date sur l'horloge interne des ordinateurs de votre environnement. Les utilisateurs disposant de ce droit peuvent modifier l'apparence des journaux d'événements. La modification de l'heure du système entraîne la consignation d'événements à la nouvelle heure, et non à l'heure réelle à laquelle ils se sont produits.
Le paramètre **Modifier l'heure du système** est configuré sur le groupe **Administrateurs** pour les deux environnements qui sont abordés dans ce chapitre.
**Remarque** : Des conflits entre l'heure de l'ordinateur local et celle des contrôleurs de domaine de votre environnement peuvent provoquer des problèmes pour le protocole d'authentification Kerberos. Cela risque d'empêcher les utilisateurs de se connecter au domaine ou d'obtenir l'autorisation d'accéder aux ressources du domaine après avoir ouvert une session. Par ailleurs, des problèmes peuvent survenir lors de l'application de la stratégie de groupe aux ordinateurs client si l'heure du système n'est pas synchronisée avec celle des contrôleurs de domaine.
##### Créer un fichier d'échange
Ce paramètre de stratégie permet aux utilisateurs de modifier la taille du fichier d'échange. En augmentant ou en diminuant excessivement la taille d'un fichier d'échange, un utilisateur malveillant pourrait facilement affecter les performances d'un ordinateur compromis.
Le paramètre **Créer un fichier d'échange** est configuré sur **Administrateurs** pour tous les ordinateurs de l'environnement EC et de l'environnement SSLF.
##### Créer des objets partagés permanents
Ce paramètre de stratégie permet aux utilisateurs de créer des objets d'annuaire dans le gestionnaire d'objets. Ce droit d'utilisateur est utile aux composants en mode noyau (kernel) qui étendent l’espace de noms d’objets. Cependant, les composants qui s’exécutent en mode noyau (kernel) disposent de ce droit d'utilisateur par héritage. En général, il n’est donc pas nécessaire de le leur attribuer spécifiquement.
Le paramètre **Créer des objets partagés permanents** est configuré sur **Non défini** pour l'environnement EC et sur **Personne** pour l'environnement SSLF.
##### Créer un objet-jeton
Ce paramètre de stratégie permet à un processus de créer un jeton d’accès, qui peut fournir des droits élevés pour l'accès à des données sensibles. Dans les environnements où la sécurité est très importante, ce droit d'utilisateur ne doit être attribué à aucun utilisateur. Les processus nécessitant cette capacité doivent utiliser le compte Système local, qui a ce droit d'utilisateur par défaut.
Le paramètre **Créer un objet-jeton** est configuré sur **Non défini** pour l'environnement EC et sur **Personne** pour l'environnement SSLF.
##### Déboguer des programmes
Ce paramètre de stratégie détermine les utilisateurs qui sont autorisés à associer un débogueur à un processus ou au noyau. Il fournit un accès complet à des composants sensibles du système d'exploitation. Ce droit d'utilisateur est requis lorsque les administrateurs veulent utiliser des correctifs prenant en charge les fonctions de correctifs à chaud (« in-memory patching » ou "hotpatching"). Pour plus d'informations sur les dernières fonctionnalités en date du programme d'installation du pack Microsoft, reportez-vous à « [The Package Installer (Formerly Called Update.exe) for Microsoft Windows Operating Systems and Windows Components](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.mspx) » à l'adresse www.microsoft.com/technet/prodtechnol/windowsserver2003/deployment/winupdte.msp. Étant donné qu'un utilisateur malveillant pourrait exploiter ce droit d'utilisateur, il est attribué uniquement au groupe **Administrateurs** par défaut.
**Remarque** : Microsoft a publié plusieurs correctifs de sécurité en octobre 2003 qui utilisaient une version d'Update.exe pour laquelle les administrateurs avaient besoin du droit d'utilisateur **Déboguer des programmes.** Les administrateurs qui ne disposaient pas de ce droit d'utilisateur n'ont pu installer ces correctifs qu'une fois leurs droits d'utilisateur reconfigurés. Pour plus d'informations, reportez-vous à l'article « [Les mises à jour de produits Windows peuvent cesser de répondre ou peuvent utiliser une grande partie ou toutes les ressources du processeur](http://support.microsoft.com/default.aspx?kbid=830846) » de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/default.aspx?kbid=830846.
Le droit d'utilisateur **Déboguer des programmes** est très puissant. C'est pour cette raison que ce paramètre de stratégie est configuré sur **Administrateurs** pour l'environnement EC et maintenu sur **Personne** (configuration par défaut) pour l'environnement SSLF.
##### Interdire l’accès à cet ordinateur à partir du réseau
Ce paramètre de stratégie interdit aux utilisateurs de se connecter à un ordinateur sur le réseau et donc d'accéder et modifier des données à distance. Dans un environnement hautement sécurisé, les utilisateurs à distance ne devraient pas avoir besoin d'accéder à des données sur un ordinateur. Le partage de fichiers doit, dans ce cas, être accompli via l'utilisation de serveurs réseau.
Le paramètre **Interdire l’accès à cet ordinateur à partir du réseau** est configuré sur les comptes **Support\_388945a0** et **Invité** dans les deux environnements abordés dans ce chapitre.
##### Interdire l'ouverture de session en tant que tâche
Ce paramètre de stratégie interdit l'ouverture de session à l'aide d'un outil de mise en attente de lots, fonction de Windows Server 2003 utilisée pour planifier des travaux afin qu'ils s'exécutent automatiquement une ou plusieurs fois dans le futur.
Le paramètre **Interdire l'ouverture de session en tant que tâche** est configuré sur **Non défini** pour l'environnement EC et sur **Support\_388945a0** et **Invité** pour l'environnement SSLF.
##### Interdire l’ouverture d’une session locale
Ce paramètre de stratégie empêche les utilisateurs d'ouvrir une session localement sur la console. Si des utilisateurs non autorisés réussissaient à ouvrir une session localement sur un ordinateur, ils pourraient télécharger du code malveillant ou élever leurs privilèges sur l'ordinateur. (Si les utilisateurs malveillants ont physiquement accès à la console, il y a d'autres risques à prendre en compte.) Ce droit d'utilisateur ne doit pas être attribué aux utilisateurs ayant besoin d'accéder physiquement à la console.
Le paramètre **Interdire l'ouverture d'une session locale** est configuré sur **Non défini** pour l'environnement EC et sur **Support\_388945a0** et **Invité** pour l'environnement SSLF. En outre, ce droit d'utilisateur doit être attribué à tous les comptes de service de l'environnement SSLF ajoutés à l'ordinateur afin d'éviter les abus.
##### Interdire l'ouverture de session par les services Terminal Server
Ce paramètre de stratégie empêche les utilisateurs d'ouvrir une session sur les ordinateurs de votre environnement par le biais d'une connexion Bureau à distance. Si vous attribuez ce droit d'utilisateur au groupe **Tout le monde**, vous empêchez également les membres du groupe **Administrateurs** par défaut d'utiliser les services Terminal Server pour ouvrir une session sur les ordinateurs de votre environnement.
Le paramètre **Interdire l'ouverture de session par les services Terminal Server** est configuré sur **Non défini** pour l'environnement EC et sur **Tout le monde** pour l'environnement SSLF.
##### Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation
Ce paramètre de stratégie permet aux utilisateurs de modifier le paramètre **Approuvé pour la délégation** sur un objet ordinateur dans Active Directory. Une utilisation malencontreuse de ce privilège pourrait entraîner des usurpations d'identité sur le réseau.
C'est pour cette raison que le paramètre **Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation** est configuré sur **Non défini** pour l'environnement EC et sur **Personne** pour l'environnement SSLF.
#### Droits d'utilisateur F – T
**Tableau 3.4 Recommandations - Paramètres d'attribution des droits d'utilisateur – Partie 2**
| Forcer l'arrêt à partir d'un système distant |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Générer des audits de sécurité |
Service local, Service réseau |
Service local, Service réseau |
Service local, Service réseau |
Service local, Service réseau |
| Accroître la priorité de planification |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Télécharger les pilotes du périphérique |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Verrouiller les pages en mémoire |
Personne |
Personne |
Personne |
Personne |
| Ouvrir une session en tant que tâche |
Non défini |
Non défini |
Personne |
Personne |
| Ouvrir une session en tant que service |
Non défini |
Non défini |
Service réseau, Service local |
Service réseau, Service local |
| Gérer le journal d'audit et de sécurité |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Modifier les variables d'environnement de microprogramme |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Procéder aux tâches de maintenance du volume |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Profil d'un processus unique |
Non défini |
Non défini |
Administrateurs |
Administrateurs |
| Performances du système de profil |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
| Retirer l'ordinateur de la station d'accueil |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
| Remplacer un jeton au niveau des processus |
Service local, Service réseau |
Service local, Service réseau |
Service local, Service réseau |
Service local, Service réseau |
| Restaurer des fichiers et des répertoires |
Non défini |
Non défini |
Administrateurs |
Administrateurs |
| Arrêter le système |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
Administrateurs, Utilisateurs |
| S'approprier les fichiers et les autres objets |
Administrateurs |
Administrateurs |
Administrateurs |
Administrateurs |
Ce tableau résume les recommandations de paramètres de droits d'utilisateur pour les droits d'utilisateur commençant par les lettres F à T. Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections suivantes.
##### Forcer l'arrêt à partir d'un système distant
Ce paramètre de stratégie permet aux utilisateurs d'éteindre les ordinateurs Windows XP à distance sur le réseau. Toute personne disposant de ce droit d'utilisateur pourrait provoquer une condition de déni de service, ce qui empêcherait le traitement des requêtes utilisateur sur l'ordinateur. Microsoft vous recommande donc d'attribuer ce droit d'utilisateur uniquement aux administrateurs en qui vous avez toute confiance.
Le paramètre **Forcer l'arrêt à partir d'un système distant** est configuré sur le groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Générer des audits de sécurité
Ce paramètre de stratégie détermine les utilisateurs ou processus autorisés à générer des enregistrements d'audit dans le journal de sécurité. Un pirate pourrait utiliser cette capacité pour créer un nombre important d'événements ; un administrateur système aurait alors davantage de difficultés à repérer des activités illicites. En outre, si le journal des événements est configuré pour écraser des événements si nécessaire, les preuves d'activités non autorisées pourraient alors être écrasées.
C'est pour cette raison que le paramètre **Générer des audits de sécurité** est configuré sur les groupes **Service local** et **Service réseau** pour les deux environnements abordés dans ce chapitre.
##### Accroître la priorité de planification
Ce paramètre de stratégie permet aux utilisateurs de modifier la quantité de temps processeur utilisée par un processus. Un pirate pourrait utiliser cette fonction pour élever la priorité d'un processus à Temps réel, puis générer une condition de déni de service sur un ordinateur.
C'est pour cette raison que le paramètre **Accroître la priorité de planification** est configuré sur le groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Télécharger les pilotes du périphérique
Ce paramètre de stratégie permet aux utilisateurs de charger dynamiquement un nouveau pilote de périphérique sur un système. Un utilisateur malveillant pourrait se servir de cette capacité pour installer un code malveillant déguisé en pilote de périphérique. Ce droit d'utilisateur et l'appartenance au groupe **Utilisateurs avec pouvoir** ou **Administrateurs** sont requis pour que les utilisateurs puissent ajouter des imprimantes locales ou des pilotes d'imprimante dans Windows XP.
Étant donné que ce droit d'utilisateur pourrait être utilisé par un pirate, le paramètre **Télécharger les pilotes du périphérique** est configuré sur le groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Verrouiller les pages en mémoire
Ce paramètre de stratégie autorise un processus à stocker des données dans la mémoire physique, pour empêcher le système de procéder à une pagination de ces données en mémoire virtuelle sur disque. Si ce droit d'utilisateur est attribué, une dégradation significative des performances du système peut survenir.
C'est pour cette raison que le paramètre **Verrouiller les pages en mémoire** est configuré sur **Personne** pour les deux environnements abordés dans ce chapitre.
##### Ouvrir une session en tant que tâche
Ce paramètre de stratégie permet aux comptes d'ouvrir une session à l'aide du service Planificateur de tâches. Le planificateur de tâches étant souvent utilisé à des fins administratives, il peut être requis dans l'environnement EC. Son usage doit cependant être limité dans l'environnement SSLF afin d'empêcher une utilisation malencontreuse des ressources du système ou d'empêcher des utilisateurs malveillants de se servir de ce droit pour lancer un code malveillant après avoir obtenu un accès de niveau utilisateur à un ordinateur.
Le paramètre **Ouvrir une session en tant que tâche** est donc configuré sur **Non défini** pour l'environnement EC et sur **Personne** pour l'environnement SSLF.
##### Ouvrir une session en tant que service
Ce paramètre de stratégie permet aux comptes de lancer des services réseau ou d'enregistrer un processus comme service s'exécutant sur le système. Ce droit d'utilisateur doit être limité sur tous les ordinateurs d'un environnement SSLF. Dans un environnement EC, de nombreuses applications peuvent avoir besoin de ce privilège, mais nous vous recommandons de bien le tester avant de le configurer.
Le paramètre **Ouvrir une session en tant que service** est configuré sur **Non défini** pour l'environnement EC et sur **Service réseau** et **Service local** pour l'environnement SSLF.
##### Gérer le journal d'audit et de sécurité
Ce paramètre de stratégie détermine les utilisateurs autorisés à modifier les options d'audit pour les fichiers et les répertoires et à effacer le contenu du journal de sécurité.
Étant donné que cette capacité représente une menace relativement faible, le paramètre **Gérer le journal d'audit et de sécurité** applique la valeur par défaut du groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Modifier les variables d'environnement de microprogramme
Ce paramètre de stratégie permet aux utilisateurs de configurer les variables d'environnement système qui affectent la configuration matérielle. Ces informations sont généralement stockées dans la dernière configuration correcte. La modification de ces valeurs pourrait provoquer une défaillance matérielle qui aurait pour résultat une condition de déni de service.
Étant donné que cette capacité représente une menace relativement faible, le paramètre **Modifier les variables d'environnement de microprogramme** applique la valeur par défaut du groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Procéder aux tâches de maintenance du volume
Ce paramètre de stratégie permet aux utilisateurs de gérer le volume du système ou la configuration du disque, ce qui pourrait permettre à un utilisateur de supprimer un volume et provoquer une perte de données et une condition de déni de service.
Le paramètre **Procéder aux tâches de maintenance du volume** applique la valeur par défaut du groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Profil d'un processus unique
Ce paramètre de stratégie détermine les utilisateurs autorisés à utiliser des outils pour contrôler les performances des processus non système. Généralement, vous n'avez pas besoin de configurer ce droit d'utilisateur pour utiliser le composant enfichable MMC (Microsoft Management Console). Cependant, vous avez besoin de ce droit d'utilisateur si le contrôle système est configuré pour recueillir des données à l'aide de WMI (Windows Management Instrumentation). La limitation du droit de l'utilisateur **Profil d'un processus unique** empêche les intrus d'obtenir des informations supplémentaires qui pourraient permettre de fomenter une attaque contre le système.
Le paramètre **Profil d'un processus unique** est configuré sur **Non défini** pour l'environnement EC et sur le groupe **Administrateurs** pour l'environnement SSLF.
##### Performances du système de profil
Ce paramètre de stratégie permet aux utilisateurs d'utiliser des outils pour afficher les performances de divers processus système ; une utilisation malencontreuse de ce paramètre pourrait permettre aux utilisateurs malveillants de déterminer les processus actifs du système et de découvrir la zone potentiellement exposée aux attaques de l'ordinateur.
Le paramètre **Performances du système de profil** applique la valeur par défaut du groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
##### Retirer l'ordinateur de la station d'accueil
Ce paramètre de stratégie permet à l'utilisateur d'un ordinateur portable de cliquer sur **Éjecter le PC** dans le menu **Démarrer** pour déverrouiller l'ordinateur.
Le paramètre **Retirer l'ordinateur de la station d'accueil** est configuré sur les groupes **Administrateurs** et **Utilisateurs** pour les deux environnements abordés dans ce chapitre.
##### Remplacer un jeton au niveau des processus
Ce paramètre de stratégie permet à un processus ou service de lancer un autre processus ou service à l'aide d'un jeton de sécurité différent ; le jeton de sécurité de ce sous-processus pourrait alors être modifié, ce qui pourrait provoquer une élévation des privilèges.
Le paramètre **Remplacer un jeton au niveau des processus** est configuré sur les valeurs par défaut **Service local** et **Service réseau** pour les deux environnements abordés dans ce chapitre.
##### Restaurer des fichiers et des répertoires
Ce paramètre de stratégie détermine les utilisateurs autorisés à contourner les autorisations de fichiers, de répertoires, de registre et d'autres objets persistants lors de la restauration de fichiers et répertoires sauvegardés sur des ordinateurs dotés de Windows XP dans votre environnement. Ce droit d'utilisateur détermine également les utilisateurs autorisés à définir des entités de sécurité en tant que propriétaires d'objets (similaire au droit d'utilisateur **Sauvegarder des fichiers et des répertoires**).
Le paramètre **Restaurer des fichiers et des répertoires** est configuré sur **Non défini** pour l'environnement EC et sur le groupe **Administrateurs** pour l'environnement SSLF.
##### Arrêter le système
Ce paramètre de stratégie détermine les utilisateurs ayant ouvert une session locale sur les ordinateurs de votre environnement qui sont autorisés à éteindre le système à l'aide de la commande Arrêter. Un abus de ce droit d'utilisateur peut entraîner un déni de service. Dans les environnements hautement sécurisés, Microsoft vous recommande d'attribuer ce droit uniquement aux groupes **Administrateurs** et **Utilisateurs.**
Le paramètre **Arrêter le système** est configuré sur les groupes **Administrateurs** et **Utilisateurs** pour les deux environnements abordés dans ce chapitre.
##### S'approprier les fichiers et les autres objets
Ce paramètre de stratégie permet aux utilisateurs de s'approprier des fichiers, des clés de registre, des processus ou des threads. Ce droit d'utilisateur a la priorité sur toutes les autorisations en place pour la protection d'objets et l'octroi de la propriété à l'utilisateur spécifié.
Le paramètre **S'approprier les fichiers et les autres objets** est configuré sur la valeur par défaut du groupe **Administrateurs** pour les deux environnements abordés dans ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres des options de sécurité
Les paramètres des options de sécurité qui sont appliqués via la stratégie de groupe sur les ordinateurs dotés de Windows XP dans votre environnement sont utilisés pour activer ou désactiver des capacités et des fonctionnalités telles que l'accès au lecteur de disquettes et au lecteur CD-ROM et les invites d'ouverture de session. Ces paramètres sont également utilisés pour la configuration d'autres paramètres (signature numérique de données, noms des comptes administrateur et invité et fonctionnement de l'installation des pilotes).
Vous pouvez configurer les paramètres des options de sécurité à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Options de sécurité**
Les paramètres inclus dans cette section n'existent pas dans tous les types de système. Par conséquent, les paramètres, inclus dans la partie Options de sécurité de la stratégie de groupe définie dans cette section, peuvent être modifiés manuellement sur les systèmes qui contiennent ces paramètres afin de les activer. Vous pouvez également modifier un à un les modèles de stratégie de groupe afin d'inclure les options de paramètres appropriées pour que les paramètres recommandés prennent effet.
Les sections suivantes contiennent des recommandations concernant les paramètres des options de sécurité, et sont regroupées par type d'objet. Chaque section inclut un tableau résumant les paramètres et des informations détaillées sont fournies dans les sous-sections qui suivent chaque tableau. Le tableau fournit des recommandations pour les ordinateurs client de bureau et portables dans les deux types d'environnements sécurisés abordés dans ce chapitre : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée - Fonctionnalité limitée (SSLF).
#### Comptes
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les comptes. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.5 Recommandations pour les paramètres des options de sécurité – Comptes**
| Comptes : État de compte d'administrateur |
Non défini |
Non défini |
Activé |
Activé |
| Comptes : État de compte d'invité |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console |
Activé |
Activé |
Activé |
Activé |
| Comptes : Renommer le compte administrateur |
Recommandé |
Recommandé |
Recommandé |
Recommandé |
| Comptes : Renommer le compte Invité |
Recommandé |
Recommandé |
Recommandé |
Recommandé |
##### Comptes : État de compte d'administrateur
Ce paramètre de stratégie permet d'activer ou de désactiver le compte administrateur pendant l'opération normale. Quand un ordinateur est démarré en mode sans échec, le compte administrateur est systématiquement activé, indépendamment de la configuration de ce paramètre.
Le paramètre **Comptes : État de compte d'administrateur** est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
##### Comptes : État de compte d'invité
Ce paramètre de stratégie détermine si le compte invité est activé ou désactivé. Le compte invité permet à des utilisateurs du réseau non authentifiés d'accéder au système.
Le paramètre **Comptes : État de compte d'invité** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console
Ce paramètre de stratégie détermine si les comptes locaux qui ne sont pas protégés par un mot de passe peuvent être utilisés pour des ouvertures de sessions à partir d'emplacements autres que la console physique. Si vous activez ce paramètre de stratégie, les comptes disposant de mots de passe vierges ne pourront pas ouvrir de sessions sur le réseau à partir d'ordinateurs client à distance. Pour ces comptes, l'ouverture de session ne pourra se faire qu'à partir du clavier de l'ordinateur.
Le paramètre **Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Comptes : Renommer le compte administrateur
Le compte administrateur local intégré est un nom de compte bien connu auquel les pirates s'attaquent sans cesse. Microsoft vous recommande de choisir un autre nom pour ce compte, et d'éviter les noms qui peuvent laisser penser qu'il s'agit de comptes administratifs ou à accès de niveau élevé. Veillez à modifier également la description par défaut de l'administrateur local à l'aide de la console Gestion de l'ordinateur.
La recommandation d'utilisation du paramètre **Comptes : Renommer le compte administrateur** s'applique aux deux environnements abordés dans ce chapitre.
**Remarque** : Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité, et aucun nouveau nom d'utilisateur pour le compte n'est suggéré dans ce guide. Les noms d'utilisateur suggérés sont omis afin que les organisations mettant en œuvre ces conseils n'utilisent pas des noms d'utilisateur identiques dans leurs environnements.
##### Comptes : Renommer le compte Invité
Le compte invité local intégré est bien connu des pirates. Microsoft vous recommande également de renommer ce compte en utilisant une dénomination ne laissant pas présager son but. Même si vous désactivez ce compte (ce qui est recommandé), veillez à le renommer pour une sécurité renforcée.
La recommandation d'utilisation du paramètre **Comptes : Renommer le compte invité** s'applique aux deux environnements abordés dans ce chapitre.
**Remarque** : Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité, et aucun nouveau nom d'utilisateur pour le compte n'est suggéré dans ce guide. Les noms d'utilisateur suggérés sont omis afin que les organisations mettant en œuvre ces conseils n'utilisent pas des noms d'utilisateur identiques dans leurs environnements.
#### Audit
Le tableau suivant résume les paramètres d'audit recommandés. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.6 Recommandations pour les paramètres des options de sécurité – Audit**
| Audit : Auditer l'accès des objets système globaux |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité |
Non défini |
Non défini |
Non défini |
Non défini |
##### Audit : Auditer l'accès des objets système globaux
Ce paramètre de stratégie crée une liste de contrôle d'accès système (SACL, system access control list) pour les objets système tels que les mutex, les événements, les sémaphores et les périphériques MS-DOS® ; l'accès à ces objets système est audité.
Si le paramètre **Audit : Auditer l'accès des objets système globaux** est activé, un très grand nombre d'événements de sécurité pourrait rapidement remplir le journal des événements de sécurité. Ainsi, ce paramètre de stratégie est configuré sur **Non défini** pour l'environnement EC et **Désactivé** pour l'environnement SSLF.
##### Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration
Ce paramètre de stratégie détermine si le système va auditer l'utilisation de tous les privilèges utilisateur, y compris la sauvegarde et la restauration, lorsque le paramètre **Auditer l'utilisation des privilèges** est effectif. Si vous activez les deux stratégies, un événement d'audit sera généré pour chaque fichier sauvegardé ou restauré.
Si le paramètre **Audit : Auditer l'utilisation des privilèges de sauvegarde et de restauration** est activé, un très grand nombre d'événements de sécurité pourrait rapidement remplir le journal des événements de sécurité. Ainsi, ce paramètre de stratégie est configuré sur **Non défini** pour l'environnement EC et **Désactivé** pour l'environnement SSLF.
##### Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Ce paramètre de stratégie permet de déterminer si le système doit être arrêté lorsque la consignation des événements de sécurité est impossible. Ce paramètre est une condition requise pour les critères TCSEC (Trusted Computer System Evaluation Criteria)-C2 et la certification Common Criteria qui permet d'éviter l'occurrence d'événements auditables si le système d'audit ne peut pas consigner ces événements. Microsoft a choisi de répondre à cette condition requise en arrêtant le système et en affichant un message d'arrêt en cas d'échec du système d'audit. Si ce paramètre de stratégie est activé, le système est arrêté lorsque la consignation des événements de sécurité est impossible.
Si le paramètre **Audit : Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité** est activé, des défaillances imprévues peuvent survenir. Ce paramètre de stratégie est donc configuré sur **Non défini** pour les deux environnements abordés dans ce chapitre.
#### Périphériques
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les périphériques. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.7 Recommandations pour les paramètres des options de sécurité – Périphériques**
| Périphériques : Autoriser le retrait sans ouverture de session préalable |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Périphériques : Permettre le formatage et l'éjection des supports amovibles |
Administrateur, Utilisateurs interactifs |
Administrateur, Utilisateurs interactifs |
Administrateurs |
Administrateurs |
| Périphériques : Empêcher les utilisateurs d'installer des pilotes d'imprimante |
Activé |
Désactivé |
Activé |
Désactivé |
| Périphériques : Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Périphériques : Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Périphériques : Comportement d'installation d'un pilote non signé |
Avertir, mais autoriser l’installation |
Avertir, mais autoriser l’installation |
Avertir, mais autoriser l’installation |
Avertir, mais autoriser l’installation |
##### Périphériques : Autoriser le retrait sans ouverture de session préalable
Ce paramètre de stratégie détermine s'il est possible de retirer un ordinateur portable sans que l'utilisateur ne soit connecté au système. Si ce paramètre est activé, il est inutile d'ouvrir une session et il est possible d'utiliser un bouton d'éjection de matériel externe pour retirer l'ordinateur. Si vous désactivez ce paramètre de stratégie, un utilisateur non connecté doit disposer du droit d'utilisateur **Retirer l'ordinateur de la station d'accueil** (non défini dans ce guide).
Le paramètre **Périphériques :Autoriser le retrait sans ouverture de session préalable** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
##### Périphériques : Permettre le formatage et l'éjection des supports amovibles
Ce paramètre de stratégie détermine les personnes autorisées à formater et éjecter des supports amovibles. Vous pouvez utiliser ce paramètre de stratégie pour empêcher des utilisateurs non autorisés de supprimer des données sur un ordinateur afin d'y accéder à partir d'un autre ordinateur sur lequel ils ont des privilèges d'administrateur local.
Le paramètre **Périphériques :Permettre le formatage et l'éjection des supports amovibles** est restreint aux groupes **Administrateurs** et **Utilisateurs interactifs** pour l'environnement EC, et au groupe **Administrateurs** seulement pour l'environnement SSLF, pour une meilleure sécurité.
##### Périphériques : Empêcher les utilisateurs d'installer des pilotes d'imprimante
Un pirate peut facilement déguiser un programme « Cheval de Troie » en pilote d'imprimante. Les utilisateurs pensent qu'ils doivent l'utiliser pour effectuer des impressions, mais le programme risque de disséminer du code nuisible sur votre réseau d'ordinateurs. Pour réduire l'éventualité d'un événement de ce type, nous vous conseillons d'octroyer aux administrateurs uniquement l'autorisation d'installer des pilotes d'imprimante. Étant donné que les ordinateurs portables sont, par définition, des périphériques mobiles, il se peut que leurs utilisateurs aient à installer de temps en temps un pilote d'imprimante à partir d'une source distante afin de poursuivre leur travail. Ce paramètre doit donc être désactivé pour les utilisateurs d'ordinateur portable, mais toujours activé pour les utilisateurs d'ordinateur de bureau.
Le paramètre **Périphériques :Empêcher les utilisateurs d'installer des pilotes d'imprimante** est configuré sur **Activé** pour les ordinateurs de bureau et sur **Désactivé** pour les utilisateurs d'ordinateurs portables dans les deux environnements.
##### Périphériques : Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si le lecteur CD-ROM est accessible aux utilisateurs locaux et à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de CD–ROM. Si ce paramètre est activé et si personne n'est connecté, le lecteur de CD–ROM est accessible par le biais du réseau. Si vous activez ce paramètre, l'utilitaire Windows Backup échouera si des clichés instantanés des volumes ont été spécifiés pour la tâche de sauvegarde. Les produits de sauvegarde de tiers utilisant des clichés instantanés des volumes échoueront aussi.
Le paramètre **Périphériques :Ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
##### Périphériques : Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si le lecteur de disquettes est accessible aux utilisateurs locaux et à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de disquettes. Si ce paramètre est activé et si personne n'est connecté, le lecteur de disquettes est accessible par le biais du réseau. Si vous activez ce paramètre, l'utilitaire Windows Backup échouera si des clichés instantanés des volumes ont été spécifiés pour la tâche de sauvegarde. Les produits de sauvegarde de tiers utilisant des clichés instantanés des volumes échoueront aussi.
Le paramètre **Périphériques :Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
##### Périphériques : Comportement d'installation d'un pilote non signé
Ce paramètre de stratégie détermine ce qui se passe en cas de tentative d'installation d'un pilote de périphérique (au moyen de l'API d'installation) qui n'a pas été approuvé et signé par le laboratoire WHQL (Windows Hardware Quality Lab) Cette option empêche l'installation de pilotes non signés ou avertit l'administrateur qu'un pilote non signé est sur le point d'être installé, ce qui peut empêcher l'installation de pilotes non certifiés pour une exécution sur Windows XP. Si vous configurez ce paramètre de stratégie sur **Avertir, mais autoriser l'installation**, le problème est que les scripts d'installation automatiques ne réussiront pas à installer des pilotes non signés.
C'est pour cette raison que le paramètre **Périphériques :Comportement d'installation d'un pilote non signé** est configuré sur **Avertir, mais autoriser l'installation** pour les deux environnements abordés dans ce chapitre.
**Remarque** : Si vous mettez en œuvre ce paramètre de stratégie, vérifiez que toutes vos applications logicielles standard ont été configurées sur les ordinateurs client avant l'application de la stratégie de groupe, afin de réduire les risques d'erreurs d'installation provoquées par ce paramètre.
#### Membre de domaine
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les membres de domaine. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.8 Recommandations pour les paramètres des options de sécurité - Membre de domaine**
| Membre de domaine : Crypter ou signer numériquement les données des canaux sécurisés (toujours) |
Activé |
Activé |
Activé |
Activé |
| Membre de domaine : Crypter numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
Activé |
Activé |
Activé |
| Membre de domaine : Signer numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
Activé |
Activé |
Activé |
| Membre de domaine : Désactiver les modifications de mot de passe du compte ordinateur |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Membre de domaine : Âge maximal du mot de passe du compte ordinateur |
30 jours |
30 jours |
30 jours |
30 jours |
| Membre de domaine : Nécessite une clé de session forte (Windows 2000 ou version ultérieure) |
Activé |
Activé |
Activé |
Activé |
##### Membre de domaine : Crypter ou signer numériquement les données des canaux sécurisés (toujours)
Ce paramètre de stratégie détermine si les données en sortie des canaux sécurisés initiées par le membre de domaine doivent être signées ou chiffrées. Si un système est défini pour le chiffrement ou la signature des données des canaux sécurisés, il ne peut pas mettre en place de canaux sécurisés avec un contrôleur de domaine non capable de signer ou de crypter tout le trafic des canaux sécurisés puisque toutes les données correspondantes sont chiffrées et signées.
Le paramètre **Membre de domaine : Crypter ou signer numériquement les données des canaux sécurisés (toujours)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Membre de domaine : Crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine peut tenter de négocier le chiffrement du trafic de tous les canaux sécurisés qu'il initie. Lorsque ce paramètre est activé, le membre du domaine demande le chiffrement du trafic de tous les canaux sécurisés. Si ce paramètre est désactivé, le membre du domaine ne peut pas négocier le chiffrement des canaux sécurisés.
Le paramètre **Membre de domaine : Crypter numériquement les données des canaux sécurisés (lorsque cela est possible)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Membre de domaine : Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine peut tenter de négocier la signature numérique du trafic de tous les canaux sécurisés qu'il initie. Les signatures numériques empêchent la modification du trafic par des personnes capturant les données qui traversent le réseau.
Le paramètre **Membre de domaine : Signer numériquement les données des canaux sécurisés (lorsque cela est possible)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Membre de domaine : Désactiver les modifications de mot de passe du compte ordinateur
Ce paramètre de stratégie détermine si un membre du domaine peut changer périodiquement le mot de passe de son compte ordinateur. Si ce paramètre est activé, le membre du domaine ne peut pas changer le mot de passe de son compte ordinateur. Si vous désactivez ce paramètre de stratégie, le membre du domaine peut modifier le mot de passe de son compte ordinateur, en fonction du paramètre **Membre de domaine : Âge maximal du mot de passe du compte ordinateur** (30 jours par défaut). Les ordinateurs qui ne peuvent pas modifier automatiquement leurs mots de passe sont potentiellement vulnérables ; un utilisateur malveillant pourrait en effet trouver le mot de passe du compte de domaine du système.
Le paramètre **Membre de domaine : Désactiver les modifications de mot de passe du compte ordinateur** est donc configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Membre de domaine : Âge maximal du mot de passe du compte ordinateur
Ce paramètre de stratégie détermine l'âge maximum d'un mot de passe de compte d'ordinateur. Par défaut, les membres de domaine changent automatiquement leurs mots de passe de domaine tous les 30 jours. Si vous augmentez cet intervalle de façon importante ou si vous le définissez à 0 pour que les ordinateurs ne changent plus leur mot de passe, un utilisateur malveillant aura plus de temps pour entreprendre une attaque par force brute sur l'un des comptes ordinateur.
Le paramètre **Membre de domaine : Âge maximal du mot de passe du compte ordinateur** est donc configuré sur **30 jours** pour les deux environnements abordés dans ce chapitre.
##### Membre de domaine : Nécessite une clé de session forte (Windows 2000 ou version ultérieure)
Quand ce paramètre de stratégie est activé, le canal sécurisé ne peut être établi qu'avec des contrôleurs de domaine à même de crypter les données correspondantes à l'aide d'une clé de session forte (128 bits).
Pour activer ce paramètre de stratégie, tous les contrôleurs de domaine du domaine doivent être à même de crypter les données des canaux sécurisés à l'aide d'une clé forte, ce qui signifie que tous les contrôleurs de domaine doivent exécuter Microsoft Windows 2000 ou une version ultérieure. Microsoft vous recommande de désactiver ce paramètre si des communications avec des domaines autres que Windows 2000 sont requises.
Le paramètre **Membre de domaine : Nécessite une clé de session forte (Windows 2000 ou version ultérieure)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
#### Ouverture de session interactive
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'ouverture de session interactive. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.9 Recommandations pour les paramètres des options de sécurité – Ouverture de session interactive**
| Ouverture de session interactive : Ne pas afficher le dernier nom d'utilisateur |
Activé |
Activé |
Activé |
Activé |
| Ouverture de session interactive : Ne pas demander la combinaison de touches Ctrl+Alt+Suppr |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter |
Ce système est limité aux utilisateurs autorisés. Les personnes non autorisées tentant d'y accéder seront passibles des sanctions pénales prévues par la loi. |
Ce système est limité aux utilisateurs autorisés. Les personnes non autorisées tentant d'y accéder seront passibles des sanctions pénales prévues par la loi. |
Ce système est limité aux utilisateurs autorisés. Les personnes non autorisées tentant d'y accéder seront passibles des sanctions pénales prévues par la loi. |
Ce système est limité aux utilisateurs autorisés. Les personnes non autorisées tentant d'y accéder seront passibles des sanctions pénales prévues par la loi. |
| Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter |
IL EST INTERDIT DE CONTINUER SANS L'AUTORISA
TION APPROPRIÉE. |
IL EST INTERDIT DE CONTINUER SANS L'AUTORISA
TION APPROPRIÉE. |
IL EST INTERDIT DE CONTINUER SANS L'AUTORISA
TION APPROPRIÉE. |
IL EST INTERDIT DE CONTINUER SANS L'AUTORISA
TION APPROPRIÉE. |
| Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas ou le contrôleur de domaine ne serait pas disponible) |
2 |
2 |
0 |
2 |
| Ouverture de session interactive : Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire |
14 jours |
14 jours |
14 jours |
14 jours |
| Ouverture de session interactive : Nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail |
Activé |
Désactivé |
Activé |
Désactivé |
| Ouverture de session interactive : Comportement lorsque la carte à puce est retirée |
Verrouiller la station de travail |
Verrouiller la station de travail |
Verrouiller la station de travail |
Verrouiller la station de travail |
##### Ouverture de session interactive : Ne pas afficher le dernier nom d'utilisateur
Ce paramètre de stratégie détermine si le nom de compte du dernier utilisateur à ouvrir une session sur les ordinateurs client de votre organisation s'affichera dans l'écran d'ouverture de session Windows de chaque ordinateur. L'activation de ce paramètre empêche les intrus de collecter les noms de compte à partir des écrans des ordinateurs de bureau ou des ordinateurs portables de votre entreprise.
Le paramètre **Ouverture de session interactive : Ne pas afficher le dernier nom d'utilisateur** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Ouverture de session interactive : Ne pas demander la combinaison de touches Ctrl+Alt+Suppr
La combinaison de touches CTRL+ALT+SUPPR établit un chemin d'accès approuvé vers le système d'exploitation lorsqu'un utilisateur entre un nom d'utilisateur et un mot de passe. Si vous activez ce paramètre de stratégie, les utilisateurs ne sont pas tenus d'utiliser cette combinaison de touches pour ouvrir une session sur le réseau. Cette configuration crée cependant un risque en matière de sécurité, car elle permet aux utilisateurs d'ouvrir des sessions en utilisant des informations d'authentification d'ouverture de session plus faibles.
Le paramètre **Ouverture de session interactive : Ne pas demander la combinaison de touches Ctrl+Alt+Suppr** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier un message diffusé aux utilisateurs lorsqu'ils tentent de se connecter. Ce message est souvent utilisé à des fins légales, par exemple, pour prévenir les utilisateurs des conséquences que pourraient présenter pour eux une utilisation abusive des informations de la société ou pour les avertir que leurs actions risquent d'être auditées. Le texte du message spécifié dans le tableau précédent constitue un exemple de ce qui est recommandé pour les environnements EC et SSLF.
Le paramètre **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter** est activé, avec un texte adapté, pour les deux environnements abordés dans ce chapitre.
**Remarque** : Tout avertissement que vous choisissez d'afficher doit être préalablement approuvé par les représentants juridiques et des ressources humaines de votre entreprise. En outre, les paramètres **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter** et **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter** doivent être activés tous les deux pour fonctionner correctement.
##### Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet la spécification de texte dans la barre de titre de la fenêtre que les utilisateurs voient lorsqu'ils ouvrent une session sur le système. Ce paramètre est utilisé pour les mêmes raisons que le précédent. Les entreprises n'utilisant pas ce paramètre sont plus vulnérables, au niveau juridique, aux intrus qui attaquent le système.
Le paramètre **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter** est activé, avec un texte adapté, pour les deux environnements abordés dans ce chapitre.
**Remarque** : Tout avertissement que vous choisissez d'afficher doit être préalablement approuvé par les représentants juridiques et des ressources humaines de votre entreprise. En outre, les paramètres **Ouverture de session interactive : Contenu du message pour les utilisateurs essayant de se connecter** et **Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter** doivent être activés tous les deux pour fonctionner correctement.
##### Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas ou le contrôleur de domaine ne serait pas disponible)
Ce paramètre de stratégie permet de déterminer le nombre d'ouvertures de session sur un domaine Windows qu'un utilisateur est autorisé à effectuer à l'aide des informations de compte mises en cache. Les informations de connexion des comptes de domaine peuvent être mises en cache localement afin de permettre aux utilisateurs d'ouvrir une session même s'il n'est pas possible de contacter un contrôleur de domaine. Ce paramètre détermine le nombre d'utilisateurs uniques pour lesquels les informations de connexion sont placées dans le cache local. La valeur par défaut de ce paramètre de stratégie est de 10. Si cette valeur est configurée sur 0, la fonctionnalité de mise en cache des informations de connexion est désactivée. Un pirate ayant accès au système de fichiers du serveur peut localiser ces informations cachées et avoir recours à une attaque par force brute pour déterminer le mot de passe des utilisateurs.
Le paramètre **Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible)** est configuré sur **2** pour les ordinateurs de bureau et les ordinateurs portables dans l'environnement EC et pour les ordinateurs portables dans l'environnement SSLF. Ce paramètre de stratégie est configuré sur **0** pour les ordinateurs de bureau dans l'environnement SSLF pour la raison suivante : ces ordinateurs doivent toujours être connectés de façon sécurisée au réseau de l'entreprise.
##### Ouverture de session interactive : Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
Ce paramètre de stratégie permet de déterminer combien de jours à l'avance les utilisateurs sont avertis de l'expiration de leur mot de passe. Microsoft vous recommande de configurer ce paramètre de stratégie sur 14 afin de prévenir les utilisateurs suffisamment tôt de l'expiration de leur mot de passe.
Le paramètre **Ouverture de session interactive : Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire** est configuré sur **14 jours** pour les deux environnements abordés dans ce chapitre.
##### Ouverture de session interactive : Nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail.
Si ce paramètre est activé, un contrôleur de domaine est nécessaire pour authentifier le compte de domaine utilisé pour déverrouiller l'ordinateur. Lorsqu'il est désactivé, les informations d'authentification mises en cache permettent d'effectuer cette tâche. Microsoft vous recommande de désactiver ce paramètre pour les ordinateurs portables des deux environnements, car les utilisateurs mobiles ne disposent pas d'accès réseau aux contrôleurs de domaine.
Le paramètre **Ouverture de session interactive : Nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail** est configuré sur **Activé** pour les ordinateurs de bureau dans les environnements EC et SSLF. Ce paramètre est cependant configuré sur **Désactivé** pour les ordinateurs portables dans les deux environnements, afin de permettre aux utilisateurs de portables de travailler à distance.
##### Ouverture de session interactive : Comportement lorsque la carte à puce est retirée
Ce paramètre de stratégie permet de déterminer l'action à effectuer lors du retrait de la carte à puce d'un utilisateur connecté du lecteur de cartes. Si ce paramètre de stratégie est défini sur **Verrouiller la station de travail**, la station de travail est verrouillée lorsque la carte à puce est retirée. Cela permet aux utilisateurs de quitter le site en emportant leur carte à puce et de verrouiller automatiquement leur station de travail. Si vous configurez ce paramètre de stratégie sur **Forcer la fermeture de session**, les utilisateurs sont déconnectés automatiquement quand la carte à puce est retirée.
Le paramètre **Ouverture de session interactive : Comportement lorsque la carte à puce est retirée** est configuré sur **Verrouiller la station de travail** pour les deux environnements abordés dans ce chapitre.
#### Client réseau Microsoft
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les ordinateurs client réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.10 Recommandations pour les paramètres des options de sécurité - Client réseau Microsoft**
| Client réseau Microsoft : Signer numériquement les communications (toujours) |
Activé |
Activé |
Activé |
Activé |
| Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte) |
Activé |
Activé |
Activé |
Activé |
| Client réseau Microsoft : Envoyer un mot de passe non chiffré aux serveurs SMB tierce partie |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
##### Client réseau Microsoft : Signer numériquement les communications (toujours)
Ce paramètre de stratégie détermine si la signature des paquets est requise par le composant serveur SMB. Si vous activez ce paramètre de stratégie, l'ordinateur client réseau Microsoft ne peut communiquer avec un serveur réseau Microsoft que si celui-ci accepte de signer les paquets SMB. Dans des environnements mixtes comportant des clients hérités, définissez cette option sur **Désactivé** car ces ordinateurs ne peuvent pas s'authentifier ou accéder aux contrôleurs de domaine. Toutefois, vous pouvez utiliser ce paramètre dans Windows 2000 ou dans des environnements ultérieurs.
Le paramètre **Client réseau Microsoft : Signer numériquement les communications (toujours)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
**Remarque** : Quand ce paramètre de stratégie est activé pour des ordinateurs Windows XP et que ces ordinateurs se connectent à des partages de fichiers ou d'impression sur des serveurs à distance, il faut que ce paramètre soit synchronisé avec le paramètre correspondant, **Serveur réseau Microsoft : Signer numériquement les communications (toujours)**, sur ces serveurs. Pour plus de détails à propos de ces paramètres, reportez-vous à la section « Client réseau Microsoft : Signer numériquement les communications (quatre paramètres liés) » du chapitre 5 du guide compagnon [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponible au téléchargement à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
##### Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le client SMB va tenter de négocier la signature des paquets SMB. La mise en œuvre de signatures numériques dans les réseaux Windows permet d'empêcher le piratage des sessions. Si vous activez ce paramètre de stratégie, le client réseau Microsoft utilisera la signature seulement si le serveur avec lequel il communique accepte les communications signées numériquement.
Le paramètre **Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)** est configuré sur **Activé** pour les deux environnements qui sont abordés dans ce chapitre.
**Remarque :** Activez ce paramètre de stratégie sur les clients SMB de votre réseau pour qu'ils puissent signer des paquets lors des communications avec tous les clients et serveurs de votre environnement.
##### Client réseau Microsoft : Envoyer un mot de passe non chiffré aux serveurs SMB tierce partie
Désactivez ce paramètre de stratégie pour empêcher le redirecteur SMB d'envoyer des mots de passe texte brut lors de l'authentification sur des serveurs non-Microsoft qui ne prennent pas en charge le chiffrement de mots de passe. Microsoft vous recommande de désactiver ce paramètre de stratégie, sauf en cas de force majeure. Si ce paramètre de stratégie est activé, les mots de passe non chiffrés seront autorisés sur le réseau.
Le paramètre **Client réseau Microsoft : Envoyer un mot de passe non chiffré aux serveurs SMB** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Serveur réseau Microsoft
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les serveurs réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.11 Recommandations pour les paramètres des options de sécurité - Serveur réseau Microsoft**
| Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session |
15 minutes |
15 minutes |
15 minutes |
15 minutes |
| Serveur réseau Microsoft : Signer numériquement les communications (toujours) |
Activé |
Activé |
Activé |
Activé |
| Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte) |
Activé |
Activé |
Activé |
Activé |
##### Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session
Ce paramètre de stratégie vous permet d'indiquer la durée d'inactivité continue qui doit s'écouler dans une session SMB avant que la session ne soit suspendue pour cause d'inactivité. Les administrateurs peuvent utiliser ce paramètre pour contrôler à quel moment un ordinateur suspend une session SMB inactive. Si l'activité du client reprend, la session est automatiquement rétablie.
Le paramètre **Serveur réseau Microsoft : Durée d'inactivité avant la suspension d'une session** est configuré sur **Activé** avec une durée de **15 minutes** dans les deux environnements abordés dans ce chapitre.
##### Serveur réseau Microsoft : Signer numériquement les communications (toujours)
Ce paramètre de stratégie détermine si le service SMB côté serveur est requis pour la signature de paquets SMB. Activez ce paramètre de stratégie dans un environnement mixte pour empêcher les clients en aval d'utiliser la station de travail comme serveur réseau.
Le paramètre **Serveur réseau Microsoft : Signer numériquement les communications (toujours)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)
Ce paramètre de stratégie détermine si le service SMB côté serveur peut signer les paquets SMB lorsqu'un client tentant d'établir une connexion le lui demande. Si le client n'envoie pas de requête de signature, la connexion sans signature est permise si le paramètre **Serveur réseau Microsoft : Signer numériquement les communications (toujours)** n'est pas activé.
Le paramètre **Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
**Remarque :** Activez ce paramètre de stratégie sur les clients SMB de votre réseau pour qu'ils puissent signer des paquets lors des communications avec tous les clients et serveurs de votre environnement.
#### Accès réseau
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'accès réseau. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.12 Recommandations pour les paramètres des options de sécurité - Accès réseau**
| Accès réseau : Permettre la traduction de noms/SID anonymes |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM |
Activé |
Activé |
Activé |
Activé |
| Accès réseau : Ne pas autoriser l'énumération anonyme des comptes et partages SAM |
Activé |
Activé |
Activé |
Activé |
| Accès réseau : Ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau |
Activé |
Activé |
Activé |
Activé |
| Accès réseau : Les autorisations Tout le monde s'appliquent aux utilisateurs anonymes |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme |
Non défini |
Non défini |
* Voir la description de paramètre suivante pour la liste complète des canaux nommés |
* Voir la description de paramètre suivante pour la liste complète des canaux nommés |
| Accès réseau : Les chemins de registre accessibles à distance |
Non défini |
Non défini |
* Voir la description de paramètre suivante pour la liste complète des chemins |
* Voir la description de paramètre suivante pour la liste complète des chemins |
| Accès réseau : Les partages qui sont accessibles de manière anonyme |
Non défini |
Non défini |
comcfg, dfs$ |
comcfg, dfs$ |
| Accès réseau : Modèle de partage et de sécurité pour les comptes locaux |
Classique - les utilisateurs locaux s’authentifient eux-mêmes |
Classique - les utilisateurs locaux s’authentifient eux-mêmes |
Classique - les utilisateurs locaux s’authentifient eux-mêmes |
Classique - les utilisateurs locaux s’authentifient eux-mêmes |
##### Accès réseau : Permettre la traduction de noms/SID anonymes
Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander des attributs d'identificateur de sécurité (SID) concernant un autre utilisateur, ou utiliser un SID pour obtenir le nom d'utilisateur qui correspond. Désactivez ce paramètre de stratégie pour empêcher des utilisateurs non authentifiés d'obtenir des noms d'utilisateur associés à leurs SID respectifs.
Le paramètre **Accès réseau : Permettre la traduction de noms/SID anonymes** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM
Ce paramètre de stratégie détermine si des utilisateurs anonymes peuvent énumérer les comptes du Gestionnaire de comptes de sécurité (SAM). Si vous activez ce paramètre de stratégie, les utilisateurs disposant de connexions anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine sur les stations de travail de votre environnement. Il permet également d'appliquer d'autres restrictions sur les connexions anonymes.
Le paramètre **Accès réseau : Ne pas autoriser l'énumération anonyme des comptes SAM** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Accès réseau : Ne pas autoriser l'énumération anonyme des comptes et partages SAM
Ce paramètre de stratégie détermine si des utilisateurs anonymes peuvent énumérer les comptes SAM ainsi que les partages. Si vous activez ce paramètre de stratégie, les utilisateurs anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine et les noms de partages de réseau sur les stations de travail de votre environnement.
Le paramètre **Accès réseau : Ne pas autoriser l'énumération anonyme des comptes et partages SAM** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Accès réseau : Ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau
Ce paramètre de stratégie contrôle le stockage des informations d'authentification et des mots de passe sur le système local.
Le paramètre **Accès réseau : Ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
##### Accès réseau : Les autorisations Tout le monde s'appliquent aux utilisateurs anonymes
Ce paramètre de stratégie détermine les autorisations supplémentaires attribuées aux connexions anonymes sur l'ordinateur. Si ce paramètre est activé, les utilisateurs Windows anonymes peuvent effectuer certaines activités, comme l'énumération des noms des comptes de domaine et des partages de réseau. Un utilisateur non autorisé pourrait lister de façon anonyme les noms de compte et les ressources partagées, puis utiliser ces informations pour deviner les mots de passe ou réaliser des attaques de piratage par ingénierie sociale (social engineering).
Le paramètre **Accès réseau : Les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes** est donc configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les sessions de communication, ou canaux, qui auront des attributs et des autorisations permettant l'accès anonyme.
Pour l'environnement EC, le paramètre **Accès réseau : Les canaux nommés qui sont accessibles de manière anonyme** est configuré sur **Non défini.** Les valeurs par défaut suivantes sont cependant appliquées pour l'environnement SSLF :
- COMNAP
- COMNODE
- SQL\\QUERY
- SPOOLSS
- LLSRPC
- Explorateur
##### Accès réseau : Les chemins de registre accessibles à distance
Ce paramètre de stratégie détermine quels sont les chemins de Registre accessibles après référence à la clé WinReg pour connaître les droits d'accès à ces chemins.
Pour l'environnement EC, le paramètre **Accès réseau : Chemins de registre accessibles à distance** est configuré sur **Non défini.** Les valeurs par défaut suivantes sont cependant appliquées pour l'environnement SSLF :
- System\\CurrentControlSet\\Control\\ProductOptions
- System\\CurrentControlSet\\Control\\Print\\Printers
- System\\CurrentControlSet\\Control\\Server Applications
- System\\CurrentControlSet\\Control\\ContentIndex
- System\\CurrentControlSet\\Control\\Terminal Server
- System\\CurrentControlSet\\Control\\Terminal Server\\UserConfig
- System\\CurrentControlSet\\Control\\Terminal Server\\DefaultUserConfiguration
- System\\CurrentControlSet\\Services\\Eventlog
- Software\\Microsoft\\OLAP Server
- Software\\Microsoft\\Windows NT\\CurrentVersion
##### Accès réseau : Les partages qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les partages de réseau auxquels des utilisateurs anonymes peuvent accéder. La configuration par défaut de ce paramètre a peu d'impact dans la mesure où tous les utilisateurs doivent être authentifiés avant de pouvoir accéder à des ressources partagées sur le serveur.
Le paramètre **Accès réseau : Les partages accessibles de manière anonyme** est configuré sur **Non défini** pour l'environnement EC. Assurez-vous cependant qu'il est configuré sur **comcfg, dfs$** pour l'environnement SSLF.
**Remarque**: Le fait de rajouter des partages à ce paramètre de stratégie de groupe peut s'avérer très dangereux. N'importe quel utilisateur peut accéder à tous les partages de la liste, ce qui pourrait provoquer l'exposition ou la corruption de données sensibles.
##### Accès réseau : Modèle de partage et de sécurité pour les comptes locaux
Ce paramètre de stratégie détermine la façon dont les ouvertures de session réseau utilisant des comptes locaux sont authentifiées. L'option **Classique** permet de bénéficier d'un contrôle précis de l'accès aux ressources (dont la possibilité d'attribuer différents types d'accès à différents utilisateurs pour la même ressource). Le paramètre **Invité seul** permet de traiter tous les utilisateurs de la même façon. Dans ce contexte, tous les utilisateurs s'authentifient comme **Invité seul** pour recevoir le même niveau d'accès à une ressource donnée.
Le paramètre **Modèle de partage et de sécurité pour les comptes locaux** utilise donc l'option **Classique** par défaut pour les deux environnements abordés dans ce chapitre.
#### Sécurité du réseau
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour la sécurité du réseau. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.13 Recommandations pour les paramètres des options de sécurité - Sécurité réseau**
| Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe |
Activé |
Activé |
Activé |
Activé |
| Sécurité réseau : Niveau d'authentification LAN Manager |
Envoyer uniquement les réponses NTLMv2\refuser LM |
Envoyer uniquement les réponses NTLMv2\refuser LM |
Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM |
Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM |
| Sécurité réseau : Conditions requises pour la signature de client LDAP |
Négociation des signatures |
Négociation des signatures |
Négociation des signatures |
Négociation des signatures |
| Sécurité réseau : Sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
| Sécurité réseau : Sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Nécessite une confidentialité de message, Nécessite une intégrité de message, Nécessite une sécurité de session NTLMv2,
Requérir le cryptage 128 bits |
Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe
Ce paramètre de stratégie détermine si la valeur de hachage de LAN Manager (LM) pour le nouveau mot de passe est enregistrée lorsque le mot de passe est modifié. Le hachage LAN Manager est relativement faible et sujet aux attaques, comparé à celui de Windows NT®, qui est plus fort d'un point de vue cryptographique.
C'est pour cette raison que le paramètre Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe est configuré sur Activé pour les deux environnements abordés dans ce chapitre.
Remarque: Lorsque ce paramètre est activé, il se peut que de très anciens systèmes d'exploitation et certaines applications d'autres éditeurs échouent. Après avoir activé ce paramètre, vous devrez changer le mot de passe de tous les comptes.
Sécurité réseau : Niveau d'authentification Lan Manager
Ce paramètre de stratégie indique le type d'authentification de stimulation/réponse des ouvertures de session réseau avec des clients autres que Windows 2000 et Windows XP Professionnel. L'authentification LAN Manager est la méthode la moins sécurisée. Les mots de passe chiffrés pouvant être facilement interceptés sur le réseau, ils peuvent être piratés. L'authentification NT LAN Manager (NTLM) est un peu plus sécurisée. NTLMv2 est une version plus robuste de NTLM, disponible dans Windows XP Professionnel, Windows 2000 et Windows NT 4.0 Service Pack 4 (SP4) ou version ultérieure. NTLMv2 est également disponible pour Windows 95 et Windows 98 avec le client des services d'annuaire facultatif.
Microsoft vous recommande de configurer ce paramètre de stratégie sur le niveau d'authentification maximum pour votre environnement. Dans des environnements exécutant uniquement Windows 2000 Server ou Windows Server 2003, avec des stations de travail Windows XP Professionnel, configurez ce paramètre sur l'option Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM afin d'obtenir le niveau de sécurité le plus élevé.
Le paramètre Sécurité réseau : Niveau d'authentification LAN Manager est défini sur Envoyer des réponses NTLM version 2 uniquement\refuser LM pour l'environnement EC. Il est néanmoins configuré sur Envoyer uniquement les réponses NTLMv2\refuser LM et NTLM dans l'environnement SSLF ; cette option est plus restrictive.
Sécurité réseau : Conditions requises pour la signature de client LDAP
Ce paramètre de stratégie détermine le niveau de signature de données demandé au nom des clients émettant des requêtes LDAP BIND. Étant donné que le trafic réseau non signé est vulnérable aux attaques du type « man-in-the-middle » (attaque de l'intercepteur), un utilisateur malveillant pourrait forcer un serveur LDAP à prendre des décisions basées sur de fausses requêtes du client LDAP.
Le paramètre Sécurité réseau : Conditions requises pour la signature de client LDAP est donc configuré sur Négociation des signatures pour les deux environnements abordés dans ce chapitre.
Sécurité réseau : Sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie détermine les standards de sécurité minimaux pour les communications d'application à application des clients. Les options disponibles pour ce paramètre sont les suivantes :
Nécessite une intégrité de message
Nécessite une confidentialité de message
Nécessite une sécurité de session NTLMv2
Nécessite le cryptage 128 bits
Si tous les ordinateurs de votre réseau prennent en charge NTLMv2 et le chiffrement 128 bits (Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), les quatre options peuvent être sélectionnées pour obtenir un niveau de sécurité maximal.
Ces quatre options sont activées pour le paramètre Sécurité réseau : Sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce chapitre.
Sécurité réseau : Sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie est similaire au paramètre précédent, mais il affecte le côté serveur de la communication avec les applications. Les options disponibles pour ce paramètre sont les mêmes :
Nécessite une intégrité de message
Nécessite une confidentialité de message
Nécessite une sécurité de session NTLMv2
Nécessite le cryptage 128 bits
Si tous les ordinateurs de votre réseau prennent en charge NTLMv2 et le chiffrement 128 bits (Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), les quatre options peuvent être sélectionnées pour obtenir un niveau de sécurité maximal.
Ces quatre options sont activées pour le paramètre Sécurité réseau : Sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce chapitre.
Console de récupération
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour la console de récupération. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
Tableau 3.14 Recommandations pour les paramètres des options de sécurité – Console de récupération
| Console de récupération : Autoriser l'ouverture de session d'administration automatique |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Console de récupération : Autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers |
Non défini |
Non défini |
Désactivé |
Désactivé |
##### Console de récupération : Autoriser l'ouverture de session d'administration automatique
La console de récupération est un environnement à ligne de commande qui permet d'exécuter des récupérations à partir de problèmes système. Si vous activez ce paramètre de stratégie, le compte administrateur est connecté automatiquement à la console de récupération lorsqu'il est invoqué au démarrage. Microsoft vous recommande de désactiver ce paramètre de stratégie, qui obligerait les administrateurs à entrer un mot de passe pour accéder à la console de récupération.
Le paramètre **Console de récupération : Autoriser l'ouverture de session d'administration automatique** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
##### Console de récupération : Autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Ce paramètre de stratégie rend la commande SET de la console de récupération disponible. Elle vous permet de configurer les variables d'environnement suivantes :
- **AllowWildCards**. permet la prise en charge des caractères génériques pour certaines commandes (comme la commande SUPPR).
- **AllowAllPaths**. permet d'accéder à tous les fichiers et dossiers de l'ordinateur.
- **AllowRemovableMedia**. autorise la copie des fichiers sur un support amovible, comme une disquette.
- **NoCopyPrompt**. ne pas avertir du remplacement d'un fichier existant.
Le paramètre **Console de récupération : Autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers** est configuré sur **Non défini** pour l'environnement EC. Pour une sécurité maximale, ce paramètre est configuré sur **Désactivé** dans l'environnement SSLF.
#### Arrêt
Le tableau suivant résume les recommandations en matière de paramètres des options de sécurité pour l'arrêt de l'ordinateur. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.15 Recommandations pour les paramètres des options de sécurité – Arrêt de l'ordinateur**
| Arrêt : Permet au système d'être arrêté sans avoir à se connecter |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Arrêt : Efface le fichier d'échange de mémoire virtuelle |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
##### Arrêt : Permet au système d'être arrêté sans avoir à se connecter
Ce paramètre de stratégie détermine si un utilisateur a la possibilité d'éteindre un ordinateur lorsqu'il n'y est pas connecté. L'activation de ce paramètre permet d'afficher la commande d'arrêt dans l'écran de connexion Windows. Microsoft vous recommande de le désactiver pour limiter cette capacité à éteindre l'ordinateur aux utilisateurs disposant d'informations d'authentification sur le système.
Le paramètre **Arrêt : Permet au système d'être arrêté sans avoir à se connecter** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
##### Arrêt : Efface le fichier d'échange de mémoire virtuelle
Ce paramètre de stratégie permet de déterminer si le fichier d'échange de mémoire virtuelle doit être effacé à l'arrêt du système. Lorsque ce paramètre est activé, le fichier d'échange système est effacé à chaque arrêt normal du système. Si vous activez ce paramètre de sécurité, le fichier de mise en veille (Hiberfil.sys) est également remis à zéro lorsque la mise en veille est désactivée sur un système d'ordinateur portable. L'arrêt et le redémarrage du serveur prendront alors plus de temps, surtout pour les serveurs disposant de fichiers d'échange de taille importante.
C'est pour ces raisons que le paramètre **Arrêt : Efface le fichier d'échange de mémoire virtuelle** est configuré sur **Désactivé** pour tous les types d'ordinateurs dans les deux environnements abordés dans ce chapitre.
#### Cryptographie système
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour la cryptographie système. Des informations supplémentaires sont fournies après le tableau.
**Tableau 3.16 Recommandations pour les paramètres des options de sécurité – Cryptographie système**
| Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature |
Non défini |
Non défini |
Désactivé |
Désactivé |
##### Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Ce paramètre de stratégie détermine si le fournisseur de sécurité TLS/SSL (Transport Layer Security/Secure Sockets Layer) prend uniquement en charge la suite de chiffrement TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA. Bien que ce paramètre de stratégie permette d'augmenter la sécurité, la plupart des sites Web publics sécurisés via TLS ou SSL ne prennent pas en charge ces algorithmes. Les ordinateurs client sur lesquels ce paramètre de stratégie est activé ne pourront pas, en outre, se connecter aux services Terminal Server sur les serveurs qui ne sont pas configurés pour l'utilisation d'algorithmes compatibles FIPS.
Le paramètre **Cryptographie système : Utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
**Remarque** : Si vous activez ce paramètre de stratégie, les performances de l'ordinateur seront plus lentes, car le processus 3DES est exécuté trois fois sur chaque bloc de données du fichier. Ce paramètre doit être activé uniquement si votre entreprise est tenue d'être compatible FIPS.
#### Objets système
Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les objets système. Des informations supplémentaires sont fournies dans les sous-sections qui suivent le tableau.
**Tableau 3.17 Recommandations pour les paramètres des options de sécurité – Objets système**
| Objets système : Propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs |
Créateur d’objet |
Créateur d’objet |
Créateur d’objet |
Créateur d’objet |
| Objets système : Les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows |
Non défini |
Non défini |
Activé |
Activé |
| Objets système : Renforcer les autorisations par défaut des objets système internes |
Activé |
Activé |
Activé |
Activé |
##### Objets système : Propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs
Ce paramètre de stratégie détermine si le groupe **Administrateurs** ou le groupe **Créateur d'objet** est le propriétaire par défaut des nouveaux objets système.
Pour une plus grande responsabilisation des utilisateurs, le paramètre **Objets système : Propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs** est configuré sur le groupe **Créateur d'objet** pour les deux environnements abordés dans ce chapitre.
##### Objets système : Les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Ce paramètre de stratégie détermine si les différences entre majuscules et minuscules doivent être prises en compte ou non sur tous les sous-systèmes. Le sous-système Microsoft Win32® n'est pas sensible à la casse. Toutefois, le noyau prend en charge le respect des majuscules/minuscules pour les autres sous-systèmes, comme POSIX (Portable Operating System Interface for UNIX). Étant donné que Windows ne fait pas la distinction majuscules/minuscules (mais que le sous-système POSIX la prend en charge), si ce paramètre n'est pas activé, un utilisateur de ce sous-système peut créer un fichier du même nom qu'un autre fichier en mélangeant les majuscules et les minuscules. Dans une situation de ce genre, l'accès aux fichiers peut être bloqué par un autre utilisateur se servant d'outils Win32 standard, étant donné qu'un seul des fichiers sera disponible.
Pour assurer l'homogénéité des noms de fichiers, le paramètre **Objets système : Les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows** est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
##### Objets système : Renforcer les autorisations par défaut des objets système internes
Ce paramètre de stratégie détermine la force de la liste DACL par défaut pour les objets. Ce paramètre participe à la sécurisation des objets pouvant être localisés et partagés par les processus, et sa configuration par défaut renforce la liste DACL. Elle permet en effet aux utilisateurs qui ne sont pas des administrateurs de lire des objets partagés, mais ne les autorise pas à modifier les objets qu'ils n'ont pas créés.
Le paramètre **Objets système : Renforcer les autorisations par défaut des objets système internes** (liens symboliques, par exemple) est donc configuré sur le paramètre par défaut (**Activé**) pour les deux environnements abordés dans ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de sécurité des journaux d'événements
Le journal des événements enregistre les événements survenant sur le système, et le journal de sécurité enregistre les événements d'audit. Le conteneur du journal des événements de la stratégie de groupe permet de définir les attributs associés aux journaux des événements relatifs aux applications, à la sécurité et au système, notamment la taille maximale des journaux, les droits d'accès à chaque journal, ainsi que les paramètres et les méthodes appliqués à la durée du stockage. Les paramètres des journaux des événements relatifs aux applications, à la sécurité et au système sont configurés dans la stratégie MSBP et appliqués à tous les serveurs membres du domaine.
Vous pouvez configurer les paramètres du journal des événements à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Journal d'événements**
Cette section fournit des détails concernant les paramètres recommandés pour les environnements abordés dans ce chapitre. Pour un résumé des paramètres recommandés dans cette section, reportez-vous au fichier Microsoft Excel®, « Windows XP Security Guide Settings » (Paramètres du guide de sécurité de Windows XP). Pour plus d'informations sur les paramètres par défaut et des explications détaillées concernant chacun des paramètres abordés dans cette section, reportez-vous au guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponibles à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159. Le guide compagnon comprend également des informations détaillées concernant la perte potentielle de données du journal des événements lorsque les tailles des journaux sont configurées sur des valeurs très importantes.
Le tableau suivant résume les paramètres de sécurité recommandés pour le journal des événements, à la fois pour les ordinateurs de bureau et portables dans les deux types d'environnements abordés dans ce chapitre : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF). Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections suivantes.
**Tableau 3.18 Recommandations en matière de paramètres de sécurité - Journal des événements**
| Taille maximale du journal des applications |
16 384 Ko |
16 384 Ko |
16 384 Ko |
16 384 Ko |
| Taille maximale du journal de sécurité |
81 920 Ko |
81 920 Ko |
81 920 Ko |
81 920 Ko |
| Taille maximale du journal système |
16 384 Ko |
16 384 Ko |
16 384 Ko |
16 384 Ko |
| Interdire au groupe local Invité l'accès au journal des applications |
Activé |
Activé |
Activé |
Activé |
| Empêcher le groupe d'invités locaux d'accéder au journal de sécurité |
Activé |
Activé |
Activé |
Activé |
| Empêcher le groupe d'invités locaux d'accéder au journal système |
Activé |
Activé |
Activé |
Activé |
| Méthode de conservation du journal des applications |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
| Méthode de conservation du journal de sécurité |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
| Méthode de conservation du journal système |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
Autant que nécessaire |
#### Taille maximale du journal des applications
Ce paramètre de stratégie indique la taille maximale du journal des événements des applications, qui a une capacité maximale de 4 Go. Cependant, cette taille n'est pas recommandée en raison du risque de fragmentation de la mémoire, qui provoque un ralentissement des performances et une consignation des événements peu fiable. Les exigences en matière de taille du journal des applications varient selon la fonction de la plate-forme et le besoin d'enregistrements historiques des événements liés aux applications.
Le paramètre **Taille maximale du journal des applications** est configuré sur **16 384 Ko** pour tous les ordinateurs des deux environnements abordés dans ce chapitre.
#### Taille maximale du journal de sécurité
Ce paramètre de stratégie indique la taille maximale du journal des événements de sécurité, qui a une capacité maximale de 4 Go. Cependant, cette taille n'est pas recommandée en raison du risque de fragmentation de la mémoire, qui provoque un ralentissement des performances et une consignation des événements peu fiable. Les exigences en matière de taille du journal de sécurité varient selon la fonction de la plate-forme et le besoin d'enregistrements historiques des événements liés aux applications.
Le paramètre **Taille maximale du journal de sécurité** est configuré sur **81 920 Ko** pour tous les ordinateurs des deux environnements abordés dans ce chapitre.
#### Taille maximale du journal système
Ce paramètre de stratégie indique la taille maximale du journal des événements du système, qui a une capacité maximale de 4 Go. Cependant, cette taille n'est pas recommandée en raison du risque de fragmentation de la mémoire, qui provoque un ralentissement des performances et une consignation des événements peu fiable. Les exigences en matière de taille du journal système varient selon la fonction de la plate-forme et le besoin d'enregistrements historiques des événements liés à l'application.
Le paramètre **Taille maximale du journal système** est configuré sur **16 384 Ko** pour tous les ordinateurs des deux environnements abordés dans ce chapitre.
#### Interdire au groupe local Invité l'accès au journal des applications
Ce paramètre de stratégie détermine si les invités sont autorisés à accéder au journal des événements des applications. Par défaut dans Windows Server 2003, l'accès des invités est refusé sur tous les systèmes. Ce paramètre de stratégie n'a donc pas de réel effet sur les configurations de système par défaut. Il est cependant considéré comme un paramètre de défense avancé sans effet secondaire.
Le paramètre **Interdire au groupe local Invité l'accès au journal des applications** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
#### Empêcher le groupe d'invités locaux d'accéder au journal de sécurité
Ce paramètre de stratégie détermine si les invités sont autorisés à accéder au journal des événements de sécurité. Un utilisateur doit posséder le droit d'utilisateur **Gérer le journal d'audit et de sécurité** (non défini dans ce guide) pour accéder au journal de sécurité. Ce paramètre de stratégie n'a donc pas de réel effet sur les configurations de système par défaut. Il est cependant considéré comme un paramètre de défense avancé sans effet secondaire.
Le paramètre **Empêcher le groupe d'invités locaux d'accéder au journal de sécurité** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
#### Empêcher le groupe d'invités locaux d'accéder au journal système
Ce paramètre de stratégie détermine si les invités sont autorisés à accéder au journal des événements du système. Par défaut dans Windows Server 2003, l'accès des invités est refusé sur tous les systèmes. Ce paramètre de stratégie n'a donc pas de réel effet sur les configurations de système par défaut. Il est cependant considéré comme un paramètre de défense avancé sans effet secondaire.
Le paramètre **Empêcher le groupe d'invités locaux d'accéder au journal système** est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
#### Méthode de conservation du journal des applications
Ce paramètre de stratégie détermine la méthode de présentation du journal des applications. Il est impératif que le journal des applications soit régulièrement archivé si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Écraser les événements autant que nécessaire garantit que le journal stocke toujours les événements les plus récents, avec en contrepartie la perte possible de données historiques.
Le paramètre **Méthode de conservation du journal des applications** est configuré sur **Comme nécessaire** pour les deux environnements abordés dans ce chapitre.
#### Méthode de conservation du journal de sécurité
Ce paramètre de stratégie détermine la méthode de présentation du journal de sécurité. Il est impératif que le journal de sécurité soit régulièrement archivé si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Écraser les événements autant que nécessaire garantit que le journal stocke toujours les événements les plus récents, avec en contrepartie la perte possible de données historiques.
Le paramètre **Méthode de conservation du journal de sécurité** est configuré sur **Comme nécessaire** pour les deux environnements abordés dans ce chapitre.
#### Méthode de conservation du journal système
Ce paramètre de stratégie détermine la méthode de présentation du journal du système. Il est impératif que le journal du système soit régulièrement archivé si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Écraser les événements autant que nécessaire garantit que le journal stocke toujours les événements les plus récents, avec en contrepartie la perte possible de données historiques.
Le paramètre **Méthode de conservation du journal système** est configuré sur **Comme nécessaire** pour les deux environnements abordés dans ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Groupes restreints
Le paramètre Groupes restreints vous permet de gérer les membres des groupes dans Windows XP Professionnel via la stratégie de groupe Active Directory. Commencez par étudier les besoins de votre entreprise afin de déterminer les groupes que vous voulez limiter. Dans ce guide, les groupes **Opérateurs de sauvegarde** et **Utilisateurs avec pouvoir** sont limités dans les deux environnements, mais le groupe **Utilisateurs du Bureau à distance** est limité uniquement pour l'environnement SSLF. Bien que les membres des groupes **Opérateurs de sauvegarde** et **Utilisateurs avec pouvoir** disposent d'un accès système moindre que ceux du groupe **Administrateurs**, ils peuvent encore accéder au système par des moyens très efficaces.
**Remarque :** Si votre organisation utilise l'un de ces groupes, contrôlez ensuite soigneusement leur adhésion et n'appliquez pas les instructions relatives au paramètre Groupes restreints. Si votre organisation ajoute des utilisateurs au groupe Utilisateurs avec pouvoir, vous pouvez mettre en œuvre les autorisations de système de fichiers facultatives décrites dans la section « Sécurisation du système de fichiers » plus loin dans ce chapitre.
**Tableau 3.19 Recommandations en matière de groupes restreints**
| Opérateurs de sauvegarde |
Aucun membre |
Aucun membre |
Aucun membre |
Aucun membre |
| Utilisateurs avec pouvoir |
Aucun membre |
Aucun membre |
Aucun membre |
Aucun membre |
| Utilisateurs du Bureau à distance |
|
|
Aucun membre |
Aucun membre |
Vous pouvez configurer le paramètre Groupes restreints à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Groupes restreints\\**
Les administrateurs peuvent configurer des groupes restreints pour un objet GPO en ajoutant directement le groupe souhaité au nœud de **groupes restreints** de l'espace de noms des objets GPO.
Quand un groupe est limité, vous pouvez définir ses membres et tout autre groupe auquel il appartient. Si vous ne spécifiez pas les membres du groupe, celui-ci n'est pas restreint. Seuls les modèles de sécurité permettent de restreindre les groupes.
**Pour afficher ou modifier le paramètre Groupes restreints**
1. Ouvrez la console Gestion des modèles de sécurité.
**Remarque** : La console Gestion des modèles de sécurité n'est pas ajoutée au menu Outils d'administration par défaut. Pour l'ajouter, démarrez la console MMC (Microsoft Management Console) (mmc.exe) puis ajoutez le Complément des modèles de sécurité.
2. Double–cliquez sur le répertoire du fichier de configuration, puis sur le fichier de configuration.
3. Cliquez deux fois sur l'élément **Groupes restreints**.
4. Cliquez avec le bouton droit sur **Groupes restreints**, puis sélectionnez **Ajouter un groupe**.
5. Cliquez sur les boutons **Parcourir**, puis **Emplacements**, et sélectionnez les emplacements à parcourir, puis cliquez sur **OK**.
**Remarque**: En règle générale, cette procédure entraîne l'affichage d'un ordinateur local en haut de la liste.
6. Saisissez le nom du groupe dans la zone de texte **Entrez les noms des objets à sélectionner**, puis cliquez sur le bouton **Vérifier les noms**.
– ou –
Cliquez sur le bouton **Avancé**, puis sur le bouton **Rechercher maintenant** pour répertorier tous les groupes disponibles.
7. Sélectionnez les groupes que vous voulez restreindre, puis cliquez sur **OK**.
8. Cliquez sur **OK** pour fermer la boîte de dialogue **Ajouter des groupes**.
Dans ce guide, les paramètres concernant tous les membres (utilisateurs et groupes) des groupes Utilisateurs avec pouvoir et Opérateurs de sauvegarde ont été supprimés afin de les restreindre totalement dans les deux environnements. En outre, tous les membres du groupe Utilisateurs du Bureau à distance ont été supprimés pour l'environnement SSLF. Microsoft vous recommande de limiter tous les groupes intégrés que vous n'avez pas l'intention d'utiliser dans votre entreprise.
**Remarque** : La configuration des Groupes restreints décrite dans cette section est très simple. Les différentes versions de Windows XP SP1 ou versions ultérieures, ainsi que Windows Server 2003, prennent en charge des conceptions plus complexes. Pour plus d'informations, reportez-vous à l'article « [Mises à jour du comportement de Groupes restreints (« Membre de ») des groupes locaux définis par l'utilisateur](http://support.microsoft.com/default.aspx?kbid=810076) » de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/default.aspx?kbid=810076.
[](#mainsection)[Haut de page](#mainsection)
### Services système
Lors de l'installation de Windows XP Professionnel, les services système par défaut sont créés, puis configurés pour s'exécuter au démarrage du système. Nombre de ces services n'ont pas besoin d'être exécutés dans les environnements définis dans ce guide.
Windows XP Professionnel fournit d'autres services facultatifs, comme les services IIS, qui ne sont pas installés pendant l'installation par défaut du système d'exploitation. Vous pouvez les ajouter à un système existant à l'aide de l'application Ajout/Suppression de programmes du panneau de configuration ou en créant une installation automatisée personnalisée de Windows XP Professionnel.
**Important**: N'oubliez pas que tous les services ou les applications constituent des points d'attaque potentiels. Par conséquent, les services ou les exécutables superflus doivent être désactivés ou supprimés de votre environnement.
Vous pouvez configurer les paramètres des Services système à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\ Services système**
Un administrateur peut définir le mode de démarrage des services système et modifier les paramètres de sécurité de chacun d'eux.
**Important** : Les versions des outils graphiques pouvant être utilisés pour modifier les services inclus avec les versions pré-Windows 2003 du système d'exploitation Windows appliquent automatiquement des autorisations à chaque service lorsque vous configurez les propriétés d'un service. Les outils tels que l'Éditeur d'objets de stratégie de groupe et le composant enfichable Modèles de sécurité MMC utilisent la DLL de l'Éditeur de configuration de sécurité pour l'application de ces autorisations. Si les autorisations par défaut sont modifiées, divers problèmes surviennent dans de nombreux services. Microsoft vous recommande de ne pas modifier les autorisations liées aux services inclus avec Windows XP ou Windows Server 2003, les autorisations par défaut étant déjà restrictives.
La version Windows Server 2003 de la DLL de l'Éditeur de configuration de sécurité ne vous oblige pas à configurer des autorisations lorsque vous éditez les propriétés d'un service. Pour plus d'informations, consultez le guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159)*,* disponible sur le site http://go.microsoft.com/fwlink/?LinkId=15159.
Le tableau suivant résume les paramètres de services système recommandés, à la fois pour les ordinateurs de bureau et portables dans les deux types d'environnements abordés dans ce chapitre : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF). Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections suivantes.
**Tableau 3.20 Recommandations en matière de paramètres de sécurité - Services système**
| Alertes |
Alertes |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| ClipSrv |
Album |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Explorateur |
Explorateur d'ordinateurs |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Télécopie |
Télécopie |
Non défini |
Non défini |
Désactivé |
Désactivé |
| MSFtpsvr |
Publication FTP |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| IISADMIN |
Administration IIS |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| cisvc |
Service d'indexation |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Affichage des messages |
Affichage des messages |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| mnmsrvc |
Partage de Bureaux distants NetMeeting® |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| RDSessMgr |
Gestionnaire de session d'aide sur le Bureau à distance |
Non défini |
Non défini |
Désactivé |
Désactivé |
| RemoteAccess |
Routage et accès distant |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| SNMP |
Service SNMP |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| SNMPTRAP |
Service d'interruption SNMP |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| SSDPSrv |
Service de découvertes SSDP |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| Planification |
Planificateur de tâches |
Non défini |
Non défini |
Désactivé |
Désactivé |
| TlntSvr |
Telnet |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
| TermService |
Services Terminal Server |
Non défini |
Non défini |
Désactivé |
Désactivé |
| Upnphost |
Hôte de périphériques Universal Plug and Play |
Non défini |
Non défini |
Désactivé |
Désactivé |
| W3SVC |
Publication Web |
Désactivé |
Désactivé |
Désactivé |
Désactivé |
#### Alertes
Ce service notifie aux utilisateurs et aux ordinateurs les alertes administratives. Vous pouvez utiliser ce service pour envoyer des messages aux utilisateurs spécifiés, connectés à votre réseau.
Le service **Avertissement** est configuré sur **Désactivé** pour empêcher l'envoi d'informations sur le réseau. Cette configuration permet de bénéficier d'une plus grande sécurité pour les deux environnements abordés dans ce chapitre.
**Remarque** : La fonctionnalité de systèmes de messages d'alerte pour l'onduleur (UPS) peut être affectée si vous désactivez ce service.
#### Album
Ce service permet au Gestionnaire de l'album de créer et de partager des « pages » de données que des ordinateurs distants peuvent afficher. Il dépend du service NetDDE (Network Dynamic Data Exchange) pour créer les partages de fichiers réels auxquels les autres ordinateurs peuvent se connecter, alors que l'application et le service **Album** vous permettent de créer les pages de données à partager. Tous les services qui dépendent explicitement de ce service échoueront. Cependant, clipbrd.exe peut être utilisé pour afficher le Presse-papiers local, dans lequel les données sont stockées si un utilisateur sélectionne du texte, puis clique sur **Copier** dans le menu **Edition**, ou appuie sur CTRL+C.
Le service **Album** est configuré sur **Désactivé** pour plus de sécurité pour les deux environnements abordés dans ce chapitre.
#### Explorateur d'ordinateurs
Ce service tient à jour la liste des ordinateurs connectés à votre réseau et transmet cette liste aux programmes qui en font la demande. Le service est utilisé par les ordinateurs Windows devant visualiser les ressources et les domaines du réseau.
Pour plus de sécurité, le service **Explorateur d'ordinateurs** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### Télécopie
Ce service est un service compatible API de téléphonie (TAPI, Telephony API) qui fournit des fonctionnalités de télécopie aux clients de votre environnement. Le service permet aux utilisateurs d'envoyer et de recevoir des télécopies à partir de leurs applications bureautiques à l'aide d'un périphérique de télécopie local ou d'un périphérique de télécopie réseau partagé.
Le service **Télécopie** est configuré sur **Non défini** pour les ordinateurs de l'environnement EC. Pour renforcer la sécurité, ce service est cependant défini sur **Désactivé** dans l'environnement SSLF.
#### Publication FTP
Ce service fournit connectivité et administration par le biais du composant enfichable MMC IIS. Microsoft vous recommande de ne pas installer ce service sur les clients Windows XP de votre environnement, sauf si vos activités le requièrent spécifiquement.
Le service **Publication FTP** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Administration IIS
Ce service permet d'administrer les composants IIS, notamment le protocole FTP (File Transfer Protocol), les pools d'applications, les sites Web et les extensions du service Web. Désactivez ce service pour empêcher des utilisateurs d'exécuter des sites Web ou FTP sur leurs ordinateurs (non requis sur la plupart des ordinateurs client Windows XP).
Le service **Administration IIS** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Service d'indexation
Ce service indexe le contenu et les propriétés des fichiers sur des ordinateurs locaux et distants, et permet un accès rapide aux fichiers dans un langage d'interrogation flexible. Le service active également la recherche rapide de documents sur des ordinateurs locaux et distants ainsi qu'un index de recherche de contenu sur le Web.
Le **Service d'indexation** est configuré sur **Non défini** pour les ordinateurs de l'environnement EC. Pour renforcer la sécurité, ce service est cependant défini sur **Désactivé** dans l'environnement SSLF.
#### Affichage des messages
Ce service transmet et envoie les messages du service **Alertes** entre les clients et les serveurs. Il n'est pas associé à Windows Messenger ou MSN Messenger, et n'est pas une condition requise pour les ordinateurs client Windows XP.
C'est pour cette raison que le service **Affichage des messages** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Partage de Bureaux distants NetMeeting
Ce service permet à un utilisateur autorisé d'accéder à un client à distance via Microsoft NetMeeting sur l'intranet d'une entreprise. Ce service doit être activé de façon explicite dans NetMeeting. Vous pouvez également désactiver cette fonctionnalité dans NetMeeting, arrêter le service par le biais d'une icône de la barre des tâches Windows, ou désactiver cette fonctionnalité dans la stratégie de groupe en configurant le paramètre **Désactive le partage de Bureaux distants**, qui est abordé dans le Chapitre 4, « Modèles d'administration pour Windows XP ». Microsoft vous recommande de désactiver ce service pour empêcher l'accès à vos clients à distance.
Le service **Partage de Bureaux distants NetMeeting** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Gestionnaire de session d'aide sur le Bureau à distance
Ce service gère et contrôle la fonctionnalité d'Assistance à distance de l'application Centre d'aide et de support (Helpctr.exe).
Le service **Gestionnaire de session d'aide sur le Bureau à distance** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### Routage et accès distant
Ce service fournit des services de routage multiprotocole LAN-to-LAN, LAN-to-WAN, réseaux privés virtuels (VPN) et de traduction d’adresse réseau (NAT). En outre, il assure également des services d'accès à distance par numérotation et par réseau privé virtuel.
Le service **Routage et accès distant** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Service SNMP
Ce service permet aux requêtes SNMP (Simple Network Management Protocol) entrantes d'être traitées par l'ordinateur local. Le **Service SNMP** comporte des agents qui contrôlent l'activité des périphériques réseau et renvoient leur état à la console réseau.
Le **Service SNMP** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Service d'interruption SNMP
Ce service reçoit les messages d'interruption générés par les agents SNMP locaux ou distants, et achemine les messages aux programmes de gestion SNMP s'exécutant sur votre ordinateur. S’il est configuré pour un agent, le **Service SNMP** génère des messages d’interruption en cas d’événements précis. Ces messages sont envoyés à une destination d’interruption.
Le **Service d'interruption SNMP** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Service de découvertes SSDP
Ce service permet au service d'hôte de périphériques Universal Plug and Play de localiser et d'identifier les périphériques réseau UPnP. Si vous désactivez le **Service de découvertes SSDP**, le système ne pourra pas trouver les périphériques UPnP sur le réseau et le service d'hôte de périphériques Universal Plug and Play ne pourra ni trouver les périphériques UPnP, ni interagir avec eux.
Le **Service de découvertes SSDP** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Planificateur de tâches
Ce service vous permet de configurer et de planifier des tâches automatisées sur votre ordinateur. Il effectue une surveillance sur des critères que vous choisissez et lance la tâche voulue lorsque ces critères sont remplis.
Le service **Planificateur de tâches** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### Telnet
Ce service fournit des sessions terminal ASCII (American Standard Code for Information Interchange) aux clients Telnet. Il prend en charge deux types d'authentifications et les quatre types de terminaux suivants : ANSI, VT-100, VT-52 ET VTNT. Ce service n'est cependant pas une condition requise pour la plupart des ordinateurs client Windows XP.
Le service **Telnet** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
#### Services Terminal Server
Ce service offre un environnement à sessions multiples permettant aux périphériques client d’accéder à une session Windows virtuelle et à des programmes Windows exécutés sur le serveur. Dans Windows XP, ce service permet à des utilisateurs à distance de se connecter de manière interactive à un ordinateur et d’afficher les bureaux et applications sur des ordinateurs distants.
Le paramètre **Services Terminal Server** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### Hôte Universal Plug and Play
Ce service prend en charge la fonctionnalité Plug-and-Play poste à poste pour les périphériques réseau. La spécification UPnP est conçue pour simplifier l'installation et la gestion des périphérique et services réseau. UPnP réalise la découverte et le contrôle des périphériques et services via des mécanismes de protocoles sans pilote et basés sur des normes. Les périphériques Universal Plug and Play peuvent configurer automatiquement les adresses réseau, annoncer leur présence sur un sous-réseau et activer l'échange de descriptions de périphériques et de services. Un ordinateur Windows XP peut jouer le rôle de point de contrôle UPnP pour la découverte et le contrôle des périphériques via une interface Web ou d'application.
Le service **Universal Plug and Play** est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### Publication Web
Ce service fournit connectivité et administration Web par le biais du composant enfichable MMC IIS. Le service fournit des services HTTP pour les applications de la plate-forme Windows et contient un gestionnaire de processus et un gestionnaire de configuration. Ce service n'est cependant pas une condition requise pour la plupart des ordinateurs client Windows XP.
Le service **Publication Web** est configuré sur **Désactivé** pour les deux environnements abordés dans ce chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de registre supplémentaires
Des entrées de valeur de registre supplémentaires ont été créées pour les fichiers modèles de sécurité de base non définis dans le fichier Modèle d’administration (.adm) pour les deux environnements de sécurité abordés dans ce chapitre.
Ces paramètres sont intégrés dans les modèles de sécurité, section Options de sécurité, pour automatiser leur mise en œuvre. La suppression de cette stratégie n’entraîne pas automatiquement celle de ces paramètres, et vous devez la modifier manuellement à l’aide d’un outil de modification du Registre tel que Regedt32.exe.
Ce guide inclut les paramètres supplémentaires qui sont ajoutés à l'Éditeur de configuration de sécurité (SCE) via la modification du fichier Sceregvl.inf (situé dans le dossier **%windir%\\inf**) et le ré-enregistrement du fichier Scecli.Dll. Les paramètres de sécurité originaux et les paramètres ajoutés apparaissent sous **Stratégies locales\\Options de sécurité** dans les composants enfichables et les outils précédemment répertoriés dans ce chapitre. Mettez à jour le fichier Sceregvl.inf et ré-enregistrez Scecli.dll en suivant la procédure indiquée dans la sous-section « Comment personnaliser l’interface utilisateur de l’Éditeur de configuration de sécurité » qui suit celle-ci pour tous les ordinateurs pour lesquels vous devez modifier les modèles de sécurité et les stratégies de groupe fournis avec ce guide.
Le tableau suivant résume les recommandations supplémentaires en matière de paramètres du registre, à la fois pour les ordinateurs de bureau et portables dans les deux types d'environnements qui sont abordés dans ce chapitre : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF).
Des informations supplémentaires concernant chaque paramètre sont fournies dans les sous-sections qui suivent le tableau. Pour plus d'informations sur les paramètres par défaut et une explication détaillée de chacun des paramètres, reportez-vous au guide compagnon, [*Menaces et contre-mesures : Paramètres de Sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
**Tableau 3.21 Paramètres du registre supplémentaires**
| MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) |
Non défini |
Non défini |
Désactivé |
Désactivé |
| MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) |
Non défini |
Non défini |
Highest protection, source routing is completely disabled |
Highest protection, source routing is completely disabled |
| MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) |
Non défini |
Non défini |
Désactivé |
Désactivé |
| MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes |
Non défini |
Non défini |
Désactivé |
Désactivé |
| MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) |
Non défini |
Non défini |
Activé |
Activé |
| MSS: (KeepAliveTime)How often keep-alive packets are sent in milliseconds |
Non défini |
Non défini |
30 000 ou 5 minutes (recommandé) |
30 000 ou 5 minutes (recommandé) |
| MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) |
La multidiffusion, la diffusion et ISAKMP sont exempts (plus recommandé pour Windows XP) |
La multidiffusion, la diffusion et ISAKMP sont exempts (plus recommandé pour Windows XP) |
La multidiffusion, la diffusion et ISAKMP sont exempts (plus recommandé pour Windows XP) |
La multidiffusion, la diffusion et ISAKMP sont exempts (plus recommandé pour Windows XP) |
| MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) |
255, disable Autorun for all drives |
255, disable Autorun for all drives |
255, disable Autorun for all drives |
255, disable Autorun for all drives |
| MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers |
Non défini |
Non défini |
Activé |
Activé |
| MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) |
Non défini |
Non défini |
Activé |
Activé |
| MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) |
Non défini |
Non défini |
Activé |
Activé |
| MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) |
Activé |
Activé |
Activé |
Activé |
| MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) |
0 |
0 |
0 |
0 |
| MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) |
Non défini |
Non défini |
Les connexions s'interrompent plus vite si une attaque est détectée |
Les connexions s'interrompent plus vite si une attaque est détectée |
| MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged |
Non défini |
Non défini |
3 et 6 secondes, connexions à demi ouvertes abandonnées au bout de 21 secondes |
3 et 6 secondes, connexions à demi ouvertes abandonnées au bout de 21 secondes |
| MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) |
Non défini |
Non défini |
3 |
3 |
| MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning |
Non défini |
Non défini |
90 |
90 |
#### (AutoAdminLogon) Enable Automatic Logon
L'entrée de valeur de registre **AutoAdminLogon** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon**\\. L'entrée apparaît sous la forme de **MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)** dans le SCE.
Ce paramètre est distinct de la fonctionnalité d'écran de **Bienvenue** dans Windows XP. Si cette fonctionnalité est désactivée, ce paramètre ne l'est pas. Si vous configurez un ordinateur pour une ouverture de session automatique, n'importe quel utilisateur pouvant accéder physiquement à l'ordinateur peut également accéder à tout ce qui se trouve sur l'ordinateur, y compris le(s) réseaux(x) au(x)quel(s) l'ordinateur est connecté. En outre, si vous activez l'ouverture de session automatique, le mot de passe est stocké dans le registre sous forme de texte simple. La clé de registre spécifique qui stocke cette valeur est lisible à distance par le groupe **Utilisateurs authentifiés**. C'est pour ces raisons que le paramètre est configuré sur **Non défini** pour l'environnement EC, et que le paramètre par défaut **Désactivé** est appliqué explicitement dans l'environnement SSLF.
Pour plus d'informations, reportez-vous à l'article « [Comment faire pour activer l'ouverture de session automatique dans Windows XP](http://support.microsoft.com/default.aspx?scid=315231) » de la Base de connaissances Microsoft, disponible en ligne à l'adresse http://support.microsoft.com/default.aspx?scid=315231.
#### (DisableIPSourceRouting) IP source routing protection level
L'entrée de valeur de registre **DisableIPSourceRouting** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** dans le SCE.
Le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre dans le réseau. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Highest Protection, source routing is completely disabled** pour l'environnement SSLF.
#### (EnableDeadGWDetect) Allow automatic detection of dead network gateways
L'entrée de valeur de registre **EnableDeadGWDetect** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** dans le SCE.
Lorsqu'une détection de passerelle inactive est autorisée, le protocole IP peut utiliser une passerelle de sauvegarde si plusieurs connexions rencontrent des difficultés. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
L'entrée de valeur de registre **EnableICMPRedirect** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** dans le SCE.
En raison des redirections du protocole ICMP (Internet Control Message Protocol), la pile analyse les routes de l’hôte. Ces routes remplacent les routes générées par le protocole OSPF (Open Shortest Path First). Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Désactivé** pour l'environnement SSLF.
#### (Hidden) Hide the Computer from Network Neighborhood Browse Lists
L'entrée de valeur de registre **Hidden** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Lanmanserver\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)** dans le SCE.
Vous pouvez configurer un ordinateur de façon à ce qu'il n'envoie pas d'annonces aux navigateurs du domaine. Dans ce cas, vous masquez l'ordinateur dans la liste Parcourir, ce qui signifie que l'ordinateur arrête de s'annoncer aux autres ordinateurs qui se trouvent sur le même réseau. Un utilisateur malveillant connaissant le nom d'un ordinateur aura moins de difficultés à rassembler des informations supplémentaires sur le système. Vous pouvez activer ce paramètre afin d'empêcher les pirates de rassembler des informations relatives aux ordinateurs du réseau de cette façon. En outre, lorsqu'il est activé, ce paramètre peut permettre de réduire le trafic réseau. Les avantages de ce paramètre en matière de sécurité sont cependant limités, les pirates pouvant utiliser d'autres méthodes pour identifier et localiser des cibles potentielles. C'est pour cette raison que Microsoft vous recommande d'activer ce paramètre uniquement dans les environnements à haute sécurité.
Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
Pour plus d'informations, reportez-vous à l'article « [HOW TO: Hide a Windows 2000-Based Computer from the Browser List](http://support.microsoft.com/default.aspx?scid=321710) » de la Base de connaissances Microsoft, disponible en ligne à l'adresse http://support.microsoft.com/default.aspx?scid=321710.
#### (KeepAliveTime) How often keep-alive packets are sent in milliseconds
L'entrée de registre **KeepAliveTime** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)** dans le SCE.
Cette valeur contrôle la fréquence à laquelle le protocole TCP tente de vérifier qu'une connexion inactive est intacte par l'envoi d'un paquet persistant. Si l'ordinateur distant est toujours joignable, il reconnaît ce paquet persistant. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **30 000 ou 5 minutes** pour l'environnement SSLF.
#### (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering
L'entrée de valeur de registre **NoDefaultExempt** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\IPSEC\\**. L'entrée apparaît sous la forme **MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)** dans le SCE.
Les exemptions par défaut pour les filtres de stratégie IPSec sont décrites dans l'aide en ligne de Microsoft Windows 2000 et Windows XP. Ces filtres permettent un bon fonctionnement de l'authentification IKE (Internet Key Exchange) et du protocole Kerberos. Les filtres permettent également le signalement de la qualité de service du réseau (QoS, Quality of Service) lorsque le trafic de données est sécurisé par IPSec, et pour le trafic non sécurisé par IPSec (multidiffusion et diffusion, par exemple).
IPSec est de plus en plus utilisé pour le filtrage basique des paquets hôte/pare-feu, et tout particulièrement dans les scénarios exposés à Internet. L'effet de ces exemptions par défaut n'est pas bien connu. Certains administrateurs IPSec créent donc des stratégies IPSec qu'ils pensent sécurisées, mais qui en réalité ne le sont pas contre les attaques entrantes utilisant les exemptions par défaut. Microsoft vous recommande d'appliquer le paramètre par défaut dans Windows XP avec SP 2, **La multidiffusion, la diffusion et ISAKMP sont exempts**, pour les deux environnements abordés dans ce chapitre.
Pour plus d'informations, reportez-vous à l'article « [IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios](http://support.microsoft.com/default.aspx?scid=811832) » de la Base de connaissances Microsoft, disponible en ligne à l'adresse http://support.microsoft.com/default.aspx?scid=811832.
#### (NoDriveTypeAutoRun) Disable Autorun for all drives
L'entrée de registre **NoDriveTypeAutoRun** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\**
**Policies\\Explorer\\**. L'entrée apparaît sous la forme **MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)** dans le SCE.
Autorun commence la lecture à partir d’un lecteur de votre ordinateur dès que le support est inséré. Par conséquent, le fichier d’installation des programmes et le son du support audio démarrent immédiatement. Ce paramètre est configuré sur **255, disable Autorun for all drives** pour les deux environnements abordés dans ce chapitre.
#### (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
L'entrée de valeur de registre **NoNameReleaseOnDemand** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Netbt\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers** dans le SCE.
NetBIOS sur TCP/IP est un protocole réseau qui fournit entre autres un moyen de résolution simple des noms NetBIOS enregistrés sur les systèmes Windows en adresses IP configurées sur ces systèmes. Ce paramètre détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une requête de libération de nom. Il est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
#### (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
L'entrée de valeur de registre **NtfsDisable8dot3NameCreation** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Control\\FileSystem\\**. L'entrée apparaît sous la forme **MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)** dans le SCE.
Windows Server 2003 prend en charge les formats de nom de fichier 8.3 pour une compatibilité descendante avec les applications 16 bits. La convention de nom de fichier 8.3 est un format de nom qui accepte les noms de fichier contenant jusqu’à huit caractères. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
#### (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
L'entrée de valeur de registre **PerformRouterDiscovery** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** dans le SCE.
Ce paramètre permet d'activer ou de désactiver le protocole IRDP (Internet Router Discovery Protocol), qui permet au système de détecter et configurer automatiquement les adresses de passerelle par défaut, comme décrit dans RFC 1256 interface par interface. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Activé** pour l'environnement SSLF.
#### (SafeDllSearchMode) Enable Safe DLL Search Order
L'entrée de valeur de registre **SafeDllSearchMode** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Control\\Session Manager\\**. L'entrée apparaît sous la forme **MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)** dans le SCE.
Vous pouvez configurer la commande de recherche DLL pour rechercher les DLL demandées en exécutant les processus de l’une des deux manières suivantes :
- Recherchez d’abord dans les dossiers spécifiés dans le chemin d’accès au système, puis recherchez dans le dossier de travail actuel.
- Recherchez d’abord dans le dossier de travail actuel, puis recherchez dans les dossiers spécifiés dans le chemin d’accès au système.
Lorsque ce paramètre est activé, la valeur de registre est configurée sur **1**. Si la valeur est définie sur **1**, le système recherche d’abord dans les fichiers spécifiés dans le chemin système, puis recherche dans le dossier de travail actuel. Lorsque ce paramètre est désactivé, la valeur du registre est définie sur **0**, et le système recherche d’abord dans le dossier de travail actuel puis dans les dossiers spécifiés dans le chemin système. Ce paramètre est configuré sur **Activé** pour les deux environnements abordés dans ce chapitre.
#### (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
L'entrée de valeur de registre **ScreenSaverGracePeriod** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\SYSTEM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\**
**Winlogon\\**. L'entrée apparaît sous la forme **MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)** dans le SCE.
Windows intègre une période de grâce entre le moment où l’écran de veille est lancé et le moment où la console est réellement verrouillée automatiquement lorsque le verrouillage de l’écran de veille est activé. Ce paramètre est configuré sur **0** seconde pour les deux environnements abordés dans ce chapitre.
#### (SynAttackProtect) Syn attack protection level
L'entrée de valeur de registre **SynAttackProtect** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** dans le SCE.
Ce paramètre force le protocole TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous configurez cette valeur, le délai de réponse de connexion est dépassé plus rapidement en cas d'attaque par demande de connexion (SYN). Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **Les connexions s'interrompent plus vite si une attaque est détectée** pour l'environnement SSLF.
#### (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
L'entrée de valeur de registre **TCPMaxConnectResponseRetransmissions** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** dans le SCE.
Ce paramètre définit le nombre de fois que le TCP retransmet un SYN avant d'abandonner la tentative. Le délai de retransmission est doublé à chaque retransmission successive d'une tentative de connexion donnée. Le délai d'expiration initial est de trois secondes. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur à **3 et 6 secondes, connexions à demi ouvertes abandonnées au bout de 21 secondes** pour l'environnement SSLF.
#### (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted
L'entrée de valeur de registre **TCPMaxDataRetransmissions** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\**. L'entrée apparaît sous la forme **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default)** dans le SCE.
Ce paramètre indique le nombre de tentatives de retransmission par TCP d'un segment de données individuel (segment non connecté) avant de terminer la connexion. Le délai de retransmission est doublé à chaque retransmission successive sur une connexion. Il est réinitialisé lorsque les réponses reprennent. Le délai d'expiration de base est déterminé de façon dynamique par la mesure de la durée du parcours circulaire de la connexion. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **3** pour l'environnement SSLF.
#### (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
L'entrée de valeur de registre **WarningLevel** a été ajoutée au fichier modèle dans la clé de registre **HKEY\_LOCAL\_MACHINE\\ SYSTEM\\CurrentControlSet\\Services\\Eventlog\\Security\\**. L'entrée apparaît sous la forme **MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning** dans le SCE.
Ce paramètre devient disponible avec le SP3 de Windows 2000, une nouvelle fonction pour la génération d’un audit de sécurité dans le journal d’événements de sécurité lorsque celui-ci atteint le seuil défini par l’utilisateur. Ce paramètre est configuré sur **Non défini** pour l'environnement EC et sur **90** pour l'environnement SSLF.
**Remarque** : Si les paramètres du journal sont configurés sur **Remplacer les événements si nécessaire** ou sur **Remplacer les événements plus anciens que**, cet événement n’est pas généré.
[](#mainsection)[Haut de page](#mainsection)
### Comment personnaliser l’interface utilisateur de l’Éditeur de configuration de sécurité
Le jeu d'outils de l’Éditeur de configuration de sécurité (SCE) permet de définir les modèles de sécurité applicables à certains ordinateurs ou à n'importe quel ensemble d'ordinateurs, via la stratégie de groupe. Les modèles de sécurité peuvent contenir des stratégies de mot de passe, des stratégies de verrouillage, des stratégies de protocole d'authentification Kerberos, des stratégies d'audit, des paramètres de journal des événements, des valeurs de Registre, des modes de démarrage de service, des autorisations de service, des droits utilisateur, des restrictions d'appartenance aux groupes, des autorisations de Registre et des autorisations de système de fichiers. L’Éditeur de configuration de sécurité est présent dans plusieurs composants logiciels enfichables MMC et outils d'administration. Il est utilisé par le composant logiciel enfichable Modèles de sécurité et le composant logiciel enfichable Configuration et analyse de la sécurité. Le composant logiciel enfichable Éditeur d'objets de stratégie de groupe l'utilise pour la portion Paramètres de sécurité de l'arbre Configuration ordinateur. Il est également utilisé pour les outils Paramètres de sécurité locaux, Stratégie de sécurité de contrôleur de domaine et Stratégie de sécurité de domaine.
Ce guide inclut des paramètres supplémentaires qui sont ajoutés au SCE. Pour ajouter ces paramètres, vous devez modifier le fichier Sceregvl.inf, situé dans le dossier **%systemroot%\\inf**, puis ré-enregistrer le fichier Scecli.dll.
**Important** : La version personnalisée du fichier Sceregvl.inf créée par le biais des procédures suivantes utilise des fonctionnalités qui sont disponibles uniquement dans Windows XP Professionnel avec SP2 et Windows Server 2003. N'essayez pas d'installer le fichier personnalisé sur des versions plus anciennes de Windows.
Une fois le fichier Sceregvl.inf modifié et enregistré, les valeurs de Registre personnalisées sont exposées dans les interfaces utilisateur de l’Éditeur de configuration de sécurité de l'ordinateur concerné. Vous verrez les nouveaux paramètres en bas de la liste d'éléments dans le SCE ; ils sont tout précédés des lettres « MSS: ». MSS est l'acronyme de Microsoft Solutions for Security, nom du groupe à l'origine de ce guide. Vous pouvez ensuite créer des modèles de sécurité ou des stratégies définissant ces nouvelles valeurs de registre et pouvant être appliqués à n'importe quel ordinateur, que le fichier Sceregvl.inf ait été modifié sur l'ordinateur cible ou non. Ces valeurs de registre personnalisées apparaîtront lors des lancements ultérieurs de l'Éditeur de configuration de sécurité.
Plusieurs des nouveaux paramètres qui apparaîtront dans le SCE ne sont pas décrits dans ce guide, parce qu'ils ne sont généralement pas configurés pour les systèmes utilisateur final. Pour plus d'informations sur ces nouveaux paramètres, consultez le guide compagnon, [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), qu'il est possible de télécharger à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
Vous trouverez des instructions concernant la marche à suivre pour modifier l'interface utilisateur de SCE dans les procédures suivantes. Suivez les instructions manuelles si vous avez déjà effectué d'autres personnalisations dans le SCE. Un script permettant d'ajouter les paramètres avec peu d'interaction de l'utilisateur est fourni. Bien que le script ait des fonctions de détection des erreurs et de récupération intégrées, il est possible qu'il échoue. Dans ce cas, déterminez la cause de la défaillance et corrigez le problème ou suivez les instructions manuelles. Un script que vous pouvez utiliser pour restaurer l'état par défaut de l'interface utilisateur de SCE est également fourni. Ce script aura pour effet de supprimer tous les paramètres personnalisés et de restaurer l'état par défaut de SCE (installation par défaut de Windows XP avec SP2 ou Windows Server 2003 avec SP1).
**Pour mettre à jour manuellement le fichier Sceregvl.inf**
1. Utilisez un éditeur de texte tel que le Bloc-notes pour ouvrir le fichier **Values-sceregvl.txt** dans le dossier **SCE Update** du téléchargement pour ce guide.
2. Ouvrez une autre fenêtre dans l'éditeur de texte et ouvrez le fichier **%systemroot%\\inf\\sceregvl.inf**.
3. Naviguez jusqu'en bas de la section « \[Register Registry Values\] » dans le fichier **sceregvl.inf.** Copiez et coller le texte du fichier **Values-sceregvl.txt** , sans saut de page, dans cette section du fichier **sceregvl.inf.**
4. Fermez le fichier **Values-sceregvl.txt** et ouvrez le fichier **Strings-sceregvl.txt** du dossier **SCE Update** du téléchargement.
5. Naviguez jusqu'en bas de la section « \[Strings\] » dans le fichier **sceregvl.inf.** Copiez et coller le texte du fichier **Strings-sceregvl.txt**, sans saut de page, dans cette section du fichier **sceregvl.inf.**
6. Enregistrez le fichier **sceregvl.inf** et fermez l'éditeur de texte.
7. Ouvrez une invite de commande et exécutez la commande **regsvr32 scecli.dll** pour ré-enregistrer le fichier DLL.
Ces valeurs de Registre personnalisées apparaîtront lors des lancements ultérieurs de l'Éditeur de configuration de sécurité.
**Pour mettre à jour automatiquement le fichier sceregvl.inf**
1. Les fichiers **Values-sceregvl.txt, Strings-sceregvl.txt** et **Update\_SCE\_with\_MSS\_Regkeys.vbs** qui se situent dans le dossier **SCE Update** du téléchargement pour ce guide doivent tous se trouver au même endroit pour que le script fonctionne bien.
2. Exécutez le script **Update\_SCE\_with\_MSS\_Regkeys.vbs** sur l'ordinateur que vous souhaitez mettre à jour.
3. Suivez les invites à l'écran.
Cette procédure supprimera seulement les entrées personnalisées réalisées avec le script décrit dans la procédure précédente, **Update\_SCE\_with\_MSS\_Regkeys.vbs.**
**Pour annuler les modifications apportées par le script Update\_SCE\_with\_MSS\_Regkeys.vbs**
1. Exécutez le script **Rollback\_SCE\_for\_MSS\_Regkeys.vbs** sur l'ordinateur que vous souhaitez mettre à jour.
2. Suivez les invites à l'écran.
Cette procédure supprimera *toutes* les entrées personnalisées que vous avez pu ajouter à l'interface utilisateur du SCE, y compris celles de ce guide et d'autres entrées fournies dans des versions antérieures de ce guide ou dans d'autres guides de sécurité.
**Pour restaurer l'état par défaut du SCE pour Windows XP avec SP2 ou Windows Server 2003 avec SP1**
1. Les fichiers **sceregvl\_W2K3\_SP1.inf.txt, sceregvl\_XPSP2.inf.txt** et **Restore\_SCE\_to\_Default.vbs** qui se situent dans le dossier **SCE Update** du téléchargement pour ce guide doivent tous se trouver au même endroit pour que le script fonctionne bien.
2. Exécutez le script **Restore\_SCE\_to\_Default.vbs** sur l'ordinateur que vous souhaitez mettre à jour.
3. Suivez les invites à l'écran.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres de sécurité supplémentaires
Bien que la plupart des contre-mesures utilisées pour renforcer les systèmes client dans les deux environnements abordés dans ce chapitre ont été appliquées dans la stratégie de groupe, il existe des paramètres supplémentaires qu’il est difficile voire impossible d’appliquer dans cette stratégie de groupe. Pour une explication détaillée de chacune des contre-mesures abordées dans cette section, reportez-vous au guide compagnon, les [*Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP*](http://go.microsoft.com/fwlink/?linkid=15159), disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.
#### Procédures de renforcement manuelles
Cette section décrit les contre-mesures supplémentaires qui ont été mises en œuvre manuellement afin de sécuriser les clients Windows XP pour chacun des environnements de sécurité définis dans ce guide.
##### Désactiver Dr. Watson : Désactivez l'exécution automatique du débogueur Dr. Watson
Certaines entreprises pensent que les débogueurs de système (tels que l'outil Dr. Watson, inclus avec Windows) pourraient être exploités par des utilisateurs malveillants bien informés. Pour obtenir des instructions sur la marche à suivre pour désactiver le débogueur Dr. Watson, reportez-vous à l'article « [Comment faire pour désactiver Dr. Watson pour Windows](http://support.microsoft.com/default.aspx?scid=188296) » de la Base de connaissances Microsoft, disponible en ligne à l'adresse http://support.microsoft.com/default.aspx?scid=188296.
##### Désactiver SSDP/UPNP : Désactivez SSDP/UPNP
Certaines organisations pensent que les fonctionnalités Universal Plug and Play incluses avec les sous-composants de Windows XP devraient être complètement désactivées. Bien que le service **Universal Plug and Play** soit désactivé dans ce guide, d'autres applications (telles que Windows Messenger) utilisent le processus **SSDP (Simple Service Discovery Protocol)** pour identifier les passerelles de réseau ou d'autres périphériques réseau. Vous pouvez vous assurer qu'aucune application n'utilisera les fonctionnalités SSDP et UPnP incluses avec Windows XP en ajoutant une valeur de registre REG\_DWORD appelée **UPnPMode** à la clé de registre **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\DirectPlayNATHelp\\DPNHUPnP\\** et en définissant sa valeur sur **2.**
Pour plus d'informations, reportez-vous à l'article « [Le trafic est envoyé après la désactivation du service de découverte SSDP et de l'hôte périphérique Universal Plug and Play](http://support.microsoft.com/default.aspx?scid=317843) » de la Base de connaissances Microsoft, disponible en ligne à l'adresse http://support.microsoft.com/default.aspx?scid=317843.
[](#mainsection)[Haut de page](#mainsection)
### Sécurisation du système de fichiers
Chaque nouvelle version de Microsoft Windows permet d'améliorer le système de fichiers NTFS. Les autorisations par défaut du système de fichiers NTFS sont adaptées à la majorité des entreprises. Les paramètres qui sont abordés dans cette section correspondent aux entreprises qui utilisent des ordinateurs portables et des ordinateurs de bureau dans l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF) défini dans ce guide.
Les paramètres de sécurité du système de fichiers peuvent être modifiés à l'aide de la stratégie de groupe. Vous pouvez configurer les paramètres du système de fichiers à l’emplacement suivant de l’Éditeur d’objets de stratégie de groupe :
**Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Système de fichiers**
**Remarque** : Toutes les modifications apportées aux paramètres de sécurité du système de fichiers par défaut doivent être testées minutieusement dans un exercice pratique avant d'être déployées dans une grande entreprise. Il existe certaines situations dans lesquelles les autorisations sur les fichiers sont modifiées au point que les ordinateurs concernés par ces autorisations doivent être complètement reconstruits.
Les autorisations de fichier par défaut de Windows XP sont suffisantes dans la plupart des situations. Cependant, si vous ne voulez pas bloquer l'appartenance au groupe **Utilisateurs avec pouvoir** via la fonctionnalité Groupes restreints ou si vous avez prévu d'activer le paramètre **Accès réseau : Les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes**, nous vous conseillons d'appliquer les autorisations facultatives qui sont décrites au paragraphe suivant. Ces autorisations facultatives sont très spécifiques. Elles appliquent des restrictions supplémentaires à certains outils exécutables qu'un utilisateur malveillant disposant de privilèges élevés pourrait utiliser pour compromettre le système ou le réseau.
Remarque : Ces modifications d'autorisations n'affectent pas les dossiers multiples ou la racine du volume système. La modification des autorisations de cette manière peut être très risquée. Elle provoque souvent une instabilité du système. Tous les fichiers sont situés dans le dossier **%SystemRoot%\\System32\\**, et ils reçoivent toutes les autorisations suivantes : **Administrateurs (contrôle total), Système (contrôle total).**
- regedit.exe
- arp.exe
- at.exe
- attrib.exe
- cacls.exe
- debug.exe
- edlin.exe
- eventcreate.exe
- eventtriggers.exe
- ftp.exe
- nbtstat.exe
- net.exe
- net1.exe
- netsh.exe
- netstat.exe
- nslookup.exe
- ntbackup.exe
- rcp.exe
- reg.exe
- regedt32.exe
- regini.exe
- regsvr32.exe
- rexec.exe
- route.exe
- rsh.exe
- sc.exe
- secedit.exe
- subst.exe
- systeminfo.exe
- telnet.exe
- tftp.exe
- tlntsvr.exe
Afin de vous faciliter la tâche, ces autorisations facultatives sont configurées dans le modèle de sécurité, appelé Optional-File-Permissions.inf, qui est inclus avec la version téléchargeable de ce guide.
#### Autorisations avancées
Vous pouvez définir des autorisations sur les fichiers, avec davantage de contrôle que celui proposé à l'origine dans la boîte de dialogue **Autorisations**. Pour ce faire, cliquez sur le bouton **Avancé.** Le tableau suivant décrit ces autorisations avancées.
**Tableau 3.22 Autorisations avancées et descriptions**
| Parcours du dossier/exécuter le fichier |
Permet ou non aux utilisateurs de parcourir des dossiers pour atteindre d'autres fichiers ou dossiers, même s'ils ne sont pas habilités à parcourir des fichiers (cette autorisation ne s'applique qu'aux dossiers). |
| Liste du dossier/lecture des données |
Permet ou non aux utilisateurs d'afficher les noms des fichiers et des sous-dossiers du dossier indiqué. Cette autorisation affecte uniquement le contenu du dossier en question. |
| Lecture des attributs |
Permet ou non aux utilisateurs d'afficher les données dans les fichiers (s'applique aux fichiers seulement). |
| Lecture des attributs étendus |
Permet ou non aux utilisateurs d'afficher les attributs d'un fichier ou d'un dossier, comme Lecture seule et Caché. Les attributs sont définis par le système de fichiers NTFS. |
| Création de fichier/écriture de données |
Création de fichier permet ou non la création de fichiers dans le dossier (s'applique aux dossiers seulement). Écriture de données permet ou non aux utilisateurs d'apporter des modifications au fichier et d'écraser le contenu existant (s'applique aux fichiers seulement). |
| Création de dossier/ajout de données |
Création de dossier permet ou non aux utilisateurs de créer des dossiers dans un dossier spécifié (s'applique aux dossiers seulement). Ajout de données permet ou non aux utilisateurs d'apporter des modifications à la fin du fichier sans modifier, supprimer ou écraser les données existantes (s'applique aux fichiers seulement). |
| Écriture des attributs |
Permet ou non aux utilisateurs d'apporter des modifications à la fin du fichier sans modifier, supprimer ou écraser les données existantes (s'applique aux fichiers seulement). |
| Écriture d’attributs étendus |
Permet ou non aux utilisateurs de modifier les attributs d'un fichier ou d'un dossier, comme Lecture seule et Caché. Les attributs sont définis par le système de fichiers NTFS. |
| Suppression de sous-dossier et fichier |
Permet ou non aux utilisateurs de supprimer des sous-dossiers et des fichiers, même si l'autorisation de suppression n'a pas été affectée au sous-dossier ou au fichier (s'applique aux dossiers). |
| Suppression |
Permet ou non aux utilisateurs de supprimer des sous-dossiers et des fichiers, même si l'autorisation de suppression n'a pas été affectée au sous-dossier ou au fichier (s'applique aux dossiers). |
| Lecture des autorisations |
Permet ou non aux utilisateurs de lire les autorisations sur les fichiers ou les dossiers, comme Contrôle total, Lecture et Écriture. |
| Modification des autorisations |
Permet ou non aux utilisateurs de modifier les autorisations sur les fichiers ou les dossiers, comme Contrôle total, Lecture et Écriture. |
| Appropriation |
Permet ou non aux utilisateurs de prendre possession du fichier ou du dossier. Le propriétaire d'un fichier ou d'un dossier peut toujours changer les autorisations associées, quelles que soient les autorisations existantes qui les protègent. |
Les trois autres termes suivants permettent de décrire l'héritage des autorisations appliquées aux fichiers et aux dossiers :
- **Propager** fait référence à la propagation des autorisations, pouvant être héritées, à tous les sous-dossiers et fichiers. Tous les objets enfants d'un objet héritent des paramètres de sécurité de l'objet parent, à condition qu'ils ne soient pas protégés contre l'acceptation de l'héritage des autorisations. En cas de conflit, les autorisations explicites sur les objets enfants ont priorité sur les autorisations héritées de l'objet parent.
- **Remplacer** fait référence au remplacement des autorisations existantes sur tous les sous-dossiers et fichiers pourvus d'autorisations qui peuvent être héritées. Les entrées des autorisations sur l'objet parent remplaceront tous les paramètres de sécurité sur l'objet enfant, quels qu'ils soient. L'objet enfant disposera des mêmes entrées de contrôle d'accès que l'objet parent.
- **Ignorer** fait référence au fait de ne pas accorder d'autorisations sur un fichier ou un dossier (ou clé) à remplacer. Utilisez cette option de configuration si vous ne voulez pas configurer ou analyser la sécurité de cet objet ou de l'un de ses objets enfants.
[](#mainsection)[Haut de page](#mainsection)
### Résumé
Ce chapitre traite en détail des principaux paramètres de sécurité et des configurations recommandées pour chaque paramètre afin de sécuriser les ordinateurs exécutant Windows XP Professionnel avec SP2 dans les deux environnements définis dans ce chapitre. Lorsque vous réfléchirez aux stratégies de sécurité pour votre entreprise, n'oubliez pas les relations qui existent entre la sécurité et la productivité des utilisateurs. Bien que les utilisateurs aient besoin d'être protégés contre les pirates et le code malveillant, ils ont également besoin de pouvoir faire leur travail sans avoir à affronter des stratégies de sécurité trop restrictives.
#### Informations complémentaires
Les liens suivants permettent d'obtenir des informations complémentaires concernant les questions de sécurité liées à Windows XP Professionnel.
- Pour plus d'informations sur la marche à suivre pour préserver la sécurité sous Windows XP Professionnel, reportez-vous à l'outil Aide et Support inclus avec Windows XP et au site Web sur la [sécurité et la confidentialité de Windows XP](http://www.microsoft.com/windowsxp/using/networking/security/features.mspx) à l'adresse www.microsoft.com/windowsxp/using/networking/security/features.mspx.
- Pour plus d'informations sur les fonctionnalités de sécurité présentes sous Windows XP SP2, reportez-vous à « [Security Information for Windows XP Service Pack 2](http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx) » à l'adresse www.microsoft.com/technet/prodtechnol/winxppro/maintain/xpsp2sec.mspx.
- Pour plus d'informations sur les paramètres de sécurité disponibles dans Windows XP SP2, reportez-vous à l'article « [Descriptions des paramètres de sécurité](http://technet2.microsoft.com/windowsserver/fr/library/dd980ca3-f686-4ffc-a617-50c6240f55821036.mspx) » à l'adresse http://technet2.microsoft.com/windowsserver/fr/library/dd980ca3-f686-4ffc-a617-50c6240f55821036.mspx.
- Pour plus d'informations sur les canaux sécurisés, reportez-vous à l'article « [Secure Channels in NT 4.0](http://msdn.microsoft.com/archive/en-us/dnarntmag00/html/secure.asp) » à l'adresse http://msdn.microsoft.com/archive/en-us/dnarntmag00/
html/secure.as.
- Pour plus d'informations sur la sécurité pour le système d'exploitation Windows, reportez-vous au [Kit de ressources sécurité Microsoft Windows](http://www.microsoft.com/mspress/books/6418.asp) à l'adresse www.microsoft.com/MSPress/books/6418.asp.
- Pour plus d'informations sur la fonctionnalité EFS de Windows XP et Windows Server 2003, reportez-vous à l'article « [Encrypting File System in Windows XP and Windows Server 2003](http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx) » à l'adresse www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx.
##### Téléchargez
[.gif)Télécharger le Guide de sécurité de Windows XP](http://go.microsoft.com/fwlink/?linkid=14840)
[](#mainsection)[Haut de page](#mainsection)