Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article pas à pas explique comment appliquer des modèles de sécurité prédéfinis.
S’applique à : Windows Server 2003
Numéro de base de connaissances d’origine : 816585
Résumé
Microsoft Windows Server 2003 inclut plusieurs modèles de sécurité prédéfinis que vous pouvez appliquer pour augmenter le niveau de sécurité sur votre réseau. Vous pouvez modifier des modèles de sécurité en fonction de vos besoins à l’aide de modèles de sécurité dans microsoft Management Console (MMC).
Modèles de sécurité prédéfinis dans Windows Server 2003
Sécurité par défaut (Setup security.inf)
Le modèle Setup security.inf est créé pendant l’installation et il est spécifique pour chaque ordinateur. Il varie de l’ordinateur à l’ordinateur, selon que l’installation était une installation propre ou une mise à niveau. L’installation de security.inf représente les paramètres de sécurité par défaut appliqués pendant l’installation du système d’exploitation, y compris les autorisations de fichier pour la racine du lecteur système. Il peut être utilisé sur des serveurs et des ordinateurs clients ; elle ne peut pas être appliquée aux contrôleurs de domaine. Vous pouvez appliquer des parties de ce modèle à des fins de récupération d’urgence.
N’appliquez pas security.inf d’installation à l’aide de la stratégie de groupe. Si vous le faites, vous pouvez rencontrer une diminution des performances.
Note
Dans Microsoft Windows 2000, deux modèles de sécurité divers existent, ocfiless (pour les serveurs de fichiers) et ocfilesw (pour les stations de travail). Dans Windows Server 2003, ces fichiers ont été remplacés par le fichier Setup security.inf.
Sécurité par défaut du contrôleur de domaine (DC security.inf)
Ce modèle est créé lorsqu’un serveur est promu vers un contrôleur de domaine. Il reflète les paramètres de sécurité par défaut des fichiers, du Registre et du service système. Si vous réappliquez ce modèle, ces paramètres sont définis sur les valeurs par défaut. Toutefois, le modèle peut remplacer les autorisations sur les nouveaux fichiers, clés de Registre et services système créés par d’autres programmes.
Compatible (Compatws.inf)
Ce modèle modifie les autorisations de fichier et de Registre par défaut accordées aux membres du groupe Utilisateurs d’une manière cohérente avec les exigences de la plupart des programmes qui n’appartiennent pas au programme de logo Windows pour les logiciels. Le modèle compatible supprime également tous les membres du groupe Power Users.
Pour plus d’informations sur le programme de logo Windows pour le logiciel, visitez le site web Microsoft suivant : Catalogue Windows Server
Note
N’appliquez pas le modèle compatible aux contrôleurs de domaine.
Secure (Secure*.inf)
Les modèles sécurisés définissent des paramètres de sécurité améliorés qui sont moins susceptibles d’affecter la compatibilité des programmes. Par exemple, les modèles sécurisés définissent des paramètres de mot de passe, de verrouillage et d’audit plus forts. En outre, les modèles limitent l’utilisation des protocoles d’authentification LAN Manager et NTLM en configurant les clients pour envoyer uniquement des réponses NTLMv2 et en configurant des serveurs pour refuser les réponses du Gestionnaire LAN.
Il existe deux modèles sécurisés prédéfinis dans Windows Server 2003 : Securews.inf pour les stations de travail et Securec.inf pour les contrôleurs de domaine. Pour plus d’informations sur l’utilisation de ces modèles et d’autres modèles de sécurité, recherchez le Centre d’aide et de support pour « modèles de sécurité prédéfinis ».
Hautement sécurisé (hisec*.inf)
Les modèles hautement sécurisés spécifient des restrictions supplémentaires qui ne sont pas définies par les modèles sécurisés, tels que les niveaux de chiffrement et la signature requis pour l’authentification et l’échange de données sur des canaux sécurisés et entre les clients et les serveurs SMB (Server Message Block).
Sécurité racine système (Rootsec.inf)
Ce modèle spécifie les autorisations racines. Par défaut, Rootec.inf définit ces autorisations pour la racine du lecteur système. Vous pouvez utiliser ce modèle pour réappliquer les autorisations de répertoire racine si elles sont modifiées par inadvertance, ou vous pouvez modifier le modèle pour appliquer les mêmes autorisations racines à d’autres volumes. Comme spécifié, le modèle ne remplace pas les autorisations explicites définies sur les objets enfants ; il propage uniquement les autorisations héritées par les objets enfants.
Aucun SID utilisateur Terminal Server (Notssid.inf)
Vous pouvez appliquer ce modèle pour supprimer Terminal Windows identificateurs de sécurité du serveur (SID) du système de fichiers et des emplacements de Registre lorsque terminal Services n’est pas en cours d’exécution. Une fois cette opération terminée, la sécurité système ne s’améliore pas nécessairement. Pour plus d’informations sur tous les modèles prédéfinis dans Windows Server 2003, recherchez « modèles de sécurité prédéfinis » dans le Centre d’aide et de support.
Important
L’implémentation d’un modèle de sécurité sur un contrôleur de domaine peut modifier les paramètres de la stratégie de contrôleur de domaine par défaut ou de la stratégie de domaine par défaut. Le modèle appliqué peut remplacer les autorisations sur les nouveaux fichiers, les clés de Registre et les services système créés par d’autres programmes. La restauration de ces stratégies peut être nécessaire après l’application d’un modèle de sécurité. Avant de suivre ces étapes sur un contrôleur de domaine, créez une sauvegarde du partage SYSVOL.
Appliquer un modèle de sécurité
- Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
- Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
- Cliquez sur Ajouter.
- Dans la liste des composants logiciels enfichables autonomes disponibles, cliquez sur Configuration et analyse de la sécurité, sur Ajouter, sur Fermer, puis sur OK.
- Dans le volet gauche, cliquez sur Configuration et analyse de la sécurité et affichez les instructions dans le volet droit.
- Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Ouvrir la base de données.
- Dans la zone Nom du fichier, tapez le nom du fichier de base de données, puis cliquez sur Ouvrir.
- Cliquez sur le modèle de sécurité que vous souhaitez utiliser, puis cliquez sur Ouvrir pour importer les entrées contenues dans le modèle dans la base de données.
- Cliquez avec le bouton droit sur Configuration et analyse de la sécurité dans le volet gauche, puis cliquez sur Configurer l’ordinateur maintenant.