Paramètres de stratégie de sécurité
S’applique à
- Windows 10
- Windows 11
Cette rubrique de référence décrit les scénarios, l’architecture et les processus courants pour les paramètres de sécurité.
Les paramètres de stratégie de sécurité sont des règles que les administrateurs configurent sur un ordinateur ou plusieurs appareils pour protéger les ressources d’un appareil ou d’un réseau. L’extension Paramètres de sécurité du composant logiciel enfichable Éditeur de stratégie de groupe local vous permet de définir des configurations de sécurité dans le cadre d’un objet stratégie de groupe (GPO). Les objets de stratégie de groupe sont liés à des conteneurs Active Directory tels que des sites, des domaines ou des unités d’organisation, et ils vous permettent de gérer les paramètres de sécurité de plusieurs appareils à partir de n’importe quel appareil joint au domaine. Les stratégies de paramètres de sécurité sont utilisées dans le cadre de votre implémentation de sécurité globale pour sécuriser les contrôleurs de domaine, les serveurs, les clients et d’autres ressources de votre organization.
Les paramètres de sécurité peuvent contrôler :
- Authentification utilisateur auprès d’un réseau ou d’un appareil.
- Ressources auxquelles les utilisateurs sont autorisés à accéder.
- Indique s’il faut enregistrer les actions d’un utilisateur ou d’un groupe dans le journal des événements.
- Appartenance à un groupe.
Pour gérer les configurations de sécurité de plusieurs appareils, vous pouvez utiliser l’une des options suivantes :
- Modifier des paramètres de sécurité spécifiques dans un objet de stratégie de groupe.
- Utilisez le composant logiciel enfichable Modèles de sécurité pour créer un modèle de sécurité qui contient les stratégies de sécurité que vous souhaitez appliquer, puis importez le modèle de sécurité dans un objet stratégie de groupe. Un modèle de sécurité est un fichier qui représente une configuration de sécurité et qui peut être importé dans un objet de stratégie de groupe, appliqué à un appareil local ou utilisé pour analyser la sécurité.
Pour plus d’informations sur la gestion des configurations de sécurité, consultez Administrer les paramètres de stratégie de sécurité.
L’extension Paramètres de sécurité de l’Éditeur de stratégie de groupe local inclut les types de stratégies de sécurité suivants :
Stratégies de compte. Ces stratégies sont définies sur les appareils ; elles affectent la façon dont les comptes d’utilisateur peuvent interagir avec l’ordinateur ou le domaine. Les stratégies de compte incluent les types de stratégies suivants :
- Stratégie de mot de passe. Ces stratégies déterminent les paramètres des mots de passe, tels que l’application et les durées de vie. Les stratégies de mot de passe sont utilisées pour les comptes de domaine.
- Stratégie de verrouillage de compte. Ces stratégies déterminent les conditions et la durée pendant laquelle un compte sera verrouillé hors du système. Les stratégies de verrouillage de compte sont utilisées pour les comptes d’utilisateur de domaine ou locaux.
- Stratégie Kerberos. Ces stratégies sont utilisées pour les comptes d’utilisateur de domaine ; ils déterminent les paramètres liés à Kerberos, tels que la durée de vie des tickets et l’application.
Stratégies locales. Ces stratégies s’appliquent à un ordinateur et incluent les types de paramètres de stratégie suivants :
Stratégie d’audit. Spécifiez les paramètres de sécurité qui contrôlent la journalisation des événements de sécurité dans le journal de sécurité sur l’ordinateur et spécifient les types d’événements de sécurité à consigner (réussite, échec, ou les deux).
Remarque
Pour les appareils exécutant Windows 7 et versions ultérieures, nous vous recommandons d’utiliser les paramètres sous Configuration avancée de la stratégie d’audit plutôt que les paramètres de stratégie d’audit sous Stratégies locales.
Attribution des droits utilisateur. Spécifier les utilisateurs ou les groupes qui disposent de droits ou de privilèges de connexion sur un appareil
Options de sécurité. Spécifiez les paramètres de sécurité de l’ordinateur, tels que les noms des comptes d’administrateur et d’invité ; l’accès aux lecteurs de disquettes et aux lecteurs de CD-ROM ; installation de pilotes ; invites de connexion ; et ainsi de suite.
Pare-feu Windows avec sécurité avancée. Spécifiez les paramètres pour protéger l’appareil sur votre réseau à l’aide d’un pare-feu avec état qui vous permet de déterminer le trafic réseau autorisé à passer entre votre appareil et le réseau.
Stratégies Network List Manager. Spécifiez les paramètres que vous pouvez utiliser pour configurer différents aspects de la façon dont les réseaux sont répertoriés et affichés sur un appareil ou sur plusieurs appareils.
Stratégies de clé publique. Spécifiez les paramètres pour contrôler le système de fichiers chiffrement, la protection des données et le chiffrement de lecteur BitLocker en plus de certains paramètres de chemins d’accès aux certificats et de services.
Stratégies de restriction logicielle. Spécifiez les paramètres pour identifier les logiciels et contrôler leur capacité à s’exécuter sur votre appareil local, votre unité d’organisation, votre domaine ou votre site.
Stratégies de contrôle d’application. Spécifiez des paramètres pour contrôler les utilisateurs ou les groupes qui peuvent exécuter des applications particulières dans votre organization en fonction d’identités uniques de fichiers.
Stratégies de sécurité IP sur l’ordinateur local. Spécifiez les paramètres pour garantir des communications privées et sécurisées sur des réseaux IP à l’aide des services de sécurité de chiffrement. IPsec établit l’approbation et la sécurité d’une adresse IP source à une adresse IP de destination.
Configuration avancée de la stratégie d’audit. Spécifiez les paramètres qui contrôlent la journalisation des événements de sécurité dans le journal de sécurité sur l’appareil. Les paramètres sous Configuration avancée de la stratégie d’audit permettent de contrôler plus finement les activités à surveiller que les paramètres de stratégie d’audit sous Stratégies locales.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge les paramètres de stratégie de sécurité Windows et l’audit :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Oui | Oui | Oui | Oui |
Les paramètres de stratégie de sécurité Windows et les droits de licence d’audit sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Gestion des paramètres de sécurité basée sur des stratégies
L’extension Paramètres de sécurité pour stratégie de groupe fournit une infrastructure de gestion intégrée basée sur des stratégies pour vous aider à gérer et à appliquer vos stratégies de sécurité.
Vous pouvez définir et appliquer des stratégies de paramètres de sécurité aux utilisateurs, groupes et serveurs réseau et clients via stratégie de groupe et services de domaine Active Directory (AD DS). Un groupe de serveurs avec les mêmes fonctionnalités peut être créé (par exemple, un serveur Web Microsoft (IIS), puis stratégie de groupe Objects peut être utilisé pour appliquer des paramètres de sécurité courants au groupe. Si d’autres serveurs sont ajoutés à ce groupe ultérieurement, la plupart des paramètres de sécurité courants sont automatiquement appliqués, ce qui réduit le déploiement et le travail administratif.
Scénarios courants d’utilisation des stratégies de paramètres de sécurité
Les stratégies de paramètres de sécurité sont utilisées pour gérer les aspects suivants de la sécurité : stratégie de comptes, stratégie locale, attribution des droits utilisateur, valeurs de Registre, listes de Access Control de fichiers (ACL), modes de démarrage du service, etc.
Dans le cadre de votre stratégie de sécurité, vous pouvez créer des objets de stratégie de groupe avec des stratégies de paramètres de sécurité configurées spécifiquement pour les différents rôles de votre organization, tels que les contrôleurs de domaine, les serveurs de fichiers, les serveurs membres, les clients, etc.
Vous pouvez créer une structure d’unité d’organisation (UO) qui regroupe les appareils en fonction de leurs rôles. L’utilisation d’unités d’organisation est la meilleure méthode pour séparer les exigences de sécurité spécifiques pour les différents rôles de votre réseau. Cette approche vous permet également d’appliquer des modèles de sécurité personnalisés à chaque classe de serveur ou d’ordinateur. Après avoir créé les modèles de sécurité, vous créez un nouvel objet de stratégie de groupe pour chacune des unités d’organisation, puis vous importez le modèle de sécurité (fichier .inf) dans le nouvel objet de stratégie de groupe.
L’importation d’un modèle de sécurité dans un objet de stratégie de groupe garantit que tous les comptes auxquels l’objet de stratégie de groupe est appliqué reçoivent automatiquement les paramètres de sécurité du modèle lorsque les paramètres stratégie de groupe sont actualisés. Sur une station de travail ou un serveur, les paramètres de sécurité sont actualisés à intervalles réguliers (avec un décalage aléatoire d’au plus 30 minutes) et, sur un contrôleur de domaine, ce processus se produit toutes les quelques minutes si des modifications se sont produites dans l’un des paramètres d’objet de stratégie de groupe qui s’appliquent. Les paramètres sont également actualisés toutes les 16 heures, que des modifications aient eu lieu ou non.
Remarque
Ces paramètres d’actualisation varient selon les versions du système d’exploitation et peuvent être configurés.
En utilisant des configurations de sécurité basées sur stratégie de groupe conjointement avec la délégation de l’administration, vous pouvez vous assurer que des paramètres de sécurité, des droits et un comportement spécifiques sont appliqués à tous les serveurs et ordinateurs au sein d’une unité d’organisation. Cette approche simplifie la mise à jour de nombreux serveurs avec d’autres modifications requises à l’avenir.
Dépendances vis-à-vis d’autres technologies de système d’exploitation
Pour les appareils membres d’un domaine Windows Server 2008 ou ultérieur, les stratégies de paramètres de sécurité dépendent des technologies suivantes :
Services de domaine Active Directory (AD DS)
Le service d’annuaire Windows, AD DS, stocke des informations sur les objets sur un réseau et met ces informations à la disposition des administrateurs et des utilisateurs. À l’aide d’AD DS, vous pouvez afficher et gérer des objets réseau sur le réseau à partir d’un emplacement unique, et les utilisateurs peuvent accéder aux ressources réseau autorisées à l’aide d’une connexion unique.
stratégie de groupe
Infrastructure dans AD DS qui permet la gestion de la configuration basée sur des annuaires des paramètres utilisateur et ordinateur sur les appareils exécutant Windows Server. À l’aide de stratégie de groupe, vous pouvez définir des configurations pour des groupes d’utilisateurs et d’ordinateurs, notamment les paramètres de stratégie, les stratégies basées sur le Registre, l’installation de logiciels, les scripts, la redirection de dossiers, les services d’installation à distance, internet Explorer la maintenance et la sécurité.
DNS (Domain Name System)
Système de nommage hiérarchique utilisé pour localiser des noms de domaine sur Internet et sur des réseaux TCP/IP privés. DNS fournit un service pour le mappage des noms de domaine DNS aux adresses IP et des adresses IP aux noms de domaine. Ce service permet aux utilisateurs, ordinateurs et applications d’interroger DNS pour spécifier des systèmes distants par des noms de domaine complets plutôt que par des adresses IP.
Winlogon
Partie du système d’exploitation Windows qui fournit une prise en charge interactive de l’ouverture de session. Winlogon est conçu autour d’un modèle d’ouverture de session interactif qui se compose de trois composants : l’exécutable Winlogon, un fournisseur d’informations d’identification et un nombre quelconque de fournisseurs réseau.
Configuration
La configuration de la sécurité interagit avec le processus d’installation du système d’exploitation lors d’une installation ou d’une mise à niveau propre à partir de versions antérieures de Windows Server.
Gestionnaire des comptes de sécurité (SAM)
Service Windows utilisé pendant le processus de connexion. SAM gère les informations de compte d’utilisateur, y compris les groupes auxquels un utilisateur appartient.
Autorité de sécurité locale (LSA)
Sous-système protégé qui authentifie et connecte les utilisateurs au système local. LSA conserve également des informations sur tous les aspects de la sécurité locale sur un système, collectivement appelé stratégie de sécurité locale du système.
Windows Management Instrumentation (WMI)
Une fonctionnalité du système d’exploitation Microsoft Windows, WMI est l’implémentation microsoft de Web-Based Enterprise Management (WBEM), qui est une initiative du secteur visant à développer une technologie standard pour accéder aux informations de gestion dans un environnement d’entreprise. WMI permet d’accéder aux informations sur les objets dans un environnement managé. Via WMI et l’interface de programmation d’applications (API) WMI, les applications peuvent interroger et modifier des informations statiques dans le référentiel CIM (Common Information Model) et des informations dynamiques gérées par les différents types de fournisseurs.
Jeu de stratégies résultant (RSoP)
Une infrastructure stratégie de groupe améliorée qui utilise WMI afin de faciliter la planification et le débogage des paramètres de stratégie. RSoP fournit des méthodes publiques qui exposent ce qu’une extension à stratégie de groupe ferait dans une situation de what-if, et ce que l’extension a fait dans une situation réelle. Ces méthodes publiques permettent aux administrateurs de déterminer facilement la combinaison de paramètres de stratégie qui s’appliquent à un utilisateur ou à un appareil ou qui s’appliqueront à celui-ci.
Gestionnaire de contrôle de service (SCM)
Utilisé pour la configuration des modes de démarrage et de la sécurité du service.
Registry
Utilisé pour la configuration des valeurs de Registre et la sécurité.
Système de fichiers
Utilisé pour la configuration de la sécurité.
Conversions du système de fichiers
La sécurité est définie lorsqu’un administrateur convertit un système de fichiers de FAT en NTFS.
Microsoft Management Console (MMC)
L’interface utilisateur de l’outil Paramètres de sécurité est une extension du composant logiciel enfichable MMC Éditeur de stratégie de groupe local.
Stratégies et stratégie de groupe des paramètres de sécurité
L’extension Paramètres de sécurité de l’Éditeur de stratégie de groupe local fait partie de l’ensemble d’outils Security Configuration Manager. Les composants suivants sont associés aux paramètres de sécurité : un moteur de configuration ; un moteur d’analyse ; un modèle et une couche d’interface de base de données ; configurer la logique d’intégration ; et l’outil en ligne de commande secedit.exe. Le moteur de configuration de sécurité est chargé de gérer les demandes de sécurité liées à l’éditeur de configuration de sécurité pour le système sur lequel il s’exécute. Le moteur d’analyse analyse la sécurité du système pour une configuration donnée et enregistre le résultat. La couche d’interface de modèle et de base de données gère la lecture et l’écriture des demandes à partir du modèle ou de la base de données (pour le stockage interne). L’extension Paramètres de sécurité de l’éditeur de stratégie de groupe local gère les stratégie de groupe à partir d’un appareil local ou d’un domaine. La logique de configuration de la sécurité s’intègre à l’installation et gère la sécurité du système pour une installation propre ou une mise à niveau vers un système d’exploitation Windows plus récent. Les informations de sécurité sont stockées dans des modèles (fichiers .inf) ou dans la base de données Secedit.sdb.
Le diagramme suivant montre les paramètres de sécurité et les fonctionnalités associées.
Stratégies de paramètres de sécurité et fonctionnalités associées
Scesrv.dll
Fournit les fonctionnalités principales du moteur de sécurité.
Scecli.dll
Fournit les interfaces côté client au moteur de configuration de sécurité et fournit des données à L’ensemble de stratégies résultant (RSoP).
Wsecedit.dll
Extension Paramètres de sécurité de l’Éditeur de stratégie de groupe local. scecli.dll est chargé dans wsecedit.dll pour prendre en charge l’interface utilisateur paramètres de sécurité.
Gpedit.dll
Composant logiciel enfichable MMC Éditeur de stratégie de groupe local.
Architecture de l’extension Paramètres de sécurité
L’extension Paramètres de sécurité de l’Éditeur de stratégie de groupe local fait partie des outils Configuration Manager de sécurité, comme illustré dans le diagramme suivant.
Architecture des paramètres de sécurité
Les outils de configuration et d’analyse des paramètres de sécurité incluent un moteur de configuration de sécurité, qui fournit la configuration et l’analyse des stratégies de paramètres de sécurité de l’ordinateur local (non membre du domaine) et des stratégie de groupe. Le moteur de configuration de sécurité prend également en charge la création de fichiers de stratégie de sécurité. Les principales fonctionnalités du moteur de configuration de sécurité sont scecli.dll et scesrv.dll.
La liste suivante décrit ces principales fonctionnalités du moteur de configuration de sécurité et d’autres fonctionnalités liées aux paramètres de sécurité.
scesrv.dll
Ce fichier .dll est hébergé dans services.exe et s’exécute dans le contexte système local. scesrv.dll fournit des fonctionnalités principales de sécurité Configuration Manager, telles que l’importation, la configuration, l’analyse et la propagation des stratégies.
Scesrv.dll effectue la configuration et l’analyse de différents paramètres système liés à la sécurité en appelant les API système correspondantes, notamment LSA, SAM et le registre.
Scesrv.dll expose des API telles que l’importation, l’exportation, la configuration et l’analyse. Il vérifie que la demande est effectuée via LRPC (Windows XP) et échoue à l’appel si ce n’est pas le cas.
La communication entre les parties de l’extension Paramètres de sécurité s’effectue à l’aide des méthodes suivantes :
- Appels COM (Component Object Model)
- Appel de procédure distante locale (LRPC)
- Protocole LDAP (Lightweight Directory Access Protocol)
- Active Directory Service Interfaces (ADSI)
- Server Message Block (SMB)
- API Win32
- Appels WMI (Windows Management Instrumentation)
Sur les contrôleurs de domaine, scesrv.dll reçoit des notifications des modifications apportées à SAM et à l’ASO qui doivent être synchronisées entre les contrôleurs de domaine. Scesrv.dll incorpore ces modifications dans l’objet de stratégie de domaine par défaut stratégie de contrôleur de domaine à l’aide d’API de modification de modèle in-process scecli.dll. Scesrv.dll effectue également des opérations de configuration et d’analyse.
Scecli.dll
Cette Scecli.dll est l’interface ou le wrapper côté client à scesrv.dll. scecli.dll est chargé dans Wsecedit.dll pour prendre en charge les composants logiciels enfichables MMC. Il est utilisé par le programme d’installation pour configurer la sécurité système par défaut des fichiers, des clés de Registre et des services installés par les fichiers .inf de l’API d’installation.
La version en ligne de commande des interfaces utilisateur de configuration et d’analyse de la sécurité, secedit.exe, utilise scecli.dll.
Scecli.dll implémente l’extension côté client pour stratégie de groupe.
Scesrv.dll utilise scecli.dll pour télécharger les fichiers stratégie de groupe applicables à partir de SYSVOL afin d’appliquer les paramètres de sécurité stratégie de groupe à l’appareil local.
Scecli.dll journalise l’application de la stratégie de sécurité dans WMI (RSoP).
Scesrv.dll filtre de stratégie utilise scecli.dll pour mettre à jour l’objet de stratégie de domaine par défaut stratégie de contrôleur de domaine lorsque des modifications sont apportées à SAM et LSA.
Wsecedit.dll
Extension Paramètres de sécurité du composant logiciel enfichable Éditeur d’objets stratégie de groupe. Vous utilisez cet outil pour configurer les paramètres de sécurité dans un objet stratégie de groupe pour un site, un domaine ou une unité d’organisation. Vous pouvez également utiliser paramètres de sécurité pour importer des modèles de sécurité dans un objet de stratégie de groupe.
Secedit.sdb
Cette base de données Secedit.sdb est une base de données système permanente utilisée pour la propagation des stratégies, y compris une table des paramètres persistants à des fins de restauration.
Bases de données utilisateur
Une base de données utilisateur est toute base de données autre que la base de données système créée par les administrateurs à des fins de configuration ou d’analyse de la sécurité.
. Inf Templates
Ces modèles sont des fichiers texte qui contiennent des paramètres de sécurité déclaratifs. Ils sont chargés dans une base de données avant la configuration ou l’analyse. stratégie de groupe stratégies de sécurité sont stockées dans des fichiers .inf sur le dossier SYSVOL des contrôleurs de domaine, où elles sont téléchargées (à l’aide de la copie de fichiers) et fusionnées dans la base de données système pendant la propagation de la stratégie.
Processus et interactions de stratégie des paramètres de sécurité
Pour un appareil joint à un domaine, où stratégie de groupe est administré, les paramètres de sécurité sont traités conjointement avec stratégie de groupe. Tous les paramètres ne sont pas configurables.
stratégie de groupe traitement
Lorsqu’un ordinateur démarre et qu’un utilisateur se connecte, la stratégie d’ordinateur et la stratégie utilisateur sont appliquées selon la séquence suivante :
Le réseau démarre. Le service de système d’appel de procédure distante (RPCSS) et le fournisseur MUP (Universal Naming Convention Provider) multiples démarrent.
Une liste ordonnée d’objets stratégie de groupe est obtenue pour l’appareil. La liste peut dépendre de ces facteurs :
- Indique si l’appareil fait partie d’un domaine et, par conséquent, soumis à stratégie de groupe via Active Directory.
- Emplacement de l’appareil dans Active Directory.
- Indique si la liste des objets stratégie de groupe a changé. Si la liste des objets stratégie de groupe n’a pas changé, aucun traitement n’est effectué.
La stratégie d’ordinateur est appliquée. Ces paramètres sont ceux qui figurent sous Configuration de l’ordinateur dans la liste rassemblée. Ce processus est synchrone par défaut et se produit dans l’ordre suivant : local, site, domaine, unité d’organisation, unité d’organisation enfant, etc. Aucune interface utilisateur n’apparaît pendant le traitement des stratégies d’ordinateur.
Les scripts de démarrage s’exécutent. Ces scripts sont masqués et synchrones par défaut ; chaque script doit se terminer ou expirer avant le démarrage du script suivant. Le délai d’attente par défaut est de 600 secondes. Vous pouvez utiliser plusieurs paramètres de stratégie pour modifier ce comportement.
L’utilisateur appuie sur Ctrl+Alt+Suppr pour se connecter.
Une fois l’utilisateur validé, le profil utilisateur se charge ; il est régi par les paramètres de stratégie qui sont en vigueur.
Une liste ordonnée d’objets stratégie de groupe est obtenue pour l’utilisateur. La liste peut dépendre de ces facteurs :
- Indique si l’utilisateur fait partie d’un domaine et, par conséquent, s’il est soumis à stratégie de groupe via Active Directory.
- Indique si le traitement de la stratégie de bouclage est activé et, le cas échéant, l’état (Fusionner ou Remplacer) du paramètre de stratégie de bouclage.
- Emplacement de l’utilisateur dans Active Directory.
- Indique si la liste des objets stratégie de groupe a changé. Si la liste des objets stratégie de groupe n’a pas changé, aucun traitement n’est effectué.
La stratégie utilisateur est appliquée. Ces paramètres sont ceux qui figurent sous Configuration utilisateur dans la liste rassemblée. Ces paramètres sont synchrones par défaut et dans l’ordre suivant : local, site, domaine, unité d’organisation, unité d’organisation enfant, etc. Aucune interface utilisateur n’apparaît pendant le traitement des stratégies utilisateur.
Les scripts d’ouverture de session s’exécutent. Les scripts d’ouverture de session basés sur stratégie de groupe sont masqués et asynchrones par défaut. Le script d’objet utilisateur s’exécute en dernier.
L’interface utilisateur du système d’exploitation qui est prescrite par stratégie de groupe s’affiche.
stockage d’objets stratégie de groupe
Un objet stratégie de groupe (GPO) est un objet virtuel identifié par un identificateur global unique (GUID) et stocké au niveau du domaine. Les informations de paramètre de stratégie d’un objet de stratégie de groupe sont stockées dans les deux emplacements suivants :
stratégie de groupe conteneurs dans Active Directory.
Le conteneur stratégie de groupe est un conteneur Active Directory qui contient des propriétés d’objet de stratégie de groupe, telles que des informations de version, des status D’objets de stratégie de groupe, ainsi qu’une liste d’autres paramètres de composant.
stratégie de groupe modèles dans le dossier de volume système (SYSVOL) d’un domaine.
Le modèle stratégie de groupe est un dossier de système de fichiers qui inclut des données de stratégie spécifiées par les fichiers .admx, des paramètres de sécurité, des fichiers de script et des informations sur les applications disponibles pour l’installation. Le modèle stratégie de groupe se trouve dans le dossier SYSVOL du <sous-dossier domain>\Policies.
La structure GROUP_POLICY_OBJECT fournit des informations sur un objet de stratégie de groupe dans une liste d’objets de stratégie de groupe, notamment le numéro de version de l’objet de stratégie de groupe, un pointeur vers une chaîne qui indique la partie Active Directory de l’objet de stratégie de groupe et un pointeur vers une chaîne qui spécifie le chemin d’accès à la partie système de fichiers de l’objet de stratégie de groupe.
stratégie de groupe l’ordre de traitement
stratégie de groupe paramètres sont traités dans l’ordre suivant :
Objet stratégie de groupe local.
Chaque appareil exécutant un système d’exploitation Windows commençant par Windows XP possède exactement un objet stratégie de groupe stocké localement.
Site.
Tous les objets stratégie de groupe qui ont été liés au site sont traités ensuite. Le traitement est synchrone et dans un ordre que vous spécifiez.
Domaine.
Le traitement de plusieurs objets stratégie de groupe liés à un domaine est synchrone et dans un ordre que vous spécifiez.
Unités d’organisation.
stratégie de groupe Les objets liés à l’unité d’organisation la plus élevée dans la hiérarchie Active Directory sont traités en premier, puis stratégie de groupe objets liés à son unité d’organisation enfant, etc. Enfin, les objets stratégie de groupe liés à l’unité d’organisation qui contient l’utilisateur ou l’appareil sont traités.
Au niveau de chaque unité d’organisation dans la hiérarchie Active Directory, un, plusieurs objets stratégie de groupe ou aucun objet peut être lié. Si plusieurs objets stratégie de groupe sont liés à une unité d’organisation, leur traitement est synchrone et dans un ordre que vous spécifiez.
Cet ordre signifie que l’objet stratégie de groupe local est traité en premier, et stratégie de groupe Les objets liés à l’unité d’organisation dont l’ordinateur ou l’utilisateur est membre direct sont traités en dernier, ce qui remplace les objets stratégie de groupe précédents.
Cet ordre est l’ordre de traitement par défaut et les administrateurs peuvent spécifier des exceptions à cette commande. Un objet stratégie de groupe lié à un site, à un domaine ou à une unité d’organisation (et non à un objet stratégie de groupe local) peut être défini sur Appliqué par rapport à ce site, domaine ou unité d’organisation, afin qu’aucun de ses paramètres de stratégie ne puisse être remplacé. Sur n’importe quel site, domaine ou unité d’organisation, vous pouvez marquer stratégie de groupe héritage de manière sélective en tant qu’héritage de bloc. toutefois, stratégie de groupe liens d’objet définis sur Appliqué sont toujours appliqués et ne peuvent pas être bloqués. Pour plus d’informations, consultez stratégie de groupe Principes de base – Partie 2 : Comprendre les objets de stratégie de groupe à appliquer.
Traitement de la stratégie des paramètres de sécurité
Dans le contexte du traitement stratégie de groupe, la stratégie de paramètres de sécurité est traitée dans l’ordre suivant.
Pendant stratégie de groupe traitement, le moteur de stratégie de groupe détermine les stratégies de paramètres de sécurité à appliquer.
Si des stratégies de paramètres de sécurité existent dans un objet de stratégie de groupe, stratégie de groupe appelle l’extension côté client Paramètres de sécurité.
L’extension Paramètres de sécurité télécharge la stratégie à partir de l’emplacement approprié, tel qu’un contrôleur de domaine spécifique.
L’extension Paramètres de sécurité fusionne toutes les stratégies de paramètres de sécurité en fonction des règles de précédence. Le traitement est conforme à l’ordre de traitement stratégie de groupe local, de site, de domaine et d’unité d’organisation (UO), comme décrit précédemment dans la section « stratégie de groupe ordre de traitement ». Si plusieurs objets de stratégie de groupe sont en vigueur pour un appareil donné et qu’il n’y a pas de stratégies en conflit, les stratégies sont cumulatives et fusionnées.
Cet exemple utilise la structure Active Directory illustrée dans la figure suivante. Un ordinateur donné est membre de OU2, auquel l’objet de stratégie de groupe GroupMembershipPolGPO est lié. Cet ordinateur est également soumis à l’objet de stratégie de groupe UserRightsPolGPO , qui est lié à OU1, plus haut dans la hiérarchie. Dans ce cas, aucune stratégie en conflit n’existe. L’appareil reçoit donc toutes les stratégies contenues dans les objets de stratégie de groupe UserRightsPolGPO et GroupMembershipPolGPO .
Objets de stratégie de groupe multiples et fusion de la stratégie de sécurité
Les stratégies de sécurité résultantes sont stockées dans secedit.sdb, la base de données des paramètres de sécurité. Le moteur de sécurité obtient les fichiers de modèle de sécurité et les importe dans secedit.sdb.
Les stratégies de paramètres de sécurité sont appliquées aux appareils. La figure suivante illustre le traitement de la stratégie des paramètres de sécurité.
Traitement de la stratégie des paramètres de sécurité
Fusion de stratégies de sécurité sur les contrôleurs de domaine
Les stratégies de mot de passe, Kerberos et certaines options de sécurité sont fusionnées uniquement à partir d’objets de stratégie de groupe liés au niveau racine du domaine. Cette fusion est effectuée pour conserver ces paramètres synchronisés sur tous les contrôleurs de domaine du domaine. Les options de sécurité suivantes sont fusionnées :
- Sécurité réseau : forcer la déconnexion à l’expiration des heures de connexion
- Comptes : statut du compte Administrateur
- Comptes : statut du compte Invité
- Comptes : renommer le compte Administrateur
- Comptes : renommer le compte Invité
Il existe un autre mécanisme qui permet aux modifications de stratégie de sécurité apportées par les administrateurs à l’aide de comptes net d’être fusionnées dans l’objet de stratégie de domaine par défaut GPO. Les modifications apportées aux droits de l’utilisateur à l’aide des API LSA (Local Security Authority) sont filtrées dans l’objet de stratégie de stratégie de contrôleurs de domaine par défaut.
Considérations spéciales pour les contrôleurs de domaine
Si une application est installée sur un contrôleur de domaine principal (PDC) avec des opérations master rôle (également appelé opérations de master unique flexible ou FSMO) et que l’application apporte des modifications aux droits utilisateur ou à la stratégie de mot de passe, ces modifications doivent être communiquées pour garantir que la synchronisation entre les contrôleurs de domaine se produit. Scesrv.dll reçoit une notification de toutes les modifications apportées au gestionnaire de compte de sécurité (SAM) et à LSA qui doivent être synchronisées entre les contrôleurs de domaine, puis incorpore les modifications dans l’objet de stratégie de groupe de contrôleur de domaine par défaut à l’aide de scecli.dll API de modification de modèle.
Quand les paramètres de sécurité sont appliqués
Une fois que vous avez modifié les stratégies de paramètres de sécurité, les paramètres sont actualisés sur les ordinateurs de l’unité d’organisation liée à votre objet stratégie de groupe dans les instances suivantes :
- Lorsqu’un appareil est redémarré.
- Toutes les 90 minutes sur une station de travail ou un serveur et toutes les 5 minutes sur un contrôleur de domaine. Cet intervalle d’actualisation est configurable.
- Par défaut, les paramètres de stratégie de sécurité fournis par stratégie de groupe sont également appliqués toutes les 16 heures (960 minutes), même si un objet de stratégie de groupe n’a pas changé.
Persistance de la stratégie de paramètres de sécurité
Les paramètres de sécurité peuvent persister même si un paramètre n’est plus défini dans la stratégie qui l’a appliqué à l’origine.
Les paramètres de sécurité peuvent persister dans les cas suivants :
- Le paramètre n’a pas été défini précédemment pour l’appareil.
- Le paramètre est pour un objet de sécurité du Registre.
- Les paramètres concernent un objet de sécurité de système de fichiers.
Tous les paramètres appliqués par le biais d’une stratégie locale ou d’un objet stratégie de groupe sont stockés dans une base de données locale sur votre ordinateur. Chaque fois qu’un paramètre de sécurité est modifié, l’ordinateur enregistre la valeur du paramètre de sécurité dans la base de données locale, qui conserve un historique de tous les paramètres qui ont été appliqués à l’ordinateur. Si une stratégie définit d’abord un paramètre de sécurité, puis ne définit plus ce paramètre, le paramètre prend la valeur précédente dans la base de données. Si aucune valeur précédente n’existe dans la base de données, le paramètre ne revient à rien et reste défini tel quel. Ce comportement est parfois appelé « tatouage ».
Les paramètres de sécurité du Registre et des fichiers conservent les valeurs appliquées via stratégie de groupe jusqu’à ce que ce paramètre soit défini sur d’autres valeurs.
Autorisations requises pour l’application de la stratégie
Les autorisations Appliquer stratégie de groupe et Lecture sont requises pour que les paramètres d’un objet stratégie de groupe s’appliquent aux utilisateurs, aux groupes et aux ordinateurs.
Stratégie de sécurité de filtrage
Par défaut, tous les objets de stratégie de groupe ont lecture et application stratégie de groupe autorisés pour le groupe Utilisateurs authentifiés. Le groupe Utilisateurs authentifiés comprend les utilisateurs et les ordinateurs. Les stratégies de paramètres de sécurité sont basées sur l’ordinateur. Pour spécifier les ordinateurs clients auxquels un stratégie de groupe Object sera appliqué ou non, vous pouvez leur refuser l’autorisation Appliquer stratégie de groupe ou Lecture sur cet objet stratégie de groupe. La modification de ces autorisations vous permet de limiter l’étendue de l’objet de stratégie de groupe à un ensemble spécifique d’ordinateurs au sein d’un site, d’un domaine ou d’une unité d’organisation.
Remarque
N’utilisez pas de filtrage de stratégie de sécurité sur un contrôleur de domaine, car cela empêcherait la stratégie de sécurité de s’y appliquer.
Migration d’objets de stratégie de groupe contenant des paramètres de sécurité
Dans certains cas, vous pouvez migrer des objets de stratégie de groupe d’un environnement de domaine vers un autre. Les deux scénarios les plus courants sont la migration test-production et la migration de production vers production. Le processus de copie d’objets de stratégie de groupe a des implications pour certains types de paramètres de sécurité.
Les données d’un seul objet de stratégie de groupe sont stockées dans plusieurs emplacements et dans différents formats ; certaines données sont contenues dans Active Directory et d’autres sont stockées sur le partage SYSVOL sur les contrôleurs de domaine. Certaines données de stratégie peuvent être valides dans un domaine, mais peuvent ne pas être valides dans le domaine dans lequel l’objet de stratégie de groupe est copié. Par exemple, les identificateurs de sécurité (SID) stockés dans les paramètres de stratégie de sécurité sont souvent spécifiques au domaine. La copie d’objets de stratégie de groupe n’est donc pas aussi simple que de prendre un dossier et de le copier d’un appareil à un autre.
Les stratégies de sécurité suivantes peuvent contenir des principaux de sécurité et peuvent nécessiter un travail supplémentaire pour les déplacer d’un domaine à un autre.
- Attribution de droits utilisateur
- Groupes restreints
- Services
- Système de fichiers
- Registry
- Liste de contrôle d’accès aux objets de stratégie de groupe, si vous choisissez de la conserver pendant une opération de copie
Pour vous assurer que les données sont copiées correctement, vous pouvez utiliser stratégie de groupe Management Console (GPMC). En cas de migration d’un objet de stratégie de groupe d’un domaine vers un autre, la console GPMC garantit que toutes les données pertinentes sont correctement copiées. GpMC propose également des tables de migration, qui peuvent être utilisées pour mettre à jour des données spécifiques au domaine vers de nouvelles valeurs dans le cadre du processus de migration. La console GPMC masque une grande partie de la complexité impliquée dans la migration des opérations d’objet de stratégie de groupe et fournit des mécanismes simples et fiables pour effectuer des opérations telles que la copie et la sauvegarde des objets de stratégie de groupe.
Dans cette section
| Sujet | Description |
|---|---|
| Administrer les paramètres de stratégie de sécurité | Cet article décrit les différentes méthodes d’administration des paramètres de stratégie de sécurité sur un appareil local ou dans un organization de petite ou moyenne taille. |
| Configurer les paramètres de stratégie de sécurité | Décrit les étapes à suivre pour configurer un paramètre de stratégie de sécurité sur l’appareil local, sur un appareil joint à un domaine et sur un contrôleur de domaine. |
| Informations de référence des paramètres de stratégie de sécurité | Cette référence des paramètres de sécurité fournit des informations sur la façon d’implémenter et de gérer les stratégies de sécurité, y compris les options de définition et les considérations relatives à la sécurité. |