|
1. Introduction
Une stratégie de groupe permet à un administrateur de modifier, de façon permanente,
une condition pour un ensemble de machines et d’utilisateurs. L’avantage de la
mise en œuvre d’une stratégie de groupe réside dans le fait que toute
modification apportée est appliquée à tous les serveurs utilisant cette
stratégie. De plus, tous les nouveaux serveurs installés se voient
automatiquement attribués les nouveaux paramètres.
En appliquant une stratégie de sécurité dans un domaine vous empêchez les
utilisateurs de commettre certaines imprudences.
Il existe deux méthodes d'implémentation des stratégies de sécurité: soit par
une stratégie système locale appliquée sur un ordinateur unique ou soit par une
stratégie de groupe appliquée dans un domaine et déployée sur plusieurs
ordinateurs. Windows 2000 offre des modèles de stratégies et des utilitaires qui permettent
de contrôler les paramètres de sécurité.
Modèles d'importation prédéfinis des stratégies de sécurité
| basicdc.inf |
Paramètres de sécurité par défaut. Nécessite que
les variables d'environnement DSDIT DSLOG et SYSVOL soient définies. Doit
être joint à un domaine pour pouvoir être ouvert. Droits
utilisateurs\Groupes restreints non compris. (Contrôleurs de domaine par
défaut Windows 2000) |
| basicsv.inf |
Paramètres de sécurité par défaut pour un
contrôleur de domaine. Droits
d'utilisateur\Groupes restreints non inclus. (Windows 2000 Server) |
| basicwk.inf |
Paramètres de sécurité par défaut. Droits
d'utilisateur\Groupes restreints non inclus. Modèle de sécurité prédéfini,
poste de travail par défaut. (Windows 2000 Professionnel) |
| compatws.inf |
Suppose que les fichiers et registres des ACL
sont ceux d'une nouvelle installation NTFS. Assouplit ces ACL pour les
utilisateurs. Vide le groupe des utilisateurs avec pouvoir. Modèle de
sécurité prédéfini compatible, poste de travail ou serveur compatible. |
| hisecdc.inf |
Suppose que les fichiers et registres des ACL
sont ceux d'une nouvelle installation NTFS. Comprend les paramètres SecureDC
avec les améliorations spécifiques à Windows 2000. Vide le groupe
Utilisateurs avec pouvoir. Modèles hautement sécurisés, poste de travail ou
serveur hautement sécurisé. |
| hisecws.inf |
Augmente les paramètres SecureWS. Restreint les
listes de contrôles d'accès Utilisateur avec pouvoir et Terminal Server.
Modèle hautement sécurisé, contrôleur de domaine hautement sécurisé. |
| securedc.inf |
Suppose que les fichiers et registres des ACL
sont ceux d'une nouvelle installation NTFS. Sécurise les zones restantes.
Modèle sécurisé, contrôleur de domaine sécurisé. |
| securews.inf |
Suppose que les fichiers et registres des ACL
sont ceux d'une nouvelle installation NTFS. Sécurise les zones restantes.
Vide le groupe des utilisateurs avec pouvoir. Modèles sécurisé, poste de
travail ou modèle sécurisé. |
Si vous estimez que les modèles prédéfinis ne répondent pas à vos besoins en
matière de sécurité, vous pouvez créer des modèles personnalisés.
2. Création d'un modèle de sécurité
Création de la console de sécurité
A l'aide du menu Exécuter (win-R), ouvrez l'outil de création de console
d'administration (mmc.exe).
Dans le menu console, sélectionner Ajouter/Supprimer un composant logiciel
enfichable.
Ajouter le composant enfichable Configuration et analyse de la sécurité
et le composant Modèle de sécurité.
Enregistrer cette nouvelle console sous le nom Outils de sécurité.
Création d'un nouveau modèle de sécurité
 |
Dans l'arborescence de l'outil d'administration Outils de
sécurité, développez Modèles de sécurité puis C:\WINNT\Security\Templates.
Faites un clic droit sur C:\WINNT\Security\Templates, puis Nouveau
modèle….Comme nom de modèle entrez le nom de votre machine. |
Paramètres de sécurité
La liste suivante décrit les paramètres de sécurité que vous pouvez
configurer à l'aide de la console Stratégie de sécurité locale ou du
composant Paramètre de sécurité de la console Stratégie de groupe.
a) Stratégies de compte
| Ces paramètres permettent de configurer des
stratégies pour les mots de passe, le verrouillage de compte et de protocole
Kerbos version 5 applicable au domaine.(exemple:Stratégies de
compte/stratégie de mot de passe/conserver l'historique des mots de passe,pour
sélectionner un nombre maximal de mots de passe mémorisés) |
b) Stratégies locales
| Elle sont définies localement sur les ordinateurs. Elles configurent
l'audit, l'attribution des droits et autorisation aux utilisateurs et les
options de sécurité.(exemple: Stratégies locales/Stratégie
d'audit/Auditer l'utilisation des privilèges) |
c)Stratégies de clé publique
Ces paramètres vous permettent de configurer les agents de récupération de
données cryptées, les racines de domaines et les autorités de certification
approuvées. Les Stratégies de clé publique sont les seuls paramètres disponibles
sous Configuration Utilisateur.
d) Stratégies IPSec
Ces paramètres vous permettent de configurer la sécurité IP (Internet
Protocol). Le protocole IPSec représente un standard de l'industrie pour le
cryptage du trafic TCP/IP et la sécurisation des communications sur un réseau
intranet et des réseaux privés virtuels (VPN) sur Internet.
e) Journal des évènements
| Ces paramètres permettent de configurer la taille, l'accès et la méthode
de la conversation des journaux des applications, des journaux système et
des journaux de sécurité.(exemple: Journal des évènements/paramètres du
journal des évènements/restreindre les accès Invités au journal système,
pour empêcher l'accès aux informations du journal système) |
f) Groupes restreints
| Ces paramètres permettent de gérer les membres des groupes prédéfinis
dotés de fonctionnalités prédéfinies, tel que les groupes Administrateurs et
Utilisateurs avec pouvoir, en plus des groupes de domaine, comme le groupes
Utilisateur du domaine. Vous pouvez y ajouter d'autres groupes restreints,
avec les informations relatives à leurs membres. |
g) Service système
| Ces paramètres permettent de configurer la sécurité des
services s'exécutant sur un ordinateur. Les services système comprennent des
fonctionnalités critiques, telles que les services réseau, les services de
fichiers et d'impression,ceux de téléphonie et de télécopie et les services
Internet/Intranet. Les paramètres généraux incluent le mode de démarrage des
services (automatique, manuel ou désactivé) et la sécurité définie sur ces
derniers. |
h) Registre
| Ces paramètres permettent de configurer la sécurité au
niveau des clés du registre. Le registre est une base de donnée Windows 2000
qui centralise les informations nécessaires à la configuration du système
pour les utilisateurs, les applications et les périphériques. |
i) Systèmes de fichiers
| Ces paramètres permettent de configurer la sécurité sur les
chemins d'accès de fichiers spécifiques. |
Configuration du modèle de sécurité
Vous pouvez gérez et modifiez selon vos besoins les différentes options dans
Stratégies locales.
| Modifiez la stratégie pour que seul les
administrateurs puissent arrêter le serveur (stratégies locales\Attribution
des droits utilisateur). |
 |
 |
Modifiez la stratégie pour que le nom du dernier utilisateur ayant
ouvert une session ne soit pas affiché dans la fenêtre d'authentification (stratégies
locales\options de sécurité). |
| Modifiez la
stratégie pour qu'une boite de dialogue apparaissent à chaque ouverture de
session contenant le message " Utilisateurs autorisés uniquement " et ayant
pour titre " Attention ! ".(Stratégies locales\Options de sécurité). |
 |
Pour l'enregistrement du modèle de sécurité, dans l'arborescence de la
console d'administration, faites un clic droit sur le nom de la machine, puis
cliquez sur Enregistrer.
3. Analyse et mise en place d'un modèle de
sécurité
Vérifier que des stratégies et procédures de sécurité
sont définies et mises en œuvre afin de protéger les ressources informatiques.
Avant de déployer un modèle de sécurité dans un grand nombre d'ordinateurs, il
est important d'analyser les résultats de l'application de la configuration afin
de s'assurer qu'elle n'a pas d'effet négatif sur les applications, la
connectivité ou la sécurité. Après les résultats, vous pouvez appliquer votre
modèle de sécurité pour reconfigurer la sécurité de votre système.
 |
Pour le chargement d'une stratégie de sécurité, dans
l'arborescence de la console d'administration, cliquez sur Configuration
et analyse de la sécurité, puis Ouvrir une base de données….Tapez
le nom de votre ordinateur puis Ouvrir. |
| Pour appliquer la stratégie de sécurité, faites un clic droit sur
Configuration et analyse de la sécurité, puis sur Configurer
l'ordinateur maintenant…. |
 |
 |
Pour l'analyse de la stratégie de sécurité, faites un clic
droit sur Configuration et analyse de la sécurité, puis sur
Analyser l'ordinateur maintenant….Validez le chemin proposé et
dans l'arborescence ainsi créer sous Configuration et analyse de la
sécurité, vérifiez l'état des paramètre que vous venez de définir. |
4. Suppression d'une stratégie de sécurité
Vous allez supprimer le paramètre de sécurité implémenté en appliquant le
modèle de sécurité de base.
Ouvrez l'outil d'administration Outils de sécurité.
| Faites un clic droit sur Configuration et analyse de la
sécurité, puis sur Importer un modèle.
Chargez le modèle basicsv.inf. |
 |
5. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Utilisation des modèles de stratégie de sécurité
