Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d'informations en








télécharger 1.21 Mb.
titreBienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d'informations en
page5/26
date de publication26.03.2017
taille1.21 Mb.
typeDocumentos
ar.21-bal.com > loi > Documentos
1   2   3   4   5   6   7   8   9   ...   26
représentant un contrôleur de domaine du réseau :

net time \\ /set /yes

Remarque : les ordinateurs exécutant un système d'exploitation autre que Windows doivent également synchroniser leurs horloges par rapport aux sources horaires externes pour permettre l'analyse des événements de journalisation, en fonction de l'heure. Pour plus d'informations, consultez dans la Base de connaissances Microsoft l'article Q216734 intitulé « How to Configure an Authoritative Time Server in Windows » (site en anglais).

Conception et implémentation d'une stratégie

Si vous devez réellement utiliser la stratégie de groupe, vous devez déterminer comment l'appliquer avec soin. Pour simplifier le processus d'application et de vérification des paramètres de sécurité d'une stratégie de groupe, nous vous recommandons d'appliquer les paramètres de sécurité :

Au niveau du domaine. Permet de répondre aux impératifs de sécurité courants, tels que les stratégies de compte et les stratégies d'audit à appliquer sur tous les serveurs.

Au niveau de l'unité d'organisation. Permet de répondre à des impératifs de sécurité de serveurs spécifiques qui ne sont pas communs à tous les serveurs du réseau. Par exemple, les impératifs de sécurité des serveurs d'infrastructure diffèrent de ceux des serveurs exécutant IIS.

Les paramètres de la stratégie de groupe qui affectent la sécurité sont divisés en plusieurs sections.

Tableau 3.2 : sections de la stratégie de groupe et objectif

Section de la stratégie

Description

Stratégie de compte/Stratégie de mot de passe

Âge, longueur et complexité du mot de passe configuré.

Stratégie de compte/Stratégie de déverrouillage de compte

Durée, seuil et réinitialisation des compteurs de déverrouillage configurés.

Stratégie de compte/Stratégie Kerberos

Durées de vie du ticket configurées.

Stratégies locales/Stratégie d'audit

Activation/désactivation de l'enregistrement d'événements spécifiques.

Stratégies locales/Droits des utilisateurs

Définition des droits tels que la connexion locale, l'accès à partir du réseau, etc.

Stratégies locales/Options de sécurité

Modification des valeurs du Registre spécifiques associées à la sécurité.

Journal des événements

Surveillance des succès et des échecs activée.

Groupes restreints

Les administrateurs peuvent contrôler les personnes qui appartiennent à un groupe spécifique.

Services système

Contrôle du mode Démarrage pour chaque service.

Registre

Configuration des autorisations sur les clés du Registre.

Système de fichiers

Configuration des autorisations sur les dossiers, les sous-dossiers et les fichiers.



Tous les ordinateurs sont dotés d'une stratégie locale prédéfinie. La création d'un domaine Active Directory s'accompagne toujours de la création de stratégies de domaines et de contrôleurs de domaine par défaut. Avant de pouvoir modifier les stratégies par défaut, il est important de documenter les paramètres qu'elles contiennent de façon à pouvoir revenir facilement à l'état d'origine en cas de problème.

Rôles du serveur

Pour ce guide, nous avons défini plusieurs rôles de serveur et créé des modèles de sécurité pour augmenter la sécurité de ces rôles.

Tableau 3.3 : rôles du serveur Windows 2000

Rôle du serveur

Description

Modèles de sécurité

Contrôleur de domaine Windows 2000

Contrôleur de domaine Active Directory

BaselineDC.inf

Serveur d'applications Windows 2000

Serveur membre verrouillé sur lequel il est possible d'installer un service tel qu'Exchange 2000. Pour que le service fonctionne correctement, il faut réduire la sécurité.

Baseline.inf

Serveur d'impression et de fichiers Windows 2000

Serveur d'impression et de fichiers verrouillé.

Baseline.inf et Incremental.inf de fichiers et d'impression

Serveur d'infrastructure Windows 2000

Serveur DNS, WINS (Windows Internet Name Service) et DHCP verrouillés.

Baseline.inf et Incremental.inf d'infrastructure

Serveur IIS Windows 2000

Serveur IIS verrouillé.

Baseline.inf et Incremental.inf IIS



Les impératifs de sécurité sont différents pour chacun des rôles. Les paramètres de sécurité appropriés pour chaque rôle sont présentés en détail au chapitre 4 « Sécurisation des serveurs en fonction de leur rôle ».

Remarque : dans ce guide, on considère que les serveurs jouent des rôles définis spécifiques. Si vos serveurs ne correspondent pas à ces rôles ou si vous disposez de serveurs multi-objectifs, servez-vous de ces paramètres comme directives pour créer vos propres modèles de sécurité. Gardez toutefois à l'esprit que plus vos serveurs exécutent de fonctions, plus ils risquent une attaque.

Structure Active Directory pour prendre en charge les rôles de serveur

Comme nous l'avons déjà mentionné, vous pouvez appliquer la stratégie de groupe de plusieurs façons, en utilisant des objets Stratégie de groupe multiples et à des niveaux hiérarchiques différents. Pour ce guide, nous avons défini plusieurs paramètres de stratégie de groupe qui serviront à sécuriser les différents rôles de serveur. Vous devrez vous assurer que votre structure Active Directory vous permet de les appliquer.

Pour vous aider à sécuriser votre environnement Windows 2000, nous avons prédéfini quelques modèles de sécurité qui peuvent être importés dans les objets Stratégie de groupe. Si vous souhaitez les utiliser tels quels, vérifiez que vous disposez de la structure Active Directory appropriée. Les objets Structure de groupe définis dans ce guide sont conçus pour fonctionner avec la structure de l'unité d'organisation illustrée dans le diagramme.



Figure 3.2

Structure de l'unité d'organisation à utiliser avec les objets Stratégie de groupe définis

Remarque : la structure des domaines est sans importance puisque la stratégie de groupe de l'unité d'organisation et du domaine ne s'applique qu'au domaine dans lequel elle a été définie. La structure des sites est également peu pertinente puisque les objets Stratégie de groupe ne sont pas définis au niveau du site dans ce guide.

Pour créer la structure de l'unité d'organisation

1. Démarrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le nom du domaine, sélectionnez Nouveau, puis Unité d'organisation.

3. Tapez Serveurs membres, puis cliquez sur OK.

4. Cliquez avec le bouton droit sur Serveurs membres, sélectionnez Nouveau, puis Unité d'organisation.

5. Tapez Serveurs d'application, puis cliquez sur OK.

6. Répétez les étapes 5 et 6 pour Serveurs de fichiers et d'impression, Serveurs IIS et Serveurs d'infrastructure.

Regardons en détail la structure de l'unité d'organisation.

Stratégie au niveau du domaine

La création d'un domaine Windows 2000 est assortie de celle d'une stratégie de domaine par défaut. Pour les paramètres de sécurité que vous souhaitez appliquer à l'ensemble du domaine, vous pouvez :

● créer une stratégie supplémentaire et la lier au-dessus de la stratégie par défaut ;

● modifier la stratégie par défaut existante.

La modification de la stratégie existante est en général plus simple ; la création d'une stratégie de domaine supplémentaire présente toutefois un avantage, à savoir que si une stratégie pose un problème, il est possible de la désactiver et de laisser ainsi la stratégie de domaine par défaut reprendre le contrôle.

Rappelez-vous que les domaines contiennent souvent des ordinateurs et des utilisateurs clients, ainsi que des serveurs. Par conséquent, si vous cherchez à verrouiller certains serveurs, vous serez souvent dans l'incapacité de définir des paramètres spécifiques au niveau du domaine. Dans la pratique, il vaut mieux limiter les paramètres de sécurité de votre serveur à ceux qui sont définis au niveau du domaine.

Dans ce guide d'exploitation, nous ne définissons pas de paramètres spécifiques au niveau du domaine puisque bon nombre d'entre eux, tels la longueur du mot de passe, seront modifiés en fonction de la stratégie de sécurité globale de votre organisation. Nous faisons toutefois quelques recommandations générales, que vous trouverez au chapitre 4, « Sécurisation des serveurs en fonction de leur rôle ».

Remarque : les stratégies de mot de passe et de compte affectent UNIQUEMENT les comptes de domaine si elles sont définies au niveau du domaine (autrement dit, vous ne pouvez configurer qu'une stratégie de compte et de mot de passe par domaine). Si ces stratégies sont définies au niveau de l'unité d'organisation ou ailleurs, elles n'affecteront que les comptes locaux. Pour plus d'informations, consultez dans la Base de connaissances Microsoft l'article Q259576 intitulé « Group Policy Application Rules for Domain Controllers » (site en anglais).

Unité d'organisation Serveurs membres

De nombreux paramètres de sécurité que vous définissez pour les serveurs membres doivent s'appliquer à chaque rôle de serveur membre. Pour simplifier ce processus, nous avons créé un modèle de sécurité de base, appelé Baseline.inf, que vous pouvez importer dans un objet Stratégie de groupe et appliquer à l'unité d'organisation Serveurs membres. Ces paramètres s'appliqueront à la fois à l'unité d'organisation Serveurs membres et à toute unité d'organisation enfant.

Unité d'organisation Contrôleurs de domaine

Windows 2000 est fourni avec une unité d'organisation Contrôleurs de domaine. Lorsqu'un serveur devient contrôleur de domaine, il est automatiquement placé ici et vous ne devez pas le supprimer car il pourrait provoquer des problèmes d'accès et de connexion.

Ce guide est accompagné d'un modèle de sécurité, appelé BaselineDC.inf, que vous pouvez importer dans un objet Stratégie de groupe et appliquer à l'unité d'organisation Contrôleurs de domaine. Vous pouvez choisir de l'appliquer en plus de l'objet Stratégie de groupe des contrôleurs de domaine par défaut ou simplement de modifier les paramètres de l'objet Stratégie de groupe des contrôleurs de domaine par défaut.

Unités d'organisation Rôles de serveur individuels

Les unités d'organisation Rôles de serveur individuels sont des unités d'organisation enfants de l'unité d'organisation Serveurs membres. Cela signifie que, par défaut, tous ces serveurs prendront les paramètres définis dans votre Stratégie de base des serveurs membres.

Si vous utilisez la stratégie de base pour sécuriser vos serveurs membres, vous devrez faire des modifications qui s'appliqueront à chaque rôle de serveur individuel. Pour cela, affectez les objets Stratégie de groupe à chaque unité d'organisation de rôle de serveur.

Ce guide est accompagné de modèles de sécurité que vous pouvez importer dans les objets Stratégie de groupe pour chaque unité d'organisation Rôle de serveur. Les rôles de serveur sont décrits en détail au chapitre 4 « Sécurisation des serveurs en fonction de leur rôle ».

Importation des modèles de sécurité

La procédure suivante importe les modèles de sécurité accompagnant ce guide dans la structure des unités d'organisation suggérée dans ce chapitre. Avant de l'implémenter sur un contrôleur de domaine, vous devez extraire le contenu du fichier SecurityOps.exe livré avec ce guide.

Avertissement : les modèles de sécurité de ce guide sont conçus pour augmenter la sécurité de votre environnement. Il est fort possible qu'en les installant, vous perdiez quelques fonctionnalités. Par exemple, la défaillance d'applications stratégiques. Il est donc ESSENTIEL que vous testiez ces modèles en détail avant de les déployer dans un environnement de production et que vous y apportiez les corrections nécessaires. Avant d'appliquer les nouveaux paramètres de sécurité, faites une sauvegarde de chaque contrôleur de domaine et de chaque serveur. Vérifiez que l'état du système est inclus dans la sauvegarde, car c'est là où se trouvent les données du Registre et, sur les contrôleurs de domaine il inclut également tous les objets des services Active Directory.

Remarque : si vous utilisez le Service Pack 2 pour Windows 2000, vous devrez d'abord appliquer le correctif décrit dans l'article Q295444 de la Base de connaissances Microsoft « SCE Cannot Alter a Service's SACL Entry in the Registry » (site en anglais) Sinon, les modèles de stratégie de groupe ne pourront pas désactiver de service.

Importation de la stratégie de base de contrôleur de domaine

1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Contrôleurs de domaine, puis sélectionnez Propriétés.

2. Dans l'onglet Stratégie de groupe, cliquez sur Nouveau pour ajouter un nouvel objet Stratégie de groupe.

3. Tapez Stratégie BaselineDC, puis appuyez sur Entrée.

4. Cliquez avec le bouton droit sur Stratégie BaselineDC, puis sélectionnez Aucun remplacement.

Remarque : cette action est obligatoire car la stratégie de contrôleur de domaine par défaut configure tous les paramètres de la stratégie d'audit sur Pas d'audit, à l'exception de la gestion des comptes. La priorité de la stratégie de contrôleur de domaine par défaut étant plus élevée, le paramètre Pas d'audit deviendra le paramètre effectif.

5. Cliquez sur Modifier.

6. Développez Paramètres Windows, cliquez avec le bouton droit sur Paramètres de sécurité, puis sélectionnez Importer une stratégie.

Remarque : si la commande Importer une stratégie n'apparaît pas dans le menu, fermez la fenêtre Stratégie de groupe et répétez les étapes 4 et 5.

7. Dans la boîte de dialogue Importer la stratégie à partir de, naviguez jusqu'à C:\SecurityOps\Templates, puis double-cliquez sur BaselineDC.inf.

8. Fermez Stratégie de groupe, puis cliquez sur Fermer.

9. Forcez la réplication entre vos contrôleurs de domaine pour que tous les contrôleurs de domaine aient la même stratégie.

10. Dans le Journal des événements, vérifiez que la stratégie a été téléchargée correctement et que le serveur peut communiquer avec les autres contrôleurs de domaine du domaine.

11. Redémarrez chaque contrôleur de domaine un par un pour vous assurer qu'il se réamorce correctement.
1   2   3   4   5   6   7   8   9   ...   26

similaire:

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Résumé Ce document contient des informations sur le fournisseur Microsoft...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Guide du pack d’administration dhcp windows Server pour Operations Manager 2007

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Résumé Ce guide contient des informations sur les performances et...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Guide du pack d'administration des services Terminal Server pour Operations Manager 2007

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\La notion de mondialisation : internationalisation et interdépendance des économies
«mondialisation et globalisation». Dans le Harper Collins Dictionary of sociology, la mondialisation est définie comme «un processus...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Résumé Ce guide contient des informations sur l'utilisation de Microsoft...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Chapitre 4 : Bienvenue dans le monde de l’entreprise 0

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Résumé Ce guide présente la manière dont Exchange Server 2003 Management...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Installation de BizTalk Server 2010 sur Windows 7 et Windows Vista...

Bienvenue dans le Guide des opérations sur la sécurité de Windows 2000 Server. Dans un monde de plus en plus interconnecté, la disponibilité d\Renseignements sur les opérations de recherche opérations réalisées...
...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com