Guide de sécurité Windows Vista

Chapitre 1 : Implémentation de la ligne de base de sécurité

Paru le 08 novembre 2006

Windows Vista™ est le système d'exploitation le plus sécurisé que Microsoft ait créé à ce jour. Toutefois, vous pourriez avoir à effectuer des modifications de configuration spécifiques afin de répondre aux exigences réseau de votre environnement. Ce chapitre montre qu'il est relativement facile de configurer des paramètres de sécurité pour renforcer les ordinateurs clients, exécutant le système d'exploitation par défaut, qui sont ajoutés à un domaine utilisant le service d'annuaire Active Directory®.

Ce chapitre fournit un ensemble de procédures pour mettre en oeuvre les paramètres de sécurité recommandés et améliorer la sécurité par défaut du système d'exploitation. Les procédures rationalisées présentes dans ce chapitre offrent un moyen rapide et efficace de renforcer les ordinateurs clients Windows Vista dans votre environnement.

Vous pouvez désormais renforcer le système d'exploitation par défaut en utilisant uniquement des objets de stratégie de groupe (GPO). Les instructions Microsoft antérieures recommandaient d'importer les fichiers Security Template .inf et de faire une importante modification manuelle de la partie Modèles d'administration de plusieurs objets GPO. Il n'est plus nécessaire de travailler sur ces fichiers et ces modèles. Cependant, les fichiers Security Template .inf accompagnent toujours ce guide afin que vous puissiez les utiliser pour renforcer les ordinateurs clients autonomes. Tous les paramètres de la stratégie de groupe recommandés sont documentés dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».

Pour déployer ces instructions, vous devez :

  • Créer une structure d'unités d'organisation (UO) pour votre environnement.
  • Exécuter le script GPOAccelerator.wsf qui accompagne ce guide.
  • Utiliser la console de gestion des stratégies de groupe (GPMC) pour relier et gérer les objets GPO.

  Avertissement :

Il est primordial de bien tester la conception de vos UO et de vos objets GPO avant de les déployer dans un environnement de production. La section « Implémentation des stratégies de sécurité » dans ce chapitre fournit des procédures détaillées que vous pouvez utiliser pour créer et déployer la structure des UO et les objets GPO de sécurité pendant les phases de test et de production de l'implémentation.

Les objets GPO de la ligne de base qui accompagnent ce guide forment une combinaison de paramètres testés qui améliorent la sécurité des ordinateurs clients exécutant Windows Vista dans les deux environnements distincts suivants :

  • Client Entreprise (CE)
  • Sécurité spécialisée – Fonctionnalité limitée (SSFL)

Ce chapitre traite de l'environnement CE. Pour une explication de l'environnement SSFL et du processus utilisé pour appliquer les paramètres de sécurité qui lui sont spécifiques, veuillez-vous reporter au Chapitre 5 « Sécurité spécialisée – Fonctionnalité limitée ».

Sur cette page

Environnement Client Enterprise Environnement Client Enterprise
Concept de sécurité et implémentation Concept de sécurité et implémentation
L'outil GPOAccelerator Tool L'outil GPOAccelerator Tool
Plus d'informations Plus d'informations

Environnement Client Enterprise

L'environnement Client Enterprise (CE) auquel ce chapitre fait référence est un domaine utilisant le service d'annuaire Active Directory® dans lequel des ordinateurs exécutant Microsoft® Windows Server® 2003 R2 ou Windows Server 2003 avec Service Pack 1 (SP1) et Active Directory gèrent les ordinateurs clients qui peuvent exécuter Windows Vista ou Windows XP®. Les ordinateurs clients sont gérés dans cet environnement via la stratégie de groupe, qui est appliquée aux sites, aux domaines et aux UO. La stratégie de groupe fournit une infrastructure centralisée dans Active Directory qui permet, en se basant sur les répertoires, de configurer et de modifier les paramètres de l'utilisateur et de l'ordinateur, y compris les données utilisateur et les données de sécurité.

Haut de page Haut de page

Concept de sécurité et implémentation

Le concept de sécurité recommandé dans ce chapitre constitue le point de départ des scénarios de ce guide et des méthodes de réduction des risques. Les sections suivantes de ce chapitre détaillent le concept central de sécurité du guide et fournissent des procédures pour tester et implémenter le concept de sécurité sur les ordinateurs qui exécutent Windows Vista :

  • Conception d'UO pour les stratégies de sécurité
  • Conception d'objets GPO pour les stratégies de sécurité
  • Implémentation des stratégies de sécurité

Conception d'UO pour les stratégies de sécurité

Une UO est un conteneur dans un domaine qui utilise Active Directory. Une UO peut contenir des utilisateurs, des groupes, des ordinateurs et d'autres UO. Si une UO contient d'autres UO, il s'agit d'une UO parent. Une UO contenue dans une UO parent est une UO enfant.

Vous pouvez lier un objet GPO à une UO, qui appliquera ensuite les paramètres de l'objet GPO aux utilisateurs et aux ordinateurs qui sont contenus dans cette UO et dans ses UO enfants. Et pour faciliter l'administration, vous pouvez déléguer une autorité d'administration à chaque UO.

Les UO constituent un moyen simple de regrouper les utilisateurs et les ordinateurs afin de fournir une méthode efficace de définition des frontières d'administration. Microsoft recommande aux entreprises d'affecter les utilisateurs et les ordinateurs à des unités d'organisation distinctes, car certains paramètres ne s'appliquent qu'aux utilisateurs et d'autres ne s'appliquent qu'aux ordinateurs.

De même, vous pouvez déléguer le contrôle d'un groupe ou d'une UO individuelle à l'aide l'Assistant Délégation, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console). Vous trouverez des liens vers la documentation sur la délégation d'autorité dans la section « Informations complémentaires » à la fin de ce chapitre.

L'un des principaux objectifs de la création d'une UO pour un environnement quelconque est de fournir une base pour l'implémentation d'une stratégie de groupe transparente qui s'appliquera à tous les ordinateurs clients dans Active Directory. Ceci permet de s'assurer que les ordinateurs clients répondent aux normes de sécurité de votre organisation. L'UO doit avoir une structure adéquate pour abriter les paramètres de sécurité pour des types d'utilisateurs spécifiques au sein d'une entreprise. Par exemple, les développeurs peuvent avoir besoin d'un type d'accès à leurs ordinateurs dont les simples utilisateurs n'ont pas besoin. De plus, il est possible que les utilisateurs d'ordinateurs portables aient des exigences de sécurité différentes de celles des utilisateurs d'ordinateurs de bureau. La figure suivante illustre une structure d'UO simple, qui convient pour la stratégie de groupe présentée dans ce chapitre. La structure d'UO peut différer des exigences applicables à l'environnement de votre organisation.

Figure 1.1 Exemple de structure d'UO pour les ordinateurs exécutant Windows Vista

Figure 1.1 Exemple de structure d'UO pour les ordinateurs exécutant Windows Vista

UO par service

Parce que les exigences de sécurité varient souvent au sein d'une même organisation, il peut s'avérer utile de créer des UO pour chaque service de votre environnement. Vous pouvez utiliser ce type d'UO pour appliquer des paramètres de sécurité via un objet GPO pour des ordinateurs et des utilisateurs dans leurs UO de service respectives.

UO Utilisateurs Windows Vista

Cette UO contient les comptes utilisateurs pour l'environnement EC. Les paramètres que vous appliquez à cette UO sont détaillés dans l'Annexe A « Paramètres de stratégie de groupe de sécurité ».

UO Ordinateurs Windows Vista

Cette UO contient les UO enfants pour chaque type d'ordinateur client qui exécute Windows Vista dans l'environnement EC. Ce guide traite principalement des les instructions de sécurité relatives aux ordinateurs de bureau et aux ordinateurs portables. C'est pourquoi les ingénieurs qui ont élaboré ce guide ont créé les UO ordinateurs suivantes :

  • UO Bureau. Cette UO contient tous les ordinateurs de bureau qui restent connectés en permanence au réseau. Les paramètres appliqués à cette UO sont décrits en détail dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».
  • UO Portable. Cette UO comporte tous les ordinateurs portables des utilisateurs nomades qui ne sont pas connectés en permanence au réseau. L'Annexe A fournit également des détails sur les paramètres qui s'appliquent à cette UO.

Conception d'objets GPO pour les stratégies de sécurité

Un objet GPO est un ensemble de paramètres de stratégie de groupe qui sont essentiellement les fichiers créés par le composant logiciel enfichable de stratégie de groupe. Les paramètres sont stockés au niveau du domaine et affectent les utilisateurs et les ordinateurs contenus dans les sites, les domaines et les UO.

Vous pouvez utiliser les objets GPO pour vous assurer que des paramètres de stratégie, des droits utilisateur et un comportement d'ordinateur spécifiques s'appliquent à tous les ordinateurs clients ou utilisateurs contenus dans une UO. L'utilisation de la stratégie de groupe au lieu d'un processus de configuration manuelle simplifie la gestion et la mise à jour des modifications pour de nombreux ordinateurs et utilisateurs. La configuration manuelle est non seulement longue et coûteuse car elle nécessite qu'un technicien se déplace auprès de chaque ordinateur client, mais elle peut également s'avérer inefficace. La raison principale est que si les paramètres des objets GPO de domaine sont différents de ceux qui sont appliqués localement, les paramètres des objets GPO de domaine les écraseront.

Figure 1.2 Ordre de priorité des objets GPO

Figure 1.2 Ordre de priorité des objets GPO

La figure précédente montre l'ordre de priorité suivant lequel les objets GPO sont appliqués à un ordinateur membre de l'UO enfant, du niveau le plus faible (1) au plus élevé (5). La stratégie de groupe est d'abord appliquée à partir de la stratégie de sécurité locale de chaque ordinateur client qui exécute Windows Vista. Une fois la stratégie de sécurité locale appliquée, les objets GPO sont ensuite appliqués au niveau du site puis au niveau du domaine.

Dans le cas des ordinateurs clients Windows Vista intégrés dans plusieurs couches d'UO, les objets GPO sont appliqués du niveau de l'UO parent le plus élevé dans la hiérarchie au niveau UO enfant le plus faible. Le dernier objet GPO est appliqué à partir de l'UO contenant l'ordinateur client. Cet ordre de traitement des objets GPO (stratégie de sécurité locale, site, domaine, UO parent et UO enfant) est particulièrement important dans la mesure où les objets GPO appliqués en dernier dans le processus écrasent ceux qui ont été appliqués précédemment. Les objets GPO utilisateurs sont appliqués de la même manière.

Tenez compte des aspects suivants lorsque vous concevez la stratégie de groupe :

  • Un administrateur doit définir l'ordre suivant lequel plusieurs objets GPO sont liés à une UO ou la stratégie de groupe s'appliquera par défaut dans l'ordre selon lequel elle a été liée à l'UO. Si plusieurs stratégies spécifient le même paramètre, c'est la stratégie la plus élevée dans la liste des stratégies du conteneur qui aura priorité.
  • Vous pouvez configurer un objet GPO avec l'option Forcé. Si vous choisissez cette option, d'autres objets GPO ne peuvent pas écraser les paramètres configurés dans cet objet GPO.

    Remarque   Dans Windows 2000, l'option Forcé est appelée Ne pas passer outre.

  • Vous pouvez configurer un site, un domaine ou une UO Active Directory avec l'option Bloquer l'héritage de stratégies. Cette option bloque les paramètres GPO issus d'objets GPO qui sont plus élevés dans la hiérarchie Active Directory, sauf si l'option Forcé est sélectionnée. En d'autres termes, l'option Forcé a la priorité sur l'option Bloquer l'héritage de stratégies.
  • Les paramètres de stratégie de groupe s'appliquent aux utilisateurs et aux ordinateurs en fonction de l'emplacement de l'objet utilisateur ou ordinateur dans Active Directory. Dans certains cas, les objets utilisateur requièrent une stratégie particulière, en fonction de l'emplacement de l'objet ordinateur et non de celui de l'objet utilisateur. La fonctionnalité Mode de traitement par boucle de la stratégie de groupe utilisateur donne à l'administrateur la possibilité d'appliquer des paramètres de stratégie de groupe utilisateur en fonction de l'ordinateur sur lequel l'utilisateur est connecté. L'article « Traitement en boucle de la stratégie de groupe » fournit plus d'informations sur cette option.

Objets GPO recommandés

L'implémentation de la structure d'UO décrite ci-dessus nécessite un minimum de quatre objets GPO :

  • Une stratégie pour le domaine
  • Une stratégie pour l'UO Utilisateurs Windows Vista
  • Une stratégie pour l'UO Bureau
  • Une stratégie pour l'UO Portable

La figure suivante développe la structure d'UO préliminaire afin de démontrer le lien entre ces objets GPO et la structure d'UO.

Figure 1.3 Exemple de structure d'UO et de liens d'objets GPO pour les ordinateurs exécutant Windows Vista

Figure 1.3 Exemple de structure d'UO et de liens d'objets GPO pour les ordinateurs exécutant Windows Vista

Dans l'exemple de la figure 1.3, les ordinateurs portables sont membres de l'UO Portable. La première stratégie appliquée est la stratégie de sécurité locale sur les ordinateurs portables. Dans la mesure où il n'y a qu'un seul site dans cet exemple, aucun objet GPO n'est appliqué au niveau du site et la stratégie qui est appliquée immédiatement après est par conséquent l'objet GPO de domaine. Enfin, l'objet GPO Portable est appliqué.

Remarque   La Stratégie Bureau n'est pas appliquée aux portables car elle n'est pas liée à quelque UO que ce soit dans la hiérarchie qui contient l'UO Portable.

Pour donner un exemple des priorités, imaginez un scénario dans lequel le paramètre de stratégie Autoriser l'ouverture de session par les services Terminal Server est défini pour s'appliquer aux unités d'organisation et aux groupes utilisateurs suivants :

  • UO Ordinateurs Windows Vista – groupe Administrateurs
  • UO Portable – groupes Utilisateurs du Bureau à distance et Administrateurs

Dans cet exemple, l'utilisateur dont le compte fait partie du groupe Utilisateurs du Bureau à distance peut se connecter sur un ordinateur portable via les services Terminal Server car l'UO Portable est un enfant de l'UO Ordinateurs Windows Vista et la stratégie de l'UO enfant a la priorité.

Si vous activez l'option de stratégie Ne pas passer outre dans l'objet GPO de l'UO Ordinateurs Windows Vista, seuls les utilisateurs dont le compte appartient au groupe Administrateurs peuvent se connecter à l'ordinateur portable via les services Terminal Server. En effet, l'option Ne pas passer outre empêche la stratégie de l'UO enfant d'écraser la stratégie appliquée préalablement dans le processus.

Implémentation des stratégies de sécurité

L'implémentation de la sécurité pour les deux environnements décrits dans ce guide requiert l'utilisation de la console de gestion des stratégies de groupe (GPMC) ainsi que des scripts GPMC. La console GPMC est intégrée au système d'exploitation Windows Vista, ainsi vous n'avez pas à télécharger et à installer la console à chaque fois que vous devez gérer les objets GPO sur un ordinateur différent. Contrairement aux instructions de sécurité applicables aux systèmes d'exploitation antérieurs, celles qui sont recommandées dans ce guide pour Windows Vista automatisent considérablement le processus de test et d'implémentation de la sécurité dans l'environnement EC. Ces instructions ont été développées et testées afin de vous offrir le processus le plus efficace possible pour réduire la charge de travail associée au processus d'implémentation.

Important   Vous devez effectuer toutes les procédures décrites dans ce guide sur un ordinateur client exécutant Windows Vista qui est lié à un domaine utilisant Active Directory. De plus, l'utilisateur qui exécute les procédures doit disposer des privilèges d'administrateur de domaine. Si vous utilisez les systèmes d'exploitation Microsoft Windows® XP ou Windows Server® 2003, les paramètres de sécurité spécifiques à Windows Vista ne seront pas visibles dans la console GPMC.

Pour implémenter la sécurité, il y a trois tâches à effectuer :

  1. créer l'environnement CE ;
  2. utiliser la console GPMC pour lier la stratégie de domaine EC VSG (GSV CE) au domaine ;
  3. utiliser la console GPMC pour vérifier vos résultats.

Cette section du chapitre décrit les tâches et les procédures ainsi que la fonctionnalité du script GPOAccelerator.wsf qui crée automatiquement les objets GPO recommandés.

Le script GPOAccelerator.wsf

L'outil clé que le fichier Windows Vista Security Guide.msi installe pour vous est le script GPOAccelerator.wsf. La caractéristique principale de ce script est qu'il crée automatiquement tous les objets GPO dont vous avez besoin pour appliquer les présentes instructions. Vous n'avez pas à passer beaucoup de temps à modifier manuellement les paramètres de stratégie et à appliquer les modèles. Pour les ordinateurs clients dans l'environnement EC, le script crée les quatre objets GPO suivants :

  • Stratégie de domaine EC VSG (GSV CE) pour le domaine.
  • Stratégie Utilisateurs EC VSG (GSV CE) pour les utilisateurs.
  • Stratégie Bureau EC VSG (GSV CE) pour les ordinateurs de bureau.
  • Stratégie Portable EC VSG (GSV CE) pour les ordinateurs portables.

Important   Pour mettre en oeuvre avec succès la sécurité recommandée dans ce guide pour l'environnement CE, assurez-vous de bien la tester avant de la déployer dans votre environnement de production.

Utilisez le script GPOAccelerator.wsf pour :

  • Tester la conception dans un environnement de laboratoire. Dans votre environnement de test, utilisez le script GPOAccelerator.wsf pour créer une structure d'UO, créez les objets GPO, puis liez automatiquement les objets GPO aux UO. Après avoir effectué la phase de test de l'implémentation, vous pouvez utiliser le script dans votre environnement de production.
  • Déployer la conception dans un environnement de production. Lorsque vous commencez à implémenter la solution dans votre environnement de production, vous devez d'abord créer une structure d'UO adaptée ou modifier un ensemble d'UO existant. Vous pouvez ensuite utiliser le script GPOAccelerator.wsf pour créer les objets GPO, puis lier les objets GPO nouvellement créés aux UO appropriées dans votre environnement.

Tester la conception dans un environnement de laboratoire

Les objets GPO fournis dans ce guide ont été testés de manière approfondie. Cependant, il est important que vous exécutiez vos propres tests dans votre propre environnement. Pour gagner du temps, vous pouvez utiliser le script GPOAccelerator.wsf pour créer les objets GPO et la structure d'UO recommandés, puis lier automatiquement les objets GPO aux UO.

Tâche 1 : Créer l'environnement EC.

Le script GPOAccelerator.wsf est situé dans le dossier Windows Vista Security Guide\
GPOAccelerator Tool, créé par le fichier Microsoft Windows Installer (.msi).

Remarque Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme décrit dans la procédure suivante.

Pour créer les objets GPO et les lier aux UO appropriées dans un environnement de laboratoire

  1. Ouvrez une session en tant qu'administrateur de domaine sur un ordinateur exécutant Windows Vista qui est lié au domaine utilisant Active Directory dans lequel vous créerez les objets GPO.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, sur Tous les programmes puis sur Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec des privilèges administrateur complets.

    Remarque   Si vous devez indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE

  5. À l'invite de commande, entrez cscript GPOAccelerator.wsf /Enterprise /LAB puis appuyez sur ENTRÉE.
  6. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Remarque   Cette étape peut prendre plusieurs minutes.

  7. Dans la boîte de message The Enterprise Lab Environment is created (L'Environnement de laboratoire de l'entreprise est créé), cliquez sur OK.
  8. Dans la boîte de message Make sure to link the Enterprise Domain GPO to your domain (Assurez-vous de lier le GPO de domaine de l'entreprise à votre domaine), cliquez sur OK puis effectuez les étapes de la tâche suivante pour lier la stratégie de domaine EC VSG (GSV CE).

    Remarque   La stratégie de groupe au niveau du domaine comporte des paramètres qui s'appliquent à tous les ordinateurs et à tous les utilisateurs du domaine. Il est important de savoir à quel moment lier l'objet GPO de domaine puisque ce dernier s'applique à tous les utilisateurs et ordinateurs. C'est pourquoi le script GPOAccelerator.wsf ne lie pas automatiquement l'objet GPO de domaine au domaine.

Tâche 2 : utiliser la console GPMC pour lier la stratégie de domaine EC VSG (GSV CE) au domaine ;

Vous êtes maintenant prêt à lier l'objet GPO au domaine. Les instructions suivantes indiquent comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour lier la stratégie de domaine EC VSG (GVS CE) au domaine.

Pour lier la stratégie de domaine EC VSG (GSV CE)

  1. Cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Accessoires, Exécuter. (Ou appuyez sur la touche Windows + R.)
  2. Dans la zone de texte Ouvrir, tapez gpmc.msc, puis cliquez sur OK.
  3. Dans l'arborescence des domaines, cliquez avec le bouton droit sur le domaine puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  4. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO de la Stratégie de domaine EC VSG (GSV CE), puis cliquez sur OK.
  5. Dans le volet d'informations, sélectionnez la Stratégie de domaine EC VSG (GSV CE) et cliquez sur le bouton Placer le lien en premier.
  6. Important   Vérifiez que le paramètre Ordre des liens de la Stratégie de domaine EC VSG (GSV CE) a pour valeur 1. À défaut, ceci entraînera un écrasement des paramètres du Guide de sécurité Windows Vista par les autres GPO liés au domaine, tel que le GPO de la stratégie de domaine par défaut.

Tâche 3 : Utiliser la console GPMC pour vérifier vos résultats.

Vous pouvez utiliser la console GPMC pour vérifier les résultats du script. La procédure suivante indique comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour vérifier les objets GPO ou la structure d'UO que le script GPOAccelerator.wsf script crée pour vous.

Pour vérifier les résultats du script GPOAccelerator.wsf

  1. Cliquez sur le bouton Démarrer de Windows Vista, sélectionnez Tous les programmes, Accessoires, puis cliquez sur Exécuter.
  2. Dans la zone de texte Ouvrir, entrez gpmc.msc, puis cliquez sur OK.
  3. Cliquez sur la forêt appropriée, cliquez sur Domaines, puis cliquez sur votre domaine.
  4. Cliquez et développez Vista Security Guide EC Client OU (UO client CE du guide de sécurité de Vista), puis cliquez sur chacune des cinq unités d'organisation au-dessous pour les ouvrir.
  5. Vérifiez que votre structure d'UO et que les liens d'objets GPO correspondent à la figure suivante.

    Figure 1.4 Vue de la console GPMC de la structure d'UO et des liens d'objets GPO créés par le script GPOAccelerator.wsf

    Figure 1.4 Vue de la console GPMC de la structure d'UO et des liens d'objets GPO créés par le script GPOAccelerator.wsf

Tous les objets GPO créés par le script GPOAccelerator.wsf sont complétés par les paramètres que ce guide recommande. Désormais, vous pouvez utiliser l'outil Utilisateurs et ordinateurs Active Directory pour tester la sécurité en déplaçant les utilisateurs et les ordinateurs vers leurs UO respectives. Pour plus de détails sur les paramètres contenus dans chaque objet GPO, reportez-vous à l'Annexe A « Paramètres de stratégie de groupe de sécurité ».

Déployer la conception dans un environnement de production

Pour gagner du temps, vous pouvez utiliser le script GPOAccelerator.wsf afin de créer les objets GPO pour l'environnement EC. Ensuite, vous pouvez lier les objets GPO aux UO appropriées dans votre structure existante. Dans des domaines plus étendus comportant un grand nombre d'UO, vous devrez réfléchir à la manière d'utiliser votre structure d'UO existante pour déployer les objets GPO.

Si possible, vous devez maintenir les UO ordinateurs et les UO utilisateurs séparées. Les ordinateurs portables et les ordinateurs de bureau doivent également être organisés dans leurs UO respectives. Si une telle structure est impossible dans votre environnement, vous devrez peut-être modifier les objets GPO. Vous pouvez utiliser la référence des paramètres dans l'annexe A, « Paramètres de stratégie de groupe de sécurité », pour vous aider à déterminer quelles seraient les modifications nécessaires.

Remarque   Comme décrit dans la section précédente, vous pouvez utiliser le script GPOAccelerator.wsf avec
l'option /LAB dans un environnement de test pour créer la structure d'UO donnée en exemple. Cependant, les environnements dont la structure d'UO est flexible peuvent également utiliser l'option dans un environnement de production pour créer une structure d'UO de base et lier automatiquement les objets GPO. Ensuite, vous pouvez modifier manuellement la structure d'UO pour répondre aux besoins de votre environnement.

Tâche 1 : Créer les objets GPO

Vous créez les objets GPO CE décrits dans ce guide à l'aide du script GPOAccelerator.wsf Le script GPOAccelerator.wsf est situé dans le dossier Windows Vista Security Guide\GPOAccelerator Tool que le fichier Microsoft Windows Installer (.msi) crée pour vous.

Remarque   Vous pouvez aussi tout simplement copier le répertoire GPOAccelerator Tool à partir d'un ordinateur où le répertoire est installé vers un autre ordinateur que vous souhaitez utiliser pour exécuter le script. Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme décrit dans la procédure suivante.

Pour créer les objets GPO dans un environnement de production

  1. Ouvrez une session en tant qu'administrateur de domaine sur un ordinateur exécutant Windows Vista qui est lié au domaine utilisant Active Directory dans lequel vous créerez les objets GPO.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en mode administrateur pour ouvrir une invite de commande avec des privilèges d'administrateur complets.

    Remarque   Si vous devez indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe, puis appuyez sur ENTRÉE.

  5. À l'invite de commande, entrez cscript GPOAccelerator.wsf /Enterprise, puis appuyez sur ENTRÉE.
  6. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Remarque   Cette étape peut prendre plusieurs minutes.

  7. Dans la boîte de message The Enterprise GPOs are created (les objets GPO entreprise sont créés), cliquez sur OK.
  8. Dans la boîte de message Make sure to link the Enterprise GPOs to the appropriate OUs (Assurez-vous de lier les objets GPO entreprise aux UO appropriées), cliquez sur OK.

Tâche 2 : Utiliser la console GPMC pour vérifier vos résultats.

Vous pouvez utiliser la console GPMC pour vous assurer que le script a bien créé tous les objets GPO. La procédure suivante explique comment utiliser la console GPMC sur un ordinateur client exécutant Windows Vista pour vérifier les objets GPO que le script GPOAccelerator.wsf crée.

Pour vérifier les résultats du script GPOAccelerator.wsf

  1. Cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Accessoires et Exécuter.
  2. Dans la zone de texte Ouvrir, entrez gpmc.msc, puis cliquez sur OK.
  3. Cliquez sur la forêt appropriée, cliquez sur Domaines, puis cliquez sur votre domaine.
  4. Cliquez sur les Objets de stratégie de groupe et développez-les, puis vérifiez que les quatre objets GPO EC VSG (GSV CE) ont bien été créés suivant la liste qui apparaît dans la figure suivante.

Figure 1.5 Vue de la console GPMC des objets GPO CE que le script GPOAccelerator.wsf crée

Figure 1.5 Vue de la console GPMC des objets GPO CE que le script GPOAccelerator.wsf crée

Vous pouvez maintenant utiliser la console GPMC pour lier chaque objet GPO à l'UO appropriée. La dernière tâche du processus indique comment effectuer cette opération.

Tâche 3 : Utiliser la console GPMC pour lier les objets GPO aux UO

La procédure suivante indique comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour réaliser cette tâche.

Pour lier les objets GPO dans un environnement de production

  1. Cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Accessoires et Exécuter.
  2. Dans la zone de texte Ouvrir, entrez gpmc.msc, puis cliquez sur OK.
  3. Dans l'arborescence des domaines, cliquez avec le bouton droit de la souris sur le domaine, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  4. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO de la Stratégie de domaine EC VSG (GSV CE), puis cliquez sur OK.
  5. Dans le volet d'informations, sélectionnez la Stratégie de domaine EC VSG (GSV CE) et cliquez sur le bouton Placer le lien en premier.

    Important   Vérifiez que le paramètre Ordre des liens de la Stratégie de domaine EC VSG (GSV CE) a pour valeur 1. À défaut, ceci entraînera un écrasement des paramètres du Guide de sécuritéWindows Vista par les autres GPO liés au domaine, tel que l'objet GPO de la stratégie de domaine par défaut.

  6. Cliquez avec le bouton droit de la souris sur le nœud UO Utilisateurs Windows Vista, puis sélectionnez l'option Link an existing GPO (Lier un objet GPO existant).
  7. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO de la Stratégie de domaine EC VSG (GSV CE), puis cliquez sur OK.
  8. Cliquez avec le bouton droit de la souris sur le nœud UO Bureau, puis sélectionnez l'option Link an existing GPO (Lier un objet GPO existant).
  9. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO de la Stratégie de domaine EC VSG (GSV CE), puis cliquez sur OK.
  10. Cliquez avec le bouton droit de la souris sur le nœud UO Portable, puis sélectionnez l'option Link an existing GPO (Lier un objet GPO existant).
  11. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO de la Stratégie de domaine EC VSG (GSV CE), puis cliquez sur OK.
  12. Recommencez ces opérations pour toute UO ordinateur ou utilisateur supplémentaire que vous créez pour lier ces UO supplémentaires aux objets GPO appropriés.

Remarque   Vous pouvez également faire glisser un objet GPO depuis le nœud Objets de stratégie de groupe vers une UO. Cependant, vous ne pourrez réaliser cette opération de glisser-déplacer qu'au sein d'un même domaine.

Pour confirmer les liens d'objets GPO à l'aide de la console GPMC

  • Développez le nœud Objets de stratégie de groupe, sélectionnez l'objet GPO, puis dans le volet d'informations, cliquez sur l'onglet Étendue et notez les informations dans les colonnes Lien activé et Chemin d'accès.

– ou –

  • Sélectionnez l'unité d'organisation, puis dans le volets d'informations, cliquez sur l'onglet Objets de stratégie de groupe liés et notez les informations dans les colonnes Lien activé et Objet GPO.

Remarque   Vous pouvez utiliser la console GPMC pour supprimer la liaison entre les objets GPO et éventuellement supprimer les objets eux-mêmes. Utilisez ensuite la console GPMC ou la console Utilisateurs et Ordinateurs Active Directory pour supprimer toute UO dont vous n'avez plus besoin. Pour annuler toutes les modifications de Active Directory faites par le script GPOAccelerator.wsf, vous devez supprimer manuellement le fichier EC-VSGAuditPolicy.cmd, le fichier EC-ApplyAuditPolicy.cmd et le fichier EC-AuditPolicy.txt du partage Accès réseau de l'un de vos contrôleurs de domaine. Pour plus de détails sur la manière de supprimer complètement l'implémentation de la stratégie d'audit, reportez-vous à la section « Stratégie d'audit » dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».

Tous les objets GPO créés par le script GPOAccelerator.wsf sont complétés par les paramètres recommandés par ce guide. Vous pouvez maintenant utiliser l'outil Utilisateurs et Ordinateurs Active Directory pour tester le concept en déplaçant les utilisateurs et les ordinateurs vers leurs UO respectives. Pour plus de détails sur les paramètres contenus dans chaque objet GPO, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».

Migration des objets GPO vers un domaine différent (facultatif)

Si vous avez modifié les objets GPO dans cette solution ou si vous avez créé vos propres objets GPO et que vous souhaitiez les utiliser dans plusieurs domaines, vous devrez effectuer une migration des objets GPO. Le fait de déplacer un objet GPO qui fonctionne dans un domaine vers un autre domaine requiert une certaine organisation, mais la procédure de base est plutôt simple. Deux aspects importants au niveau des objets GPO doivent être pris en compte lors du processus de planification :

  • Données complexes. Les données qui composent un objet GPO sont complexes et elles sont stockées à divers emplacements. L'utilisation de la console GPMC pour faire migrer un objet GPO permet de s'assurer que toutes les données pertinentes ont correctement migré.
  • Données spécifiques au domaine. Certaines données dans l'objet GPO peuvent être spécifiques au domaine et peuvent ne pas être valides si vous les copiez directement vers un autre domaine. Pour résoudre ce problème, la console GPMC utilise des tables de migration qui vous permettent de mettre à jour des données spécifiques à un domaine dans l'objet GPO avec de nouvelles valeurs dans le cadre du processus de migration. Vous ne devez effectuer cette opération que si l'objet GPO contient un identificateur de sécurité (SID) ou des chemins d'accès de convention d'affectation des noms (UNC) spécifiques à un domaine.

Des informations supplémentaires sur la migration des objets GPO sont disponibles dans l'Aide de la console GPMC. Le livre blanc relatif à la migration inter-domaines des objets GPO à l'aide de la console GPMC (Migrating GPOs Across Domains with GPMC, disponible en anglais) fournit des informations supplémentaires sur la migration d'objets GPO entre domaines.

Haut de page Haut de page

L'outil GPOAccelerator Tool

Les outils et les modèles qui accompagnent ce guide comprennent des scripts et des Modèles de sécurité. Cette section contient des informations générales sur ces ressources. L'outil clé qui exécute le script principal de ces instructions de sécurité est GPOAccelerator.wsf, situé dans le dossier Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Cette section contient également des informations concernant la modification la console GPMC pour afficher les paramètres d'objet GPO et la structure de sous-répertoires ainsi que les types de fichiers qui accompagnent ce guide. Le fichier Paramètres du Guide de sécurité Vista.xls qui accompagne également ce guide offre une autre ressource que vous pouvez utiliser pour comparer les valeurs de paramétrage.

Extensions GPMC et ECS

La solution présentée dans ce guide utilise des paramètres d'objets GPO qui ne sont pas affichés dans l'interface utilisateur (IU) standard pour la console GPMC dans Windows Vista ou dans l'outil Éditeur de configuration de sécurité (ECS). Ces paramètres, qui comportent tous le préfixe MSS:, ont été développés par le groupe Microsoft Solutions for Security pour des instructions de sécurité antérieures.

Important   Les extensions ECS et le script GPOAccelerator.wsf sont conçus pour être exécutés à partir d'un ordinateur Windows Vista. Ces outils ne fonctionneront pas correctement si vous essayez de les exécuter à partir d'un ordinateur qui utilise Windows XP ou Windows Server 2003.

C'est pourquoi vous devez développer ces outils afin de pouvoir afficher les paramètres de sécurité et les modifier en fonction de vos besoins. Pour ce faire, le script GPOAccelerator.wsf met automatiquement à jour votre ordinateur tandis qu'il crée les objets GPO. Si vous souhaitez gérer les objets GPO du Guide de sécurité Vista de Windows à partir d'un ordinateur qui exécute Windows Vista, utilisez la procédure suivante pour mettre à jour les ECS sur cet ordinateur.

Pour modifier l'ECS afin d'afficher les paramètres MSS

  1. Assurez-vous de remplir les conditions suivantes :

    • L'ordinateur est lié au domaine utilisant Active Directory à l'endroit où vous avez créé les objets GPO.
    • Le répertoire Windows Vista Security Guide GPOAccelerator Tool est installé.


    Remarque   Vous pouvez aussi tout simplement copier le répertoire GPOAccelerator Tool à partir d'un ordinateur où le répertoire est installé vers un autre ordinateur que vous souhaitez utiliser pour exécuter le script. Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme décrit dans cette procédure.

  2. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
  3. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes puis sur Guide de sécurité Windows Vista.
  4. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  5. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec des privilèges administrateur complets.

    Remarque   Si vous devez indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe puis appuyez sur ENTRÉE.

  6. À l'invite de commande, entrez cscript GPOAccelerator.wsf /ConfigSCE puis appuyez sur ENTRÉE.
  7. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.
  8. Dans la boîte de message TheSecurity Configuration Editor is updated (L'éditeur de configuration de sécurité est mis à jour), cliquez sur OK.

 

Important   Ce script modifie l'ECS uniquement pour l'affichage des paramètres MSS ; il ne crée pas d'objets GPO ou d'UO.

La procédure suivante supprime les paramètres de sécurité MSS supplémentaires, puis elle restaure les valeurs par défaut des paramètres de l'outil ECS dans Windows Vista.

Pour réinitialiser l'outil ECS et restaurer les paramètres par défaut dans Windows Vista

  1. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes puis sur Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd puis cliquez sur Exécuter en tant qu'administrateur pour ouvrir une invite de commande avec des privilèges administrateur complets.

    Remarque   Si vous êtes invité à donner vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe puis appuyez sur ENTRÉE.

  5. À l'invite de commande, entrez cscript GPOAccelerator.wsf /ResetSCE puis appuyez sur ENTRÉE.

  6. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Note   Le fait de suivre cette procédure Windows Vista restaure les paramètres par défaut de l'Éditeur de configuration de sécurité de votre ordinateur dans Windows Vista. Tout paramètre ajouté à l'Éditeur de configuration de sécurité par défaut sera supprimé. Ceci n'affectera que la capacité à visualiser les paramètres avec l'Éditeur de configuration de sécurité. Les paramètres de stratégie de groupe configurés restent en place.

  7. Dans la boîte de message The Security Configuration Editor is updated (L'éditeur de configuration de sécurité est mis a jour), cliquez sur OK.

Paramètres de sécurité antérieurs

Des modèles de sécurité sont fournis afin de construire vos propres stratégies au lieu d'utiliser ou de modifier les stratégies proposées dans ce guide, et pour lesquelles vous pouvez importer les paramètres de sécurité correspondants. Les modèles de sécurité sont des fichiers texte qui contiennent des valeurs de paramètres de sécurité. Ce sont des sous-composants des objets GPO. Vous pouvez modifier les paramètres de stratégie contenus dans les modèles de sécurité dans le composant logiciel additionnel Éditeur d'objets de stratégie de groupe de la console MMC. Contrairement aux versions antérieures du système d'exploitation Windows, les modèles de sécurité de Windows Vista ne sont pas prédéfinis, bien que vous puissiez toujours utiliser les modèles de sécurité existants en fonction de vos besoins.

Les modèles de sécurité sont inclus dans le fichier Windows Installer (.msi) qui accompagne ce guide. Les modèles pour l'environnement EC qui suivent sont situés dans le dossier GPOAccelerator Tool\Security Templates :

  • VSG EC Desktop.inf
  • VSG EC Domain.inf
  • VSG EC Laptop.inf

 

Important   Vous n'avez pas besoin d'utiliser les modèles de sécurité pour déployer la solution décrite dans ce guide. Les modèles représentent une alternative à la solution basée sur la console GPMC, et ne couvrent que les paramètres de sécurité de l'ordinateur qui apparaissent sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité. Par exemple, vous ne pouvez pas gérer les paramètres Internet Explorer ou ceux du Pare-feu Windows dans les objets GPO à l'aide d'un modèle de sécurité, et les paramètres utilisateur ne sont pas inclus.

Utilisation des modèles de sécurité

Si vous souhaitez utiliser les paramètres de sécurité, vous devez d'abord édévelopper l'ECS de sorte que les paramètres de sécurité MSS personnalisés s'affichent dans l'IU. Pour plus de détails, veuillez vous reporter à la procédure dans la section précédente « GPMC et extensions ECS  » de ce chapitre. Dès que vous pouvez visualiser les modèles, vous pouvez utiliser la procédure suivante pour les importer dans les objets GPO que vous avez créés en fonction de vos besoins.

Pour importer un modèle de sécurité dans un objet GPO

  1. Ouvrez l'Éditeur d'objets de stratégie de groupe pour l'objet GPO que vous souhaitez modifier ; pour effectuer cette opération dans la console GPMC, cliquez avec le bouton droit de la souris sur l'objet GPO, puis cliquez sur Modifier.
  2. Dans l'Éditeur d'objets de stratégie de groupe, recherchez rapidement le dossier Paramètres Windows.
  3. Développez le dossier Paramètres Windows, puis sélectionnez Paramètres de sécurité.
  4. Cliquez avec le bouton droit de la souris sur le dossier Paramètres de sécurité, puis cliquez sur Importer la stratégie.
  5. Naviguez jusqu'au dossier Modèles de sécurité dans le dossier Guide de sécurité Windows Vista.
  6. Sélectionnez le modèle de sécurité que vous souhaitez importer, puis cliquez sur Ouvrir.

    Le résultat de la dernière étape de cette procédure importe les paramètres du fichier vers l'objet GPO.

Vous pouvez également utiliser les modèles de sécurité fournis avec ce guide pour modifier la stratégie de sécurité locale sur des ordinateurs clients autonomes qui exécutent Windows Vista. Le script GPOAccelerator.wsf simplifie le processus d'application des modèles.

Pour appliquer les modèles de sécurité afin de créer une stratégie de groupe locale sur un ordinateur client autonome qui exécute Windows Vista

  1. Ouvrez une session en tant qu'administrateur sur un ordinateur qui exécute Windows Vista.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes puis sur Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec des privilèges administrateur complets.

    Remarque   Si vous devez indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe puis appuyez sur ENTRÉE.

  5. À l'invite de commande, tapez cscript GPOAccelerator.wsf /Enterprise /Desktop ou cscript GPOAccelerator.wsf /Enterprise /Laptop puis appuyez sur ENTRÉE.

    Cette procédure modifie les paramètres de stratégie de sécurité locale à l'aide des valeurs dans les modèles de sécurité pour l'environnement EC.

Pour restaurer les paramètres par défaut de la stratégie de groupe locale dans Windows Vista

  1. Ouvrez une session en tant qu'administrateur sur un ordinateur qui exécute Windows Vista.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes puis sur Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec des privilèges d'administrateur complets.

    Remarque   Si vous devez indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe puis appuyez sur ENTRÉE.

  5. À l'invite de commande, tapez cscript GPOAccelerator.wsf /Restore puis appuyez sur ENTRÉE.

    Cette procédure restaure les paramètres de stratégie de sécurité locale à leur valeur par défaut dans Windows Vista.

Sous-répertoires et fichiers

Lorsque vous exécutez le fichier Windows Installer (.msi), le dossier Windows Vista Security Guide\GPOAccelerator Tool est créé par défaut à un emplacement sur l'ordinateur que vous indiquez. Le fichier .msi crée la structure de sous-répertoires suivante dans le dossier GPOAccelerator Tool, ainsi que les fichiers décrits dans le tableau suivant.

Tableau 1.1 Sous-répertoires, fichiers et descriptions

Sous-répertoires\Fichiers Description

SCE Update
\Restore_SCE_to_Default.vbs

Script qui restaure l'ECS aux valeurs par défaut de Windows Vista.

SCE Update
\Sceregvl_Vista.inf.txt

Fichier par défaut Windows Vista SCEREGVL.INF qui restaure les valeurs d'origine de l'ECS.

SCE Update
\Strings-sceregvl.txt

Fichier texte contenant les valeurs de chaîne requises pour l'ajout de paramètres MSS à l'ECS.

SCE Update
\Update_SCE_with_MSS_Regkeys.vbs

Script qui modifie l'ECS pour inclure les paramètres MSS.

SCE Update
\Sce.reg

Fichier de registre contenant les valeurs de registre ECS par défaut.

SCE Update
\Values-sceregvl.txt

Fichier texte contenant les valeurs de registre pour afficher les paramètres de registre dans l'ECS.

Security Group Policy Objects
\Command-line here.cmd

Fichier de commandes qui ouvre une invite de commande dans le chemin d'accès depuis lequel il démarre.

Security Group Policy Objects
\GPOAccelerator.wsf

Principal outil qui exécute un script pour appliquer les instructions recommandées.

  Avertissement :

N'utilisez pas ce script avant d'avoir lu toutes les informations de ce chapitre.

GPMCFiles
\CreateEnvironmentFromXML.wsf

Script qui crée les objets GPO et la structure d'unités d'organisation.

  Avertissement :

Ne modifiez pas ce fichier.

GPMCFiles
\EC-VSG-GPOs.xml

Fichier XML que la console GPMC utilise pour créer les objets GPO entreprise.

GPMCFiles
\EC-VSG-GPOs.xml

Fichier XML que la console GPMC utilise pour créer les objets GPO entreprise et la structure d'UO donnée en exemple.

GPMCFiles
\SSLF-VSG-GPOs.xml

Fichier XML que la console GPMC utilise pour créer les objets GPO entreprise.

GPMCFiles
\SSLF-VSG-GPOs-LAB.xml

Fichier XML que la console GPMC utilise pour créer les objets GPO SSFL et la structure d'UO recommandée.

GPMCFiles
\EC-VSGAuditPolicy.txt

Fichier texte utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

GPMCFiles
\EC-VSGAuditPolicy.cmd

Fichier de commande utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

GPMCFiles
\EC-VSGApplyAuditPolicy.cmd

Fichier de commande utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

GPMCFiles
\SSLF-VSGAuditPolicy.txt

Fichier texte utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

GPMCFiles
\SSLF-VSGAuditPolicy.cmd

Fichier de commande utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

GPMCFiles
\SSLF-VSGApplyAuditPolicy.cmd

Fichier de commande utilisé par l'implémentation de la stratégie d'audit détaillée incluse dans ce guide.

Security Templates

Dossier qui contient le fichier Security Template .inf que vous pouvez utiliser pour implémenter certains paramètres de sécurité recommandés dans ce guide.

Remarque   Microsoft conseille l'utilisation du script inclus dans ce guide pour créer les objets GPO recommandés. Cependant, les modèles de sécurité fournis peuvent vous aider à sécuriser les ordinateurs autonomes.

Security Templates
\EC-VSG Desktop.inf

Enterprise Desktop Security Template

Security Templates
\EC-VSG Domain.inf

Enterprise Domain Security Template

Security Templates
\EC-VSG Laptop.inf

Enterprise Laptop Security Template

Security Templates
\SSLF-VSG Desktop.inf

SSLF Desktop Security Template

Security Templates
\SSLF-VSG Domain.inf

SSLF Domain Security Template

Security Templates
\SSLF-VSG Laptop.inf

SSLF Laptop Security Template

Security Templates
\Vista Default Security.cmd

Fichier de commande utilisé dans le cadre de la restauration de la stratégie de sécurité locale aux paramètres par défaut de Windows Vista.

Security Templates
\Vista Default Security.inf

Modèle de sécurité utilisé dans le cadre de la restauration de la stratégie de sécurité locale aux paramètres par défaut de Windows Vista.

Security Templates
\Vista Default Security.sdb

Fichier de base de données de sécurité utilisé dans le cadre de la restauration de la stratégie de sécurité locale aux paramètres par défaut de Windows Vista.

Security Templates
\Vista Local Security.sdb

Fichier de base de données de sécurité utilisé lors de l'application des modèles de sécurité VSG sur un ordinateur.

Haut de page Haut de page

Plus d'informations

Les liens suivants fournissent des informations supplémentaires sur les questions de sécurité dans Windows Vista.

Haut de page Haut de page

Dans cet article

Télécharger

Obtenir le Guide de sécurité Windows Vista

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires ou suggestions