Guide de sécurité Windows Vista

Système

La catégorie d'audit Système vous permet de surveiller les événements système, qu'ils réussissent ou qu'ils échouent, et fournit également un enregistrement de ces événements permettant de déterminer les cas d'accès au système non autorisés. Parmi ces événements système figurent le démarrage et l'arrêt des ordinateurs dans votre environnement, les journaux d'événements pleins et autres événements liés à la sécurité ayant une incidence sur tout le système.

Dans Windows Vista, la catégorie d'audit Système comprend les sous-catégories représentées dans le tableau suivant.

Tableau A4. Recommandations relatives à la sous-catégorie de stratégie d'audit Système

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Ouverture/fermeture de session

Cette catégorie d'audit génère des événements qui enregistrent la création et la destruction d'ouvertures de session. Ces événements se produisent sur l'ordinateur auquel les utilisateurs tentent d'accéder. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l'ordinateur sur lequel la session est ouverte.. Si une ouverture de session réseau se produit pour accéder à un partage, ces événements sont générés sur l'ordinateur qui héberge la ressource demandée.

Si le paramètre Auditer les événements de connexion est configuré sur Aucun audit, il est difficile, voire impossible, de déterminer quel utilisateur a accédé ou tenté d'accéder aux ordinateurs de l'entreprise.

Dans Windows Vista, la catégorie d'audit d'événements Ouverture/fermeture de session comprend les sous-catégories représentées dans le tableau suivant.

Tableau A5. Recommandations relatives à la sous-catégorie de stratégie d'audit Ouverture/fermeture de session

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès aux objets

En lui-même, ce paramètre n'entraîne l'audit d'aucun événement. Il détermine si le système doit auditer l'événement constitué par un utilisateur qui accède à un objet (fichier, dossier, clé de registre ou imprimante, par exemple) disposant d'une liste de contrôle d'accès système (SACL) spécifiée, ce qui a pour effet d'activer l'audit.

Une liste SACL est composée d'entrées de contrôle d'accès (ACE). Chaque entrée comprend trois informations spécifiques :

• l'entité de sécurité (utilisateur, ordinateur ou groupe) à auditer ;

• le type d'accès spécifique à auditer, appelé masque d'accès ;

• un indicateur spécifiant s'il faut auditer les événements d'accès qui ont échoué, les événements d'accès réussis ou les deux catégories.

La configuration du paramètre Auditer l'accès aux objets sur Réussite génère une entrée d'audit chaque fois qu'un utilisateur réussit à accéder à un objet avec une liste SACL spécifiée. La configuration de ce paramètre sur Échec génère une entrée d'audit chaque fois qu'un utilisateur échoue dans sa tentative d'accès à un objet avec une liste SACL spécifiée.

Les entreprises doivent définir uniquement les actions qu'elles souhaitent activer lors de la configuration des listes SACL. Imaginons par exemple que vous vouliez activer le paramètre d'audit Écriture de données et Ajouter les données sur les fichiers exécutables de façon à suivre le remplacement ou les modifications de ces fichiers, pouvant être causés par des virus, des vers ou des chevaux de Troie. De même, vous pourriez vouloir traquer l'accès aux fichiers sensibles ou les modifications de ces fichiers.

La catégorie d'audit d'événements Accès aux objets comprend les sous-catégories représentées dans le tableau suivant.

Tableau A6. Recommandations relatives à la sous-catégorie de stratégie d'audit Accès aux objets

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Les procédures ci-dessous expliquent comment configurer manuellement des règles d'audit dans un fichier ou un dossier, puis comment tester chacune d'elles pour chaque objet dans le fichier ou le dossier indiqué.

Remarque   Utilisez Auditpol.exepour configurer la sous-catégorie Système de fichiers en vue d'auditer les événements de type Réussite et Échec pour les étapes suivantes de consignation d'événements dans le journal des événements de sécurité.

Pour définir une règle d'audit pour un fichier ou un dossier

1. Utilisez l'Explorateur Windows pour rechercher le fichier ou le dossier, puis cliquez dessus.

2. Dans le menu Fichier, cliquez surPropriétés.

3. Cliquez sur l'onglet Sécurité, puis sur le bouton Avancé.

4. Cliquez sur l'onglet Audit.

5. Si vous êtes invité à fournir vos informations d'identification d'administrateur, cliquez surContinuer, tapez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.

6. Cliquez sur le bouton Ajouter. La boîte de dialogue Sélection d'un utilisateur,d'un ordinateurou d'un groupe s'affiche.

7. Cliquez sur le bouton Types d'objet..., puis, dans la boîte de dialogue Types d'objet, sélectionnez les types d'objet à rechercher.

   Remarque   Les types d'objetUtilisateur, Groupe etEntité de sécurité intégrée sont sélectionnés par défaut.

8. Cliquez sur le bouton Emplacements... et sélectionnez votre domaine ou votre ordinateur local dans la boîte de dialogue Emplacement.

9. Dans la boîte de dialogue Sélection d'un utilisateur ou d'un groupe, saisissez le nom du groupe ou de l'utilisateur à auditer. Puis, dans la boîte de dialogueEntrez les noms des objets à sélectionner, saisissez Utilisateurs authentifiés pour auditer l'accès de tous les utilisateurs de ce type, puis cliquez surOK. La boîte de dialogue Audit de l'entrée s'ouvre.

10. Dans la boîte de dialogue Audit de l'entrée, déterminez le type d'accès à auditer dans le fichier ou le dossier.

    Remarque   N'oubliez pas que chaque accès peut générer plusieurs événements dans le journal des événements, ce qui risque d'entraîner une augmentation rapide de son volume.

11. Dans la boîte de dialogue Audit de l'entrée, à côté de Liste du dossier/lecture de données, sélectionnez Réussite etÉchec, puis cliquez sur OK.

12. Les entrées d'audit que vous avez activées s'affichent dans l'onglet Audit de la boîte de dialogueParamètres de sécurité avancés.

13. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Pour tester une règle d'audit pour le fichier ou le dossier

1. Ouvrez le fichier ou le dossier.

2. Fermez le fichier ou le dossier.

3. Lancez l'Observateur d'événements. Plusieurs événements d'accès aux objets pourvus de l'ID d'événement 4663 apparaissent dans le journal des événements de sécurité.

4. Double-cliquez sur les événements dont vous souhaitez afficher les détails.

Utilisation des privilèges

La catégorie d'audit Utilisation d'un privilège détermine s'il convient d'auditer chaque cas d'un utilisateur exerçant un droit d'utilisateur. La configuration de ce paramètre surRéussite génère une entrée d'audit chaque fois qu'un droit d'utilisateur est exercé avec succès. La configuration de ce paramètre sur Échec génère une entrée d'audit chaque fois que l'exercice d'un droit d'utilisateur échoue. Ce paramètre de stratégie peut produire un très grand nombre d'enregistrements d'événements.

La catégorie d'audit d'événements Utilisation d'un privilège comprend les sous-catégories représentées dans le tableau suivant.

Tableau A7. Recommandations relatives à la sous-catégorie de stratégie d'audit Utilisation d'un privilège

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Suivi détaillé

La catégorie d'audit Suivi détaillé détermine s'il convient d'auditer les informations de suivi détaillé des événements tels que l'activation de programme, la sortie de processus, la duplication de pointeur et l'accès indirect à un objet). L'activation du paramètre Auditer le suivi des processus génère un grand nombre d'événements ; il est donc généralement défini sur Aucun audit. Toutefois, ce paramètre peut se révéler d'un grand intérêt en cas de réponse à un incident grâce au journal détaillé des processus démarrés et à leur heure de lancement.

La catégorie d'audit d'événements Suivi détaillé comprend les sous-catégories représentées dans le tableau suivant.

Tableau A8. Recommandations relatives à la sous-catégorie de stratégie d'audit Suivi détaillé

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Changement de stratégie

Ce paramètre de stratégie détermine si le système doit auditer tous les incidents liés à une modification des stratégies d'attribution des droits utilisateur, des stratégies du pare-feu Windows, des stratégies de confiance ou à une modification de la stratégie d'audit elle-même. Les paramètres recommandés doivent vous permettre de visualiser les privilèges de compte qu'un utilisateur malveillant essaie d'élever ; par exemple, en ajoutant le privilège Déboguer des programmes ou Sauvegarder des fichiers et des répertoires.

La catégorie d'audit d'événements Changement de stratégie comprend les sous-catégories représentées dans le tableau suivant.

Tableau A9. Recommandations relatives à la sous-catégorie de stratégie d'audit Changement de stratégie

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Gestion des comptes

Ce paramètre de stratégie permet d'auditer les tentatives suivantes : création d'utilisateurs ou de groupes, attribution d'un nouveau nom aux utilisateurs ou groupes, activation ou désactivation des comptes d'utilisateur, changement des mots de passe des comptes et activation de l'audit pour les événements de gestion des comptes. En activant ce paramètre de stratégie d'audit, un administrateur peut effectuer le suivi d'événements pour détecter les créations malveillantes, accidentelles ou autorisées de comptes d'utilisateur et de groupe.

La catégorie d'audit d'événements Gestion des comptes comprend les sous-catégories représentées dans le tableau suivant.

Tableau A10. Recommandations relatives à la sous-catégorie de stratégie d'audit Gestion des comptes

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès DS

La catégorie d'audit Accès DS s'applique uniquement aux contrôleurs de domaine. C'est pourquoi cette catégorie ainsi que toutes les sous-catégories associées sont configurées surAucun audit pour les deux environnements abordés dans ce guide.

La catégorie d'audit d'événements Accès DS comprend les sous-catégories représentées dans le tableau suivant.

Tableau A11. Recommandations relatives à la sous-catégorie de stratégie d'audit Accès DS

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Ouverture de session de compte

Cette catégorie d'audit génère des événements pour la validation des informations d'identification. Ces événements surviennent sur l'ordinateur faisant autorité pour ces autorisations. Pour les comptes de domaine, c'est le contrôleur de domaine qui fait autorité, et pour les comptes locaux c'est l'ordinateur local. Dans les environnements de domaine, la plupart des événements de connexion de compte surviennent dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent survenir sur d'autres ordinateurs de l'entreprise, lorsque des comptes locaux sont utilisés pour ouvrir une session.

La catégorie d'audit d'événements Connexion de compte comprend les sous-catégories représentées dans le tableau suivant.

Tableau A12. Recommandations relatives à la sous-catégorie de stratégie d'audit Connexion de compte

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Comptes

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les comptes. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A16. Recommandations relatives aux paramètres d'options de sécurité – Comptes

Comptes : état de compte d'administrateur
Ce paramètre de stratégie permet d'activer ou de désactiver le compte administrateur pendant l'opération normale. Quand un ordinateur est démarré en mode sans échec, le compte administrateur est systématiquement activé, indépendamment de la configuration de ce paramètre.

Le paramètre Comptes : état de compte d'administrateur est configuré sur Non défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Comptes : état de compte d'invité
Ce paramètre de stratégie détermine si le compte invité est activé ou désactivé. Le compte invité permet à des utilisateurs du réseau non authentifiés d'accéder au système.

Le paramètre Comptes : État de compte d'invité est configuré sur Désactivépour les deux environnements abordés dans ce guide.

Comptes : restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console
Ce paramètre de stratégie détermine si les comptes locaux qui ne sont pas protégés par un mot de passe peuvent être utilisés pour des ouvertures de sessions à partir d'emplacements autres que la console physique. Si vous activez ce paramètre de stratégie, les comptes utilisant des mots de passe vierges ne peuvent pas ouvrir de sessions sur le réseau à partir d'ordinateurs clients à distance. Pour ces comptes, l'ouverture de session ne peut se faire qu'à partir du clavier de l'ordinateur.

Le paramètre Comptes : restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console est configuré sur Activé pour les deux environnements abordés dans ce guide.

Comptes : renommer le compte administrateur
Le compte administrateur local intégré est un nom de compte bien connu que les utilisateurs malveillants attaquent souvent. Microsoft vous recommande de choisir un autre nom pour ce compte et d'éviter les appellations pouvant laisser penser qu'il s'agit de comptes administratifs ou à accès de niveau élevé. Veillez à modifier également la description par défaut de l'administrateur local à l'aide de la console Gestion de l'ordinateur.

La recommandation d'utilisation du paramètre Comptes : renommer le compte administrateur s'applique aux deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité et ce guide ne contient aucune suggestion de nouveau nom d'utilisateur pour le compte. Le guide ne contient d'ailleurs aucun exemple de noms d'utilisateur pour s'assurer que les entreprises qui mettront en place cette instruction n'utiliseront pas toutes le même nom d'utilisateur dans leur environnement.

Comptes : renommer le compte Invité
Le compte invité local intégré est bien connu des utilisateurs malveillants. Microsoft vous recommande là aussi de renommer ce compte en utilisant une dénomination qui ne permette pas de deviner son objet. Même si vous désactivez ce compte (ce qui est recommandé), veillez à le renommer pour plus de sécurité.

La recommandation d'utiliser le paramètre Comptes : renommer le compte Invité s'applique aux deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité et aucun nouveau nom d'utilisateur pour le compte n'est suggéré dans ce guide. Le guide ne contient d'ailleurs aucun exemple de noms d'utilisateur pour s'assurer que les entreprises qui mettront en place cette instruction n'utiliseront pas toutes le même nom d'utilisateur dans leur environnement.

Audit

Le tableau suivant résume les paramètres d'audit recommandés. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A17. Recommandations relatives aux paramètres d'options de sécurité – Audit

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Audit : auditer l'accès des objets système globaux
Ce paramètre de stratégie crée une liste de contrôle d'accès système (SACL, system access control list) pour les objets système tels que les mutex (mutuellement exclusif), les événements, les sémaphores et les périphériques MS-DOS® . L'accès à ces objets système est audité.

Si le paramètre Audit : auditer l'accès des objets système globaux est activé, le journal des événements de sécurité risque d'être rapidement rempli par un très grand nombre d'événements de sécurité. C'est pourquoi, ce paramètre de stratégie est configuré sur Non défini pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration
Ce paramètre de stratégie détermine si le système va auditer l'utilisation de tous les privilèges utilisateur, y compris la sauvegarde et la restauration, lorsque le paramètreAuditer l'utilisation des privilèges est activé. Si vous activez les deux stratégies, un événement d'audit sera généré pour chaque fichier sauvegardé ou restauré.

Si le paramètre Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration est activé, le journal des événements de sécurité risque d'être rapidement rempli par un très grand nombre d'événements de sécurité. C'est pourquoi, ce paramètre de stratégie est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Audit : force les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d'audit
Ce paramètre de stratégie permet aux administrateurs d'activer les fonctionnalités d'audit les plus précises de Windows Vista.

Les paramètres de stratégie d'audit disponibles dans Active Directory Windows Server 2003 ne contiennent pas encore de paramètres pour la gestion des nouvelles sous-catégories d'audit. Pour appliquer correctement les stratégies d'audit recommandées dans ce guide, le paramètre Audit : force les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d'audit est configuré surActivé pour les deux types d'environnements abordés dans ce guide.

Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Ce paramètre de stratégie permet de déterminer si le système doit être arrêté lorsque la consignation des événements de sécurité est impossible. Ce paramètre est une condition requise pour les critères TCSEC (Trusted Computer System Evaluation Criteria)-C2 et la certification Common Criteria qui permet d'éviter les événements auditables si le système d'audit ne peut les consigner. Microsoft a choisi de répondre à cette condition en arrêtant le système et en affichant un message d'arrêt en cas d'échec du système d'audit. Si ce paramètre de stratégie est activé, le système est arrêté lorsque la consignation des événements de sécurité est impossible.

Si le paramètre Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité est activé, des défaillances imprévues peuvent survenir. C'est pourquoi, ce paramètre de stratégie est configuré sur Non défini pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Périphériques

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les périphériques. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A18. Recommandations relatives aux paramètres d'options de sécurité – Périphériques

Périphériques : autoriser le retrait sans ouverture de session préalable
Ce paramètre de stratégie détermine s'il est possible de retirer un ordinateur portable sans que l'utilisateur soit connecté au système. Si ce paramètre est activé, il est inutile d'ouvrir une session.?Le retrait de l'ordinateur peut se faire en appuyant sur un bouton d'éjection de matériel externe. Si vous désactivez ce paramètre de stratégie, l'utilisateur doit ouvrir une session et disposer du droit d'utilisateur Retirer l'ordinateur de la station d'accueil pour effectuer cette action.

Le paramètre Périphériques  :autoriser le retrait sans ouverture de session préalable est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Périphériques : permettre le formatage et l'éjection des supports amovibles
Ce paramètre de stratégie détermine les personnes autorisées à formater et à éjecter des supports amovibles. Vous pouvez utiliser ce paramètre de stratégie pour empêcher des utilisateurs non autorisés de transférer des données sur un ordinateur sur lequel ils bénéficient de privilèges d'administrateur local.

Le paramètre Périphérique : permettre le formatage et l'éjection des supports amovibles est restreint aux groupesAdministrateurs et Utilisateurs interactifs pour l'environnement EC, et au groupeAdministrateurs seulement pour l'environnement SSLF, pour une meilleure sécurité.

Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante
Un utilisateur malveillant peut déguiser un cheval de Troie en pilote d'imprimante. Les utilisateurs pensent qu'ils doivent l'utiliser pour effectuer des impressions, mais le programme risque de disséminer du code nuisible sur votre réseau d'ordinateurs. Pour réduire l'éventualité d'un événement de ce type, seuls les administrateurs doivent être autorisés à installer des pilotes d'imprimante. Les ordinateurs portables étant, par définition, des périphériques mobiles, leurs utilisateurs peuvent occasionnellement avoir à installer un pilote d'imprimante à partir d'une source distante afin de poursuivre leur travail. Ce paramètre doit donc être désactivé pour les utilisateurs d'ordinateur portable, mais toujours activé pour les utilisateurs d'ordinateur de bureau.

Le paramètre Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante est configuré sur Activé pour les ordinateurs de bureau et sur Désactivé pour les utilisateurs d'ordinateurs portables dans les deux environnements abordés dans ce guide.

Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement
Ce paramètre de stratégie détermine si le lecteur CD-ROM est accessible aux utilisateurs locaux et aux utilisateurs à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de CD–ROM. Si ce paramètre est activé et si personne n'est connecté, le lecteur de CD–ROM est accessible par le biais du réseau. Si vous activez ce paramètre de stratégie, l'Utilitaire de sauvegarde de Windows échouera si des clichés instantanés de volumes ont été spécifiés pour le travail de sauvegarde. Tout produit tiers qui utilise des clichés instantanés de volumes échouera également.

Le paramètre Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si le lecteur de disquettes est accessible aux utilisateurs locaux et aux utilisateurs à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de disquettes. Si ce paramètre est activé et si personne n'est connecté, le lecteur de disquettes est accessible par le biais du réseau. Si vous activez ce paramètre de stratégie, l'Utilitaire de sauvegarde de Windows échouera si des clichés instantanés de volumes ont été spécifiés pour le travail de sauvegarde. Tout produit tiers qui utilise des clichés instantanés de volumes échouera également.

Le paramètre Périphériques :  ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Membre du domaine

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les membres de domaine. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A19. Recommandations relatives aux paramètres d'options de sécurité - Membre du domaine

Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours)
Ce paramètre de stratégie détermine si les données en sortie des canaux sécurisés initiées par le membre de domaine doivent être signées ou cryptées. Si un système est défini pour le chiffrement ou la signature des données de canaux sécurisés, il ne peut pas mettre en place de canaux sécurisés avec un contrôleur de domaine incapable de signer ou de crypter l'ensemble du trafic des canaux sécurisés car toutes les données correspondantes sont cryptées et signées.

Le paramètre Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours) est configuré sur Activépour les deux environnements abordés dans ce guide.

Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier le chiffrement du trafic de tous les canaux sécurisés qu'il initie. Lorsque ce paramètre est activé, le membre du domaine demande le chiffrement du trafic de tous les canaux sécurisés. Si ce paramètre est désactivé, le membre du domaine ne peut pas négocier le chiffrement des canaux sécurisés.

Le paramètre Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) est configuré sur Activépour les deux environnements abordés dans ce guide.

Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier la signature numérique du trafic de tous les canaux sécurisés qu'il initie. Les signatures numériques empêchent que le trafic ne soit modifié par des personnes interceptant les données au moment où elles traversent le réseau.

Le paramètre Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur
Ce paramètre de stratégie détermine si un membre du domaine peut changer périodiquement le mot de passe de son compte ordinateur. Si ce paramètre est activé, le membre du domaine ne peut pas changer le mot de passe de son compte ordinateur. Si vous désactivez ce paramètre, le membre du domaine peut modifier le mot de passe de son compte ordinateur comme spécifié dans le paramètre Membre de domaine : âge maximal du mot de passe du compte ordinateur dont la valeur par défaut est 30 jours. Les ordinateurs qui ne peuvent pas modifier automatiquement leurs mots de passe de compte sont potentiellement vulnérables ; un utilisateur malveillant pourrait en effet trouver le mot de passe du compte de domaine du système.

C'est pourquoi, le paramètre Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur est configuré sur Désactivépour les deux environnements abordés dans ce guide.

Membre de domaine : âge maximal du mot de passe du compte ordinateur
Ce paramètre de stratégie détermine la durée de vie maximale d'un mot de passe de compte d'ordinateur. Par défaut, les membres du domaine changent automatiquement leur mot de passe de domaine tous les 30 jours. Augmenter cet intervalle ou le définir à 0 pour qu'il n'y ait plus de changements de mots de passe, accroit le risque d'attaque de l'un des comptes ordinateur.

Le paramètre Membre de domaine : âge maximal du mot de passe du compte ordinateur est donc configuré sur30 jours pour les deux environnements abordés dans ce guide.

Membre de domaine : exiger une clé de session forte (Windows 2000 ou ultérieure)
Quand ce paramètre de stratégie est activé, le canal sécurisé ne peut être établi qu'avec des contrôleurs de domaine à même de crypter les données des canaux sécurisés à l'aide d'une clé de session forte (128 bits).

Pour activer ce paramètre de stratégie, tous les contrôleurs du domaine doivent être à même de crypter les données des canaux sécurisés à l'aide d'une clé forte, ce qui signifie qu'ils doivent exécuter Microsoft Windows 2000 ou une version ultérieure. Microsoft vous recommande de désactiver ce paramètre si des communications avec des domaines autres que Windows 2000 sont requises.

Le paramètre Membre de domaine: exiger une clé de session forte (Windows 2000 ou ultérieure) est configuré sur Activépour les deux environnements abordés dans ce guide.

Ouverture de session interactive

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'ouverture de session interactive. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A20. Recommandations relatives aux paramètres d'options de sécurité – Ouverture de session interactive

Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur
Ce paramètre de stratégie détermine si le nom de compte du dernier utilisateur ayant ouvert une session sur les ordinateurs clients de votre entreprise s'affichera sur l'écran d'ouverture de session Windows de chaque ordinateur. L'activation de ce paramètre empêche les intrus d'obtenir les noms de compte à partir des écrans des ordinateurs de bureau ou des ordinateurs portables de votre entreprise.

Le paramètre Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur est configuré surActivé pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
La combinaison de touches Ctrl+Alt+Suppr établit un chemin approuvé pour le système d'exploitation à chaque fois qu'un utilisateur entre un nom d'utilisateur et un mot de passe. Si vous activez ce paramètre de stratégie, les utilisateurs ne sont pas tenus d'utiliser cette combinaison de touches pour ouvrir une session sur le réseau. Cette configuration crée cependant un risque en matière de sécurité, car elle permet aux utilisateurs d'ouvrir des sessions en utilisant des informations d'authentification d'ouverture de session plus faibles.

Le paramètre Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier un message diffusé aux utilisateurs lorsqu'ils tentent de se connecter. Ce message est souvent utilisé à des fins légales, par exemple, pour prévenir les utilisateurs des conséquences que pourraient présenter pour eux une utilisation abusive des informations de la société ou pour les avertir que leurs actions risquent d'être auditées.

Remarque   Tout avertissement affiché doit avoir fait l'objet d'une approbation préalable par les représentants légaux et les représentants des ressources humaines de votre entreprise. Par ailleurs, les paramètresOuverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter etOuverture de session interactive : titre du message pour les utilisateurs essayant de se connecter doivent tous les deux être activés pour fonctionner correctement.

Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier du texte dans la barre de titre de la fenêtre que les utilisateurs voient lorsqu'ils ouvrent une session sur le système. Les raisons pour lesquelles ce paramètre est utilisé sont les mêmes que pour le paramètre précédent. Les entreprises n'utilisant pas ce paramètre sont plus vulnérables, d'un point de vue juridique, face aux intrus qui attaquent le système.

Remarque   Tout avertissement affiché doit avoir fait l'objet d'une approbation préalable par les représentants légaux et les représentants des ressources humaines de votre entreprise. Par ailleurs, les paramètresOuverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter etOuverture de session interactive : titre du message pour les utilisateurs essayant de se connecter doivent tous deux être activés pour fonctionner correctement.

Ouverture de session interactive : nombre de demandes d’ouverture de session à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible)
Ce paramètre de stratégie permet de déterminer le nombre d'ouvertures de session sur un domaine Windows qu'un utilisateur est autorisé à effectuer à l'aide des informations de compte mises en cache. Les informations de connexion des comptes de domaine peuvent être mises en cache localement afin de permettre aux utilisateurs d'ouvrir une session même s'il n'est pas possible de contacter un contrôleur de domaine. Ce paramètre détermine le nombre d'utilisateurs uniques pour lesquels les informations de connexion sont placées dans le cache local. La valeur par défaut de ce paramètre de stratégie est de 10. Si cette valeur est configurée sur 0, la fonctionnalité de mise en cache des informations d'ouverture de session est désactivée. Un utilisateur malveillant ayant accès au système de fichiers du serveur peut localiser ces informations cachées et avoir recours à une attaque en force pour déterminer les mots de passe des utilisateurs.

Le paramètre Ouverture de session interactive : nombre de demandes d’ouverture de session à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible) est configuré sur 2 pour les ordinateurs de bureau et les ordinateurs portables dans l'environnement EC et pour les ordinateurs portables dans l'environnement SSLF. Ce paramètre de stratégie est configuré sur 0 pour les ordinateurs de bureau dans l'environnement SSLF car ces ordinateurs doivent toujours être connectés de façon sécurisée au réseau de l'entreprise.

Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
Ce paramètre de stratégie permet de déterminer combien de jours à l'avance les utilisateurs sont avertis de l'expiration de leur mot de passe. Microsoft vous recommande de configurer ce paramètre de stratégie sur 14 jours afin de prévenir les utilisateurs suffisamment tôt de l'expiration de leur mot de passe.

Le paramètre Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire est configuré sur14 jours pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail
Si ce paramètre est activé, un contrôleur de domaine est nécessaire pour authentifier le compte de domaine utilisé pour déverrouiller l'ordinateur. Lorsqu'il est désactivé, les informations d'authentification mises en cache permettent d'effectuer cette tâche. Microsoft vous recommande de désactiver ce paramètre pour les ordinateurs portables des deux environnements, car les utilisateurs mobiles ne disposent pas d'accès réseau aux contrôleurs de domaine.

Le paramètre Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail est configuré sur Activé pour les ordinateurs de bureau dans les environnements EC et SSLF. Ce paramètre est cependant configuré sur Désactivé pour les ordinateurs portables dans les deux environnements, afin de permettre aux utilisateurs de portables de travailler à distance.

Ouverture de session interactive : comportement lorsque la carte à puce est retirée
Ce paramètre de stratégie permet de déterminer l'action à effectuer lorsque la carte à puce d'un utilisateur connecté est retirée du lecteur de cartes. Si ce paramètre de stratégie est défini sur Verrouiller la station de travail, la station de travail est verrouillée lorsque la carte à puce est retirée. Cela permet aux utilisateurs de quitter le site en emportant leur carte à puce et de verrouiller automatiquement leur station de travail. Si vous configurez ce paramètre de stratégie sur Forcer la fermeture de session, les utilisateurs sont déconnectés automatiquement quand la carte à puce est retirée.

Le paramètre Ouverture de session interactive : comportement lorsque la carte à puce est retirée est configuré sur Verrouiller la station de travailpour les deux environnements abordés dans ce guide.

Client réseau Microsoft

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les ordinateurs clients réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A21. Recommandations relatives aux paramètres d'options de sécurité - Client réseau Microsoft

Client réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de stratégie détermine si la signature des paquets est requise par le composant serveur SMB. Si vous activez ce paramètre de stratégie, l'ordinateur client réseau Microsoft ne peut communiquer avec un serveur réseau Microsoft que si celui-ci accepte de signer les paquets SMB. Dans des environnements mixtes dotés de clients hérités, définissez cette option surDésactivé car ces ordinateurs ne peuvent pas s'authentifier ou accéder aux contrôleurs de domaine. Toutefois, vous pouvez utiliser ce paramètre dans Windows 2000 ou dans des environnements ultérieurs.

Le paramètre Client réseau Microsoft : communications signées numériquement (toujours) est configuré surActivé pour les ordinateurs sur les deux environnements abordés dans ce guide.

Remarque   Quand ce paramètre de stratégie est activé pour des ordinateurs Windows Vista et que ces ordinateurs se connectent à des partages de fichiers ou d'impression sur des serveurs à distance, il doit être synchronisé avec le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours), sur ces serveurs. Pour plus d'informations sur ces paramètres, reportez-vous à la section « Client et serveur réseau Microsoft : Signer numériquement les communications (quatre paramètres associés) » du chapitre 5 du guide des menaces et contre-mesures .

Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le client SMB va tenter de négocier la signature des paquets SMB. La mise en œuvre de signatures numériques dans des réseaux Windows permet d'empêcher le piratage des sessions. Si vous activez ce paramètre de stratégie, le client réseau Microsoft n'utilisera la signature que si le serveur avec lequel il communique accepte les communications signées numériquement.

Le paramètre Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   L'activation de ce paramètre de stratégie sur des clients SMB de votre réseau garantit leur efficacité pour la signature des paquets avec tous les clients et serveurs de votre environnement.

Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie
Désactivez ce paramètre de stratégie pour empêcher le redirecteur SMB d'envoyer des mots de passe texte brut lors de l'authentification sur des serveurs tiers qui ne prennent pas en charge le chiffrement des mots de passe. Microsoft vous recommande de désactiver ce paramètre de stratégie sauf si l'activation est vraiment nécessaire. Si ce paramètre de stratégie est activé, les mots de passe non chiffrés seront autorisés sur le réseau.

Le paramètre Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Serveur réseau Microsoft

Le tableau suivant résume les paramètres recommandés pour les options de sécurité du serveur réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A22. Recommandations relatives aux paramètres d'options de sécurité - Serveur réseau Microsoft

Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session
Ce paramètre de stratégie vous permet d'indiquer la durée d'inactivité continue qui doit s'écouler dans une session SMB avant qu'elle ne soit suspendue. Les administrateurs peuvent utiliser ce paramètre pour contrôler à quel moment un ordinateur suspend une session SMB inactive. Si l'activité du client reprend, la session est automatiquement rétablie.

Le paramètre Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session est configuré sur Activé avec une durée de15 minutes dans les deux environnements abordés dans ce guide.

Serveur réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de stratégie détermine si le service SMB côté serveur est requis pour la signature de paquets SMB. Activez ce paramètre de stratégie dans un environnement mixte pour empêcher les clients en aval d'utiliser la station de travail comme serveur réseau.

Le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours) est configuré surActivé pour les deux environnements abordés dans ce guide.

Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le service SMB côté serveur peut signer les paquets SMB lorsqu'un client tentant d'établir une connexion le lui demande. Si le client n'envoie pas de requête de signature, la connexion sans signature est permise si le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours) n'est pas activé.

Le paramètre Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   L'activation de ce paramètre de stratégie sur des clients SMB de votre réseau garantit leur efficacité pour la signature des paquets avec tous les clients et serveurs de votre environnement.

Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session
Ce paramètre de stratégie détermine s'il est nécessaire de déconnecter l'utilisateur de l'ordinateur local hors des heures d'ouverture de session valides figurant dans le compte d'utilisateur. Ce paramètre affecte le composant SMB. Si vous activez ce paramètre de stratégie, les sessions client établies avec le service SMB se déconnectent à l'expiration des horaires de connexion. Lorsque ce paramètre de stratégie est désactivé, la session en cours d'un client est conservée après l'expiration des horaires de connexion. Si vous activez ce paramètre de stratégie, vous devez également activer le paramètreSécurité réseau :  forcer la fermeture de session quand les horaires de connexion expirent.

Si votre entreprise configure des horaires d'ouverture de session pour les utilisateurs, il est recommandé d'activer ce paramètre de stratégie.

Le paramètre Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session est configuré sur Activé pour les deux environnements qui sont abordés dans ce guide.

Paramètres MSS

Les paramètres suivants incluent des entrées de valeur de registre qui ne s'affichent pas par défaut dans l'Éditeur de configuration de sécurité (SCE). Ces paramètres, précédés de « MSS: », ont été développés par le groupe MSSC (Microsoft Solutions for Security and Compliance) pour des conseils en matière de sécurité. Le script GPOAccelerator.wsf décrit au chapitre 1, « Implémentation de la ligne de base de sécurité » modifie l'Éditeur de configuration de sécurité pour un affichage correct des paramètres MSS.

Le tableau suivant résume les paramètres MSS recommandés pour chaque environnement décrit dans ce guide. Des informations supplémentaires sur chaque paramètre sont fournies à la suite de ce tableau.

Tableau A23. Recommandations relatives aux paramètres d'options de sécurité – Paramètres MSS

MSS: (AutoAdminLogon) Enable Automatic Logon
L'entrée de valeur de registre AutoAdminLogon a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\. L'entrée apparaît sous la forme de MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) dans l'Éditeur de configuration de sécurité.

Ce paramètre est indépendant de la fonctionnalité d'écran de Bienvenue dans Windows XP et Windows Vista. Si cette fonctionnalité est désactivée, ce paramètre ne l'est pas. Si vous configurez une ouverture de session automatique, n'importe quel utilisateur pouvant accéder physiquement à l'ordinateur peut également accéder à tout ce qui s'y trouve, y compris au(x) réseau(x) au(x)quel(s) l'ordinateur est connecté. De plus, si vous activez l'ouverture de session automatique, le mot de passe est stocké dans le registre sous forme de texte en clair. La clé de registre spécifique qui stocke cette valeur est lisible à distance par le groupe Utilisateurs authentifiés. C'est pourquoi le paramètre est configuré sur Not defined pour l'environnement EC et le paramètre par défautDisabled est appliqué explicitement dans l'environnement SSLF.

Pour plus d'informations, consultez l'article 315231 de la Base de connaissances « Comment faire pour activer l'ouverture de session automatique dans Windows XP ».

MSS: (DisableIPSourceRouting) IP source routing protection level
L'entrée de valeur de registreDisableIPSourceRouting a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) dans l'Éditeur de configuration de sécurité.

Le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre dans le réseau. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Highest Protection,source routing is completely disabled pour l'environnement SSLF.

MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways
L'entrée de valeur de registre EnableDeadGWDetecta été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) dans l'Éditeur de configuration de sécurité.

Lorsqu'une détection de passerelle inactive est autorisée, le protocole IP peut utiliser une passerelle de sauvegarde si plusieurs connexions rencontrent des difficultés. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
L'entrée de valeur de registre EnableICMPRedirecta été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routesdans l'Éditeur de configuration de sécurité.

La redirection par le protocole ICPM (Internet Control Message Protocol) entraîne l'ajout d'itinéraires d'hôte dans la pile. Ces itinéraires remplacent les itinéraires générés par le protocole OSPF (Open Shortest Path First). Ce paramètre est configuré sur Not defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (Hidden) Hide Computer From the Browse List
L'entrée de valeur de registre Hidden a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters\. L'entrée apparaît sous la forme MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) dans l'Éditeur de configuration de sécurité.

Vous pouvez configurer un ordinateur de façon à ce qu'il n'envoie pas d'annonces aux navigateurs du domaine. Dans ce cas, vous masquez l'ordinateur dans la liste Parcourir, ce qui signifie que l'ordinateur arrête de s'annoncer aux autres ordinateurs qui se trouvent sur le même réseau. Un utilisateur malveillant connaissant le nom d'un ordinateur aura moins de difficultés à rassembler des informations supplémentaires sur le système. Vous pouvez activer ce paramètre afin d'empêcher les utilisateurs malveillants de rassembler des informations concernant les ordinateurs du réseau de cette façon. En outre, lorsqu'il est activé, ce paramètre peut permettre de réduire le trafic réseau. Les avantages en matière de sécurité de ce paramètre sont cependant limités, les utilisateurs malveillants pouvant employer d'autres méthodes pour identifier et localiser des cibles potentielles. C'est pour cette raison que Microsoft vous recommande d'activer ce paramètre uniquement dans les environnements SSLF.

Ce paramètre est configuré sur Not Definedipour l'environnement EC et sur Enabled pour l'environnement SSLF.

Pour plus d'informations, consultez l'article 321710 de la Base de connaissances « COMMENT FAIRE : masquer un ordinateur Windows 2000 dans la liste Navigateur ».

MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds
L'entrée de registre KeepAliveTime a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) dans l'Éditeur de configuration de sécurité.

Cette valeur indique le nombre de tentatives visant à vérifier qu'une connexion active est toujours intacte en envoyant un paquet persistant. Si l'ordinateur distant est toujours joignable, il reconnaît le paquet persistant. Ce paramètre est configuré surNot Defined pour l'environnement EC et sur30000 ou 5 minutes pour l'environnement SSLF.

MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic
L'entrée de valeur de registre NoDefaultExempt a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\. L'entrée apparaît sous la forme MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic dans l'Éditeur de configuration de sécurité.

Les exemptions par défaut des filtres de stratégies IPSec sont fournies dans l'aide en ligne spécifique du système d'exploitation utilisé. Ces filtres permettent un bon fonctionnement de l'authentification IKE (Internet Key Exchange) et du protocole Kerberos. Les filtres permettent également le signalement de la qualité de service du réseau (QoS, Quality of Service) quand le trafic de données est sécurisé par IPSec et et quand il ne l'est pas (multidiffusion et diffusion, par exemple).

IPSec est de plus en plus utilisé pour le filtrage basique des paquets hôte/pare-feu, et tout particulièrement dans les scénarios exposés à Internet. L'effet de ces exemptions par défaut n'est pas bien connu. Certains administrateurs IPSec créent donc des stratégies IPSec qu'ils pensent sécurisées mais qui en réalité ne le sont pas contre les attaques entrantes utilisant les exemptions par défaut. Microsoft vous recommande d'appliquer le paramètre par défaut dans Windows XP avec SP 2,Multicast,broadcast ,and ISAKMP are exempt, pour les deux environnements abordés dans ce guide.

Pour obtenir plus d'informations, consultez l'article 811832 de la Base de connaissances « Exemptions par défaut IPSec vous permettent de contourner la protection IPSec dans certains scénarios ».

MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives
L'entrée de registre NoDriveTypeAutoRun a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\. L'entrée apparaît sous la formeMSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) dans l'Éditeur de configuration de sécurité.

Le programme d'exécution automatique commence la lecture à partir d'un lecteur de votre ordinateur dès que le support est inséré. Par conséquent, le fichier de configuration des programmes et le son sur le support audio démarrent immédiatement. Ce paramètre est configuré sur255,Disable Autorun for all drives pour les deux environnements abordés dans ce guide.

MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
L'entrée de valeur de registreNoNameReleaseOnDemand a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\
Parameters\. L'entrée apparaît sous la formeMSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversdans l'Éditeur de configuration de sécurité.

NetBIOS sur TCP/IP est un protocole réseau qui fournit entre autre un moyen de résolution simple des noms NetBIOS enregistrés sur les systèmes Windows en adresses IP configurées sur ces systèmes. Ce paramètre détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une requête de libération de nom. Il est configuré sur Not Defined pour l'environnement EC et sur Enabled pour l'environnement SSLF.

MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
L'entrée de valeur de registreNtfsDisable8dot3NameCreation a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\. L'entrée apparaît sous la forme MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) dans l'Éditeur de configuration de sécurité.

Windows Server 2003 prend en charge les formats de nom de fichier 8.3 pour une compatibilité descendante avec les applications 16 bits. La convention de nom de fichier 8.3 est un format de nom qui accepte les noms de fichier contenant jusqu'à huit caractères. Ce paramètre est configuré sur Not Defined pour l'environnement EC et surEnabled pour l'environnement SSLF.

MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
L'entrée de valeur de registrePerformRouterDiscovery a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) dans l'Éditeur de configuration de sécurité.

Ce paramètre permet d'activer ou de désactiver le protocole IRDP (Internet Router Discovery Protocol) qui permet au système de détecter et configurer automatiquement les adresses de passerelle par défaut, comme décrit dans RFC 1256, interface par interface. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (SafeDllSearchMode) Enable Safe DLL Search Order
L'entrée de valeur de registre SafeDllSearchModea été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\. L'entrée apparaît sous la forme MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) dans l'Éditeur de configuration de sécurité.

Vous pouvez configurer la commande de recherche DLL pour rechercher les DLL demandées en exécutant les processus de l’une des deux manières suivantes :

• Commencez par effectuer des recherches dans les dossiers spécifiés dans le chemin d'accès au système, puis dans le dossier de travail actif.

• Commencez par effectuer des recherches dans le dossier de travail actif, puis dans les dossiers spécifiés dans le chemin d'accès au système.

Lorsque ce paramètre est activé, la valeur de registre est configurée sur 1 et le système recherche d'abord dans les fichiers spécifiés dans le chemin système, puis dans le dossier de travail actuel. Lorsque ce paramètre est désactivé, la valeur du registre est définie sur 0 et le système recherche d’abord dans le dossier de travail actuel puis dans les dossiers spécifiés dans le chemin système. Ce paramètre est configuré sur Enabled pour les deux environnements abordés dans ce guide.

MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
L'entrée de valeur de registreScreenSaverGracePeriod a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\. L'entrée apparaît sous la forme MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) dans l'Éditeur de configuration de sécurité.

Windows intègre une période de grâce entre le moment où l'écran de veille est lancé et le moment où la console est verrouillée automatiquement lorsque le verrouillage de l'écran de veille est activé. Ce paramètre est configuré sur0 seconde pour les deux environnements abordés dans ce guide.

MSS: (SynAttackProtect) Syn attack protection level
L'entrée de valeur de registre SynAttackProtect a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) dans l'Éditeur de configuration de sécurité.

Ce paramètre force le protocole TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous configurez cette valeur, le délai de réponse de connexion est dépassé plus rapidement en cas d'attaque par demande de connexion (SYN). Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Connections time out sooner if a SYN attack is detected pour l'environnement SSLF.

MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
L'entrée de valeur de registreTCPMaxConnectResponseRetransmissions a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged dans l'Éditeur de configuration de sécurité.

Ce paramètre définit le nombre de fois que le TCP retransmet un SYN avant d'abandonner la tentative. Le délai de retransmission est doublé à chaque nouvelle retransmission successive lors d'une tentative de connexion spécifique. La valeur de délai initiale est de trois secondes. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur à 3 & 6 seconds,half-open connections dropped after 21 seconds pour l'environnement SSLF.

MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted
L'entrée de valeur de registreTCPMaxDataRetransmissions a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip
\Parameters\. L'entrée apparaît sous la formeMSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,5 is default) dans l'Éditeur de configuration de sécurité.

Ce paramètre indique le nombre de tentatives de retransmission par TCP d'un segment de données individuel (segment non connecté) avant de terminer la connexion. Le délai de retransmission est doublé à chaque nouvelle retransmission successive lors d'une connexion. Il est réinitialisé lors de la reprise des réponses. La valeur de délai de base est déterminée de façon dynamique par la durée des boucles sur la connexion. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur 3 pour l'environnement SSLF.

MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
L'entrée de valeur de registre WarningLevel a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\. L'entrée apparaît sous la forme MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning dans l'Éditeur de configuration de sécurité.

Ce paramètre peut générer un audit de sécurité dans le journal d'événements de sécurité lorsque celui-ci a atteint le seuil défini par l'utilisateur. Ce paramètre est configuré surNot Defined pour l'environnement EC et sur90 pour l'environnement SSLF.

Remarque   Si les paramètres du journal sont configurés sur Overwrite events as needed ou sur Overwrite events older thanxdays cet événement n'est pas généré.

Accès réseau

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'accès réseau. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A24. Recommandations relatives aux paramètres d'options de sécurité - Accès réseau

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès réseau : permet la traduction de noms/SID anonymes
Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander les attributs d'identificateur de sécurité (SID) d'un autre utilisateur ou utiliser un SID pour obtenir le nom d'utilisateur associé. Vous devez le désactiver pour empêcher les utilisateurs non authentifiés d'obtenir les noms d'utilisateur associés à des SID particuliers.

Le paramètre Accès réseau : permet la traduction de noms/SID anonymes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM
Ce paramètre de stratégie détermine si les utilisateurs anonymes peuvent énumérer les comptes du Gestionnaire de comptes de sécurité (SAM). Si vous l'activez, les utilisateurs disposant de connexions anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine sur les postes de travail de votre environnement. Ce paramètre permet également d'appliquer d'autres restrictions aux connexions anonymes.

Le paramètre Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM
Ce paramètre de stratégie détermine si les utilisateurs anonymes peuvent énumérer les comptes SAM et les partages. Si vous l'activez, les utilisateurs anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine et les noms de partage réseau sur les postes de travail de votre environnement.

Le paramètre Accès réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau
Ce paramètre de stratégie contrôle le stockage des informations d'authentification et des mots de passe sur le système local.

Le paramètre Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau est configuré surActivé pour les deux environnements abordés dans ce guide.

Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes
Ce paramètre de stratégie détermine les autres autorisations, qui sont attribuées aux connexions anonymes sur l'ordinateur. Si vous l'activez, les utilisateurs Windows anonymes ont le droit d'effectuer certaines tâches (énumération des noms de compte de domaine et des partages réseau, par exemple). Autrement dit, un utilisateur non autorisé peut lister de façon anonyme les noms de compte et les ressources partagées, puis les utiliser pour deviner des mots de passe ou obtenir des informations confidentielles en exploitant la confiance d'un utilisateur (« social engineering »).

Le paramètre Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : les canaux nommés qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les sessions de communication (ou canaux) dont les attributs et les autorisations permettent l'accès anonyme.

Pour l'environnement EC, le paramètre Accès réseau : les canaux nommés qui sont accessibles de manière anonyme est configuré sur Non défini. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs par défaut suivantes :

• Netlogon

• Isarpc

• Samr

• Explorateur d’ordinateur

Accès réseau : les chemins de Registre accessibles à distance
Ce paramètre de stratégie détermine quels chemins de Registre seront accessibles une fois la clé WinReg référencée pour connaître les autorisations d'accès attribuées aux chemins.

Pour l'environnement EC, le paramètre Accès réseau : les chemins de Registre accessibles à distance est configuré sur Non défini. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs par défaut suivantes :

• System\CurrentControlSet\Control\ProductOptions

• System\CurrentControlSet\Control\Server Applications

• Software\Microsoft\Windows NT\CurrentVersion

Accès réseau : chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de stratégie détermine quels chemins et sous-chemins de Registre seront accessibles lorsqu'une application ou un processus fait référence à la clé WinRegpour déterminer des autorisations d'accès.

Le paramètre Accès réseau : chemins et sous-chemins de Registre accessibles à distance est configuré surNon défini pour l'environnement EC. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs suivantes :

• System\CurrentControlSet\Control\Print\Printers

• System\CurrentControlSet\Services\Eventlog

• Software\Microsoft\OLAP Server

• Software\Microsoft\Windows NT\CurrentVersion\Print

• Software\Microsoft\Windows NT\CurrentVersion\Windows

• System\CurrentControlSet\ContentIndex

• System\CurrentControlSet\Control\Terminal Server

• System\CurrentControlSet\Control\Terminal Server\User Config

• System\CurrentControlSet\Control\Terminal Server\Default User Config

• Software\Microsoft\Windows NT\CurrentVersion\perflib

• System\CurrentControlSet\Services\SysmonLog

Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages
Si vous activez ce paramètre de sécurité, le système restreint l'accès anonyme aux partages et aux canaux qui sont nommés dans les paramètres Accès réseau : les canaux nommés qui sont accessibles de manière anonyme et Accès réseau : les partages qui sont accessibles de manière anonyme. Il contrôle l'accès des sessions NULL aux partages de vos ordinateurs en ajoutant le paramètreRestrictNullSessAccess et la valeur1 à la clé de registre HKLM\System
\CurrentControlSet\Services\LanManServer\Parameters. Cette valeur de registre active ou désactive les partages de session NULL pour contrôler si le service du serveur limite l'accès des clients non authentifiés aux ressources nommées. Les sessions NULL constituent un point faible, qui peut être exploité par les partages (même les partages par défaut) configurés sur les ordinateurs de votre environnement.

Le paramètre Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages est configuré sur Non défini (environnement EC) ou surActivé (environnement SSLF).

Accès réseau : les partages qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les partages réseau auxquels des utilisateurs anonymes peuvent accéder. La configuration par défaut du paramètre a peu d'impact dans la mesure où tous les utilisateurs doivent être authentifiés pour pouvoir accéder aux ressources partagées du serveur.

Le paramètre Accès réseau : les partages qui sont accessibles de manière anonyme est configuré surNon défini pour l'environnement EC. Vérifiez qu'il est configuré sur Aucun pour l'environnement SSLF.

Remarque   Il peut être risqué de rajouter des partages à ce paramètre de stratégie de groupe. En effet, vous risquez d'exposer ou de corrompre les données sensibles car n'importe quel utilisateur peut accéder à tous les partages de la liste.

Accès réseau : modèle de partage et de sécurité pour les comptes locaux
Ce paramètre de stratégie détermine comment les ouvertures de session réseau utilisant des comptes locaux sont authentifiées. L'option Classique permet de contrôler précisément l'accès aux ressources ; vous pouvez notamment attribuer différents types d'accès à différents utilisateurs pour une même ressource. Le paramètre Invité seul permet de traiter tous les utilisateurs de la même façon. Dans ce contexte, tous les utilisateurs s'authentifient comme Invité seul pour bénéficier du même niveau d'accès à une ressource donnée.

Par défaut, le paramètre Modèle de partage et de sécurité pour les comptes locaux est configuré sur la valeur Classique pour les deux environnements abordés dans ce guide.

Sécurité réseau

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Sécurité réseau. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A25. Configuration recommandée pour le paramètre de sécurité Sécurité réseau

Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe
Ce paramètre de stratégie détermine si la valeur de hachage LAN Manager du nouveau mot de passe est stockée lorsque le mot de passe est modifié. Le hachage LAN Manager est plutôt faible et sujet aux attaques par rapport au hachage de Microsoft Windows NT®, qui est plus fort d'un point de vue cryptographique.

C'est pour cette raison que le paramètre Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez ce paramètre, les anciens systèmes d'exploitation et certaines applications tierces risquent d'échouer. Vous devrez également modifier le mot de passe sur l'ensemble des comptes.

Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent
Ce paramètre de stratégie détermine si le système doit déconnecter les utilisateurs du réseau local en dehors des heures d'ouverture de session valides appliquées aux comptes d'utilisateur ; il affecte le composant SMB. Si vous l'activez, le système déconnecte les sessions client établies avec le serveur SMB dès que le délai de session du client expire. Si vous le désactivez, le système maintient les sessions client en cours même si le délai de session du client a expiré.

Le paramètre Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent est configuré sur Non défini pour les deux environnements abordés dans cette annexe.

Sécurité réseau : niveau d'authentification Lan Manager
Ce paramètre de stratégie indique le type d'authentification de stimulation/réponse lors des ouvertures de session réseau. L'authentification LAN Manager est la méthode la moins sécurisée, car les mots de passe chiffrés peuvent être piratés vu qu'ils sont facilement interceptés sur le réseau. L'authentification NT LAN Manager (NTLM) est un peu plus sécurisée. NTLMv2 est une version plus puissante de NTLM ; elle est disponible dans Windows Vista, Windows XP Professionnel, Windows Server 2003, Windows 2000 et Windows NT 4.0 Service Pack 4 (SP4) ou plus. NTLMv2 est également disponible pour Windows 95 et 98 avec le client Services d'annuaires en option.

Microsoft vous recommande de configurer ce paramètre de stratégie sur le niveau d'authentification maximum pour votre environnement. Dans les environnements qui exécutent uniquement Windows 2000 Server ou Windows Server 2003 et qui possèdent des postes de travail Windows Vista ou Windows XP Professionnel, configurez le paramètre sur la valeur Envoyer uniquement les réponses NTLMv2. Refuser LM et NTLM pour bénéficier d'un niveau de sécurité optimal.

Le paramètre Sécurité réseau : niveau d'authentification Lan Manager est configuré surEnvoyer uniquement les réponses NTLMv2. Refuser LM pour l'environnement EC. Il est configuré surEnvoyer uniquement les réponses NTLMv2. Refuser LM et NTLM pour l'environnement SSLF (option plus restrictive).

Sécurité réseau : conditions requises pour la signature de client LDAP
Ce paramètre de stratégie détermine le niveau de signature de données demandé pour le compte des clients, qui génèrent des requêtes LDAP BIND. Dans la mesure où le trafic réseau non signé est vulnérable aux attaques par un intermédiaire, les attaquants peuvent forcer un serveur LDAP à prendre des décisions en s'appuyant sur des requêtes fausses générées par le client LDAP.

Le paramètre Sécurité réseau : conditions requises pour la signature de client LDAP est configuré surNégociation des signatures pour les deux environnements abordés dans ce guide.

Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie détermine les niveaux de sécurité minimaux appliqués pour les communications entre les applications des clients. Il accepte les valeurs suivantes :

• Exiger la sécurité de session NTLMv2

• Exiger un niveau de chiffrement à 128 bits

Si tous les ordinateurs de votre réseau prennent en charge le protocole NTLMv2 et le chiffrement 128 bits (Windows Vista, Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), vous pouvez sélectionner les quatre options pour bénéficier d'un niveau de sécurité maximal.

Les valeurs Exiger la sécurité de session NTLMv2 et Exiger un niveau de chiffrement à 128 bits sont activées pour le paramètre Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce guide.

Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie est similaire au paramètre précédent, mais il affecte également le côté serveur des communications avec les applications. Il accepte les mêmes valeurs :

• Exiger la sécurité de session NTLMv2

• Exiger un niveau de chiffrement à 128 bits

Si tous les ordinateurs de votre réseau prennent en charge le protocole NTLMv2 et le chiffrement 128 bits (Windows Vista, Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), vous pouvez sélectionner les quatre options pour bénéficier d'un niveau de sécurité maximal..

Les valeurs Exiger la sécurité de session NTLMv2 et Exiger un niveau de chiffrement à 128 bits sont activées pour le paramètre Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce guide.

Console de récupération

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A26. Configuration recommandée pour le paramètre de sécurité Console de récupération

Console de récupération : autoriser l'ouverture de session d'administration automatique
La console de récupération est un environnement de ligne de commande, qui permet de réaliser des opérations de récupération en cas de problèmes système. Si vous activez ce paramètre de stratégie, le compte administrateur se connectera automatiquement à la console de récupération lorsqu'il sera appelé au démarrage. Microsoft vous recommande de le désactiver, car les administrateurs seraient obligés de taper leur mot de passe pour accéder à la console de récupération.

Le paramètre Console de récupération : autoriser l'ouverture de session d'administration automatique est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Ce paramètre de stratégie rend la commande SET de la console de récupération accessible. Elle permet de configurer les variables d'environnement suivantes :

• AllowWildCards. Elle permet d'utiliser les caractères génériques avec certaines commandes (notamment la commande Suppr).

• AllowAllPaths. Elle permet d'accéder à tous les fichiers et dossiers d'un ordinateur.

• AllowRemovableMedia. Elle permet de copier des fichiers sur un support amovible (notamment une disquette).

• NoCopyPrompt. Le système n'avertit pas l'utilisateur lorsqu'il s'apprête à écraser un fichier.

Le paramètre Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers est configuré sur Non définipour l'environnement EC. Pour bénéficier d'un niveau de sécurité maximal, il est configuré surDésactivé pour l'environnement SSLF.

Arrêt

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Arrêt. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A27. Configuration recommandée pour le paramètre de sécurité Arrêt

Arrêt : permet au système d'être arrêté sans avoir à se connecter
Ce paramètre de stratégie détermine si un utilisateur peut arrêter un ordinateur lorsqu'il n'est pas connecté. Si vous l'activez, la commande d'arrêt sera visible sur l'écran de connexion Windows. Microsoft vous recommande de le désactiver de sorte que seuls les utilisateurs possédant des informations d'authentification sur le système puissent arrêter l'ordinateur.

Le paramètre Arrêt : permet au système d'être arrêté sans avoir à se connecter est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Arrêt : effacer le fichier d'échange de mémoire virtuelle
Ce paramètre de stratégie détermine si le fichier d'échange de mémoire virtuelle doit être effacé une fois le système arrêté. Si vous l'activez, il sera effacé chaque fois que le système sera arrêté. Le fichier de mise en veille prolongée (Hiberfil.sys) sera également réinitialisé si la mise en veille est désactivée sur un ordinateur portable. L'ordinateur mettra plus de temps à démarrer et à s'arrêter, surtout s'il possède des fichiers d'échange très volumineux.

Le paramètre Arrêt : effacer le fichier d'échange de mémoire virtuelle est configuré surActivé pour les ordinateurs portables de l'environnement SSLF et sur Désactivé pour les autres types d'ordinateurs dans les environnements abordés dans ce guide.

Cryptographie système

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Cryptographie système. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A28. Configuration recommandée pour le paramètre de sécurité Cryptographie système

Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Ce paramètre de stratégie détermine si le fournisseur de sécurité TLS/SSL (Transport Layer Security/Secure Sockets Layer) prend uniquement en charge la suite de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Même si ce paramètre permet d'améliorer le niveau de sécurité, la plupart des sites Web publics sécurisés via TLS ou SSL ne prennent pas en charge ces algorithmes. En outre, les ordinateurs clients sur lesquels ce paramètre de stratégie est activé ne pourront pas se connecter aux services Terminal Server résidant sur des serveurs qui ne sont pas configurés pour utiliser les algorithmes compatibles FIPS.

Le paramètre Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage,le hachageet la signature est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Remarque   Si vous activez ce paramètre de stratégie, les performances de l'ordinateur seront plus lentes car le processus 3DES est exécuté trois fois sur chaque bloc de données du fichier. Vous devez l'activer uniquement si votre entreprise doit se conformer aux normes FIPS.

Objets système

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Objets système. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A29. Configuration recommandée pour le paramètre de sécurité Objets système

Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Ce paramètre de stratégie détermine si tous les sous-systèmes doivent faire la distinction majuscules/minuscules. Le sous-système Microsoft Win32® ne distingue par les majuscules et les minuscules. En revanche, le noyau fait la distinction pour certains sous-systèmes comme l'interface POSIX (Portable Operating System Interface for UNIX). Si vous activez ce paramètre, un utilisateur du sous-système POSIX pourra créer un fichier portant le même nom qu'un autre fichier en mélangeant les majuscules et les minuscules car Windows ne fait pas la distinction majuscules/minuscules contrairement au sous-système POSIX. Vu qu'un seul des fichiers ne sera disponible, l'accès aux fichiers risque d'être bloqué par un autre utilisateur qui utilise des outils Win32 standard.

Pour garantir l'homogénéité des noms de fichier, le paramètre Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows est configuré surNon défini pour l'environnement EC et surActivé pour l'environnement SSLF.

Objets système : renforcer les autorisations par défaut des objets système internes
Ce paramètre de stratégie détermine la force de la liste de contrôle d'accès discrétionnaire (DACL) par défaut des objets. Il sécurise les objets pouvant être localisés et partagés par des processus. En outre, sa configuration par défaut renforce la liste DACL car les utilisateurs qui ne sont pas administrateurs peuvent lire les objets partagés mais ne peuvent pas modifier les objets qu'ils n'ont pas créés.

Le paramètre Objets système : renforcer les autorisations par défaut des objets système internes(comme les liaisons symboliques) est configuré surActivé (valeur par défaut) pour les deux environnements abordés dans ce guide.

Contrôle de compte d'utilisateur

Le contrôle de compte d'utilisateur réduit les points d'attaque du système d'exploitation en imposant le mode d'utilisateur standard à l'ensemble des utilisateurs même s'ils ont ouvert une session avec des informations d'identification d'administrateur. De cette manière, les utilisateurs ne peuvent pas apporter de modifications qui risqueraient de déstabiliser leur ordinateur ou d'exposer accidentellement le réseau à des virus par le biais de programmes malveillants non détectés qui pourraient infecter leur ordinateur.

Lorsqu'un utilisateur tente de réaliser une tâche d'administration, le système d'exploitation doit renforcer le niveau de sécurité pour qu'il puisse exécuter la tâche. Les paramètres de contrôle de compte d'utilisateur dans les objets de stratégie de groupe configurent la manière dont le système d'exploitation répond aux demandes d'élévation de privilèges de sécurité.

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A30. Configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Contrôle du compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré
Ce paramètre de stratégie permet de spécifier si le compte Administrateur intégré s'exécute en mode Approbation administrateur. Le comportement par défaut du paramètre varie, car Windows Vista configure le compte Administrateur intégré en fonction de critères d'installation spécifiques.

Par défaut, Windows Vista définit le paramètre surDésactivé pour les nouvelles installations et pour les mises à niveau où le compte Administrateur intégré n'est pas le seul administrateur actif local sur l'ordinateur. Le compte Administrateur intégré est désactivé par défaut pour les installations et mises à niveau sur les ordinateurs appartenant à un domaine.

Par défaut, Windows Vista configure le paramètre surActivé pour les mises à niveau lorsqu'il détermine que le compte Administrateur intégré est le seul administrateur local actif sur l'ordinateur. Si c'est le cas, Windows Vista active le compte Administrateur intégré une fois la mise à niveau réalisée.

Le paramètre Contrôle du compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré est configuré sur Activé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur
Ce paramètre détermine le comportement de Windows Vista lorsqu'un administrateur connecté tente de réaliser une tâche nécessitant l'élévation des privilèges. Il accepte les trois valeurs suivantes :

• Pas de demande. Le système élève automatiquement les privilèges sans avertir l'utilisateur.

• Demande de consentement. Le système demande le consentement de l'utilisateur avant d'élever les privilèges, mais n'a pas besoin d'informations d'identification.

• Demande d'informations d'identification. Le système invite un administrateur à taper ses informations d'identification d'administrateur avant d'élever les privilèges.

Le paramètre Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur est défini surDemande d'informations d'identification pour les deux environnements abordés dans ce guide.

Contrôle de compte d'utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
Ce paramètre détermine le comportement de Windows Vista lorsqu'un utilisateur connecté tente de réaliser une tâche nécessitant l'élévation des privilèges. Il accepte les deux valeurs suivantes :

• Refuser automatiquement les demandes d'élévation de privilèges. Le système n'affiche pas d'invite d'élévation et l'utilisateur ne peut pas réaliser de tâches d'administration sans utiliser la commandeExécuter en tant qu'administrateur ou en ouvrant une session en tant qu'administrateur.

• Demande d'informations d'identification. Le système invite un administrateur à taper ses informations d'identification d'administrateur avant d'élever les privilèges.

Le paramètre Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard est défini sur Refuser automatiquement les demandes d'élévation de privilèges pour les deux environnements abordés dans ce guide.

Ce paramètre empêche les utilisateurs standard d'élever leurs privilèges. En d'autres termes, un utilisateur standard ne peut pas fournir d'informations d'identification d'administrateur pour réaliser une tâche d'administration. Il ne pourra pas non plus sélectionner l'option Exécuter en tant qu'administrateur en cliquant avec le bouton droit de la souris sur un fichier programme. Si un utilisateur standard souhaite réaliser des tâches d'administration, il devra fermer sa session et en ouvrir une nouvelle en utilisant son compte d'administrateur. Même si le processus peut sembler contraignant, il permet de sécuriser davantage votre environnement.

Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation
Ce paramètre détermine le comportement de Windows Vista vis-à-vis des demandes d'installation d'applications. L'installation d'applications requiert une élévation de privilèges. Il accepte les deux valeurs suivantes :

• Activé. Lorsque Windows Vista détecte un programme d'installation, il demande à l'utilisateur son consentement ou ses informations d'identification (selon les paramètres d'invite d'élévation que vous avez configurés).

• Désactivé. Les installations d'applications échouent ; le système n'avertit pas l'utilisateur et ne lui donne aucun motif.

Le paramètre Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation est défini sur Activépour les deux environnements abordés dans ce guide.

Contrôle compte d'utilisateur : élever uniquement les exécutables signés et validés
Ce paramètre empêche l'exécution d'applications non signées ou non valides. Avant d'activer ce paramètre, les administrateurs doivent vérifier que toutes les applications requises sont signées et valides. Il accepte les deux valeurs suivantes :

• Activé. Les applications non signées ne peuvent pas être exécutées ; seuls les fichiers exécutables signés peuvent être exécutés.

• Désactivé. Les fichiers exécutables signés et non signés peuvent être exécutés.

Le paramètre Contrôle compte d'utilisateur : élever uniquement les exécutables signés et validés est défini sur Désactivé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés
Ce paramètre permet de protéger un ordinateur Windows Vista en autorisant l'exécution des applications installées dans un emplacement sécurisé sur le système de fichiers (dossier Program Files ou Windows\System32, par exemple) uniquement avec des privilèges élevés.

Le paramètre Contrôle de compte utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés est défini surActivé pour les deux environnements abordés dans ce guide.

§ Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur
Ce paramètre désactive le contrôle de compte d'utilisateur. Il accepte les deux valeurs suivantes :

• Activé. Les administrateurs et les utilisateurs standard reçoivent une invite lorsqu'ils tentent de réaliser des tâches d'administration. Le style de l'invite dépend de votre stratégie.

• Désactivé. Le système désactive le type d'utilisateur Mode d'approbation Administrateur, ainsi que l'ensemble des stratégies de contrôle de compte d'utilisateur associées. Par ailleurs, le Centre de sécurité signale à l'utilisateur que la sécurité générale du système d'exploitation a été réduite.

Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est défini sur Activépour les deux environnements abordés dans ce guide.

Contrôle compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation
Ce paramètre permet de protéger l'ordinateur et l'utilisateur contre l'utilisation malveillante de l'invite d'élévation. Puisque le Bureau sécurisé de Windows Vista peut uniquement exécuter les processus SYSTEM, les messages provenant de logiciels malveillants sont généralement éliminés. Ainsi, les invites de consentement et d'informations d'identification ne peuvent pas être utilisées à des fins frauduleuses sur le Bureau sécurisé. Par ailleurs, l'invite de consentement est protégée contre l'usurpation des données saisies. Il subsiste tout de même un risque avec l'invite d'informations d'identification, car son contenu peut être usurpé par un programme malveillant. Le paramètre accepte les deux valeurs suivantes :

• Activé. Le système affiche une invite d'élévation du contrôle de compte d'utilisateur sur le Bureau sécurisé.

• Désactivé. Le système affiche une invite d'élévation du contrôle de compte d'utilisateur sur le Bureau de l'utilisateur.

Le paramètre Contrôle compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est défini sur Activé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : inscrire de manière virtuelle les échecs d’écriture des fichiers et du Registre par emplacement utilisateur
Les applications pour lesquelles une entrée de base de données de compatibilité d'applications ou un marquage de niveau d'exécution requis est manquant dans le manifeste de l'application ne prennent pas en charge le contrôle de compte d'utilisateur. Si les applications ne prenant pas en charge le contrôle de compte d'utilisateur tentent d'écrire dans des zones protégées (notamment les dossiers Program Files et %systemroot%), elles échoueront automatiquement et le système ne générera aucun avertissement si le processus d'écriture n'aboutit pas. Si vous activez ce paramètre, vous autorisez Windows Vista à inscrire de manière virtuelle les écritures des fichiers et du Registre dans les emplacements utilisateur ; l'application pourra alors s'exécuter.

Les applications prenant en charge le contrôle de compte d'utilisateur ne doivent pas écrire dans des zones protégées et entraîner des échecs d'écriture. Par conséquent, vous devez désactiver ce paramètre si votre environnement utilise uniquement des applications prenant en charge le contrôle de compte d'utilisateur.

Le paramètre accepte les deux valeurs suivantes :

• Activé. Si votre environnement utilise des logiciels ne prenant pas en charge le contrôle de compte d'utilisateur, vous devez configurer ce paramètre surActivé.

• Désactivé. Si votre environnement utilise des logiciels prenant en charge le contrôle de compte d'utilisateur, vous devez configurer ce paramètre surActivé.

Si vous n'êtes pas sûr que toutes les applications de votre environnement prennent en charge le contrôle de compte d'utilisateur, utilisez la valeur Activé.

C'est pourquoi le paramètre Contrôle de compte d'utilisateur : inscrire de manière virtuelle les échecs d’écriture des fichiers et du Registre par emplacement utilisateur est configuré sur Activépour les deux environnements abordés dans ce guide.

Ouverture de session

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Ouverture de session

Le tableau suivant présente la configuration recommandée pour le paramètre Ouverture de session. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A37. Configuration recommandée pour le paramètre Ouverture de session

Ne pas traiter la liste d'exécution héritée
Ce paramètre de stratégie permet d'ignorer la liste d'exécution, qui répertorie les programmes que Windows Vista exécute automatiquement au démarrage. Les listes d'exécution personnalisées de Windows Vista sont stockées dans les clés de Registre suivantes :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Si vous activez le paramètre Ne pas traiter la liste d'exécution héritée, le système empêche les utilisateurs malintentionnés d'exécuter un programme à chaque démarrage de Windows Vista dans le but d'endommager les données ou d'exercer une action néfaste sur l'ordinateur. Il empêche également l'exécution de certains programmes système (notamment les logiciels antivirus, les logiciels de contrôle et les outils de distribution de logiciels). Microsoft vous recommande d'évaluer le niveau de menace de votre environnement avant de déterminer si vous devez utiliser ce paramètre dans votre entreprise.

Le paramètre Ne pas traiter la liste d'exécution héritée est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Ne pas traiter la liste d'exécution unique
Ce paramètre de stratégie permet d'ignorer la liste d'exécution unique, qui répertorie les programmes que Windows Vista exécute automatiquement au démarrage. Il diffère du paramètre Ne pas traiter la liste d’exécution héritée dans le sens où la liste répertorie exclusivement les programmes qui s'exécutent une seule fois lors du redémarrage du client. De temps en temps, des programmes de configuration et d'installation sont ajoutés à la liste dans le but d'achever l'installation de certains programmes une fois l'ordinateur client redémarré. Si vous activez ce paramètre de stratégie, les utilisateurs malveillants ne peuvent généralement pas utiliser la liste d'exécution unique pour lancer des applications néfastes comme ils avaient l'habitude de le faire par le passé. Un utilisateur malintentionné peut utiliser la liste d'exécution unique pour installer un programme susceptible de compromettre la sécurité de clients Windows Vista.

Remarque   Les listes d'exécution unique sont stockées dans la clé de Registre suivante :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Le paramètre Ne pas traiter la liste d'exécution unique entraîne une perte minime de fonctionnalités pour les utilisateurs de votre environnement, surtout si les ordinateurs clients ont été configurés avant l'application du paramètre via la stratégie de groupe. Le paramètre Ne pas traiter la liste d'exécution unique est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Stratégie de groupe

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe

Tableau A38. Configuration recommandée pour le paramètre Stratégie de groupe

Traitement de la stratégie du Registre
Ce paramètre de stratégie détermine à quel moment les stratégies de registre sont mises à jour. Il affecte l'ensemble des stratégies du dossier Modèles d'administration, ainsi que les stratégies qui stockent des valeurs dans le Registre. Si ce paramètre est activé, les options suivantes sont disponibles :

• Ne pas appliquer lors des traitements en tâche de fond périodiques

• Traiter même si les objets Stratégie de groupe n’ont pas été modifiés

Certains paramètres configurés par l'intermédiaire des modèles d'administration sont également accessibles aux utilisateurs dans le Registre. Le système écrasera les modifications que les utilisateurs apportent à ces paramètres si vous activez le paramètre de stratégie.

Le paramètre Traitement de la stratégie du Registre est configuré sur Activé pour les deux environnements abordés dans ce guide.

Assistance à distance

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Assistance à distance

Le tableau suivant présente la configuration recommandée pour le paramètre Assistance à distance. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A39. Configuration recommandée pour le paramètre Assistance à distance

Proposer l'Assistance à distance
Ce paramètre détermine si un membre du support technique ou un administrateur informatique compétent peut aider à distance les utilisateurs de votre environnement si ces derniers n'ont pas demandé explicitement de l'assistance par l'intermédiaire d'un canal (notamment par courrier électronique ou par le biais d'Instant Messenger).

Remarque   Les experts ne peuvent pas se connecter à l'ordinateur, ni le contrôler sans avoir obtenu le consentement préalable de l'utilisateur. Lorsqu'un expert se connecte, l'utilisateur peut refuser la connexion ou octroyer à l'expert des droits d'accès en lecture seule. Si le paramètreProposer l'Assistance à distance est défini surActivé, l'utilisateur doit cliquer sur le boutonOui pour autoriser l'expert à contrôler le poste de travail à distance.

Si ce paramètre est activé, les options suivantes sont disponibles :

• Ne permettre aux conseillers que de voir l'ordinateur

• Permettre aux conseillers de contrôler l'ordinateur à distance

Si vous configurez ce paramètre, vous pouvez également définir une liste d'utilisateurs ou de groupes d'utilisateurs appelés « conseillers » qui pourront proposer leur assistance à distance.

Configuration de la liste de conseillers

1. Dans la fenêtre de configuration Proposer l’assistance à distance, cliquez surAfficher. Le système ouvre une nouvelle fenêtre dans laquelle vous pouvez préciser les noms des conseillers.

2. Dans la liste Conseiller, tapez le nom de chaque utilisateur ou groupe d'utilisateurs en respectant les formats suivants :

   • <Nom de domaine>\<Nom d'utilisateur>

   • <Nom de domaine>\<Nom du groupe>

Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ou les groupes d'utilisateurs ne pourront pas offrir d'assistance à distance non sollicitée aux utilisateurs de votre environnement.

Le paramètre Proposer l’assistance à distance est configuré sur Non configuré pour l'environnement EC. Il est configuré surDésactivé pour l'environnement SSLF afin d'empêcher l'accès aux ordinateurs clients Windows Vista du réseau.

Assistance à distance sollicitée
Ce paramètre de stratégie détermine si l'assistance à distance peut être sollicitée à partir des ordinateurs Windows Vista de votre environnement. Vous pouvez l'activer pour permettre aux utilisateurs de solliciter l'assistance à distance d'administrateurs compétents appelés « experts ».

Remarque   Les experts ne peuvent pas se connecter à l'ordinateur, ni le contrôler sans avoir obtenu le consentement préalable de l'utilisateur. Lorsqu'un expert se connecte, l'utilisateur peut refuser la connexion ou octroyer à l'expert des droits d'accès en lecture seule. L'utilisateur doit cliquer sur le bouton Oui pour autoriser l'expert à contrôler le poste de travail à distance.

Si le paramètre Assistance à distance sollicitée est activé, les options suivantes sont disponibles :

• Permettre aux conseillers de contrôler l'ordinateur à distance

• Ne permettre aux conseillers que de voir l'ordinateur

En outre, les options suivantes permettent de configurer la durée de validité d'une demande d'assistance émanant d'un utilisateur :

• Durée maximale du ticket (valeur) :

• Durée maximale du ticket (unités) : heures,minutes ou jours

Lorsque le ticket (la demande d'assistance) expire, l'utilisateur doit envoyer une autre demande pour qu'un expert puisse se connecter à l'ordinateur. Si vous désactivez le paramètre Assistance à distance sollicitée, les utilisateurs ne peuvent pas envoyer de demandes d'assistance et l'expert ne peut pas se connecter à leur ordinateur.

Les utilisateurs peuvent configurer le paramètreAssistance à distance sollicitée dans le Panneau de configuration. Par défaut, les paramètres suivants sont activés dans le Panneau de configuration : Assistance à distance sollicitée, Support d'un ami etContrôle à distance. Le paramètreDurée maximale du ticket est défini sur30 jours. Si ce paramètre de stratégie est désactivé, aucune personne ne pourra accéder aux ordinateurs clients Windows Vista du réseau.

Le paramètre Assistance à distance sollicitée est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Appel de procédure distante (RPC)

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Modèles d'administration\Système\Appel de procédure distante

Le tableau suivant présente la configuration recommandée pour le paramètre Appel de procédure distante. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A40. Configuration recommandée pour le paramètre Appel de procédure distante

Restrictions concernant les clients RPC non authentifiés
Ce paramètre de stratégie configure l'exécution RPC sur un serveur RPC pour empêcher les clients RPC non authentifiés de se connecter au serveur RPC. Un client est considéré comme non authentifié dès lors qu'il utilise un canal nommé pour communiquer avec le serveur ou qu'il utilise la sécurité RPC. Les interfaces RPC qui ont demandé à être accessibles aux clients non authentifiés peuvent être exemptées de cette restriction selon la valeur définie pour cette stratégie. Si ce paramètre est activé, les valeurs suivantes sont disponibles :

• Aucun. Tous les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie.

• Authentifié. Seuls les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie. Les interfaces qui ont demandé à être accessibles peuvent être exemptées de cette restriction.

• Authentifié sans exceptions. Seuls les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie. Aucune exception n'est permise.

Puisque les communications RPC non authentifiées peuvent constituer une vulnérabilité de sécurité, le paramètreRestrictions pour les clients RPC non authentifiés est configuré sur Activéet la valeur Restriction d'exécution du client à distance RPC non authentifié est définie surAuthentifié pour les deux environnements abordés dans ce guide.

Remarque   Les applications RPC qui n'authentifient pas les demandes de connexion entrantes non sollicitées risquent de ne pas fonctionner correctement avec cette configuration. Vous devez tester les applications avant de déployer ce paramètre de stratégie dans votre environnement. Même si la valeur Authentifié ne soit pas totalement sécurisée, elle peut s'avérer utile pour garantir la compatibilité des applications de votre environnement.

Authentification du client mappeur du point de sortie RPC
Si vous activez ce paramètre de stratégie, les ordinateurs clients qui communiquent avec cet ordinateur devront s'authentifier pour pouvoir établir la communication RPC. Par défaut, les clients RPC ne s'authentifient pas pour communiquer avec le service de mappeur du point de sortie RPC lorsqu'ils demandent le point de sortie d'un serveur. Toutefois, la valeur par défaut a été modifiée pour l'environnement SSLF ; les ordinateurs clients doivent donc s'authentifier pour pouvoir établir la communication RPC.

Gestion de la communication Internet\Paramètres de communication Internet

Plusieurs paramètres de configuration sont disponibles dans le groupe Paramètres de communication Internet. Microsoft vous recommande de limiter plusieurs des paramètres pour améliorer la confidentialité des données sur vos systèmes informatiques. Si vous ne le faites pas, des utilisateurs malveillants risquent d'intercepter et d'utiliser certaines informations. Même si ce type d'attaque est plutôt rare aujourd'hui, vous pourrez protéger votre environnement contre les attaques futures si vous configurez correctement ces paramètres.

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Modèles d'administration/Système/Gestion de la communication Internet/Paramètres de communication Internet

Le tableau suivant présente la configuration recommandée pour le paramètre Paramètres de communication Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A41. Configuration recommandée pour le paramètre Paramètres de communication Internet

Désactiver l'option Publier sur le Web de la Gestion des fichiers
Ce paramètre de stratégie indique si les tâches Publier ce fichier sur le Web, Publier ce dossier sur le Web et Publier les éléments sélectionnés sur le Web sont affichées dans le volet Gestion des fichiers dans les dossiers Windows. L'Assistant Publication de pages Web permet de télécharger la liste des fournisseurs et permet aux utilisateurs de publier des pages sur le Web.

Si vous configurez le paramètre Désactiver l'option Publier sur le Web de la Gestion des fichiers surActivé, ces options sont supprimées du volet Gestion des fichiers dans les dossiers Windows. Par défaut, l'option de publication sur le Web est disponible. Puisque cette fonctionnalité pourrait être utilisée pour exposer du contenu sécurisé sur un ordinateur client Web non authentifié, le paramètre est configuré sur Activé pour les environnements EC et SSLF.

Désactiver le téléchargement à partir d'Internet pour les Assistants Publication de sites Web et Commandes via Internet
Ce paramètre de stratégie détermine si Windows doit télécharger la liste des fournisseurs pour les assistants de publication Web et de commande en ligne. Si vous l'activez, Windows ne peut pas la télécharger ; seuls les fournisseurs de services se trouvant en cache dans le registre local s'affichent.

Puisque le paramètreDésactiver Publier sur le Web de la Gestion des fichiers a été activé pour les environnements EC et SSLF (voir paramètre précédent), cette option n'est pas nécessaire. Toutefois, le paramètreDésactiver le téléchargement à partir d'Internet pour les Assistants Publication de sites Web et Commandes via Internet est configuré sur Activé pour minimiser la zone d'attaque potentielle des ordinateurs clients et empêcher qu'un utilisateur malveillant n'exploite cette fonctionnalité d'une quelconque manière.

Désactiver le Programme d'amélioration des services pour Windows Messenger
Ce paramètre de stratégie indique si Windows Messenger peut recueillir des informations anonymes concernant l'utilisation du logiciel et du service Windows Messenger. Vous pouvez l'activer pour garantir que Windows Messenger ne recueille pas de données d'utilisation et empêcher l'affichage des paramètres utilisateur qui activent la collecte des données d'utilisation.

Dans les grands environnements d'entreprise, il n'est pas toujours souhaitable de recueillir des informations sur les ordinateurs clients gérés. Le paramètre Désactiver le Programme d'amélioration des services pour Windows Messenger est configuré sur Activé pour les deux environnements abordés dans ce guide dans le but d'empêcher la collecte d'informations.

Désactiver les mises à jour des fichiers de contenu de l'Assistant Recherche
Ce paramètre de stratégie indique si l'Assistant Recherche doit télécharger automatiquement les mises à jour de contenu lors des recherches locales et Web. Si vous le configurez surActivé, vous empêchez l'Assistant Recherche de télécharger des mises à jour de contenu pendant les recherches.

Le paramètre Désactiver les mises à jour des fichiers de contenu de l'Assistant Recherche est configuré surActivé pour les environnements EC et SSLF dans le but de contrôler les communications réseau inutiles émanant de chaque ordinateur client géré.

Remarque   Dans le cas des recherches Internet, le texte recherché et les informations de recherche sont néanmoins envoyés à Microsoft et au fournisseur de recherche sélectionné. Si vous sélectionnez Recherche classique, l'Assistant Recherche n'est pas disponible. Pour sélectionner Recherche classique, cliquez sur Démarrer,Rechercher, Modifier les préférences et Modifier les paramètres de recherche d'Internet.

Désactiver l'impression via HTTP
Ce paramètre de stratégie permet de désactiver la fonctionnalité d'impression via HTTP de l'ordinateur client, qui peut envoyer ses travaux d'impression aux imprimantes résidant sur l'intranet et sur Internet. Si vous l'activez, l'ordinateur client ne pourra pas utiliser d'imprimantes Internet via HTTP.

Les informations transmises via HTTP au moyen de cette fonction ne sont pas protégées et peuvent être interceptées par des utilisateurs malveillants. C'est pourquoi elle n'est généralement pas utilisée dans les environnements d'entreprise. Le paramètreDésactiver l'impression sur HTTP est configuré sur Activé pour les environnements EC et SSLF dans le but d'empêcher toute violation de sécurité potentielle par l'intermédiaire d'un travail d'impression non sécurisé.

Remarque   Ce paramètre de stratégie affecte uniquement le côté client de l'impression sur Internet. Quelle que soit la configuration choisie, un ordinateur peut jouer le rôle de serveur d'impression Internet et permettre l'accès à ses imprimantes partagées via HTTP.

Désactiver le téléchargement des pilotes d'imprimantes via HTTP
Ce paramètre de stratégie détermine si l'ordinateur peut télécharger des packages de pilotes d'imprimantes via HTTP. Pour configurer l'impression via HTTP, vous devrez peut-être télécharger via HTTP les pilotes d'imprimantes qui ne sont pas disponibles dans l'installation standard du système d'exploitation.

Le paramètre Désactiver le téléchargement des pilotes d'imprimantes via HTTP est configuré surActivé dans le but d'empêcher le téléchargement de pilotes d'imprimantes via HTTP.

Remarque   Ce paramètre de stratégie n'empêche pas l'ordinateur client d'envoyer via HTTP?ses travaux d'impression aux imprimantes résidant sur l'intranet ou sur Internet. Il les empêche uniquement de télécharger les pilotes, qui ne sont pas déjà installés en local.

Désactiver la recherche de pilotes de périphériques sur Windows Update
Ce paramètre de stratégie détermine si Windows doit rechercher des pilotes de périphériques dans Windows Update lorsqu'il ne possède pas de pilotes pour un périphérique particulier en local.

Puisque le téléchargement de pilotes de périphériques sur Internet présente quelques risques, le paramètreDésactiver la recherche de pilotes de périphériques sur Windows Update est configuré sur Activépour l'environnement SSLF et sur Désactivé pour l'environnement EC. En effet, les attaques pouvant exploiter les téléchargements de pilotes sont généralement anéanties par une bonne stratégie de gestion des ressources et des configurations d'entreprise. Cette configuration garantit également la compatibilité et la stabilité sur tous les ordinateurs de l'environnement.

Remarque   Pour plus d'informations, voir aussi Désactiver l'invite de recherche de pilotes d'imprimantes Windows Update dans Modèles d'administration/Système. Ce paramètre détermine si le système doit envoyer une invite à l'administrateur avant de rechercher des pilotes de périphérique dans Windows Update lorsqu'il ne trouve pas de pilote en local.

Stratégies de lecture automatique

La lecture automatique est une fonctionnalité Windows, qui ouvre ou lance automatiquement des fichiers multimédia ou des programmes d'installation dès que l'ordinateur les détecte. Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Stratégies de lecture automatique

Tableau A42. Configuration recommandée pour le paramètre Stratégies de lecture automatique

Désactiver le lecteur automatique
Le lecteur automatique lit le support dès qu'il est inséré et lance immédiatement le fichier d'installation ou le support audio correspondant. Cette fonctionnalité peut être utilisée par un utilisateur malveillant, qui souhaite endommager l'ordinateur ou ses données. Pour la désactiver, il suffit d'activer le paramètre Désactiver le lecteur automatique. Par défaut, le lecteur automatique est désactivé sur certains types de lecteurs amovibles (notamment les lecteurs de disquettes et les lecteurs réseau) mais pas sur les lecteurs de CD-ROM.

Le paramètre Désactiver le lecteur automatique est configuré sur Non configuré pour l'environnement EC et surActivé–Tous les lecteurs pour l'environnement SSLF uniquement.

Remarque   Vous ne pouvez pas activer la lecture automatique sur les lecteurs où la fonctionnalité est désactivée par défaut (notamment lecteurs de disquettes et les lecteurs réseau).

Interface utilisateur d'informations d'identification

Les paramètres d'interface utilisateur d'informations d'identification contrôlent l'interface utilisateur que les utilisateurs voient lorsqu'ils sont invités à préciser leur nom de compte et leur mot de passe pour réaliser des tâches élevées, qui nécessitent une approbation via le Bureau sécurisé. Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Interface utilisateur d'informations d'identification

Tableau A43. Configuration recommandée pour le paramètre Interface utilisateur d'informations d'identification

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Énumérer les comptes d’administrateur aux privilèges élevés
Par défaut, tous les comptes administrateur s'affichent lorsque vous tentez d'élever une application en cours d'exécution. Si vous activez ce paramètre de stratégie, les utilisateurs devront toujours taper leur nom d'utilisateur et leur mot de passer pour procéder à l'élévation. Si vous le désactivez, tous les comptes administrateur locaux résidant sur l'ordinateur s'afficheront pour permettre aux utilisateurs d'en choisir un ou de préciser le mot de passe approprié.

Le paramètre Énumérer les comptes d’administrateur aux privilèges élevés est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Exiger un chemin d’accès approuvé pour une entrée d’informations d’identification
Si vous activez ce paramètre de stratégie, les utilisateurs devront taper des informations d'identification Windows sur le Bureau sécurisé par le biais du mécanisme de chemin approuvé. Autrement dit, ils devront d'abord appuyer sur Ctrl+Alt+Suppr pour pouvoir préciser leur nom de compte et leur mot de passe dans le but d'autoriser une demande d'élévation. L'utilisation d'un chemin approuvé empêche qu'un cheval de Troie ou un autre type de code malveillant ne dérobe les informations d'identification Windows de l'utilisateur.

Si vous désactivez ou que vous ne configurez pas le paramètre de stratégie, les utilisateurs taperont leurs informations d'identification Windows dans la session de bureau Windows au risque d'être subtilisées par un code malveillant.

Le paramètre Exiger un chemin d’accès approuvé pour une entrée d’informations d’identification est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Internet Explorer

La stratégie de groupe Microsoft Internet Explorer® permet de mettre en œuvre les besoins de sécurité des ordinateurs Windows Vista et d'empêcher les échanges de contenu indésirable via Internet Explorer. Respectez les points suivants pour sécuriser Internet Explorer sur les postes de travail de votre environnement :

• Vérifiez que les demandes d'accès à Internet surviennent uniquement lors de réponses directes à des actions utilisateur.

• Vérifiez que les informations envoyées à des sites Web particuliers arrivent exclusivement à destination des sites en question, sauf si certaines actions utilisateur sont autorisées à transmettre des informations à d'autres destinations.

• Vérifiez que les canaux approuvés vers des serveurs/sites et leurs propriétaires respectifs sont clairement identifiés.

• Vérifiez que les scripts ou programmes qui fonctionnent avec Internet Explorer s'exécutent dans un environnement restreint. Dans certains cas, les programmes livrés par des canaux approuvés peuvent être configurés pour s'exécuter en dehors de l'environnement restreint.

Important    Avant d'appliquer les objets de stratégie de groupe inclus dans ce guide, vous devez vérifier qu'Internet Explorer est correctement configuré pour pouvoir accéder à Internet. De nombreux environnements requièrent des paramètres de proxy particuliers pour bénéficier d'un accès Internet adéquat. Les paramètres recommandés présentés dans ce guide empêchent les utilisateurs de modifier la configuration des paramètres de proxy Internet Explorer.

Vous pouvez configurer les paramètres Internet Explorer recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Le tableau suivant présente quelques options recommandées pour le paramètre Internet Explorer. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A44. Configuration recommandée pour le paramètre Internet Explorer

Désactiver l'installation automatique de composants Internet Explorer
Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas télécharger de composants lorsque les utilisateurs navigueront sur des sites Web qui en ont besoin pour fonctionner correctement. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs seront invités à télécharger et installer les composants chaque fois qu'ils visiteront les sites Web en question.

Le paramètre Désactiver l'installation automatique de composants Internet Explorer est configuré surActivé pour les deux environnements qui sont abordés dans cette annexe.

Remarque   Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une autre stratégie pour mettre à jour Internet Explorer au moyen de Microsoft Update ou d'un service similaire.

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer
Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas déterminer si une version plus récente du navigateur est disponible, ni avertir les utilisateurs dans l'affirmative. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer recherchera des mises à jour tous les 30 jours (par défaut) et avertira les utilisateurs dès qu'une nouvelle version sera disponible.

Le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une autre stratégie destinée aux administrateurs de votre entreprise pour qu'ils acceptent régulièrement les nouvelles mises à jour Internet Explorer sur les ordinateurs clients de votre environnement.

Désactiver les notifications de mise à jour de logiciels provenant de l’interface intégrée, lors du lancement du programme
Ce paramètre de stratégie indique que les programmes qui utilisent des canaux de distribution de logiciels Microsoft n'avertiront pas les utilisateurs lorsqu'ils installeront de nouveaux composants. Les canaux de distribution de logiciels permettent de mettre à jour de façon dynamique des logiciels sur les ordinateurs des utilisateurs ; ils s'appuient sur les technologies Open Software Distribution (.osd).

Le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme est configuré surActivé pour les deux environnements abordés dans ce guide.

Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires
Ce paramètre de stratégie détermine si les utilisateurs peuvent autoriser ou refuser des modules complémentaires par l'intermédiaire de la fonction Gérer les modules complémentaires. Si vous le configurez surActivé, les utilisateurs ne pourront pas activer ni désactiver les modules complémentaires par l'intermédiaire de la fonction Gérer les modules complémentaires sauf si un module complémentaire a été ajouté à la Liste des modules complémentaires qui autorise les utilisateurs à le gérer. Dans ce cas, l'utilisateur pourra continuer à gérer le module par l'intermédiaire de la fonction Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Désactivé, l'utilisateur pourra activer ou désactiver les modules complémentaires.

Les utilisateurs décident souvent d'installer des modules complémentaires, qui ne sont pas autorisés par la stratégie de sécurité de l'entreprise. Ces modules complémentaires peuvent présenter des risques importants pour la sécurité et la confidentialité de votre réseau. Ce paramètre de stratégie est donc configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Contrôlez les paramètres GPO dans Internet Explorer\Fonctionnalités de sécurité\Gestion des modules complémentaires pour vérifier que les modules complémentaires autorisés appropriés peuvent s'exécuter dans votre environnement. Pour plus d'informations, lisez l'article 555235 « Outlook Web Access and Small Business Server Remote Web Workplace do not function if XP Service Pack 2 Add-on Blocking is enabled via group policy » de la Base de connaissances.

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)
Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas modifier les paramètres de proxy spécifiques aux utilisateurs. Ils devront utiliser les zones créées pour l'ensemble des utilisateurs des ordinateurs auxquels ils accèdent.

Le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) est configuré sur Activé pour les ordinateurs de bureau clients dans les deux environnements abordés dans ce guide. Toutefois, il est configuré sur Désactivé pour les ordinateurs portables clients car les utilisateurs itinérants peuvent avoir besoin de modifier leurs paramètres proxy quand ils sont en déplacement.

Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites
Si vous activez ce paramètre de stratégie, les paramètres de gestion de site sont désactivés pour les zones de sécurité. Pour accéder aux paramètres, sélectionnezOutils > Options Internet dans la barre de menus d'Internet Explorer, cliquez sur l'ongletSécurité et sur Sites. Si vous désactivez ou que vous ne configurez pas ce paramètre de stratégie, les utilisateurs pourront ajouter ou supprimer des sites Web dans les zones Sites de confiance etSites sensibles et modifier les paramètres de la zone Intranet local.

Le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez le paramètreDésactiver l'onglet Sécurité (situé dans \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'ongletSécurité disparaît de l'interface et le paramètre Désactiver prime par rapport au paramètre Zones de sécurité .

Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies
Si vous activez ce paramètre de stratégie, le boutonNiveau personnalisé et le curseur Niveau de sécurité pour cette zone sont désactivés dans l'onglet Sécurité de la boîte de dialogueOptions Internet. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs pourront modifier les paramètres des zones de sécurité. Il empêche les utilisateurs de modifier les paramètres de stratégie des zones de sécurité définis par l'administrateur.

Le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez le paramètreDésactiver l'onglet Sécurité (situé dans \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'ongletSécurité disparaît d'Internet Explorer dans le Panneau de configuration et le paramètreDésactiver prime par rapport au paramètreZones de sécurité.

Zones de sécurité : utiliser seulement les paramètres ordinateur
Ce paramètre de stratégie affecte la manière dont les modifications apportées aux zones de sécurité s'appliquent aux différents utilisateurs. Il garantit l'uniformité des paramètres des zones de sécurité sur un même ordinateur de sorte qu'ils ne varient pas d'un utilisateur à l'autre. Si vous activez ce paramètre de stratégie, les modifications apportées par un utilisateur à une zone de sécurité s'appliqueront à l'ensemble des utilisateurs de l'ordinateur. Si vous le désactivez ou que vous ne le configurez pas, tous les utilisateurs d'un même ordinateur pourront établir leurs propres paramètres de zone de sécurité.

Le paramètre Zones de sécurité : utiliser seulement les paramètres ordinateur est configuré surActivé pour les deux environnements abordés dans ce guide.

Désactiver la détection d'arrêts intempestifs
Ce paramètre de stratégie permet de gérer la fonctionnalité de détection d'arrêts intempestifs du processus de gestion des modules complémentaires dans Internet Explorer. Si vous l'activez, les arrêts intempestifs dans Internet Explorer seront similaires à ceux qui surviennent sur un ordinateur Windows XP Professionnel avec Service Pack 1 (SP1) ou plus ; le système appellera le Rapport d'erreurs Windows. Si vous le désactivez, la fonction de détection d'arrêts intempestifs du processus de gestion des modules complémentaires sera opérationnelle.

Dans la mesure où les informations de rapport d'erreurs Internet Explorer peuvent contenir des données sensibles résidant dans la mémoire de l'ordinateur, le paramètre Désactiver la détection des pannes est configuré surActivé pour les deux environnements abordés dans ce guide. Si vous rencontrez fréquemment des arrêts intempestifs et que vous souhaitez les signaler pour bénéficier d'un dépannage, vous pouvez configurer provisoirement le paramètre surDésactivé.

Le dossier Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorercomporte les sections de paramètres suivantes :

• Panneau de configuration Internet\Onglet Avancé

• Fonctionnalités de sécurité\Restriction de sécurité du protocole MK

• Fonctionnalités de sécurité\Gestion MIME cohérente

• Fonctionnalités de sécurité\Fonctionnalités de sécurité de détection MIME

• Fonctionnalités de sécurité\Restrictions de sécurité de scripts de fenêtres

• Fonctionnalités de sécurité\Protection contre l'élévation de zone

• Fonctionnalités de sécurité\Restreindre l'installation ActiveX

• Fonctionnalités de sécurité\Restreindre le téléchargement de fichiers

• Fonctionnalités de sécurité\Gestion des modules complémentaires

• Paramètre Liste des modules complémentaires Internet Explorer

Les valeurs par défaut des paramètres offrent un niveau de sécurité supérieur par rapport aux versions Windows antérieures. Toutefois, nous vous conseillons de passer en revue les différents paramètres pour savoir si vous devez les appliquer ou non dans votre environnement au vu des questions d'utilisation ou de compatibilité entre les applications.

Par exemple, vous pouvez configurer Internet Explorer pour bloquer par défaut les fenêtres contextuelles dans toutes les zones Internet. Vérifiez que le paramètre de stratégie est appliqué à l'ensemble des ordinateurs de votre environnement pour éliminer les fenêtres contextuelles et limiter les risques d'installation de logiciels malveillants et espions qui sont souvent véhiculés sur Internet. Il se peut également que votre environnement contienne des applications, qui nécessitent l'utilisation de fenêtres contextuelle pour fonctionner convenablement. Dans ce cas, vous pouvez configurer le paramètre de stratégie de façon à autoriser les fenêtres contextuelles pour les sites Web résidant sur votre intranet.

Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Tableau A45. Configuration recommandée pour le paramètre Onglet Avancé

Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide
Les contrôles Microsoft ActiveX® et les téléchargements de fichiers comportent souvent des signatures numériques, qui certifient l'intégrité des fichiers et l'identité de l'éditeur du logiciel (le signataire). Les signatures garantissent que le logiciel téléchargé n'a pas été modifié et identifient les signataires actifs afin de déterminer s'ils sont fiables.

Le paramètre Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide permet d'autoriser ou d'interdire l'installation ou l'exécution de logiciels téléchargés par les utilisateurs lorsque la signature n'est pas valide. Une signature non valide peut indiquer que le fichier a été modifié par une personne. Si vous activez ce paramètre de stratégie, le système affichera une invite lorsque les utilisateurs voudront installer ou exécuter des fichiers comportant une signature non valide. Si vous le désactivez, les utilisateurs ne pourront pas exécuter ni installer les fichiers comportant une signature non valide.

Puisque les logiciels non signés peuvent entraîner une vulnérabilité de sécurité, le paramètre de stratégie est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Certains logiciels et contrôles légitimes peuvent être acceptables malgré une signature non valide. Vous devez tester les logiciels à plusieurs reprises avant d'autoriser leur utilisation sur le réseau de votre entreprise.

Internet Explorer\Fonctions de sécurité\Restriction de sécurité du protocole MK

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restriction de sécurité du protocole MK

Tableau A46. Configuration recommandée pour le paramètre Protocole MK

Processus Internet Explorer (Protocole MK)
Ce paramètre de stratégie réduit la zone d'attaque potentielle de l'ordinateur en bloquant le protocole MK, qui est rarement utilisé. Certaines applications Web anciennes utilisent le protocole MK pour récupérer des informations dans des fichiers compressés. Si vous configurez ce paramètre de stratégie surActivé, le protocole MK sera bloqué pour l'Explorateur Windows et Internet Explorer ; les ressources qui utilisent le protocole MK ne fonctionneront donc pas. Si vous le désactivez, les autres applications seront autorisées à utiliser l'API du protocole MK.

Dans la mesure où le protocole MK n'est plus beaucoup utilisé, vous pouvez le bloquer si vous n'en avez pas besoin. Le paramètre est configuré sur Activé pour les deux environnements abordés dans ce guide. Microsoft vous recommande de bloquer le protocole MK sauf si vous en avez besoin dans votre environnement.

Remarque   Puisque les ressources qui utilisent le protocole MK ne fonctionnent pas si vous déployez ce paramètre de stratégie, vérifiez qu'aucune de vos applications n'utilise le protocole.

Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Tableau A47. Configuration recommandée pour le paramètre Gestion MIME cohérente

Processus Internet Explorer (Gestion MIME cohérente)
Internet Explorer utilise des données MIME (Multipurpose Internet Mail Extensions) pour déterminer les procédures de traitement des fichiers reçus via un serveur Web. Le paramètre Gestion MIME cohérente détermine si Internet Explorer requiert la cohérence de toutes les informations de types de fichier fournies par les serveurs Web. Par exemple, Internet Explorer modifiera l'extension du fichier si le type MIME d'un fichier est texte/brut et que les données MIME indiquent que le fichier est un fichier exécutable. Cette fonction garantit que le code exécutable ne puisse pas être déguisé en types de données fiables.

Si vous activez ce paramètre de stratégie, Internet Explorer examinera tous les fichiers reçus et appliquer des données MIME cohérentes. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer n'exigera pas de données MIME cohérentes pour l'ensemble des fichiers reçus et utilisera les données MIME fournies par les fichiers.

L'usurpation de types de fichier MIME constitue une menace potentielle pour votre entreprise. Vérifiez que les fichiers sont cohérents et correctement étiquetés pour empêcher les téléchargements de fichiers malveillants susceptibles d'infecter votre réseau. Le paramètre est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne conjointement avec les paramètresFonctionnalité de sécurité de détection MIME, mais ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Tableau A48. Configuration recommandée pour le paramètre Fonctionnalité de sécurité de détection MIME

Processus Internet Explorer (Fonctionnalité de sécurité de détection MIME)
Le processus de détection MIME examine le contenu d'un fichier MIME dans le but de déterminer son contexte (fichier de données, fichier exécutable ou autre type de fichier). Ce paramètre de stratégie permet de déterminer si la détection MIME d'Internet Explorer empêche la transformation d'un fichier d'un certain type en un type plus dangereux. Si vous le configurez surActivé, la détection MIME ne transformera pas les fichiers d'un certain type en un type plus dangereux. Si vous le désactivez, la détection MIME configurera les processus Internet Explorer pour autoriser la promotion des fichiers d'un certain type vers un type plus dangereux. Par exemple, un fichier texte peut être promu au titre de fichier exécutable ; cela présente des risques, car n'importe quel code se trouvant dans le fichier texte présumé peut être exécuté.

L'usurpation de types de fichier MIME constitue une menace potentielle pour votre entreprise. Microsoft vous recommande de vérifier que les fichiers sont cohérents pour empêcher les téléchargements de fichiers malveillants susceptibles d'infecter votre réseau..

Le paramètre Processus Internet Explorer (Fonctionnalité de sécurité de détection MIME) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne conjointement avec les paramètres Gestion MIME cohérente, mais ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Tableau A49. Configuration recommandée pour le paramètre Restrictions de sécurité de scripts de fenêtres

Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres)
Internet Explorer autorise les scripts à ouvrir, redimensionner et repositionner divers types de fenêtres par programmation. Très souvent, les sites Web non fiables redimensionnent les fenêtres pour masquer d'autres fenêtres ou forcer les utilisateurs à interagir avec une fenêtre contenant du code malveillant.

Le paramètre Processus Internet Explorer(Restrictions de sécurité de scripts de fenêtres) restreint les fenêtres contextuelles et interdit aux scripts d'afficher des fenêtres dans lesquelles les barres de titre et d'état ne sont pas visibles ou cachent les barres de titre et d'état d'autres fenêtres. Si vous activez ce paramètre de stratégie, les fenêtres contextuelles ne s'afficheront pas dans l'Explorateur Windows et les processus Internet Explorer. Si vous le désactivez ou que vous ne le configurez pas, les scripts pourront générer des fenêtres contextuelles et des fenêtres masquant d'autres fenêtres.

Le paramètre Processus Internet Explorer(Restrictions de sécurité de scripts de fenêtres) est configuré surActivé pour les deux environnements abordés dans ce guide. Si ce paramètre de stratégie est activé, les sites Web malveillants auront plus de mal à contrôler vos fenêtres Internet Explorer ou à pousser les utilisateurs à cliquer sur la mauvaise fenêtre.

Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Tableau A50. Configuration recommandée pour le paramètre Protection contre l'élévation de zone

Processus Internet Explorer (Protection contre l'élévation de zone)
Internet Explorer place des restrictions sur chaque page Web ouverte. Les restrictions dépendent de l'emplacement de la page Web (zone Internet, Intranet ou Ordinateur local). Les pages Web résidant sur un ordinateur local sont peu soumis aux restrictions de sécurité ; elles résident dans la zone Ordinateur local, qui constitue donc une cible de choix pour les utilisateurs malveillants.

Si vous activez le paramètre Processus Internet Explorer (Protection contre l'élévation de zone), n'importe quelle zone pourra être protégée contre l'élévation de zone par les processus Internet Explorer. De cette façon, le contenu qui s'exécute dans une zone ne pourra pas obtenir les privilèges élevés d'une autre zone. Si vous désactivez ce paramètre de stratégie, aucune zone ne recevra ce type de protection pour les processus Internet Explorer.

Étant donné la gravité et la fréquence des attaques d'élévation de zone, le paramètre Processus Internet Explorer (Protection contre l'élévation de zone) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Tableau A51. Configuration recommandée pour le paramètre Restreindre l'installation ActiveX

Processus Internet Explorer (Restreindre l'installation ActiveX)
Ce paramètre de stratégie permet de bloquer les invites d'installation de contrôle ActiveX pour les processus Internet Explorer. Si vous l'activez, les invites d'installation de contrôle ActiveX seront bloquées pour les processus Internet Explorer. Si vous le désactivez, les invites d'installation de contrôles ActiveX ne seront pas bloquées et les utilisateurs pourront les voir.

Les utilisateurs installent souvent des logiciels comme les contrôles ActiveX, qui ne sont pas autorisés par la stratégie de sécurité de l'entreprise. Ces logiciels peuvent présenter des risques significatifs pour la sécurité et la confidentialité des réseaux. Le paramètre Processus Internet Explorer (Restreindre l'installation ActiveX) est donc configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie empêche également les utilisateurs d'installer des contrôles ActiveX légitimes, qui risqueraient d'interférer avec des composants critiques du système (Windows Update, par exemple). Dans ce cas, veillez à mettre en œuvre une autre stratégie pour déployer des mises à jour de sécurité comme Windows Server Update Services (WSUS). Pour plus d'informations sur WSUS, consultez la page Windows Server Update Services Product Overview.

Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Tableau A52. Configuration recommandée pour le paramètre Restreindre le téléchargement de fichiers

Processus Internet Explorer (Restreindre le téléchargement de fichiers)
Dans certains cas, les sites Web affichent des invites de téléchargement de fichiers à l'insu de l'utilisateur. Cette technique permet à certains sites Web de placer des fichiers non autorisés sur le disque dur de l'utilisateur si ce dernier clique sur le mauvais bouton et accepte le téléchargement.

Si vous configurez le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) sur Activé, les processus Internet Explorer bloqueront les invites de téléchargements de fichiers qui n'ont pas été demandées par les utilisateurs. Si vous le configurez sur Désactivé, les invites de téléchargements de fichiers non demandées s'afficheront.

Le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) est configuré surActivé pour les deux environnements abordés dans ce guide dans le but d'empêcher les utilisateurs malveillants de placer du code arbitraire sur les ordinateurs des utilisateurs.

Internet Explorer\Fonctions de sécurité\Gestion des modules complémentaires

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Gestion des modules complémentaires

Tableau A53. Configuration recommandée pour le paramètre Gestion des modules complémentaires

Interdire tous les modules complémentaires, sauf s’ils sont explicitement autorisés dans la liste des modules complémentaires
Ce paramètre de stratégie (ainsi que le paramètre Liste des modules complémentaires) permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètre Liste des modules complémentairesdéfinit une liste des modules complémentaires autorisés ou interdits par la stratégie de groupe. Le paramètreInterdire tous les modules complémentaires, sauf s’ils sont explicitement autorisés dans la liste des modules complémentaires suppose que tous les modules complémentaires sont interdits sauf s'ils sont répertoriés dans le paramètre Liste des modules complémentaires.

Si vous l'activez, Internet Explorer autorisera uniquement les modules complémentaires répertoriés dans la Liste des modules complémentaires. Si vous le désactivez, les utilisateurs pourront utiliser le Gestionnaire de modules complémentaires pour autoriser ou interdire les modules complémentaires.

Nous vous conseillons d'utiliser conjointement les paramètresInterdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires, qui peuvent être utilisés dans votre environnement. De cette façon, vous serez sûr que seuls les modules complémentaires autorisés seront utilisés.

Si vous activez le paramètre Liste des modules complémentaires, vous devrez répertorier la liste des modules complémentaires autorisés ou interdits par Internet Explorer. Puisque les modules interdits varient d'une entreprise à l'autre, vous ne trouverez pas de liste détaillée dans ce guide. Pour chaque entrée que vous ajoutez à la liste, vous devez fournir les informations suivantes :

• Nom de la valeur. Il s'agit de l'identificateur de classe (CLSID) du module complémentaire que vous souhaitez ajouter à la liste. Vous devez le taper entre accolades. Par exemple : {000000000-0000-0000-0000-0000000000000}. Pour connaître l'identificateur CLSID?d'un module complémentaire, lisez la balise OBJECT?d'une page Web sur laquelle le module complémentaire est référencé.

• Valeur. Il s'agit d'un numéro, qui indique à Internet Explorer s'il doit accepter ou interdire le chargement du module complémentaire. Vous pouvez utiliser les valeurs suivantes :

  • 0-Refuser ce module complémentaire

  • 1-Autoriser ce module complémentaire

  • 2 -Autoriser le module complémentaire et permettre à l'utilisateur de le gérer au moyen du paramètre Gérer les modules complémentaires

Si vous désactivez le paramètre Liste des modules complémentaires, le système supprime la liste. Nous vous conseillons d'utiliser conjointement les paramètresInterdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires, qui peuvent être utilisés dans votre environnement. De cette façon, vous serez sûr que seuls les modules complémentaires autorisés seront utilisés.

NetMeeting

Microsoft NetMeeting® permet d'organiser des réunions virtuelles au sein du réseau de votre entreprise. Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
NetMeeting

Tableau A54. Configuration recommandée pour les paramètres NetMeeting

Désactiver le partage de Bureaux distants
Ce paramètre de stratégie désactive la fonctionnalité de partage de bureaux distants de NetMeeting. Si vous l'activez, les utilisateurs ne pourront pas configurer NetMeeting pour contrôler le bureau local à distance.

Le paramètre Désactiver le partage de Bureaux distants est configuré sur Non configuré pour l'environnement EC. En revanche, il est défini sur Activé dans l'environnement SSLF dans le but d'empêcher les utilisateurs de partager à distance des bureaux distants via NetMeeting.

Services Terminal Server

Les paramètres Services Terminal Server proposent des options pour rediriger les ressources d'ordinateurs clients vers des serveurs auxquels les utilisateurs accèdent via Terminal Server Cette section permet de configurer les paramètres des composants suivants :

• Client Connexion Bureau à Distance

• Terminal Server\Connexions

• Terminal Server\Redirection de périphérique et de ressource

• Terminal Server\Sécurité

Services Terminal Server\Client Connexion Bureau à Distance

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Modèles d'administration\Composants Windows\Services Terminal Server
\Connexion Bureau à Distance

Tableau A55. Configuration recommandée pour le paramètre Ne pas autoriser l'enregistrement des mots de passe

Ne pas autoriser l'enregistrement des mots de passe
Ce paramètre de stratégie empêche les clients des services Terminal Server d'enregistrer leurs mots de passe sur un ordinateur. Si vous l'activez, les utilisateurs ne pourront pas enregistrer leurs mots de passe car la case Enregistrer le mot de passe ne sera pas disponible sur les clients Terminal Server.

Étant donné que l'enregistrement de mots de passe peut présenter certains risques, le paramètre Ne pas autoriser l'enregistrement des mots de passe est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Si le paramètre de stratégie était configuré sur Désactivé ou Non configuré par le passé, le système effacera les mots de passe précédemment enregistrés lorsqu'un client Terminal Server se déconnectera pour la première fois d'un serveur.

Services Terminal Server\Terminal Server\Connexions

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Services Terminal Server\Terminal Server\Connexions

Tableau A56. Configuration recommandée pour le paramètre Connexions

Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server
Ce paramètre permet de déterminer si les utilisateurs peuvent ouvrir une session sur un ordinateur utilisant des services Terminal Server ou un Bureau à distance.

Dans l'environnement SSLF, les utilisateurs doivent ouvrir une session directement sur la console physique de l'ordinateur. Le paramètre Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server est donc configuré sur Désactivé pour l'environnement SSLF. Toutefois, il n'est pas configuré pour l'environnement EC.

Services Terminal Server\Terminal Server\Redirection de périphérique et de ressource

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
Services Terminal Server\Terminal Server\Redirection de périphérique et de ressource

Tableau A57. Configuration recommandée pour le paramètre Redirection de périphérique et de ressource

Ne pas autoriser la redirection de lecteur
Ce paramètre de stratégie empêche les utilisateurs de partager les lecteurs locaux de leurs ordinateurs clients avec les services Terminal Servers auxquels ils ont accès. Les lecteurs mappés apparaissent dans l'arborescence des dossiers de session de l'Explorateur Windows au format suivant :

\\TSClient\<lettre lecteur>$

Si les lecteurs locaux sont partagés, ils sont exposés aux attaques tentant d'exploiter les données qu'ils contiennent. De ce fait, le paramètre Ne pas autoriser la redirection de lecteur est configuré sur Activé pour l'environnement SSLF. Toutefois, il n'est pas configuré pour l'environnement EC.

Services Terminal Server\Terminal Server\Sécurité

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration
Composants \Windows\Services Terminal Server\Terminal Server\Sécurité

Tableau A58. Configuration recommandée pour le paramètre Sécurité des services Terminal Server

Toujours demander au client le mot de passe à la connexion
Ce paramètre de stratégie indique si les services Terminal Server doivent toujours demander un mot de passe à l'ordinateur client lors de la connexion. Vous pouvez l'utiliser pour afficher une invite de mot de passe destinée aux utilisateurs, qui se connectent aux services Terminal Server même s'ils ont déjà tapé leur mot de passe sur le client Connexion Bureau à distance. Par défaut, les services Terminal Server autorisent les utilisateurs à se connecter automatiquement s'ils tapent un mot de passe sur le client de Connexion Bureau à distance.

Le paramètre Toujours demander au client le mot de passe à la connexion est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Si vous ne configurez pas ce paramètre, l'administrateur de l'ordinateur local peut utiliser l'outil Configuration des services Terminal Server pour autoriser ou empêcher l'envoi automatique de mots de passe.

Définir le niveau de chiffrement de la connexion client
Ce paramètre de stratégie indique si l'ordinateur qui s'apprête à accueillir la connexion à distance doit mettre en œuvre un niveau de chiffrement pour l'ensemble des données transitant par l'ordinateur client lors de la session à distance.

Le niveau de chiffrement est configuré surActivé:Niveau haut ; le système met en œuvre un chiffrement 128 bits pour les deux environnements abordés dans ce guide.

Windows Messenger

Windows Messenger permet d'envoyer des messages instantanés à d'autres utilisateurs résidant sur un réseau d'ordinateurs. Les messages peuvent comporter des fichiers et/ou d'autres pièces jointes.

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration
\Composants Windows\Windows Messenger

Tableau A59. Configuration recommandée pour le paramètre Windows Messenger

Ne pas autoriser l’exécution de Windows Messenger
Vous pouvez activer le paramètre Ne pas autoriser l'exécution de Windows Messenger pour désactiver Windows Messenger et empêcher son exécution. Étant donné que cette application a été utilisée à des fins malveillantes par le passé (courrier indésirable, distribution de logiciels malveillants et divulgation de données sensibles), Microsoft vous recommande de configurer le paramètre Ne pas autoriser l'exécution de Windows Messenger surActivé pour les environnements EC et SSLF.

Remarque   Ce paramètre affecte uniquement le logiciel Windows Messenger inclus dans Windows XP. Il n'empêche pas les utilisateurs d'exécuter MSN® Messenger ou Windows Live™ Messenger.

Windows Update

Les paramètres de Windows Update permettent aux administrateurs de gérer la manière dont les mises à jour et les correctifs sont mis en œuvre sur les postes de travail Windows Vista. Les mises à jour sont disponibles à partir de Windows Update. Vous pouvez également mettre en place un site Web intranet, qui distribuera les mises à jour et les correctifs sans utiliser d'outil d'administration complémentaire.

Windows Server Update Services (WSUS) est un service d'infrastructure, qui s'appuie sur les technologies Microsoft Windows Update et Software Update Services (SUS). Il gère et distribue les mises à jour Windows critiques destinées à résoudre des brèches de sécurité et les problèmes de stabilité connus sur les systèmes Microsoft Windows.

WSUS élimine les opérations manuelles au profit d'un système de notification dynamique, qui installe automatiquement les mises à jour critiques disponibles pour les clients Windows via votre serveur intranet. L'accès à ce service ne requiert pas de connexion Internet. Cette technologie constitue également une solution simple et automatique pour distribuer des mises à jour sur les postes de travail et les serveurs Windows.

Windows Server Update Services propose également les fonctionnalités suivantes :

• Administration des synchronisations de contenu sur votre intranet. Ce service de synchronisation est un composant côté serveur, qui récupère les mises à jour critiques à partir de Windows Update. À mesure que de nouvelles mises à jour sont ajoutées à Windows Update, le serveur qui exécute WSUS les télécharge et les stocke automatiquement d'après un calendrier défini par l'administrateur.

• Un serveur Windows Update hébergé sur l'intranet. Ce serveur simple à utiliser joue le rôle de serveur Windows Update virtuel pour les ordinateurs clients. Il propose un service de synchronisation et des outils d'administration pour gérer les mises à jour. Il utilise le protocole HTTP pour traiter des demandes de mises à jour approuvées émanant des clients connectés. Le serveur peut également héberger des mises à jour critiques qui sont téléchargées à partir du service de synchronisation et informer les clients de leur disponibilité.

• Administration des mises à jour. L'administrateur peut tester et valider les mises à jour émanant du site public Windows Update avant de les déployer sur l'intranet de l'entreprise. Les mises à jour sont déployées d'après un calendrier défini par l'administrateur Si WSUS s'exécute sur plusieurs ordinateurs, l'administrateur détermine quels ordinateurs peuvent accéder aux serveurs qui proposent le service. L'administrateur peut définir ce niveau d'intervention à l'aide de la stratégie de groupe dans un environnement Active Directory ou par l'intermédiaire de clés de Registre.

• Mises à jour automatiques (sur les postes de travail ou les serveurs). Le service Mises à jour automatiques est une fonction Windows, qui permet de vérifier automatiquement les mises à jour disponibles sur le site Windows Update. WSUS l'utilise pour publier sur un intranet les mises à jour validées par l'administrateur.

Remarque   Si vous optez pour une autre méthode de distribution des mises à jour (notamment Microsoft Systems Management Server), nous vous recommandons de désactiver le paramètre Configuration du service Mises à jour automatiques.

Il existe plusieurs paramètres Windows Update. Vous devez configurer au moins trois paramètres pour assurer le bon fonctionnement de Windows Update : Configuration du service Mises à jour automatiques, Pas de redémarrage automatique des installations planifiées des mises à jour automatiques et Replanifier les installations planifiées des mises à jour automatiques. Il existe un quatrième paramètre facultatif, qui dépend des exigences de votre entreprise : Spécifier l'emplacement intranet du service de Mise à jour Microsoft.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Windows Update

Les paramètres présentés dans cette section ne traitent pas chacun de risques de sécurité spécifiques ; ils dépendent davantage des préférences de l'administrateur. Toutefois, la configuration de Windows Update est essentielle à la sécurité de votre environnement car elle garantit que les ordinateurs clients qui le composent bénéficient des mises à jour de sécurité de Microsoft dès qu'elles sont disponibles.

Remarque   Windows Update dépend de plusieurs services, notamment le service de Registre distant et le service de transfert intelligent en arrière-plan.

Le tableau suivant présente la configuration recommandée pour les paramètres Windows Update. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A60. Configuration recommandée pour les paramètres Windows Update

Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows
Ce paramètre de stratégie détermine si l'optionInstaller les mises à jour et éteindre doit s'afficher dans la boîte de dialogue Arrêt de Windows. Si vous le désactivez, l'optionInstaller les mises à jour et éteindre s'affiche dans la boîte de dialogue Arrêt de Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter dans le menuDémarrer.

Puisque les mises à jour sont essentielles à la sécurité globale des ordinateurs, le paramètre Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configuré surDésactivé pour les deux environnements abordés dans ce guide. Il fonctionne conjointement avec le paramètreNe pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows.

Ne pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows
Ce paramètre de stratégie détermine si l'optionInstaller les mises à jour et éteindre doit être l'option par défaut dans la boîte de dialogueArrêt de Windows. Si vous le désactivez, l'option Installer les mises à jour et éteindresera l'option par défaut de la boîte de dialogue Arrêt de Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter dans le menu Démarrer.

Puisque les mises à jour sont essentielles à la sécurité globale des ordinateurs, le paramètre Ne pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'a pas d'effet si l'option Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update\Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configurée surActivé.

Configuration du service Mises à jour automatiques
Ce paramètre de stratégie indique si les ordinateurs de votre environnement recevront les mises à jour de sécurité par l'intermédiaire de Windows Update ou de WSUS. Si vous le configurez sur Activé, le système d'exploitation utilisera une connexion réseau dès qu'elle sera disponible pour rechercher les mises à jour applicables sur Windows Update ou sur votre site intranet désigné.

Après avoir configuré le paramètre surActivé, sélectionnez l'une des trois options de la boîte de dialogue Configurer les propriétés des mises à jour automatiques pour définir le fonctionnement du service :

• Avertir l’utilisateur avant de télécharger des mises à jour et l’avertir à nouveau avant de les installer

• Télécharger automatiquement les mises à jour et avertir l’utilisateur lorsqu’elles sont prêtes pour l’installation (par défaut)

• Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous

Si vous désactivez ce paramètre de stratégie, vous devrez télécharger et installer manuellement les mises à jour disponibles à partir de Windows Update.

Le paramètre Configuration du service Mises à jour automatiques est configuré sur Activépour les deux environnements abordés dans ce guide.

Pas de redémarrage automatique des installations planifiées des mises à jour automatiques
Si vous activez ce paramètre de stratégie, l'ordinateur attendra que l'utilisateur redémarre l'ordinateur pour réaliser une installation planifiée. Sinon, l'ordinateur redémarrera automatiquement. Il empêche le service Mises à jour automatiques de redémarrer l'ordinateur lors d'une installation planifiée. Si le service Mises à jour automatique a besoin de redémarrer l'ordinateur pour terminer une installation de mise à jour, il indique à l'utilisateur connecté qu'il pourra redémarrer son ordinateur plus tard. Le service Mises à jour automatiques ne pourra pas détecter les mises à jour futures tant que l'ordinateur n'aura pas redémarré.

Si le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiquesest configuré sur Désactivé ou Non configuré, le service Mises à jour automatiques avertit l'utilisateur que l'ordinateur redémarrera automatiquement dans les cinq minutes qui suivent pour terminer l'installation. Si les redémarrages automatiques constituent un problème quelconque, vous pouvez configurer le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiques sur Activé. Si vous l'activez, pensez à planifier le redémarrage des ordinateurs clients après les heures de travail pour être sûr que les mises à jour seront installées.

Le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiquesest configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne uniquement si le service Mises à jour automatiques est configuré pour réaliser des installations planifiées des mises à jour. Il ne fonctionnera pas si le paramètreConfiguration du service Mises à jour automatiques est configuré surDésactivé.

Replanifier les installations planifiées des mises à jour automatiques
Ce paramètre de stratégie détermine le délai que le système doit attendre pour réaliser les installations planifiées du service Mises à jour automatiques après redémarrage. Si vous le configurez sur Activé, le système réalisera une installation planifiée au bout du nombre de minutes spécifié la prochaine fois que l'utilisateur démarrera l'ordinateur. Si vous le configurez sur Désactivé ou Non configuré, les installations planifiées seront réalisées à l'heure indiquée.

Le paramètre Replanifier les installations planifiées des mises à jour automatiques est configuré surActivé pour les deux environnements abordés dans ce guide. Une fois le paramètre de stratégie activé, vous pouvez modifier le délai d'attente par défaut si vous le souhaitez.

Remarque   Ce paramètre de stratégie fonctionne uniquement si le service Mises à jour automatiques est configuré pour réaliser des installations planifiées des mises à jour. Si le paramètre Configuration du service Mises à jour automatiques est configuré surDésactivé, le paramètre Replanifier les installations planifiées des mises à jour automatiquesest sans effet. En activant les deux paramètres, vous êtes sûr que les installations qui n'ont pas eu lieu seront planifiées à chaque redémarrage de l'ordinateur.

Gestion de l’alimentation

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets Stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système\Gestion de l'alimentation

Le tableau suivant présente la configuration recommandée pour le paramètre Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension.

Tableau A62. Configuration recommandée pour le paramètre utilisateur Système\Gestion de l'alimentation

Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension
Ce paramètre de stratégie détermine si les ordinateurs clients de votre environnement sont verrouillés en cas de reprise après une mise en veille prolongée ou suspension. Si vous l'activez, les ordinateurs clients sont verrouillés ; les utilisateurs devront taper un mot de passe pour les déverrouiller. Si vous le désactivez ou que vous ne le configurez pas, votre environnement peut être exposé à des violations de sécurité pouvant être graves car n'importe quel utilisateur peut accéder aux ordinateurs clients.

Le paramètre Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension est configuré sur Activé pour les deux environnements abordés dans ce guide.

Gestionnaire de pièces jointes

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Gestionnaire de pièces jointes

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Gestionnaire de pièces jointes. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A63. Configuration recommandée pour le paramètre utilisateur Gestionnaire de pièces jointes

Ne pas conserver les informations de zones dans les pièces jointes
Ce paramètre de stratégie permet de déterminer si Windows inclut les informations concernant la zone d'origine des pièces jointes Internet Explorer ou Microsoft Outlook® Express sensible Internet, intranet ou locale). Pour qu'il fonctionne correctement, les fichiers doivent être téléchargés dans des partitions de disque NTFS. Si les informations de zones ne sont pas conservées, Windows ne pourra pas évaluer correctement les risques sur la zone d'origine de la pièce jointe.

Si le paramètre Ne pas conserver les informations de zones dans les pièces jointes est activé, les pièces jointes ne contiendront pas d'informations concernant la zone d'origine. Si vous le désactivez, Windows stockera les pièces jointes avec les informations correspondantes. Puisque des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non approuvées (notamment Internet), Microsoft vous recommande de configurer le paramètre de stratégie sur Désactivé dans le but de préserver un maximum d'informations avec chaque fichier.

Le paramètre Ne pas conserver les informations de zones dans les pièces jointes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Masquer les mécanismes de suppression d'informations de zones
Ce paramètre de stratégie permet d'autoriser ou non les utilisateurs à supprimer manuellement les informations de zone des pièces jointes enregistrées. Généralement, ils peuvent cliquer sur le bouton Déverrouiller de la boîte de dialogue Propriétés ou cocher une case de la boîte de dialogue Avertissement de sécurité. Si les informations de zone sont supprimées, les utilisateurs peuvent ouvrir des pièces jointes potentiellement dangereuses qui avaient été interdites par Windows.

Si le paramètre Masquer les mécanismes de suppression d'informations de zones est activé, Windows masque la case à cocher et le bouton Déverrouiller. Si vous le désactivez, Windows affiche la case à cocher et le boutonDéverrouiller. Puisque des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non approuvées (notamment Internet), Microsoft vous recommande de configurer le paramètre de stratégie surActivé dans le but de préserver un maximum d'informations avec chaque fichier.

Le paramètre Masquer les mécanismes de suppression d'informations de zones est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Pour déterminer si les fichiers sont enregistrés avec les informations de zone, reportez-vous au paramètre Ne pas conserver les informations de zones dans les pièces jointes de fichiers précédent.

Avertir les programmes antivirus lors de l'ouverture des pièces jointes
Les programmes antivirus sont obligatoires dans la majeure partie des environnements et assurent une bonne défense contre les attaques.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes permet de gérer la façon dont les programmes antivirus enregistrés sont avertis. Si vous l'activez, Windows appelle le programme antivirus enregistré en lui demandant d'analyser les pièces jointes lorsque les utilisateurs les ouvrent. Si l'analyse antivirus échoue, les pièces jointes sont bloquées et ne peuvent pas être ouvertes. Si vous désactivez le paramètre de stratégie, Windows n'appelle pas le programme antivirus enregistré à l'ouverture des pièces jointes. Microsoft vous recommande de le configurer surActivé dans tous environnements de sorte que tous les fichiers soient examinés par un programme antivirus avant d'être ouverts.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Pour que le paramètre de stratégie fonctionne correctement, un programme antivirus à jour doit être installé.

Internet Explorer

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Internet Explorer. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A64. Configuration recommandée pour le paramètre utilisateur Internet Explorer

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Configurer Outlook Express
Ce paramètre de stratégie permet aux administrateurs d'autoriser ou non les utilisateurs Microsoft Outlook® Express d'enregistrer ou d'ouvrir des pièces jointes pouvant contenir un virus. Les utilisateurs ne peuvent pas désactiver le paramètreConfigurer Outlook Express pour déverrouiller le blocage des pièces jointes. Pour appliquer ce paramètre, cliquez sur Activer et sélectionnez Bloquer les pièces jointes qui pourraient contenir un virus.

Le paramètre Configurer Outlook Express est configuré sur Activé avec l'optionBloquer les pièces jointes qui pourraient contenir un virus dans les deux environnements définis dans ce guide.

Désactiver "Configuration de l’historique"
Ce paramètre détermine le nombre de jours pendants lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation. Vous pouvez accéder à l'option Supprimer l'historique de navigation à partir de l'ongletOutils > Options Internet > Général. Le paramètre est également disponible via l'option Supprimer l'historique sous Outils > Options Internet > Supprimer l'historique de navigation dans Internet Explorer 7.

Si vous l'activez, l'utilisateur ne pourra pas définir le nombre de jours pendant lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation. Vous devrez préciser la durée en jours. Les utilisateurs ne pourront pas supprimer l'historique de navigation. Si vous désactivez ou que vous ne configurez pas le paramètre, l'utilisateur pourra définir le nombre de jours pendant lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation et également utiliser l'option Supprimer l'historique de navigation.

Le paramètre Désactiver "Configuration de l’historique" est configuré sur Non configuré pour l'environnement EC et surActivé:40 pour l'environnement SSLF.

Désactiver la saisie semi-automatique dans les formulaires
Ce paramètre de stratégie contrôle la saisie automatique des champs dans les formulaires de pages Web. Si vous l'activez, la fonction de saisie automatique ne suggère pas de propositions pour le remplissage des formulaires. Elle permet de protéger les données sensibles dans certains environnements.

Le paramètre Désactiver la saisie semi-automatique dans les formulaires est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la modification des paramètres de la configuration automatique
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres configurés automatiquement. Les administrateurs peuvent utiliser la configuration automatique pour mettre à jour régulièrement les paramètres du navigateur. Si vous l'activez, les paramètres de configuration automatique seront désactivés dans Internet Explorer. Ils figurent dans la zoneConfiguration automatique de la boîte de dialogue de Paramètres réseau. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe.

Pour afficher la boîte de dialogue Paramètres réseau :

1. Ouvrez la boîte de dialogue Options Internet, puis cliquez sur l'onglet Connexions.

2. Cliquez sur le bouton Paramètres réseau pour afficher les paramètres.

Le paramètre Désactiver la modification des paramètres de la configuration automatique est configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Le paramètre Désactiver l'onglet Connexions supprime l'ongletConnexions d'Internet Explorer dans le Panneau de configuration et prime par rapport à l'option de configurationDésactiver la modification des paramètres de la configuration automatique. Si le premier paramètre est activé, le système ignore le second. Le paramètreDésactiver l'onglet Connexions figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres des certificats
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres des certificats dans Internet Explorer. Les certificats permettent de vérifier l'identité des éditeurs de logiciels. Si vous l'activez, les paramètres de certificats seront désactivés dans la zone Certificats de l'ongletContenu de la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe.

Le paramètre Désactiver la modification des paramètres des certificats est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Même si le paramètre de stratégie est activé, les utilisateurs pourront toujours exécuter l'Assistant Importation du Gestionnaire de certificats en double-cliquant sur le fichier de certificat .spc (Software Publishing Certificate). Cet assistant permet aux utilisateurs d'importer et de configurer des paramètres de certificats émanant d'éditeurs de logiciels, qui ne sont pas configurés dans Internet Explorer.

Remarque   Le paramètre Désactiver l'onglet Contenu supprime l'ongletContenu d'Internet Explorer dans le Panneau de configuration et prime par rapport à l'option de configurationDésactiver la modification des paramètres des certificats. Si le premier paramètre est activé, le système ignore le second. Le paramètre Désactiver l'onglet Contenu figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres de connexion
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de connexion à distance. Si vous l'activez, le bouton Paramètres disparaît de l'ongletConnexions dans la boîte de dialogueOptions Internet. Il empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe. Vous pouvez le désactiver dans le cas des utilisateurs d'ordinateurs portables, qui sont amenés à modifier leurs paramètres de connexion lors de leurs déplacements.

Le paramètre Désactiver la modification des paramètres de connexion est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Si vous configurez le paramètreDésactiver l'onglet Connexions, vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètreDésactiver l'onglet Connexions supprime l'ongletConnexions de l'interface. Le paramètreDésactiver l'onglet Connexions figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres de proxy
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de proxy. Si vous l'activez, les paramètres de proxy seront désactivés. Les paramètres de proxy figurent dans la zone Serveur proxy de la boîte de dialogueParamètres réseau, qui s'affiche lorsque l'utilisateur clique sur l'onglet Connexions, puis sur le bouton Paramètres réseau dans la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe. Vous pouvez le désactiver dans le cas des utilisateurs d'ordinateurs portables, qui sont amenés à modifier leurs paramètres de connexion lors de leurs déplacements.

Le paramètre Désactiver la modification des paramètres de proxy est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Si vous configurez le paramètreDésactiver l'onglet Connexions, vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètreDésactiver l'onglet Connexions supprime l'ongletConnexions de l'interface. Ce paramètre figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires
Ce paramètre de stratégie détermine si les utilisateurs peuvent autoriser ou refuser des modules complémentaires via leGestionnaire de modules complémentaires. Si vous l'activez, les utilisateurs ne pourront pas les activer ni les désactiver via le Gestionnaire de modules complémentaires à l'exception des modules complémentaires éventuellement associés au paramètreListe des modules complémentaires. Dans ce cas, ils pourront continuer à les gérer via le Gestionnaire de modules complémentaires. Si vous désactivez ou que vous ne configurez pas le paramètre de stratégie, l'utilisateur aura accès aux commandes adéquates du Gestionnaire de modules complémentaires.

Le paramètre Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Interdire la fonctionnalité « Corriger les paramètres »
Ce paramètre de stratégie empêche les utilisateurs d'exécuter la fonctionnalité Corriger les paramètresassociée à la fonction de vérification des paramètres de sécurité dans Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas cliquer sur l'optionDéfinir les paramètres pour moi dans le menu contextuel de la Barre d'informations qui s'affiche lorsqu'Internet Explorer détermine que sa configuration n'est pas sécurisée.

Le paramètre Interdire la fonctionnalité « Corriger les paramètres » est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Empêcher la suppression des fichiers Internet temporaires et des cookies
Ce paramètre de stratégie permet de gérer les fichiers Internet temporaires et les cookies associés à votre historique de navigation Internet. Il est disponible sous Outils > Options Internet > Supprimer l'historique de navigationdans Internet Explorer 7. Si vous l'activez, les utilisateurs ne pourront pas supprimer les fichiers Internet temporaires ni les cookies. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs pourront les supprimer.

Le paramètre Empêcher la suppression des fichiers Internet temporaires et des cookies est configuré surNon configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la fonctionnalité « Supprimer l’historique de navigation »
Ce paramètre de stratégie empêche les utilisateurs d'utiliser la fonction Supprimer l'historique de navigation dans Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas exécuter la fonction Supprimer l'historique de navigation dans Options Internet sous Internet Explorer 7. Si vous le désactivez ou que vous ne le configurez pas, ils auront accès au paramètre Supprimer l'historique de navigation dans Options Internet sous Internet Explorer 7.

Le paramètre Désactiver la fonctionnalité « Supprimer l’historique de navigation » est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la fonction de vérification des paramètres de sécurité
Ce paramètre permet de désactiver la fonction de vérification des paramètres de sécurité, qui vérifie les paramètres de sécurité Internet Explorer pour savoir à quel moment ils font courir un risque au programme Internet Explorer. Si vous l'activez, le système ne vérifie pas les paramètres de sécurité. Si vous le désactivez, il les vérifie. Si vous ne le configurez pas, l'utilisateur pourra modifier le paramètreDésactiver la fonction de vérification des paramètres de sécurité.

Le paramètre Désactiver la fonction de vérification des paramètres de sécurité est configuré surNon configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Désactiver la fonctionnalité de saisie semi-automatique des noms d’utilisateur et des mots de passe sur les formulaires
Ce paramètre de stratégie contrôle la saisie automatique des noms d'utilisateur et des mots de passe dans les formulaires Web et empêche l'affichage d'invites utilisateur pour l'enregistrement de mots de passe. Si vous le désactivez, le système grise les cases à cocher Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe, puis interdit l'enregistrement des mots de passe en local.

Le paramètre Désactiver la fonctionnalité de saisie semi-automatique des noms d’utilisateur et des mots de passe sur les formulaires est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Les sections de paramètres suivantes figurent sousConfiguration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer :

• Menus du navigateur

• Panneau de configuration Internet

• Panneau de configuration Internet\Onglet Avancé

• Panneau de configuration Internet\Onglet Sécurité

• Panneau de configuration Internet\Onglet Sécurité\Zone Internet

• Panneau de configuration Internet\Onglet Sécurité\Zone Sites sensibles

• Pages hors connexion

Menus du navigateur

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Menus du navigateur

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Menus du navigateur. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A65. Configuration recommandée pour le paramètre utilisateur Menus du navigateur

Désactiver l’option Enregistrer ce programme sur le disque
Ce paramètre de stratégie empêche les utilisateurs d'enregistrer sur le disque dur un programme ou un fichier téléchargé par Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas enregistrer de programmes sur le disque via l'optionEnregistrer ce programme sur le disque. Les fichiers programme ne seront pas téléchargés et le système indiquera à l'utilisateur que la commande n'est pas disponible. Ce paramètre de stratégie permet de protéger les environnements SSLF, car les utilisateurs ne peuvent pas télécharger ni enregistrer de programmes potentiellement dangereux par le biais d'Internet Explorer.

Le paramètre Désactiver l'option Enregistrer ce programme sur le disque est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Panneau de configuration Internet

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Panneau de configuration Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A66. Configuration recommandée pour le paramètre utilisateur Panneau de configuration Internet

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Désactiver l’onglet Avancé
Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres ; il empêche les utilisateurs de modifier les paramètres configurés dans l'onglet Avancéd'Internet Explorer.

Le paramètre Désactiver l’onglet Avancéest configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Désactiver l’onglet Sécurité
Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres ; il empêche les utilisateurs de modifier les paramètres configuré via la stratégie de groupe. Il supprime l'onglet Sécurité de la boîte de dialogueOptions Internet. Si vous l'activez, les utilisateurs ne pourront pas consulter ni modifier les paramètres des zones de sécurité (scripts, téléchargements, authentification utilisateur). Microsoft vous recommande d'activer ce paramètre pour interdire aux utilisateurs de modifier des paramètres qui pourraient altérer la sécurité dans Internet Explorer.

Le paramètre Désactiver l’onglet Sécuritéest configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Empêcher la non-prise en compte des erreurs de certificat
Si un message d'erreur SSL/TLS (Secure Socket Layer/Transport Layer Security) indique que le certificat a expiré ou a été révoqué ou souligne une incohérence au niveau des noms, Internet Explorer empêchera l'utilisateur de naviguer sur le site Web. Si vous l'activez, l'utilisateur ne pourra pas continuer à naviguer sur le site Web. Si vous le désactivez ou que vous ne le configurez pas, l'utilisateur pourra ignorer les erreurs de certificat et continuer à naviguer.

Le paramètre Empêcher la non-prise en compte des erreurs de certificat est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Panneau de configuration Internet\Onglet Avancé

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Onglet Avancé. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A67. Configuration recommandée pour le paramètre utilisateur Onglet avancé

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Autoriser l'installation à la demande (Internet Explorer)
Ce paramètre de stratégie détermine quels utilisateurs peuvent télécharger et installer automatiquement des composants Web (notamment des polices de caractères) installables par l'utilitaire Active Setup d'Internet Explorer. Par exemple, Internet Explorer peut inviter l'utilisateur à télécharger le pack de langue japonaise s'il n'est pas installé alors que l'utilisateur ouvre une page Web nécessitant une page de codes japonaise.

Si vous activez ce paramètre de stratégie, lescomposants Web manquants (notamment les polices de caractères) seront installés automatiquement. Si vous le désactivez, Internet Explorer pourra télécharger lescomposants Web (notamment les polices de caractères) uniquement si l'utilisateur l'accepte. Si vous ne le configurez pas, Internet Explorer pourra télécharger lescomposants Web (notamment les polices de caractères) uniquement si l'utilisateur l'accepte.

Le paramètre Autoriser l'installation à la demande (Internet Explorer) est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide
Ce paramètre de stratégie détermine si les logiciels comme les contrôles ActiveX et les téléchargements de fichiers peuvent être installés ou exécutés même si la signature n'est pas valide. Une signature non valide peut indiquer qu'une personne a altéré le fichier.

Si vous l'activez, une invite s'affichera lorsque les utilisateurs voudront installer ou exécuter des fichiers comportant une signature non valide. Si vous le désactivez, les utilisateurs ne pourront ni exécuter, ni installer des fichiers comportant une signature non valide. Si vous ne le configurez pas, les utilisateurs pourront choisir d'exécuter ou d'installer les fichiers dont la signature n'est pas valide.

Le paramètre Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide est configuré sur Non configuré pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Vérifier automatiquement les mises à jour de Internet Explorer
Ce paramètre de stratégie permet de configurer Internet Explorer pour qu'il vérifie si des versions plus récentes sont disponibles sur Internet.

Si vous l'activez, Internet Explorer vérifiera tous les 30 jours environ si de nouvelles versions sont disponibles sur Internet et invitera l'utilisateur à les télécharger dès qu'elles seront disponibles. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer ne vérifiera pas la présence de nouvelles versions sur Internet et n'invitera pas l'utilisateur à les installer.

Le paramètre Vérifier automatiquement les mises à jour de Internet Explorer est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Contrôler la révocation du certificat de serveur
Ce paramètre de stratégie détermine si Internet Explorer doit vérifier l'état de révocation des certificats de serveur. Les certificats sont révoqués lorsqu'ils sont compromis ou ne sont plus valides ; cette option protège donc les utilisateurs contre l'envoi de données confidentielles vers un site susceptible d'être frauduleux ou non sécurisé.

Si vous l'activez, Internet Explorer vérifiera si les certificats de serveur ont été révoqués. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer ne les vérifiera pas.

Le paramètre Vérifier la révocation du certificat de serveur est configuré sur Non configurépour l'environnement EC et sur Activé pour l'environnement SSLF.

Panneau de configuration Internet\Onglet Sécurité

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Onglet Sécurité. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A68. Configuration recommandée pour le paramètre utilisateur Onglet Sécurité

Sites intranet : inclure tous les chemins d'accès réseau UNC
Ce paramètre de stratégie détermine si les URL représentant des UNC sont associées à la zone de sécurité Intranet local. Si vous l'activez, tous les chemins d'accès réseau sont associés à la zone Intranet. Si vous le désactivez, les chemins d'accès réseau ne sont pas nécessairement associés à la zone Intranet (d'autres règles peuvent en associer un).

Si vous ne le configurez pas, les utilisateurs décident si les chemins d'accès réseau sont associés à la zone Intranet.

Le paramètre Sites intranet : inclure tous les chemins d'accès réseau UNC est configuré surDésactivé pour l'environnement SSLF et surNon configuré pour l'environnement EC.

Panneau de configuration Internet\Onglet Sécurité\Zone Internet

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Internet

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Zone Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Remarque   Les paramètres des zones Internet et Sites sensibles sont très similaires. Ils sont décrits dans les paragraphes qui suivent.

Tableau A69. Configuration recommandée pour le paramètre utilisateur Zone Internet