Guide de sécurité Windows Vista

Annexe A : Paramètres de stratégie de groupe de sécurité

Paru le 08 novembre 2006

Sur cette page

	Présentation
	Stratégie de domaine
	Stratégie d'ordinateur
	Stratégie utilisateur
	Plus d'informations

Présentation

Cette annexe présente les paramètres de stratégie de sécurité pour les environnements Client Entreprise (EC) et Sécurité spécialisée – Fonctionnalité limitée (SSLF). Elle spécifie également les paramètres recommandés, configurés via le processus automatisé décrit au chapitre 1 « Implémentation de la ligne de base de sécurité » et au chapitre 5 « Sécurité spécialisée – Fonctionnalité limitée » de ceGuide de sécurité Windows Vista. Le fichier .xls Paramètres du Guide de sécurité Windows Vista fournit des ressources supplémentaires permettant de comparer les valeurs de paramètres.

Les paramètres sont présentés dans cette annexe selon leur ordre d'apparition dans l'interface utilisateur de l'Éditeur d'objets de stratégie de groupe du système d'exploitation Windows Vista™.

Remarque   Les nouveaux paramètres de stratégie de groupe dans Windows Vista sont signalés par le symbole §.

Les paramètres de sécurité décrits dans ce guide sont regroupés en trois sections principales :

• Stratégie de domaine. Les paramètres de cette section s'appliquent au domaine.

• Stratégie d'ordinateur. Les paramètres de cette section s'appliquent aux ordinateurs de bureau et aux ordinateurs portables du domaine.

• Stratégie utilisateur. Les paramètres de cette section s'appliquent aux utilisateurs du domaine.

Dans chaque section, les tableaux répertorient les noms des paramètres et renvoient à des valeurs de base développées par l'équipe d'ingénieurs pour les configurations de sécurité EC et SSLF recommandées dans ce guide.

Les valeurs possibles peuvent varier considérablement d'un paramètre à un autre. La plupart des paramètres sont configurés sur l'option Activé ouDésactivé ou sur d'autres valeurs spécifiées dans l'Éditeur d'objets Stratégie de groupe. Cependant, pour certains paramètres, vous devez également spécifier des valeurs numériques ou des groupes de sécurité.

Les paramètres de stratégie de droits utilisateur requièrent des noms d'utilisateur et de groupe spécifiques. Si aucun droit utilisateur n'est octroyé à un utilisateur ou un groupe spécifique, l'Éditeur d'objets Stratégie de groupe affiche les paramètres comme étant activés, mais aucun utilisateur ou groupe ne sera spécifié. Les tableaux de cette annexe utilisent la valeur Personne pour décrire les paramètres configurés de cette manière.

Les paramètres configurés sur la valeur Non défini ou Non configuré ne sont pas affectés par les objets de stratégie de groupe (GPO, Group Policy Object) inclus dans ce guide. Cette configuration est très différente de celle décrite précédemment et dans laquelle un paramètre est défini sur Personne. Les paramètres non modifiés par les objets de stratégie de groupe inclus dans ce guide peuvent facilement être modifiés par des administrateurs informatiques locaux, à condition que le paramètre ne soit pas déjà configuré par un autre objet de stratégie de groupe dans votre environnement. Cela pourrait en effet donner lieu à une configuration incohérente qui risquerait de compromettre la sécurité du système. C'est pourquoi de nombreux paramètres appliquent uniquement la configuration par défaut de Windows Vista.

Le tableau suivant affiche quelques exemples illustrant les différentes configurations possibles :

Tableau A1. Exemples d'attribution de droits utilisateur

Notez la valeur par défaut du paramètre Autoriser l'ouverture de session par les services Terminal Server. Le paramètre de l'objet de stratégie de groupe de l'ordinateur EC est Non défini, ce qui signifie qu'aucun changement n'est apporté à la configuration par défaut. En revanche, dans l'objet de stratégie de groupe de l'ordinateur SSLF, le paramètrePersonne (paramètre activé qui apparaît vierge dans l'Éditeur d'objets Stratégie de groupe) signifie qu'aucun utilisateur ou groupe n'a l'autorisation de se connecter via les services Terminal Server. En outre, un administrateur informatique local ne peut pas modifier facilement ce paramètre car celui-ci est appliqué via la stratégie de groupe.

De même, notez la valeur par défaut pour le paramètreAjuster les quotas de mémoire pour un processus. Une fois encore, l'objet de stratégie de groupe de l'ordinateur EC ne modifie pas la configuration par défaut. Dans cette configuration, un administrateur informatique local peut facilement modifier ce paramètre. Cependant, dans l'environnement SSLF, cela n'est pas possible, car l'objet de stratégie de groupe de l'ordinateur SSLF applique la valeur par défaut.

Enfin, plusieurs paramètres recommandés dans le guide requièrent des informations d'environnement spécifique pour pouvoir fournir la fonctionnalité appropriée. Étant donné qu'il n'est pas possible d'inclure ces paramètres dans les objets de stratégie de groupe de ce guide, ils sont configurés dans les tableaux avec une valeur Recommandée. Il est conseillé d'étudier ces paramètres en détail pour déterminer la configuration appropriée.

Avertissement :

La fonctionnalité de nombreux paramètres de ce guide dépend d'autres paramètres, et ces interdépendances sont intrinsèques au système. Par ailleurs, les valeurs de certains paramètres doivent être adaptées aux exigences spécifiques de votre environnement pour fonctionner correctement. C'est pourquoi, si vous modifiez l'une des valeurs de paramètres recomandées pour l'environnement EC ou SSLF, vous devez effectuer un test à grande échelle sur les ordinateurs clients de votre environnement pour être sûrs de profiter de toutes leurs fonctionnalités.

Stratégie de domaine

Les paramètres de sécurité décrits dans cette section de l'annexe s'appliquent au domaine. Ces paramètres sont appliqués via le nœud Configuration de l'ordinateur dans l'Éditeur d'objets de stratégie de groupe. Dans ce nœud, les groupes de paramètres suivants apparaissent dans le sous-nœud**Paramètres Windows **:

• Paramètres de stratégie de mot de passe

• Paramètres de stratégie de verrouillage de compte

Paramètres de stratégie de mot de passe

Définir des mots de passe complexes et les modifier régulièrement est un bon moyen de de se protéger contre les attaques par mots de passe. Les paramètres de stratégie de mot de passe contrôlent la complexité et la durée de vie des mots de passe. Ces paramètres peuvent être configurés uniquement par la stratégie de groupe au niveau du domaine.

Vous pouvez configurer les paramètres de stratégie de mot de passe dans l’Éditeur d’objets de stratégie de groupe à l’emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes/Stratégie de mots de passe

Le tableau suivant présente les recommandations relatives aux paramètres de stratégie de mot de passe pour les deux types d'environnements sécurisés définis dans ce guide. Les sous-sections suivantes décrivent chacun de ces paramètres.

Tableau A2. Recommandations relatives aux paramètres de stratégie de mot de passe

Appliquer l'historique des mots de passe
Ce paramètre de stratégie détermine le nombre de nouveaux mots de passe devant être associés à un compte d'utilisateur avant qu'un ancien mot de passe puisse être réutilisé. La valeur de ce paramètre doit être définie entre 0 et 24 mots de passe. La valeur par défaut pour Windows Vista est de 0 mot de passe, mais celle d'un domaine est de 24 mots de passe. Pour préserver l'efficacité de ce paramètre de stratégie, utilisez le paramètre Durée de vie minimale du mot de passepour empêcher les utilisateurs de modifier trop souvent leur mot de passe.

Configurez le paramètre Appliquer l'historique des mots de passe sur 24 mots de passe pour les deux environnements de sécurité définis dans ce guide.

Durée de vie maximale du mot de passe
Les valeurs de ce paramètre peuvent être comprises entre 1 et 999 jours. (Vous pouvez également définir la valeur sur 0 pour spécifier que les mots de passe n'expirent pas.) Ce paramètre de stratégie définit la période pendant laquelle un utilisateur peut utiliser son mot de passe avant qu'il n'expire. La valeur par défaut de ce paramètre est de 42 jours. Plus un mot de passe est changé régulièrement, moins les utilisateurs malveillants ont le temps de l'utiliser après l'avoir décodé. Toutefois, plus cette valeur est faible, plus vous risquez d'augmenter le nombre d'appels passés au support technique par des utilisateurs qui doivent changer leur mot de passe ou qui ont oublié leur mot de passe actuel.

Configurez le paramètre Durée de vie maximale du mot de passe sur 90 jours pour les deux environnements de sécurité définis dans ce guide.

Durée de vie minimale du mot de passe
Ce paramètre de stratégie définit la durée (en jours) pendant laquelle vous devez utiliser un mot de passe avant de le modifier. Les valeurs de ce paramètre de stratégie vont de 1 à 999 jours. (Vous pouvez également définir la valeur sur 0 pour permettre des changements immédiats de mots de passe.) La valeur par défaut de ce paramètre est de 0 jour.

La valeur du paramètre Durée de vie minimale du mot de passe doit être inférieure à celle du paramètreDurée de vie maximale du mot de passe sauf si la valeur de Durée de vie maximale du mot de passeest définie sur 0 pour que les mots de passe n'expirent pas. Si la valeur du paramètre Durée de vie maximale du mot de passe est définie sur 0, la valeur de ce paramètre peut prendre n'importe quelle valeur entre 0 et 999.

Si vous souhaitez que le paramètre Appliquer l'historique des mots de passe soit efficace, spécifiez une valeur supérieure à 0. Si le paramètre Durée de vie minimale du mot de passe est défini sur 0, les utilisateurs peuvent effectuer des tentatives répétées d'entrée de mot de passe jusqu'à ce qu'ils puissent réutiliser un ancien mot de passe favori.

Configurez le paramètre Durée de vie minimale du mot de passe sur 1 jour pour les deux environnements de sécurité définis dans ce guide. Ce paramètre dissuade les utilisateurs de réutiliser sans cesse le même mot de passe parce qu'ils doivent attendre un jour complet avant de pouvoir le modifier. Il encourage également les utilisateurs à se souvenir de leur nouveau mot de passe parce qu'ils doivent l'utiliser pendant au moins un jour avant de pouvoir en changer. Enfin, il les empêche de contourner la contrainte du paramètreAppliquer l'historique des mots de passe.

Longueur minimale du mot de passe
Ce paramètre de stratégie détermine le nombre minimal de caractères que le mot de passe d'un compte d'utilisateur doit contenir. Il existe de nombreuses théories sur la manière de déterminer la longueur optimale d'un mot de passe pour une entreprise, mais l'expression « phrase de passe » est sans doute plus appropriée que celle de « mot de passe ». Dans Microsoft® Windows 2000 et versions ultérieures, les phrases de passe peuvent être relativement longues et inclure des espaces. Une phrase du type « J'aimerais boire un milk-shake à 5 $ » est une phrase de passe valide. En effet elle est bien plus sûre et plus facile à retenir qu'une chaîne de 8 ou 10 caractères choisis au hasard. Gardez à l'esprit que les utilisateurs doivent être formés sur la façon de choisir et de gérer les mots de passe (en particulier leur longueur).

Dans l'environnement Client Entreprise, assurez-vous que le paramètre Longueur minimale du mot de passe est configuré à 8 caractères. Ce paramètre de stratégie est suffisamment long pour fournir la sécurité adéquate. Dans l'environnement SSLF, configurez la valeur à12 caractères.

Le mot de passe doit respecter des exigences de complexité
Ce paramètre de stratégie vérifie tous les nouveaux mots de passe pour s'assurer de leur efficacité. Par défaut, la valeur de ce paramètre de stratégie dans Windows Vista estDésactivé, mais il est Activédans un domaine Microsoft Windows Server® 2003 pour les deux environnements décrits dans ce guide.

Si cette stratégie est activée, les mots de passe utilisateur doivent obéir aux exigences suivantes :

• Ne pas contenir le nom du compte de l'utilisateur ou des parties du nom complet de l'utilisateur comptant plus de deux caractères successifs

• Comporter au moins six caractères

• Contenir des caractères de trois des quatre catégories suivantes :

  • Caractères majuscules anglais (A à Z)

  • Caractères minuscules anglais (a à z)

  • Chiffres en base 10 (0 à 9)

  • Caractères non alphabétiques (par exemple, !, $, #, %)

Chaque caractère supplémentaire accroît la complexité du mot de passe de manière exponentielle. Par exemple, un mot de passe à sept chiffres en minuscules aurait 26⁷ combinaisons possibles (approximativement 8 x 10⁹ ou 8 milliards). Avec 1 000 000 de tentatives par seconde (une performance qu'offre la plupart des utilitaires de décodage des mots de passe), 133 minutes suffiraient pour essayer tous les mots de passe possibles. Un mot de passe à sept lettres, en respectant la casse, offre 52⁷ combinaisons différentes. Un mot de passe à sept caractères alphanumériques, respectant la casse et sans ponctuation offre 62⁷ combinaisons. Un mot de passe à huit caractères offre 26⁸ combinaisons possibles (ou 2 x 10¹¹). À première vue, ce chiffre semble très élevé, mais avec 1 000 000 de tentatives par seconde, 59 heures suffiraient pour essayer tous les mots de passe possibles. N'oubliez pas que ce nombre d'heures peut augmenter considérablement dès lors que vous utilisez des mots de passe avec des caractères ALT ou tout autre caractère spécial tel que le point d'exclamation (!) ou l'arobase (@). Une utilisation appropriée des paramètres de mots de passe diminue fortement les risques d'attaques.

Enregistrer les mots de passe en utilisant un cryptage réversible
Ce paramètre de stratégie détermine si le système d'exploitation stocke des mots de passe à cryptage réversible . Il permet de prendre en charge les applications utilisant des protocoles qui nécessitent la reconnaissance du mot de passe de l'utilisateur dans le cadre du processus d'authentification. Le stockage des mots de passe à l'aide du cryptage réversible revient pratiquement à stocker en clair des versions texte des mots de passe C'est pourquoi cette stratégie ne doit être activée que si les impératifs de l'application prévalent sur la nécessité de protéger les informations de mot de passe. La valeur par défaut de cette stratégie estDésactivé.

Cette stratégie doit être activée lors de l'utilisation de l'authentification CHAP (Challenge-Handshake Authentication Protocol) par accès distant ou IAS (Internet Authentication Services). Elle est également requise lors de l'utilisation de l'authentification Digest dans IIS (Internet Information Services).

Vérifiez que le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine est configuré sur Désactivé, tel qu'il est défini dans l'objet de stratégie de groupe par défaut de Windows Server 2003 et dans la stratégie de sécurité locale pour les postes de travail et les serveurs. Ce paramètre de stratégie est également Désactivé dans les deux environnements qui sont définis dans ce guide.

Comment faire pour que les utilisateurs ne modifient leur mot de passe qu'en cas de nécessité.

Outre les stratégies de mot de passe mentionnées ci-dessus, certaines entreprises exigent d'exercer un contrôle sur tous les utilisateurs. Cette section décrit comment empêcher les utilisateurs de modifier leur mot de passe sauf quand on le leur demande.

Le contrôle centralisé des mots de passe des utilisateurs constitue la base d'un schéma de sécurité Windows Vista bien conçu. Vous pouvez utiliser la stratégie de groupe pour définir des durées de vie minimale et maximale des mots de passe comme nous l'avons vu précédemment. Cependant, les changements fréquents de mot de passe peuvent permettre aux utilisateurs de contourner le paramètre Appliquer l'historique des mots de passe dans votre environnement. Exiger des mots de passe trop longs peut également entraîner une multiplication des appels passés au support technique, car certains utilisateurs risquent d'oublier leur mot de passe.

Les utilisateurs peuvent modifier leur mot de passe pendant la période comprise entre les valeurs de durée de vie minimale et maximale du mot de passe. Cependant, de par sa conception, l'environnement SSLF oblige les utilisateurs à modifier leur mot de passe uniquement lorsque le système d'exploitation les y invite, lorsque leur mot de passe a atteint la durée de vie maximale de 42 jours. Pour atteindre ce niveau de contrôle, les administrateurs peuvent désactiver le bouton Modifier le mot de passe... dans la boîte de dialogueSécurité de Windows qui apparaît quand vous appuyez CTRL+ALT+SUPPR.

Vous pouvez implémenter cette configuration pour l'ensemble d'un domaine à l'aide de la stratégie de groupe, ou vous pouvez modifier le registre afin de l'implémenter pour un ou plusieurs utilisateurs spécifiques. Pour plus d'informations sur cette configuration, consultez l'article 324744 de la Base de connaissances Microsoft, « Comment faire pour empêcher les utilisateurs de modifier un mot de passe sauf en cas de nécessité dans Windows Server 2003 ». Si vous avez un domaine Windows 2000, consultez l'article 309799 de la Base de connaissances Microsoft, « COMMENT FAIRE : Empêcher les utilisateurs de modifier un mot de passe sauf lorsqu'ils y sont invités ».

Paramètres de stratégie de verrouillage de compte

La stratégie de verrouillage de compte est une caractéristique de sécurité du service Active Directory® qui permet de verrouiller un compte d'utilisateur et d'empêcher l'ouverture d'une session après un nombre donné d'échecs d'ouverture sur une période donnée. Des contrôleurs de domaine traquent les tentatives d'ouverture de session. Le nombre de tentatives autorisées et la période sont fonction des valeurs configurées pour les paramètres de verrouillage de compte. Vous pouvez par ailleurs spécifier la durée du verrouillage.

Ces paramètres de sécurité permettent d'empêcher les utilisateurs malveillants de deviner les mots de passe et réduisent les chances de réussite des attaques au sein de votre environnement réseau. Toutefois, l'activation d'une stratégie de verrouillage de compte est souvent source d'une augmentation des problèmes de support pour les utilisateurs réseau. C'est pourquoi, avant d'activer les paramètres suivants, assurez-vous que votre entreprise est prête à supporter ces frais de gestion supplémentaires. Pour beaucoup d'entreprises, une solution moins coûteuse et plus pratique consiste à contrôler automatiquement les journaux des événements de sécurité des contrôleurs de domaine et à générer des alertes administratives en cas de tentative manifeste de décodage des mots de passe de comptes utilisateurs.

Vous pouvez configurer les paramètres de verrouillage de compte dans l’Éditeur d’objets de stratégie de groupe, à l’emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité
\Stratégies de comptes\Stratégie de verrouillage du compte

Le tableau suivant présente les recommandations concernant les paramètres de stratégie de verrouillage de compte pour les deux environnements de sécurité définis dans ce guide. Les sous-sections suivantes décrivent chacun de ces paramètres.

Tableau A3. Recommandations relatives aux paramètres de stratégie de verrouillage de compte

Durée de verrouillage de comptes
Ce paramètre de stratégie détermine la durée qui doit s'écouler avant qu'un compte ne soit déverrouillé et que l'utilisateur puisse de nouveau se connecter. Pour cela, il indique le nombre de minutes pendant lesquelles le compte reste indisponible. Si la valeur de ce paramètre est définie sur 0, les comptes restent vérrouillés jusqu'à ce qu'un administrateur les déverrouille manuellement. Dans Windows Vista, la valeur par défaut de ce paramètre est Non défini.

Pour réduire le nombre d'appels passés au support technique, tout en garantissant une infrastructure sécurisée, configurez la valeur du paramètre Durée de verrouillage de comptes sur 15 minutes pour les environnements EC et SSLF définis dans ce guide.

Même si le fait de configurer ce paramètre sur une valeur élevée peut sembler une bonne idée, une telle configuration risque d'accroître le nombre d'appels passés au support technique de l'entreprise pour déverrouiller les comptes verrouillés par erreur. La valeur recommandée de 15 minutes représente par conséquent une durée d'attente raisonnable et garantit un niveau de protection satisfaisant contre les attaques par mots de passe. Les utilisateurs doivent être informés de la durée de verrouillage afin que leurs appels au service d'assistance se limitent aux seuls cas où ils ont besoin d'accéder à leur ordinateur de toute urgence.

Seuil de verrouillage de comptes
Ce paramètre détermine le nombre d'échecs d'ouverture de session avant verrouillage du compte. Il arrive que des utilisateurs autorisés verrouillent eux-mêmes leur compte en saisissant un mot de passe erroné ou en changeant leur mot de passe sur un ordinateur alors qu'ils sont déjà connectés sur un autre. L'ordinateur sur lequel a été saisi le mot de passe erroné continue de tenter d'authentifier l'utilisateur et, comme le mot de passe qu'il utilise est incorrect, le compte de l'utilisateur est finalement verrouillé. Pour éviter le verrouillage accidentel d'utilisateurs autorisés, configurez le seuil de verrouillage du compte sur une valeur élevée. La valeur par défaut de ce paramètre est de 0 tentative d'ouverture de session non valide, ce qui désactive la fonctionnalité de verrouillage de compte.

Fixez la valeur du paramètre Seuil de verrouillage de comptes à 50tentatives d'ouverture de session non valides pour les environnements EC et à10 pour les environnements SSLF.

Parce qu'il est possible pour un utilisateur malveillant de se servir de ce verrouillage comme un déni de service en déclenchant un verrouillage sur plusieurs comptes, votre entreprise doit déterminer si elle doit utiliser cette stratégieou non, en fonction des menaces identifiées et des risques à éviter. Deux options doivent être prises en compte pour ce paramètre de sécurité.

• Configurer le paramètre Seuil de verrouillage de compte sur 0 pour s'assurer que les comptes ne seront pas verrouillés. Cette valeur permet d'empêcher les attaques par déni de service visant à verrouiller les comptes de votre entreprise. Elle réduira également les appels passés au support technique, car les utilisateurs ne pourront pas verrouiller leurs comptes accidentellement. Cependant, ce paramètre n'empêchera pas une attaque en force. Les défenses suivantes sont également à envisager :

  • Une stratégie de mot de passe qui oblige tous les utilisateurs à avoir des mots de passe complexes de 8 caractères ou plus.

  • Un solide mécanisme d'audit permettant d'alerter les administrateurs lorsqu'une série de verrouillages de comptes survient dans l'environnement. Par exemple, une solution d'audit qui surveille l'événement de sécurité 539, lequel indique un échec d'ouverture de session. Cet événement indique un verrouillage du compte au moment de la tentative d'ouverture de session.

La deuxième option est la suivante :

• Configurer le paramètre Seuil de verrouillage de comptes sur une valeur qui offre à l'utilisateur la possibilité d'entrer un mot de passe erroné plusieurs fois tout en garantissant le verrouillage du compte en cas d'attaque en force. Une valeur de 50 tentatives d'ouverture de session non valides pour les environnements EC et une valeur de 10 pour les environnements de type de SSLF devraient garantir une sécurité adéquate et permettre une utilisation pratique du compte. Cette configuration évite les verrouillages accidentels et réduit le nombre d'appels passés au support technique, mais ne bloque pas les attaques de déni de service.

Réinitialiser le compteur de verrouillages du compte après
Ce paramètre de stratégie détermine le temps qui s'écoule avant que le paramètre Seuil de verrouillage de comptesne soit réinitialisé. La valeur par défaut de ce paramètre estNon défini. Si le paramètre Seuil de verrouillage de comptes est défini, la durée de réinitialisation doit alors être inférieure ou égale à la valeur du paramètre Durée de verrouillage de comptes.

Configurez la valeur du paramètre Réinitialiser le compteur de verrouillages du compte après sur15 minutes pour les environnements EC et SSLF définis dans ce guide.

Si vous conservez la valeur par défaut ou si vous définissez un intervalle trop long, votre environnement risque d'être plus sensible aux attaques par déni de service. Un utilisateur malveillant pourrait effectuer un certain nombre de tentatives d'ouverture de sessions qui échoueraient sur tous les comptes utilisateur d'une entreprise dans l'unique but de les verrouiller, comme décrit précédemment dans cette annexe. À défaut de stratégie de réinitialisation des comptes verrouillés, celle-ci doit être effectuée manuellement par les administrateurs. À l'inverse, si ce paramètre est défini sur une durée raisonnable, les utilisateurs sont verrouillés pour un intervalle donné jusqu'au déverrouillage automatique des comptes. La valeur recommandée de 15 minutes a été définie comme acceptable pour les utilisateurs et devrait aider à réduire le nombre d'appels passés au support technique. Les utilisateurs doivent être informés de la durée pendant laquelle ils doivent attendre avant de rouvrir une session, afin que leurs appels au service d'assistance se limitent aux seuls cas où ils ont besoin d'accéder à leur ordinateur de toute urgence.

Stratégie d'ordinateur

Les paramètres de sécurité décrits dans cette section s'appliquent aux ordinateurs de bureau et aux ordinateurs portables du domaine. Ces paramètres sont appliqués via le nœudConfiguration de l'ordinateur dans l'Éditeur d'objets de stratégie de groupe. Dans ce nœud, ces paramètres s'affichent dans les sous-nœuds Paramètres Windows et Modèles d'administration.

Configuration ordinateur\Paramètres Windows

Les groupes de paramètres suivants apparaissent dans le sous-répertoire Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales :

• Stratégie d'audit

• Attribution des droits utilisateur

• Options de sécurité

Les groupes de paramètres suivants apparaissent dans le sous-répertoire Configuration ordinateur\Paramètres Windows\Paramètres de sécurité :

• Sécurité du journal des événements

• Pare-feu Windows avec sécurité avancée

Stratégie d'audit

Une stratégie d'audit détermine les événements liés à la sécurité à signaler aux administrateurs pour que les activités utilisateur ou système soient enregistrées dans des catégories d'événements spécifiées. L'administrateur peut surveiller les activités associées à la sécurité : par exemple, quel utilisateur accède à tel objet, à quel moment les utilisateurs ouvrent ou ferment leurs sessions, ou encore quelles modifications ont été apportées à un paramètre de stratégie d'audit. C'est pourquoi Microsoft vous recommande d'établir une stratégie d'audit qu'un administrateur se chargera d'implémenter dans votre environnement.

Cependant, avant d'implémenter une stratégie d'audit, vous devez choisir les catégories d'événements à auditer dans votre environnement d'entreprise. Les paramètres d'audit que vous sélectionnez dans les catégories d'événement définissent votre stratégie d'audit. En définissant des paramètres de stratégie d'audit pour des catégories d'événement données, un administrateur peut créer une stratégie d'audit qui réponde aux besoins de l'entreprise en matière de sécurité.

Si aucun paramètre d'audit n'est défini, il devient difficile, voire impossible d'identifier l'origine d'un incident lié à la sécurité. Dans le cas contraire, si la configuration d'un audit est telle que de trop nombreuses activités autorisées génèrent des événements, des données superflues encombrent le journal d'événements de sécurité. Les informations fournies dans les sections suivantes vous aideront à déterminer les éléments à surveiller pour vous permettre de recueillir des données d'audit utiles à votre entreprise.

Windows Vista inclut les neuf catégories de stratégies déjà présentes dans les versions précédentes de Windows, notamment :

• Système

• Ouverture/fermeture de session

• Accès aux objets

• Utilisation des privilèges

• Suivi détaillé

• Changement de stratégie

• Gestion des comptes

• Accès DS

• Ouverture de session de compte

Toutefois, Windows Vista permet une gestion plus précise de la stratégie d'audit en offrant le choix entre cinquante sous-catégories de stratégie d'audit. Bien que toutes ces sous-catégories ne s'appliquent pas aux ordinateurs Windows Vista, un certain nombre d'entre elles peut être configuré pour enregistrer des événements spécifiques fournissant des informations utiles.

Auparavant, la configuration de l'une des neuf catégories d'audit était effectuée à l'aide de la stratégie de groupe. Si cette procédure est toujours possible dans Windows Vista, les nouvelles sous-catégories d'audit ne peuvent pas être configurées de manière individuelle à l'aide de l'Éditeur d'objets Stratégie de groupe car elles n' y figurent pas. Si vous configurez l'une des catégories d'audit dans Windows Vista à l'aide des paramètres présents dans l'Éditeur d'objets Stratégie de groupe, toutes les sous-catégories seront également configurées. Cela risque d'entraîner un nombre excessif d'enregistrements d'audit qui viendront encombrer vos journaux d'événements.

Il est donc recommandé de ne configurer que les sous-catégories d'audit nécessaires. La configuration de chaque sous-catégorie requiert l'utilisation d'un outil de ligne de commande inclus dans Windows Vista et appeléAuditPol.exe.

Le recours à un outil de ligne de commande rend plus difficile l'implémentation de la stratégie d'audit recommandée à travers plusieurs ordinateurs. Cependant, Microsoft a développé une solution permettant de configurer des sous-catégories d'audit à l'aide de la stratégie de groupe. Cette solution est implémentée automatiquement par les scripts et les objets de stratégie de groupe inclus dans ce guide.

Lors de l'exécution du script GPOAccelerator.wsf telle que décrite aux chapitres 1 et 5 de ce guide, le script copie automatiquement les fichiers suivants dans le partage NETLOGON de l'un des contrôleurs de domaine.

Pour l'environnement EC :

• EC-VSGAuditPolicy.cmd

• EC-VSGApplyAuditPolicy.cmd

• EC-VSGAuditPolicy.txt

Pour l'environnement SSLF :

• SSLF-VSGAuditPolicy.cmd

• SSLF-VSGApplyAuditPolicy.cmd

• SSLF-VSGAuditPolicy.txt

Ces fichiers sont ensuite automatiquement répliqués dans le partage NETLOGON des contrôleurs de domaine au sein de votre domaine Active Directory. Les objets de stratégie de groupe d'un ordinateur créés par le script GPOAccelerator.wsf incluent un script de démarrage qui exécute ces fichiers pour configurer les paramètres de stratégie d'audit recommandés. La première fois que vous exécutez ces fichiers sur un ordinateur, une tâche planifiée intitulée VSGAudit est créée. Celle-ci s'exécute toutes les heures afin de s'assurer que les paramètres de stratégie d'audit sont bien à jour.

Pour plus d'informations sur la solution de configuration des nouveaux paramètres de stratégie d'audit dans Windows Vista au sein d'un domaine Windows Server, consultez l'article 921469 de la Base de connaissances « Comment faire pour utiliser la stratégie de groupe pour configurer des paramètres d'audit de sécurité détaillés pour des ordinateurs clients Windows Vista dans un domaine Windows Server 2003 ou Windows 2000 ».

Le tableau suivant résume les recommandations en matière de paramètres de stratégie d'audit pour les ordinateurs clients de bureau et les ordinateurs clients portables dans les deux types d'environnements sécurisés abordés dans ce guide. Étudiez ces recommandations et adaptez-les à votre entreprise. Des informations sur la modification des paramètres de stratégie d'audit configurés par les objets de stratégie de groupe inclus dans ce guide sont fournies à la fin de cette section.

Soyez très prudent concernant les paramètres d'audit susceptibles de générer un volume de trafic important. Par exemple, si vous activez l'audit des réussites ou des échecs pour toutes les sous-catégories d'utilisation de privilèges, le volume élevé d'événements d'audit générés rendra difficile la recherche d'autres types d'entrées dans le journal des événements de sécurité. Une configuration de ce type pourrait également avoir un impact significatif sur les performances.

Les sections suivantes fournissent une description rapide de chaque stratégie d'audit. Les tableaux de chaque section incluent des recommandations pour les ordinateurs clients de bureau et les ordinateurs clients portables dans les deux types d'environnements sécurisés abordés dans ce guide.

Remarque   En raison de contraintes de temps, la description individuelle de chaque sous-catégorie de stratégie d'audit n'a pas pu être fournie. Toutefois, la version bientôt disponible du guide des menaces et des contre-mesures comprendra une description détaillée de chacune des 50 sous-catégories de stratégie d'audit.

Système

La catégorie d'audit Système vous permet de surveiller les événements système, qu'ils réussissent ou qu'ils échouent, et fournit également un enregistrement de ces événements permettant de déterminer les cas d'accès au système non autorisés. Parmi ces événements système figurent le démarrage et l'arrêt des ordinateurs dans votre environnement, les journaux d'événements pleins et autres événements liés à la sécurité ayant une incidence sur tout le système.

Dans Windows Vista, la catégorie d'audit Système comprend les sous-catégories représentées dans le tableau suivant.

Tableau A4. Recommandations relatives à la sous-catégorie de stratégie d'audit Système

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Ouverture/fermeture de session

Cette catégorie d'audit génère des événements qui enregistrent la création et la destruction d'ouvertures de session. Ces événements se produisent sur l'ordinateur auquel les utilisateurs tentent d'accéder. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l'ordinateur sur lequel la session est ouverte.. Si une ouverture de session réseau se produit pour accéder à un partage, ces événements sont générés sur l'ordinateur qui héberge la ressource demandée.

Si le paramètre Auditer les événements de connexion est configuré sur Aucun audit, il est difficile, voire impossible, de déterminer quel utilisateur a accédé ou tenté d'accéder aux ordinateurs de l'entreprise.

Dans Windows Vista, la catégorie d'audit d'événements Ouverture/fermeture de session comprend les sous-catégories représentées dans le tableau suivant.

Tableau A5. Recommandations relatives à la sous-catégorie de stratégie d'audit Ouverture/fermeture de session

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès aux objets

En lui-même, ce paramètre n'entraîne l'audit d'aucun événement. Il détermine si le système doit auditer l'événement constitué par un utilisateur qui accède à un objet (fichier, dossier, clé de registre ou imprimante, par exemple) disposant d'une liste de contrôle d'accès système (SACL) spécifiée, ce qui a pour effet d'activer l'audit.

Une liste SACL est composée d'entrées de contrôle d'accès (ACE). Chaque entrée comprend trois informations spécifiques :

• l'entité de sécurité (utilisateur, ordinateur ou groupe) à auditer ;

• le type d'accès spécifique à auditer, appelé masque d'accès ;

• un indicateur spécifiant s'il faut auditer les événements d'accès qui ont échoué, les événements d'accès réussis ou les deux catégories.

La configuration du paramètre Auditer l'accès aux objets sur Réussite génère une entrée d'audit chaque fois qu'un utilisateur réussit à accéder à un objet avec une liste SACL spécifiée. La configuration de ce paramètre sur Échec génère une entrée d'audit chaque fois qu'un utilisateur échoue dans sa tentative d'accès à un objet avec une liste SACL spécifiée.

Les entreprises doivent définir uniquement les actions qu'elles souhaitent activer lors de la configuration des listes SACL. Imaginons par exemple que vous vouliez activer le paramètre d'audit Écriture de données et Ajouter les données sur les fichiers exécutables de façon à suivre le remplacement ou les modifications de ces fichiers, pouvant être causés par des virus, des vers ou des chevaux de Troie. De même, vous pourriez vouloir traquer l'accès aux fichiers sensibles ou les modifications de ces fichiers.

La catégorie d'audit d'événements Accès aux objets comprend les sous-catégories représentées dans le tableau suivant.

Tableau A6. Recommandations relatives à la sous-catégorie de stratégie d'audit Accès aux objets

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Les procédures ci-dessous expliquent comment configurer manuellement des règles d'audit dans un fichier ou un dossier, puis comment tester chacune d'elles pour chaque objet dans le fichier ou le dossier indiqué.

Remarque   Utilisez Auditpol.exepour configurer la sous-catégorie Système de fichiers en vue d'auditer les événements de type Réussite et Échec pour les étapes suivantes de consignation d'événements dans le journal des événements de sécurité.

Pour définir une règle d'audit pour un fichier ou un dossier

1. Utilisez l'Explorateur Windows pour rechercher le fichier ou le dossier, puis cliquez dessus.

2. Dans le menu Fichier, cliquez surPropriétés.

3. Cliquez sur l'onglet Sécurité, puis sur le bouton Avancé.

4. Cliquez sur l'onglet Audit.

5. Si vous êtes invité à fournir vos informations d'identification d'administrateur, cliquez surContinuer, tapez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.

6. Cliquez sur le bouton Ajouter. La boîte de dialogue Sélection d'un utilisateur,d'un ordinateurou d'un groupe s'affiche.

7. Cliquez sur le bouton Types d'objet..., puis, dans la boîte de dialogue Types d'objet, sélectionnez les types d'objet à rechercher.

   Remarque   Les types d'objetUtilisateur, Groupe etEntité de sécurité intégrée sont sélectionnés par défaut.

8. Cliquez sur le bouton Emplacements... et sélectionnez votre domaine ou votre ordinateur local dans la boîte de dialogue Emplacement.

9. Dans la boîte de dialogue Sélection d'un utilisateur ou d'un groupe, saisissez le nom du groupe ou de l'utilisateur à auditer. Puis, dans la boîte de dialogueEntrez les noms des objets à sélectionner, saisissez Utilisateurs authentifiés pour auditer l'accès de tous les utilisateurs de ce type, puis cliquez surOK. La boîte de dialogue Audit de l'entrée s'ouvre.

10. Dans la boîte de dialogue Audit de l'entrée, déterminez le type d'accès à auditer dans le fichier ou le dossier.

    Remarque   N'oubliez pas que chaque accès peut générer plusieurs événements dans le journal des événements, ce qui risque d'entraîner une augmentation rapide de son volume.

11. Dans la boîte de dialogue Audit de l'entrée, à côté de Liste du dossier/lecture de données, sélectionnez Réussite etÉchec, puis cliquez sur OK.

12. Les entrées d'audit que vous avez activées s'affichent dans l'onglet Audit de la boîte de dialogueParamètres de sécurité avancés.

13. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.

Pour tester une règle d'audit pour le fichier ou le dossier

1. Ouvrez le fichier ou le dossier.

2. Fermez le fichier ou le dossier.

3. Lancez l'Observateur d'événements. Plusieurs événements d'accès aux objets pourvus de l'ID d'événement 4663 apparaissent dans le journal des événements de sécurité.

4. Double-cliquez sur les événements dont vous souhaitez afficher les détails.

Utilisation des privilèges

La catégorie d'audit Utilisation d'un privilège détermine s'il convient d'auditer chaque cas d'un utilisateur exerçant un droit d'utilisateur. La configuration de ce paramètre surRéussite génère une entrée d'audit chaque fois qu'un droit d'utilisateur est exercé avec succès. La configuration de ce paramètre sur Échec génère une entrée d'audit chaque fois que l'exercice d'un droit d'utilisateur échoue. Ce paramètre de stratégie peut produire un très grand nombre d'enregistrements d'événements.

La catégorie d'audit d'événements Utilisation d'un privilège comprend les sous-catégories représentées dans le tableau suivant.

Tableau A7. Recommandations relatives à la sous-catégorie de stratégie d'audit Utilisation d'un privilège

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Suivi détaillé

La catégorie d'audit Suivi détaillé détermine s'il convient d'auditer les informations de suivi détaillé des événements tels que l'activation de programme, la sortie de processus, la duplication de pointeur et l'accès indirect à un objet). L'activation du paramètre Auditer le suivi des processus génère un grand nombre d'événements ; il est donc généralement défini sur Aucun audit. Toutefois, ce paramètre peut se révéler d'un grand intérêt en cas de réponse à un incident grâce au journal détaillé des processus démarrés et à leur heure de lancement.

La catégorie d'audit d'événements Suivi détaillé comprend les sous-catégories représentées dans le tableau suivant.

Tableau A8. Recommandations relatives à la sous-catégorie de stratégie d'audit Suivi détaillé

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Changement de stratégie

Ce paramètre de stratégie détermine si le système doit auditer tous les incidents liés à une modification des stratégies d'attribution des droits utilisateur, des stratégies du pare-feu Windows, des stratégies de confiance ou à une modification de la stratégie d'audit elle-même. Les paramètres recommandés doivent vous permettre de visualiser les privilèges de compte qu'un utilisateur malveillant essaie d'élever ; par exemple, en ajoutant le privilège Déboguer des programmes ou Sauvegarder des fichiers et des répertoires.

La catégorie d'audit d'événements Changement de stratégie comprend les sous-catégories représentées dans le tableau suivant.

Tableau A9. Recommandations relatives à la sous-catégorie de stratégie d'audit Changement de stratégie

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Gestion des comptes

Ce paramètre de stratégie permet d'auditer les tentatives suivantes : création d'utilisateurs ou de groupes, attribution d'un nouveau nom aux utilisateurs ou groupes, activation ou désactivation des comptes d'utilisateur, changement des mots de passe des comptes et activation de l'audit pour les événements de gestion des comptes. En activant ce paramètre de stratégie d'audit, un administrateur peut effectuer le suivi d'événements pour détecter les créations malveillantes, accidentelles ou autorisées de comptes d'utilisateur et de groupe.

La catégorie d'audit d'événements Gestion des comptes comprend les sous-catégories représentées dans le tableau suivant.

Tableau A10. Recommandations relatives à la sous-catégorie de stratégie d'audit Gestion des comptes

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès DS

La catégorie d'audit Accès DS s'applique uniquement aux contrôleurs de domaine. C'est pourquoi cette catégorie ainsi que toutes les sous-catégories associées sont configurées surAucun audit pour les deux environnements abordés dans ce guide.

La catégorie d'audit d'événements Accès DS comprend les sous-catégories représentées dans le tableau suivant.

Tableau A11. Recommandations relatives à la sous-catégorie de stratégie d'audit Accès DS

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Ouverture de session de compte

Cette catégorie d'audit génère des événements pour la validation des informations d'identification. Ces événements surviennent sur l'ordinateur faisant autorité pour ces autorisations. Pour les comptes de domaine, c'est le contrôleur de domaine qui fait autorité, et pour les comptes locaux c'est l'ordinateur local. Dans les environnements de domaine, la plupart des événements de connexion de compte surviennent dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent survenir sur d'autres ordinateurs de l'entreprise, lorsque des comptes locaux sont utilisés pour ouvrir une session.

La catégorie d'audit d'événements Connexion de compte comprend les sous-catégories représentées dans le tableau suivant.

Tableau A12. Recommandations relatives à la sous-catégorie de stratégie d'audit Connexion de compte

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Modification des paramètres de stratégie d'audit

Pour modifier les paramètres et sous-catégories de stratégie d'audit configurés par les objets de stratégie de groupe inclus dans ce guide, vous devez utiliser l'outil Auditpol.exe afin de modifier la configuration sur un ordinateur de votre environnement, puis générer un fichier contenant les paramètres de stratégie d'audit pour votre environnement. Les objets de stratégie de groupe de l'ordinateur inclus dans ce guide appliqueront alors la stratégie d'audit modifiée aux ordinateurs de votre environnement.

Pour modifier la configuration de votre stratégie d'audit

1. Ouvrez une session en tant qu'administrateur du domaine sur un ordinateur exécutant Windows Vista et associé au domaine utilisant Active Directory dans lequel vous allez créer les objets de stratégie de groupe.

2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit de la souris sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.

3. Effacez les paramètres de stratégie d'audit actuels. Pour ce faire, tapez la ligne ci-dessous à l'invite de commandes, puis appuyez sur ENTRÉE :

auditpol /clear

4. Utilisez l'outil de ligne de commandes Auditpol.exe pour configurer les paramètres de stratégie d'audit selon vos préférences. Par exemple, tapez les lignes ci-dessous à l'invite de commandes et appuyez sur ENTRÉE à la fin de chaque ligne.

Remarque Certaines parties de l'extrait de code ci-après sont présentées sur plusieurs lignes pour une meilleure lisibilité, mais doivent être saisies sur une seule ligne.

auditpol /set /subcategory:"user account management"
/success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable

/failure:enable auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Remarque Pour afficher toutes les catégories et sous-catégories possibles, tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE :
auditpol /list /subcategory:*

Tapez la ligne suivante à l'invite de commandes, puis appuyez sur ENTRÉE :

auditpol /backup /file:EC-AuditPolicy.txt (ou SSLF-AuditPolicy.txt)

5. Copiez le nouveau fichierEC-AuditPolicy.txt (ou SSLF-AuditPolicy.txt) dans le partage NETLOGON de l'un des contrôleurs de domaine de votre environnement, puis remplacez la version existante.

Les objets de stratégie de groupe de l'ordinateur inclus dans ce guide utiliseront le nouveau fichier EC-AuditPolicy.txt (ou SSLF-AuditPolicy.txt) pour modifier et configurer les paramètres de stratégie d'audit sur vos ordinateurs.

Suppression de la configuration de stratégie d'audit

Comme nous l'avons vu précédemment, la solution implémentée par les objets de stratégie de groupe inclus dans ce guide pour la configuration de sous-catégories de stratégie d'audit crée la tâche planifiée VSGAudit sur tous les ordinateurs de votre environnement. Si vous avez supprimé les objets de stratégie de groupe de votre environnement, vous souhaiterez peut-être supprimer également la tâche planifiée VSGAudit. Cette tâche ne devrait pas affecter les performances des ordinateurs exécutant Windows Vista même si les objets de stratégie de groupe inclus dans ce guide ont été supprimés de votre environnement.

Pour supprimer la tâche planifiée VSGAudit des ordinateurs de votre environnement

1. Selon votre environnement, supprimez les trois fichiers suivants du partage NETLOGON de l'un des contrôleurs de domaine de votre environnement :

   Pour l'environnement EC :

   • EC-VSGAuditPolicy.cmd

   • EC-VSGApplyAuditPolicy.cmd

   • EC-VSGAuditPolicy.txt

   Pour l'environnement SSLF :

   • SSLF-VSGAuditPolicy.cmd

   • SSLF-VSGApplyAuditPolicy.cmd

   • SSLF-VSGAuditPolicy.txt

2. Créez un fichier texte vide, nommez-le DeleteVSGAudit.txt, puis copiez-le dans le partage NETLOGON de l'un des contrôleurs de domaine de votre environnement. Ce fichier texte sera automatiquement répliqué sur tous les contrôleurs de domaine de votre environnement.

À chaque fois qu'elle est exécutée, la tâche planifiée VSGAudit recherche le fichier texte DeleteVSGAudit.txt, puis une fois qu'elle l'a trouvé, la tâche est automatiquement supprimée. Étant donné que la tâche planifiée VSGAudit est configurée pour s'exécuter toutes les heures, sa suppression de tous les ordinateurs de l'environnement doit être assez rapide.

Stratégies d'audit pour les ordinateurs exécutant Windows XP dans l'environnement EC

Les objets de stratégie de groupe fournis avec ce guide incluent des paramètres qui configurent les catégories d'audit présentes dans les versions précédentes de Windows. Si vous utilisez le script et les objets de stratégie de groupe inclus dans ce guide, ces paramètres ne s'appliqueront pas aux ordinateurs exécutant Windows Vista.

Les objets de stratégie de groupe destinés à être utilisés dans l'environnement EC ont été conçus pour fonctionner avec des ordinateurs Windows XP. Les paramètres des catégories d'audit sont inclus dans ces objets de stratégie de groupe afin que les ordinateurs exécutant Windows XP dans votre environnement reçoivent les paramètres de stratégie d'audit recommandés pour les ordinateurs Windows XP.

Les paramètres de stratégie d'audit peuvent être configurés dans Windows Vista dans l'Éditeur d'objets de stratégie de groupe à l'emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité
\Stratégies locales\Stratégie d'audit

Le tableau suivant résume les recommandations en matière de paramètres de stratégie d'audit pour les ordinateurs clients de bureau et les ordinateurs clients portables dans les deux types d'environnements sécurisés abordés dans ce guide.

Tableau A13. Recommandations relatives aux paramètres de stratégie d'audit

Remarque   Les objets de stratégie de groupe de l'environnement EC étant conçus pour fonctionner sur des ordinateurs exécutant Windows XP, les paramètres de stratégie d'audit recommandés sont inclus dans ces objets. En revanche, les objets de stratégie de groupe de l'environnement SSLF étant conçus pour fonctionner uniquement sur des ordinateurs exécutant Windows Vista, les paramètres de stratégie d'audit ne sont pas inclus dans ces objets.

Attribution des droits utilisateur

Outre les nombreux groupes avec privilèges disponibles dans Windows Vista, plusieurs droits utilisateur (que les utilisateurs normaux n'ont pas forcément) peuvent être attribués à certains utilisateurs ou groupes.

Pour définir la valeur d'un droit d'utilisateur surPersonne, activez le paramètre, mais ne lui ajoutez aucun utilisateur ni aucun groupe. Pour définir la valeur d'un droit d'utilisateur sur Non défini, n'activez pas le paramètre.

Les paramètres d'attribution des droits utilisateur peuvent être configurés dans Windows Vista dans l'Éditeur d'objets de stratégie de groupe à l'emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateurs

Le tableau suivant résume les recommandations de paramètres d'attribution des droits utilisateur pour les droits utilisateur commençant par les lettres A à E. Il fournit également des recommandations pour les ordinateurs clients de bureau et les ordinateurs clients portables dans les deux types d'environnements sécurisés qui sont abordés dans ce guide. Les sous-sections suivantes fournissent des informations plus détaillées sur chaque paramètre.

Les recommandations pour les droits utilisateur commençant par les autres lettres de l'alphabet sont résumées dans le Tableau A5 ; vous trouverez en outre des informations détaillées concernant ces droits utilisateur dans les sous-sections suivant ce tableau.

Remarque   Bon nombre des fonctionnalités d'IIS nécessitent des comptes tels que IIS_WPG, IIS IUSR_<NomOrdinateur>et IWAM_<NomOrdinateur> pour avoir des privilèges spécifiques. Pour plus d'informations sur les droits utilisateur requis par des comptes liés à IIS, reportez-vous à la rubrique relative aux serveurs IIS et aux comptes intégrés (IIS 6.0)(éventuellement en anglais).

Droits d'utilisateur A - E

Le tableau suivant résume les recommandations de paramètres d'attribution des droits utilisateur pour les droits utilisateur commençant par les lettres A à E. Les sous-sections suivant ce tableau fournissent des informations plus détaillées sur chaque paramètre.

Tableau A14. Recommandations relatives aux paramètres d'attribution des droits utilisateur–Partie 1

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accéder à cet ordinateur à partir du réseau
Ce paramètre de stratégie permet à d'autres utilisateurs du réseau de se connecter à l'ordinateur ; il est requis par divers protocoles réseau, dont les protocoles SMB (Server Message Block), NetBIOS, CIFS (Common Internet File System) et COM+ (Component Object Model Plus).

Le paramètre Accéder à cet ordinateur à partir du réseau est configuré surAdministrateurs et Utilisateurspour l'environnement EC et sur Administrateurspour l'environnement SSLF.

Agir en tant que partie du système d’exploitation
Ce paramètre de stratégie permet à un processus de prendre l'identité de n'importe quel utilisateur et donc d'accéder aux ressources auxquelles l'utilisateur en question a accès.

C'est pour cette raison que le paramètre Agir en tant que partie du système d'exploitation est configuré surPersonne pour les deux environnements abordés dans ce guide.

Ajuster les quotas de mémoire pour un processus
Ce paramètre de stratégie permet à un utilisateur d'ajuster la quantité maximale de mémoire disponible pour un processus. Ce privilège est utile pour le réglage du système, mais peut faire l'objet d'abus. S'il tombe entre de mauvaises mains, il peut être utilisé pour lancer une attaque par déni de service.

C'est pour cette raison que le paramètre Ajuster les quotas de mémoire pour un processus est configuré surAdministrateurs, Service local etService réseau pour l'environnement SSLF et surNon défini pour l'environnement EC.

Permettre l’ouverture d’une session locale
Ce paramètre de stratégie détermine les utilisateurs qui sont autorisés à ouvrir une session interactivement sur les ordinateurs de votre environnement. Pour lancer des connexions avec la combinaison de touches CTRL+ALT+SUPPR sur le clavier de l'ordinateur client, l'utilisateur doit posséder ce droit. Vous devez également disposer de ce droit pour ouvrir des sessions par le biais des services Terminal Server ou IIS.

Ce droit de l'utilisateur est accordé par défaut au compteInvité. Bien que ce compte soit désactivé par défaut, Microsoft vous conseille d'activer ce paramètre par le biais de la stratégie de groupe. En règle générale, ce droit d'utilisateur doit être restreint aux groupesAdministrateurs et Utilisateurs. Attribuez ce droit d'utilisateur au groupe Opérateurs de sauvegarde si votre entreprise le demande.

Le paramètre Permettre l'ouverture d'une session locale est limité aux groupesUtilisateurs et Administrateurspour les deux environnements abordés dans ce guide.

Autoriser l'ouverture de session par les services Terminal Server
Ce paramètre de stratégie détermine les utilisateurs ou groupes qui ont le droit d'ouvrir une session en tant que client Terminal Server. Les utilisateurs du bureau à distance ont besoin de ce droit. Si votre entreprise utilise l'assistance à distance dans le cadre de sa stratégie de support technique, créez un groupe, puis attribuez-lui ce droit par le biais de la stratégie de groupe. Si le support technique de votre entreprise n'utilise pas l'assistance à distance, n'attribuez ce droit d'utilisateur qu'au groupeAdministrateurs ou utilisez la fonctionnalité de groupes restreints pour vous assurer qu'aucun compte d'utilisateur ne fera partie du groupe Utilisateurs du Bureau à distance.

En limitant ce droit au groupe Administrateurs, et éventuellement au groupe Utilisateurs du Bureau à distance, vous empêchez les utilisateurs indésirables d'accéder aux ordinateurs de votre réseau par le biais de la fonctionnalité Assistance à distance.

Le paramètre Autoriser l'ouverture de session par les services Terminal Server est configuré sur Non défini pour l'environnement EC. Pour plus de sécurité, il est cependant configuré sur Personne pour l'environnement SSLF.

Sauvegarder les fichiers et les répertoires
Ce paramètre de stratégie permet aux utilisateurs d'éviter les autorisations sur les fichiers et les répertoires pour procéder à la sauvegarde du système. Ce droit d'utilisateur est activé uniquement lorsqu'une application (telle que NTBACKUP) tente d'accéder à un fichier ou un répertoire par l'interface de programmation d'application (API) de sauvegarde NTFS. Dans les autres cas, les autorisations attribuées s'appliquent.

Le paramètre Sauvegarder les fichiers et les répertoires est configuré sur Non défini pour l'environnement EC et sur le groupeAdministrateurs pour l'environnement SSLF.

Contourner la vérification de parcours
Ce paramètre de stratégie permet aux utilisateurs qui ne disposent pas de la permission d'accès spéciale « Passer sur le dossier » de « traverser » des dossiers quand ils utilisent un chemin d'accès d'objet dans le système de fichiers NTFS ou le registre. Ce droit d'utilisateur ne permet pas aux utilisateurs de voir le contenu d'un dossier mais uniquement de traverser les répertoires.

Le paramètre Ignorer la recherche de l'autorisation Passer sur le dossier est configuré sur Non défini pour les ordinateurs de l'environnement EC. Il est configuré sur les groupes et comptesAdministrateurs, Utilisateurs ,Service localet Service réseau pour l'environnement SSLF.

Modifier l’heure système
Ce paramètre de stratégie détermine les utilisateurs et les groupes qui sont autorisés à modifier l'heure et la date sur l'horloge interne des ordinateurs de votre environnement. Les utilisateurs disposant de ce droit peuvent modifier l'apparence des journaux d'événements. La modification de l'heure du système entraîne la consignation d'événements à la nouvelle heure, et non à l'heure à laquelle ils se sont en réalité produits.

Le paramètre Modifier l'heure système est configuré sur les groupes Service local etAdministrateurs pour les deux environnements abordés dans ce guide.

Remarque   Des différences entre l'heure de l'ordinateur local et celle des contrôleurs de domaine de votre environnement peuvent provoquer des problèmes pour le protocole d'authentification Kerberos. Cela risque d'empêcher les utilisateurs de se connecter au domaine ou d'obtenir l'autorisation d'accéder aux ressources du domaine après avoir ouvert une session. Par ailleurs, des problèmes peuvent survenir lors de l'application de la stratégie de groupe aux ordinateurs clients si l'heure du système n'est pas synchronisée avec celle des contrôleurs de domaine.

Changer de fuseau horaire
Ce paramètre détermine les utilisateurs qui peuvent modifier le fuseau horaire sur l'ordinateur. Ce droit ne présente pas de danger majeur pour l'ordinateur et peut être utile pour les travailleurs mobiles.

Le paramètre Changer de fuseau horaire est configuré sur Non défini pour l'environnement EC, et sur Administrateurs, Service local et Utilisateurs pour l'environnement SSLF.

Créer un fichier d’échange
Ce paramètre de stratégie permet aux utilisateurs de modifier la taille du fichier d'échange. En augmentant ou en diminuant excessivement la taille d'un fichier d'échange, un utilisateur malveillant pourrait facilement affecter les performances d'un ordinateur compromis.

Le paramètre Créer un fichier d'échange est configuré sur Administrateurs pour les environnements EC et SSLF.

Créer des objets partagés permanents
Ce paramètre de stratégie permet aux utilisateurs de créer des objets d'annuaire dans le gestionnaire d'objets. Ce droit d'utilisateur est utile aux composants de mode noyau (kernel) qui étendent l’espace de noms d’objets. Cependant, les composants exécutés en mode noyau disposent déjà de ce droit d'utilisateur. Il n'est donc pas nécessaire de l'affecter spécifiquement.

Le paramètre Créer des objets partagés permanents est configuré sur Non définipour l'environnement EC et sur Personne pour l'environnement SSLF.

Créer un objet-jeton
Ce paramètre de stratégie permet à un processus de créer un jeton d’accès qui peut fournir des droits élevés pour l'accès à des données sensibles. Dans les environnements où la sécurité est une priorité, ce droit d'utilisateur ne doit être attribué à aucun utilisateur. Les processus nécessitant cette capacité doivent utiliser le compte Système local qui a ce droit d'utilisateur par défaut.

Le paramètre Créer un objet-jeton est configuré sur Non défini pour l'environnement EC et sur Personne pour l'environnement SSLF.

Créer des objets globaux
Ce paramètre de stratégie détermine si les utilisateurs peuvent créer des objets globaux disponibles pour toutes les sessions. Les utilisateurs peuvent néanmoins créer des objets spécifiques à leurs propres sessions même s'ils ne disposent pas de ce droit d'utilisateur.

Les utilisateurs en mesure de créer des objets globaux pourraient avoir un impact sur les processus qui s'exécutent sous d'autres sessions utilisateurs. Cette possibilité risque d’entraîner divers problèmes, tels que l’échec d’une application ou la corruption des données.

Le paramètre Créer des objets globaux est configuré sur Non défini pour l'environnement EC et sur Administrateurs, Service,Service localet Service réseau pour l'environnement SSLF.

Créer des liens symboliques
Ce paramètre de stratégie détermine quels utilisateurs peuvent créer des liens symboliques. Dans Windows Vista, il est possible d'accéder à des objets du système de fichiers NTFS, tels que des fichiers et des dossiers, en se reportant à un nouveau type d'objet appelé lien symbolique. Un lien symbolique est un pointeur (comparable à un raccourci ou un fichier .lnk) vers un autre objet du système de fichiers, qui peut être un fichier, un dossier, un raccourci ou un autre lien symbolique. La différence entre un raccourci et un lien symbolique réside dans le fait que le raccourci fonctionne uniquement au sein de l'environnement Windows. Pour les autres programmes et applications, les raccourcis sont simplement d'autres fichiers, alors qu'avec les liens symboliques le concept du raccourci est une fonctionnalité du système de fichiers NTFS.

Les liens symboliques peuvent compromettre la sécurité des applications qui ne sont pas conçues pour les traiter. C'est pourquoi le privilège de création de liens symboliques doit être attribué uniquement à des utilisateurs approuvés. Par défaut, seuls les administrateurs peuvent créer des liens symboliques.

Le paramètre Créer des liens symboliques est configuré sur Non défini pour les ordinateurs de l'environnement EC et sur le groupeAdministrateurs pour l'environnement SSLF pour appliquer la configuration par défaut.

Déboguer les programmes
Ce paramètre de stratégie détermine les comptes d'utilisateur qui sont autorisés à associer un débogueur à un processus ou au noyau. Il fournit un accès complet à des composants sensibles du système d'exploitation. Il n'est pas nécessaire d'affecter ce droit d'utilisateur aux développeurs qui déboguent leurs propres applications. Toutefois, ceux qui déboguent de nouveaux composants système en auront besoin.

Remarque   En octobre 2003, Microsoft a publié plusieurs mises à jour de sécurité qui utilisaient une version d'Update.exe pour laquelle les administrateurs avaient besoin du droit d'utilisateur Déboguer les programmes. Les administrateurs qui ne disposaient pas de ce droit d'utilisateur n'ont pu installer ces mises à jour qu'une fois leurs droits utilisateur reconfigurés. Il ne s'agit pas là de la procédure habituelle pour les mises à jour de système d'exploitation. Pour obtenir plus d'informations, consultez l'article 830846 de la Base de connaissances, « Les mises à jour de produits Windows peuvent cesser de répondre ou peuvent utiliser une grande partie ou toutes les ressources du processeur ».

Étant donné le risque qu'un utilisateur malveillant exploite ce droit d'utilisateur, celui-ci est, par défaut, uniquement attribué au groupe Administrateurs . Le paramètre de stratégieDéboguer les programmes est configuré surAdministrateurs pour l'environnement EC et surPersonne pour l'environnement SSLF.

Interdire l'accès à cet ordinateur à partir du réseau
Ce paramètre de stratégie interdit aux utilisateurs de se connecter à un ordinateur sur le réseau et donc d'accéder à des données et de les modifier à distance. Dans un environnement SSLF, les utilisateurs ne devraient pas avoir besoin d'accéder à des données se trouvant sur un ordinateur à distance. Dans ce cas, le partage de fichiers doit se faire via l'utilisation de serveurs réseau.

Le paramètre Interdire l'accès à cet ordinateur à partir du réseau est configuré sur le groupeInvités pour les ordinateurs des deux environnements abordés dans ce guide.

Interdire l'ouverture de session en tant que tâche
Ce paramètre de stratégie interdit l'ouverture de session à l'aide d'un outil de mise en attente de lots, une fonction de Windows Server 2003 utilisée pour programmer une ou plusieurs exécutions automatiques de tâches.

Le paramètre Interdire l'ouverture de session en tant que tâche est configuré sur Non définipour l'environnement EC et sur le groupe Invitéspour l'environnement SSLF.

Interdire l'ouverture d'une session locale
Ce paramètre de stratégie empêche les utilisateurs d'ouvrir une session localement sur la console. Si des utilisateurs non autorisés réussissaient à ouvrir une session localement sur un ordinateur, ils pourraient télécharger des codes malveillants ou élever leurs privilèges sur l'ordinateur. (Si les utilisateurs malveillants ont physiquement accès à la console, d'autres risques sont à prendre en compte.) Ce droit d'utilisateur ne doit pas être attribué aux utilisateurs ayant besoin de pouvoir accéder physiquement à la console.

Le paramètre Interdire l'ouverture d'une session locale est configuré sur le groupeInvités pour les deux environnements abordés dans ce guide. En outre, ce droit d'utilisateur doit être attribué à tous les comptes de service de l'environnement SSLF ajoutés à l'ordinateur afin d'éviter les abus.

Interdire l'ouverture de session par les services Terminal Server
Ce paramètre de stratégie empêche les utilisateurs d'ouvrir une session sur les ordinateurs de votre environnement par le biais d'une connexion Bureau à distance. Si vous attribuez ce droit d'utilisateur au groupe Tout le monde, vous empêchez les membres du groupe Administrateurspar défaut d'utiliser les services Terminal Server pour ouvrir une session sur les ordinateurs de votre environnement.

Le paramètre Interdire l'ouverture de session par les services Terminal Server est configuré sur Non défini pour l'environnement EC et sur Tout le monde pour l'environnement SSLF.

Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
Ce paramètre de stratégie permet aux utilisateurs de modifier le paramètre Approuvé pour la délégation sur un objet ordinateur dans Active Directory. Une utilisation abusive de ce privilège pourrait entraîner des usurpations d'identité sur le réseau.

C'est pour cette raison que le paramètre Permettre à l'ordinateur et aux comptes d'utilisateurs d'être approuvés pour la délégation est configuré sur Non défini pour l'environnement EC et surPersonne pour l'environnement SSLF.

Droits utilisateur F – T

Le tableau suivant résume les recommandations de paramètres d'attribution des droits utilisateur pour les droits utilisateur commençant par les lettres F à T. Les sous-sections ci-après fournissent des informations plus détaillées sur chaque paramètre.

Tableau A15. Recommandations relatives aux paramètres d'attribution des droits utilisateur–Partie 2

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Forcer l'arrêt à partir d'un système distant
Ce paramètre de stratégie permet aux utilisateurs d'éteindre les ordinateurs Windows Vista à distance sur le réseau. Toute personne disposant de ce droit d'utilisateur est susceptible de provoquer un refus de service, ce qui empêcherait le traitement des requêtes utilisateur sur l'ordinateur. Microsoft vous recommande donc de n'attribuer ce droit d'utilisateur qu'aux administrateurs en qui vous avez toute confiance.

Le paramètre Forcer l'arrêt à partir d'un système distant est configuré sur le groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Générer des audits de sécurité
Ce paramètre de stratégie détermine les utilisateurs ou processus autorisés à générer des enregistrements d'audit dans le journal de sécurité. Un utilisateur malveillant pourrait se servir de cette capacité pour créer un nombre important d'événements ; l'administrateur système aurait alors davantage de difficultés à repérer des activités illicites. En outre, si le journal des événements est configuré pour écraser des événements, les preuves d'activités non autorisées risquent alors être écrasées.

C'est pourquoi le paramètre Générer des audits de sécurité est configuré sur les groupes Service local et Service réseau pour les deux environnements abordés dans ce guide.

Emprunter l'identité d'un client après l'authentification
Ce paramètre de stratégie permet aux programmes qui s'exécutent pour le compte d'un utilisateur de prétendre être cet utilisateur (ou un autre compte indiqué) pour pouvoir ainsi agir en son nom. Si ce droit d'utilisateur est requis pour faire échec à ce type d'emprunt d'identité, il sera alors impossible à un utilisateur non autorisé de convaincre un client de se connecter (par exemple, par un appel de procédure distante (RPC) ou des canaux nommés) à un service qu'il a créé pour prétendre être ce client et qui lui permettrait alors d'élever ses autorisations à des niveaux système ou administratifs.

Le groupe Service intégré est ajouté par défaut aux jetons d’accès des services démarrés par le Gestionnaire de contrôle des services. Le groupe Service est également ajouté aux jetons d’accès des serveurs COM démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique. De ce fait, ces processus reçoivent ce droit d'utilisateur à leur démarrage.

En outre, un utilisateur peut emprunter un jeton d'accès si l'une des conditions suivantes est remplie :

• Le jeton d'accès faisant l'objet d'un emprunt d'identité est destiné à cet utilisateur.

• L'utilisateur, au cours de cette ouverture de session, s'est connecté au réseau à l'aide des informations d'identification explicites pour créer le jeton d'accès.

• Le niveau demandé est inférieur à Emprunter l'identité, par exemple Anonyme ou Identifier.

Un utilisateur malveillant disposant du droit d'utilisateurEmprunter l'identité d'un client après l'authentification pourrait créer un service, tromper un client afin qu'il se connecte au service, puis usurper son identité pour élever son niveau d'accès à celui du client.

C'est pourquoi le paramètre Emprunter l'identité d'un client après l'authentification est configuré surNon défini pour l'environnement EC et surAdministrateurs,Service,Service localet Service réseau pour l'environnement SSLF.

Augmenter une plage de travail de processus
Ce privilège détermine les comptes d'utilisateurs qui peuvent augmenter ou diminuer la taille de la plage de travail de processus. La plage de travail de processus est le jeu de pages de mémoire actuellement visible par le processus dans la RAM physique. Ces pages sont résidentes et disponibles pour utilisation par une application sans déclencher de faute de page. Les tailles minimale et maximale de la plage de travail affectent la pagination de mémoire virtuelle pour un processus.

Ce droit est attribué par défaut à tous les utilisateurs. Cependant, l'augmentation de la taille de la plage de travail pour un processus a pour effet de diminuer la quantité de mémoire physique disponible pour le reste du système. Il se peut qu'un code malveillant augmente le jeu de travail du processus à un niveau qui pourrait gravement dégrader les performances du système, voire entraîner un déni de service. Certains environnements peuvent contribuer à atténuer les risques en limitant le nombre d'utilisateurs capables d'augmenter la plage de travail de processus.

C'est pourquoi le droit d'utilisateur Augmenter une plage de travail de processus est configuré sur Non défini pour l'environnement EC et surAdministrateurs pour l'environnement SSLF.

Augmenter la priorité de planification
Ce paramètre de stratégie permet aux utilisateurs de modifier la quantité de temps processeur utilisée par un processus. Un utilisateur malveillant pourrait se servir de cette fonction pour élever la priorité d'un processus à Temps réel et créer un déni de service sur un ordinateur.

C'est pour cette raison que le paramètre Augmenter la priorité de planification est configuré sur le groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Charger et décharger les pilotes de périphériques
Ce paramètre de stratégie permet aux utilisateurs de charger dynamiquement un nouveau pilote de périphérique sur un système. Un utilisateur malveillant pourrait utiliser cette capacité pour installer un code malveillant ayant l'apparence d'un pilote de périphérique. Les utilisateurs doivent disposer de ce droit pour ajouter des imprimantes locales ou des pilotes d'imprimantes dans Windows Vista.

Ce droit d'utilisateur pouvant être utilisé par un utilisateur malveillant, le paramètre Charger et décharger les pilotes de périphériques est configuré sur le groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Verrouiller les pages en mémoire
Ce paramètre de stratégie autorise un processus à stocker des données dans la mémoire physique pour empêcher le système de procéder à une pagination de ces données en mémoire virtuelle sur disque. L'attribution de ce droit d'utilisateur peut entraîner une dégradation considérable des performances du système.

C'est pour cette raison que le paramètre Verrouiller les pages en mémoire est configuré surPersonne pour les deux environnements abordés dans ce guide.

Ouvrir une session en tant que tâche
Ce paramètre de stratégie permet aux comptes d'ouvrir une session à l'aide du service Planificateur de tâches. Le planificateur de tâches étant souvent utilisé à des fins administratives, il peut être requis dans l'environnement EC. Son utilisation doit cependant être limitée dans l'environnement SSLF afin d'éviter une mauvaise utilisation des ressources du système ou d'empêcher des utilisateurs malveillants de se servir de ce droit pour lancer un code malveillant après avoir obtenu un accès de niveau utilisateur à un ordinateur.

Le droit d'utilisateur Ouvrir une session en tant que tâche est donc configuré sur Non défini pour l'environnement EC et surPersonne pour l'environnement SSLF.

Ouvrir une session en tant que service
Ce paramètre de stratégie permet aux comptes de lancer des services réseau ou d'enregistrer un processus comme service s'exécutant sur le système. Ce droit d'utilisateur doit être limité sur tous les ordinateurs d'un environnement SSLF. Dans un environnement EC, de nombreuses applications peuvent avoir besoin de ce privilège, mais nous vous recommandons de bien le tester avant de le configurer. Sur des ordinateurs Windows Vista, aucun utilisateur ou groupe ne dispose par défaut de ce privilège.

Le paramètre Ouvrir une session en tant que service est configuré sur Non définipour l'environnement EC et sur Personne pour l'environnement SSLF.

Gérer le journal d'audit et de sécurité
Ce paramètre de stratégie détermine les utilisateurs autorisés à modifier les options d'audit pour les fichiers et les répertoires et à effacer le contenu du journal de sécurité.

Cette capacité représentant une menace relativement faible, le paramètre Gérer le journal d'audit et de sécurité applique la valeur par défaut du groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Modifier les valeurs de l’environnement du microprogramme
Ce paramètre de stratégie permet aux utilisateurs de configurer les variables d'environnement système qui affectent la configuration matérielle. Ces informations sont généralement stockées dans la dernière configuration correcte. La modification de ces valeurs pourrait provoquer une défaillance matérielle qui aurait pour résultat un déni de service.

Cette capacité représentant une menace relativement faible, le paramètre Modifier les valeurs de l’environnement du microprogramme applique la valeur par défaut du groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Effectuer les tâches de maintenance de volume
Ce paramètre de stratégie permet de gérer le volume du système ou la configuration du disque, ce qui pourrait permettre à un utilisateur de supprimer un volume et risquerait de provoquer une perte de données et un déni de service.

Le paramètre Effectuer les tâches de maintenance de volume applique la valeur par défaut du groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Processus unique du profil
Ce paramètre de stratégie détermine les utilisateurs autorisés à utiliser des outils pour surveiller les performances des processus étrangers au système. Généralement, vous n'avez pas besoin de configurer ce droit d'utilisateur pour utiliser le composant enfichable MMC (Microsoft Management Console). Cependant, vous avez besoin de ce droit d'utilisateur si le contrôle système est configuré pour recueillir des données à l'aide de WMI (Windows Management Instrumentation). La limitation du droit d'utilisateur Profil d'un processus uniqueempêche les intrus d'obtenir des informations supplémentaires susceptibles d'être utilisées attaquer le système.

Le paramètre Processus unique du profil est configuré sur Non défini pour les ordinateurs fonctionnant dans l'environnement EC et sur le groupeAdministrateurs pour l'environnement SSLF.

Performance système du profil
Ce paramètre de stratégie permet aux utilisateurs d'utiliser des outils pour afficher les performances de différents processus système. Il pourrait permettre à des utilisateurs malveillants de déterminer les processus actifs du système et de découvrir la zone de l'ordinateur potentiellement exposée aux attaques .

Le paramètre Performance système du profilapplique la valeur par défaut du groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Retirer l'ordinateur de la station d'accueil
Ce paramètre de stratégie permet à l'utilisateur d'un ordinateur portable de cliquer sur Éjecter le PC dans le menu Démarrer pour retirer l'ordinateur de sa station d'accueil.

Le paramètre Retirer l'ordinateur de la station d'accueil est configuré sur les groupesAdministrateurs et Utilisateurspour les deux environnements abordés dans ce guide.

Remplacer un jeton de niveau processus
Ce paramètre de stratégie permet à un processus ou service de lancer un autre processus ou service à l'aide d'un jeton de sécurité différent. Ce jeton peut être utilisé pour modifier le jeton de ce sous-processus et entraîner une élévation des privilèges.

Le paramètre Remplacer un jeton de niveau processus est configuré sur les valeurs par défautService local et Service réseaupour les deux environnements abordés dans ce guide.

Restaurer les fichiers et les répertoires
Ce paramètre de stratégie détermine les utilisateurs autorisés à contourner les permissions de fichiers, de répertoires, de registre et d'autres objets persistants lors de la restauration de fichiers et de répertoires sauvegardés sur des ordinateurs exécutant Windows Vista dans votre environnement. Ce droit d'utilisateur détermine également les utilisateurs autorisés à définir des entités de sécurité en tant que propriétaires d'objets (comparable au droit d'utilisateur Sauvegarder des fichiers et des répertoires).

Le paramètre Restaurer des fichiers et des répertoires est configuré sur Non défini pour l'environnement EC et sur le groupeAdministrateurs pour l'environnement SSLF.

Arrêter le système
Ce paramètre de stratégie détermine quels sont les utilisateurs ayant ouvert une session locale sur les ordinateurs de votre environnement autorisés à éteindre le système à l'aide de la commande Arrêter. Une utilisation abusive de ce droit d'utilisateur peut entraîner un refus de service. Dans les environnements SSLF, Microsoft vous recommande de n'attribuer ce droit qu'aux groupes Administrateurs etUtilisateurs.

Le paramètre Arrêter le système est configuré sur les groupes Administrateurs etUtilisateurs pour les deux environnements abordés dans ce guide.

Prendre possession de fichiers ou d'autres objets
Ce paramètre de stratégie permet aux utilisateurs de s'approprier des fichiers, des clés de registre, des processus ou des threads. Ce droit d'utilisateur prime sur toutes les autorisations en place pour protéger des objets et octroyer la propriété à l'utilisateur spécifié.

Le paramètre Prendre possession de fichiers ou d'autres objets est configuré sur la valeur par défaut du groupeAdministrateurs pour les deux environnements abordés dans ce guide.

Options de sécurité

Les paramètres d'options de sécurité appliqués via la stratégie de groupe sur les ordinateurs exécutant Windows Vista dans votre environnement sont utilisés pour activer ou désactiver des capacités et des fonctionnalités telles que l'accès au lecteur de disquettes, l'accès au CD-ROM et les invites d'ouverture de session. Ces paramètres sont également utilisés pour la configuration d'autres paramètres (signature numérique de données, noms des comptes administrateur et invité et fonctionnement de l'installation des pilotes).

Vous pouvez configurer les paramètres des options de sécurité dans l’Éditeur d’objets de stratégie de groupe à l’emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Les paramètres inclus dans cette section n'existent pas dans tous les types de systèmes. Par conséquent, les paramètres constituant la partie Options de sécurité de la stratégie de groupe définie dans cette section peuvent nécessiter une modification manuelle sur les systèmes sur lesquels ils figurent afin de les rendre pleinement opérationnels. Vous pouvez également modifier un à un les modèles de stratégie de groupe afin d'y inclure les options de paramètres appropriées, de sorte que les paramètres recommandés fonctionnent pleinement.

Les sections suivantes contiennent des recommandations concernant les paramètres des options de sécurité et sont regroupées par type d'objet. Chaque section comprend un tableau récapitulatif des paramètres suivi d'informations détaillées. Le tableau formule des recommandations pour les ordinateurs clients de bureau et les ordinateurs clients portables dans les deux types d'environnements sécurisés qui sont abordés dans ce guide : l'environnement Client Entreprise (EC) et l'environnement Sécurité spécialisée – Fonctionnalité limitée (SSLF).

Cette section de l'annexe comprend des tableaux et recommandations pour les paramètres de type d'objet suivants du sous-répertoire Optionsde sécurité :

• Comptes

• Audit

• Périphériques

• Membre du domaine

• Ouverture de session interactive

• Client réseau Microsoft

• Paramètres MSS

• Serveur réseau Microsoft

• Accès réseau

• Sécurité réseau

• Console de récupération

• Arrêt

• Cryptographie système

• Objets système

• Contrôle de compte d'utilisateur

Comptes

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les comptes. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A16. Recommandations relatives aux paramètres d'options de sécurité – Comptes

Comptes : état de compte d'administrateur
Ce paramètre de stratégie permet d'activer ou de désactiver le compte administrateur pendant l'opération normale. Quand un ordinateur est démarré en mode sans échec, le compte administrateur est systématiquement activé, indépendamment de la configuration de ce paramètre.

Le paramètre Comptes : état de compte d'administrateur est configuré sur Non défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Comptes : état de compte d'invité
Ce paramètre de stratégie détermine si le compte invité est activé ou désactivé. Le compte invité permet à des utilisateurs du réseau non authentifiés d'accéder au système.

Le paramètre Comptes : État de compte d'invité est configuré sur Désactivépour les deux environnements abordés dans ce guide.

Comptes : restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console
Ce paramètre de stratégie détermine si les comptes locaux qui ne sont pas protégés par un mot de passe peuvent être utilisés pour des ouvertures de sessions à partir d'emplacements autres que la console physique. Si vous activez ce paramètre de stratégie, les comptes utilisant des mots de passe vierges ne peuvent pas ouvrir de sessions sur le réseau à partir d'ordinateurs clients à distance. Pour ces comptes, l'ouverture de session ne peut se faire qu'à partir du clavier de l'ordinateur.

Le paramètre Comptes : restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console est configuré sur Activé pour les deux environnements abordés dans ce guide.

Comptes : renommer le compte administrateur
Le compte administrateur local intégré est un nom de compte bien connu que les utilisateurs malveillants attaquent souvent. Microsoft vous recommande de choisir un autre nom pour ce compte et d'éviter les appellations pouvant laisser penser qu'il s'agit de comptes administratifs ou à accès de niveau élevé. Veillez à modifier également la description par défaut de l'administrateur local à l'aide de la console Gestion de l'ordinateur.

La recommandation d'utilisation du paramètre Comptes : renommer le compte administrateur s'applique aux deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité et ce guide ne contient aucune suggestion de nouveau nom d'utilisateur pour le compte. Le guide ne contient d'ailleurs aucun exemple de noms d'utilisateur pour s'assurer que les entreprises qui mettront en place cette instruction n'utiliseront pas toutes le même nom d'utilisateur dans leur environnement.

Comptes : renommer le compte Invité
Le compte invité local intégré est bien connu des utilisateurs malveillants. Microsoft vous recommande là aussi de renommer ce compte en utilisant une dénomination qui ne permette pas de deviner son objet. Même si vous désactivez ce compte (ce qui est recommandé), veillez à le renommer pour plus de sécurité.

La recommandation d'utiliser le paramètre Comptes : renommer le compte Invité s'applique aux deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'est pas configuré dans les modèles de sécurité et aucun nouveau nom d'utilisateur pour le compte n'est suggéré dans ce guide. Le guide ne contient d'ailleurs aucun exemple de noms d'utilisateur pour s'assurer que les entreprises qui mettront en place cette instruction n'utiliseront pas toutes le même nom d'utilisateur dans leur environnement.

Audit

Le tableau suivant résume les paramètres d'audit recommandés. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A17. Recommandations relatives aux paramètres d'options de sécurité – Audit

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Audit : auditer l'accès des objets système globaux
Ce paramètre de stratégie crée une liste de contrôle d'accès système (SACL, system access control list) pour les objets système tels que les mutex (mutuellement exclusif), les événements, les sémaphores et les périphériques MS-DOS® . L'accès à ces objets système est audité.

Si le paramètre Audit : auditer l'accès des objets système globaux est activé, le journal des événements de sécurité risque d'être rapidement rempli par un très grand nombre d'événements de sécurité. C'est pourquoi, ce paramètre de stratégie est configuré sur Non défini pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration
Ce paramètre de stratégie détermine si le système va auditer l'utilisation de tous les privilèges utilisateur, y compris la sauvegarde et la restauration, lorsque le paramètreAuditer l'utilisation des privilèges est activé. Si vous activez les deux stratégies, un événement d'audit sera généré pour chaque fichier sauvegardé ou restauré.

Si le paramètre Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration est activé, le journal des événements de sécurité risque d'être rapidement rempli par un très grand nombre d'événements de sécurité. C'est pourquoi, ce paramètre de stratégie est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Audit : force les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d'audit
Ce paramètre de stratégie permet aux administrateurs d'activer les fonctionnalités d'audit les plus précises de Windows Vista.

Les paramètres de stratégie d'audit disponibles dans Active Directory Windows Server 2003 ne contiennent pas encore de paramètres pour la gestion des nouvelles sous-catégories d'audit. Pour appliquer correctement les stratégies d'audit recommandées dans ce guide, le paramètre Audit : force les paramètres de sous-catégorie de stratégie d'audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d'audit est configuré surActivé pour les deux types d'environnements abordés dans ce guide.

Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Ce paramètre de stratégie permet de déterminer si le système doit être arrêté lorsque la consignation des événements de sécurité est impossible. Ce paramètre est une condition requise pour les critères TCSEC (Trusted Computer System Evaluation Criteria)-C2 et la certification Common Criteria qui permet d'éviter les événements auditables si le système d'audit ne peut les consigner. Microsoft a choisi de répondre à cette condition en arrêtant le système et en affichant un message d'arrêt en cas d'échec du système d'audit. Si ce paramètre de stratégie est activé, le système est arrêté lorsque la consignation des événements de sécurité est impossible.

Si le paramètre Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité est activé, des défaillances imprévues peuvent survenir. C'est pourquoi, ce paramètre de stratégie est configuré sur Non défini pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Périphériques

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les périphériques. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A18. Recommandations relatives aux paramètres d'options de sécurité – Périphériques

Périphériques : autoriser le retrait sans ouverture de session préalable
Ce paramètre de stratégie détermine s'il est possible de retirer un ordinateur portable sans que l'utilisateur soit connecté au système. Si ce paramètre est activé, il est inutile d'ouvrir une session.?Le retrait de l'ordinateur peut se faire en appuyant sur un bouton d'éjection de matériel externe. Si vous désactivez ce paramètre de stratégie, l'utilisateur doit ouvrir une session et disposer du droit d'utilisateur Retirer l'ordinateur de la station d'accueil pour effectuer cette action.

Le paramètre Périphériques  :autoriser le retrait sans ouverture de session préalable est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Périphériques : permettre le formatage et l'éjection des supports amovibles
Ce paramètre de stratégie détermine les personnes autorisées à formater et à éjecter des supports amovibles. Vous pouvez utiliser ce paramètre de stratégie pour empêcher des utilisateurs non autorisés de transférer des données sur un ordinateur sur lequel ils bénéficient de privilèges d'administrateur local.

Le paramètre Périphérique : permettre le formatage et l'éjection des supports amovibles est restreint aux groupesAdministrateurs et Utilisateurs interactifs pour l'environnement EC, et au groupeAdministrateurs seulement pour l'environnement SSLF, pour une meilleure sécurité.

Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante
Un utilisateur malveillant peut déguiser un cheval de Troie en pilote d'imprimante. Les utilisateurs pensent qu'ils doivent l'utiliser pour effectuer des impressions, mais le programme risque de disséminer du code nuisible sur votre réseau d'ordinateurs. Pour réduire l'éventualité d'un événement de ce type, seuls les administrateurs doivent être autorisés à installer des pilotes d'imprimante. Les ordinateurs portables étant, par définition, des périphériques mobiles, leurs utilisateurs peuvent occasionnellement avoir à installer un pilote d'imprimante à partir d'une source distante afin de poursuivre leur travail. Ce paramètre doit donc être désactivé pour les utilisateurs d'ordinateur portable, mais toujours activé pour les utilisateurs d'ordinateur de bureau.

Le paramètre Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante est configuré sur Activé pour les ordinateurs de bureau et sur Désactivé pour les utilisateurs d'ordinateurs portables dans les deux environnements abordés dans ce guide.

Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement
Ce paramètre de stratégie détermine si le lecteur CD-ROM est accessible aux utilisateurs locaux et aux utilisateurs à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de CD–ROM. Si ce paramètre est activé et si personne n'est connecté, le lecteur de CD–ROM est accessible par le biais du réseau. Si vous activez ce paramètre de stratégie, l'Utilitaire de sauvegarde de Windows échouera si des clichés instantanés de volumes ont été spécifiés pour le travail de sauvegarde. Tout produit tiers qui utilise des clichés instantanés de volumes échouera également.

Le paramètre Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement
Ce paramètre de stratégie détermine si le lecteur de disquettes est accessible aux utilisateurs locaux et aux utilisateurs à distance simultanément. L'activation de ce paramètre permet uniquement aux utilisateurs connectés de façon interactive d'accéder aux supports du lecteur de disquettes. Si ce paramètre est activé et si personne n'est connecté, le lecteur de disquettes est accessible par le biais du réseau. Si vous activez ce paramètre de stratégie, l'Utilitaire de sauvegarde de Windows échouera si des clichés instantanés de volumes ont été spécifiés pour le travail de sauvegarde. Tout produit tiers qui utilise des clichés instantanés de volumes échouera également.

Le paramètre Périphériques :  ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Membre du domaine

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les membres de domaine. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A19. Recommandations relatives aux paramètres d'options de sécurité - Membre du domaine

Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours)
Ce paramètre de stratégie détermine si les données en sortie des canaux sécurisés initiées par le membre de domaine doivent être signées ou cryptées. Si un système est défini pour le chiffrement ou la signature des données de canaux sécurisés, il ne peut pas mettre en place de canaux sécurisés avec un contrôleur de domaine incapable de signer ou de crypter l'ensemble du trafic des canaux sécurisés car toutes les données correspondantes sont cryptées et signées.

Le paramètre Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours) est configuré sur Activépour les deux environnements abordés dans ce guide.

Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier le chiffrement du trafic de tous les canaux sécurisés qu'il initie. Lorsque ce paramètre est activé, le membre du domaine demande le chiffrement du trafic de tous les canaux sécurisés. Si ce paramètre est désactivé, le membre du domaine ne peut pas négocier le chiffrement des canaux sécurisés.

Le paramètre Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) est configuré sur Activépour les deux environnements abordés dans ce guide.

Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier la signature numérique du trafic de tous les canaux sécurisés qu'il initie. Les signatures numériques empêchent que le trafic ne soit modifié par des personnes interceptant les données au moment où elles traversent le réseau.

Le paramètre Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur
Ce paramètre de stratégie détermine si un membre du domaine peut changer périodiquement le mot de passe de son compte ordinateur. Si ce paramètre est activé, le membre du domaine ne peut pas changer le mot de passe de son compte ordinateur. Si vous désactivez ce paramètre, le membre du domaine peut modifier le mot de passe de son compte ordinateur comme spécifié dans le paramètre Membre de domaine : âge maximal du mot de passe du compte ordinateur dont la valeur par défaut est 30 jours. Les ordinateurs qui ne peuvent pas modifier automatiquement leurs mots de passe de compte sont potentiellement vulnérables ; un utilisateur malveillant pourrait en effet trouver le mot de passe du compte de domaine du système.

C'est pourquoi, le paramètre Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur est configuré sur Désactivépour les deux environnements abordés dans ce guide.

Membre de domaine : âge maximal du mot de passe du compte ordinateur
Ce paramètre de stratégie détermine la durée de vie maximale d'un mot de passe de compte d'ordinateur. Par défaut, les membres du domaine changent automatiquement leur mot de passe de domaine tous les 30 jours. Augmenter cet intervalle ou le définir à 0 pour qu'il n'y ait plus de changements de mots de passe, accroit le risque d'attaque de l'un des comptes ordinateur.

Le paramètre Membre de domaine : âge maximal du mot de passe du compte ordinateur est donc configuré sur30 jours pour les deux environnements abordés dans ce guide.

Membre de domaine : exiger une clé de session forte (Windows 2000 ou ultérieure)
Quand ce paramètre de stratégie est activé, le canal sécurisé ne peut être établi qu'avec des contrôleurs de domaine à même de crypter les données des canaux sécurisés à l'aide d'une clé de session forte (128 bits).

Pour activer ce paramètre de stratégie, tous les contrôleurs du domaine doivent être à même de crypter les données des canaux sécurisés à l'aide d'une clé forte, ce qui signifie qu'ils doivent exécuter Microsoft Windows 2000 ou une version ultérieure. Microsoft vous recommande de désactiver ce paramètre si des communications avec des domaines autres que Windows 2000 sont requises.

Le paramètre Membre de domaine: exiger une clé de session forte (Windows 2000 ou ultérieure) est configuré sur Activépour les deux environnements abordés dans ce guide.

Ouverture de session interactive

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'ouverture de session interactive. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A20. Recommandations relatives aux paramètres d'options de sécurité – Ouverture de session interactive

Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur
Ce paramètre de stratégie détermine si le nom de compte du dernier utilisateur ayant ouvert une session sur les ordinateurs clients de votre entreprise s'affichera sur l'écran d'ouverture de session Windows de chaque ordinateur. L'activation de ce paramètre empêche les intrus d'obtenir les noms de compte à partir des écrans des ordinateurs de bureau ou des ordinateurs portables de votre entreprise.

Le paramètre Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur est configuré surActivé pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
La combinaison de touches Ctrl+Alt+Suppr établit un chemin approuvé pour le système d'exploitation à chaque fois qu'un utilisateur entre un nom d'utilisateur et un mot de passe. Si vous activez ce paramètre de stratégie, les utilisateurs ne sont pas tenus d'utiliser cette combinaison de touches pour ouvrir une session sur le réseau. Cette configuration crée cependant un risque en matière de sécurité, car elle permet aux utilisateurs d'ouvrir des sessions en utilisant des informations d'authentification d'ouverture de session plus faibles.

Le paramètre Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier un message diffusé aux utilisateurs lorsqu'ils tentent de se connecter. Ce message est souvent utilisé à des fins légales, par exemple, pour prévenir les utilisateurs des conséquences que pourraient présenter pour eux une utilisation abusive des informations de la société ou pour les avertir que leurs actions risquent d'être auditées.

Remarque   Tout avertissement affiché doit avoir fait l'objet d'une approbation préalable par les représentants légaux et les représentants des ressources humaines de votre entreprise. Par ailleurs, les paramètresOuverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter etOuverture de session interactive : titre du message pour les utilisateurs essayant de se connecter doivent tous les deux être activés pour fonctionner correctement.

Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
Ce paramètre de stratégie permet de spécifier du texte dans la barre de titre de la fenêtre que les utilisateurs voient lorsqu'ils ouvrent une session sur le système. Les raisons pour lesquelles ce paramètre est utilisé sont les mêmes que pour le paramètre précédent. Les entreprises n'utilisant pas ce paramètre sont plus vulnérables, d'un point de vue juridique, face aux intrus qui attaquent le système.

Remarque   Tout avertissement affiché doit avoir fait l'objet d'une approbation préalable par les représentants légaux et les représentants des ressources humaines de votre entreprise. Par ailleurs, les paramètresOuverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter etOuverture de session interactive : titre du message pour les utilisateurs essayant de se connecter doivent tous deux être activés pour fonctionner correctement.

Ouverture de session interactive : nombre de demandes d’ouverture de session à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible)
Ce paramètre de stratégie permet de déterminer le nombre d'ouvertures de session sur un domaine Windows qu'un utilisateur est autorisé à effectuer à l'aide des informations de compte mises en cache. Les informations de connexion des comptes de domaine peuvent être mises en cache localement afin de permettre aux utilisateurs d'ouvrir une session même s'il n'est pas possible de contacter un contrôleur de domaine. Ce paramètre détermine le nombre d'utilisateurs uniques pour lesquels les informations de connexion sont placées dans le cache local. La valeur par défaut de ce paramètre de stratégie est de 10. Si cette valeur est configurée sur 0, la fonctionnalité de mise en cache des informations d'ouverture de session est désactivée. Un utilisateur malveillant ayant accès au système de fichiers du serveur peut localiser ces informations cachées et avoir recours à une attaque en force pour déterminer les mots de passe des utilisateurs.

Le paramètre Ouverture de session interactive : nombre de demandes d’ouverture de session à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible) est configuré sur 2 pour les ordinateurs de bureau et les ordinateurs portables dans l'environnement EC et pour les ordinateurs portables dans l'environnement SSLF. Ce paramètre de stratégie est configuré sur 0 pour les ordinateurs de bureau dans l'environnement SSLF car ces ordinateurs doivent toujours être connectés de façon sécurisée au réseau de l'entreprise.

Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
Ce paramètre de stratégie permet de déterminer combien de jours à l'avance les utilisateurs sont avertis de l'expiration de leur mot de passe. Microsoft vous recommande de configurer ce paramètre de stratégie sur 14 jours afin de prévenir les utilisateurs suffisamment tôt de l'expiration de leur mot de passe.

Le paramètre Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire est configuré sur14 jours pour les deux environnements abordés dans ce guide.

Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail
Si ce paramètre est activé, un contrôleur de domaine est nécessaire pour authentifier le compte de domaine utilisé pour déverrouiller l'ordinateur. Lorsqu'il est désactivé, les informations d'authentification mises en cache permettent d'effectuer cette tâche. Microsoft vous recommande de désactiver ce paramètre pour les ordinateurs portables des deux environnements, car les utilisateurs mobiles ne disposent pas d'accès réseau aux contrôleurs de domaine.

Le paramètre Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail est configuré sur Activé pour les ordinateurs de bureau dans les environnements EC et SSLF. Ce paramètre est cependant configuré sur Désactivé pour les ordinateurs portables dans les deux environnements, afin de permettre aux utilisateurs de portables de travailler à distance.

Ouverture de session interactive : comportement lorsque la carte à puce est retirée
Ce paramètre de stratégie permet de déterminer l'action à effectuer lorsque la carte à puce d'un utilisateur connecté est retirée du lecteur de cartes. Si ce paramètre de stratégie est défini sur Verrouiller la station de travail, la station de travail est verrouillée lorsque la carte à puce est retirée. Cela permet aux utilisateurs de quitter le site en emportant leur carte à puce et de verrouiller automatiquement leur station de travail. Si vous configurez ce paramètre de stratégie sur Forcer la fermeture de session, les utilisateurs sont déconnectés automatiquement quand la carte à puce est retirée.

Le paramètre Ouverture de session interactive : comportement lorsque la carte à puce est retirée est configuré sur Verrouiller la station de travailpour les deux environnements abordés dans ce guide.

Client réseau Microsoft

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour les ordinateurs clients réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A21. Recommandations relatives aux paramètres d'options de sécurité - Client réseau Microsoft

Client réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de stratégie détermine si la signature des paquets est requise par le composant serveur SMB. Si vous activez ce paramètre de stratégie, l'ordinateur client réseau Microsoft ne peut communiquer avec un serveur réseau Microsoft que si celui-ci accepte de signer les paquets SMB. Dans des environnements mixtes dotés de clients hérités, définissez cette option surDésactivé car ces ordinateurs ne peuvent pas s'authentifier ou accéder aux contrôleurs de domaine. Toutefois, vous pouvez utiliser ce paramètre dans Windows 2000 ou dans des environnements ultérieurs.

Le paramètre Client réseau Microsoft : communications signées numériquement (toujours) est configuré surActivé pour les ordinateurs sur les deux environnements abordés dans ce guide.

Remarque   Quand ce paramètre de stratégie est activé pour des ordinateurs Windows Vista et que ces ordinateurs se connectent à des partages de fichiers ou d'impression sur des serveurs à distance, il doit être synchronisé avec le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours), sur ces serveurs. Pour plus d'informations sur ces paramètres, reportez-vous à la section « Client et serveur réseau Microsoft : Signer numériquement les communications (quatre paramètres associés) » du chapitre 5 du guide des menaces et contre-mesures .

Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le client SMB va tenter de négocier la signature des paquets SMB. La mise en œuvre de signatures numériques dans des réseaux Windows permet d'empêcher le piratage des sessions. Si vous activez ce paramètre de stratégie, le client réseau Microsoft n'utilisera la signature que si le serveur avec lequel il communique accepte les communications signées numériquement.

Le paramètre Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   L'activation de ce paramètre de stratégie sur des clients SMB de votre réseau garantit leur efficacité pour la signature des paquets avec tous les clients et serveurs de votre environnement.

Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie
Désactivez ce paramètre de stratégie pour empêcher le redirecteur SMB d'envoyer des mots de passe texte brut lors de l'authentification sur des serveurs tiers qui ne prennent pas en charge le chiffrement des mots de passe. Microsoft vous recommande de désactiver ce paramètre de stratégie sauf si l'activation est vraiment nécessaire. Si ce paramètre de stratégie est activé, les mots de passe non chiffrés seront autorisés sur le réseau.

Le paramètre Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Serveur réseau Microsoft

Le tableau suivant résume les paramètres recommandés pour les options de sécurité du serveur réseau Microsoft. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A22. Recommandations relatives aux paramètres d'options de sécurité - Serveur réseau Microsoft

Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session
Ce paramètre de stratégie vous permet d'indiquer la durée d'inactivité continue qui doit s'écouler dans une session SMB avant qu'elle ne soit suspendue. Les administrateurs peuvent utiliser ce paramètre pour contrôler à quel moment un ordinateur suspend une session SMB inactive. Si l'activité du client reprend, la session est automatiquement rétablie.

Le paramètre Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session est configuré sur Activé avec une durée de15 minutes dans les deux environnements abordés dans ce guide.

Serveur réseau Microsoft : communications signées numériquement (toujours)
Ce paramètre de stratégie détermine si le service SMB côté serveur est requis pour la signature de paquets SMB. Activez ce paramètre de stratégie dans un environnement mixte pour empêcher les clients en aval d'utiliser la station de travail comme serveur réseau.

Le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours) est configuré surActivé pour les deux environnements abordés dans ce guide.

Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
Ce paramètre de stratégie détermine si le service SMB côté serveur peut signer les paquets SMB lorsqu'un client tentant d'établir une connexion le lui demande. Si le client n'envoie pas de requête de signature, la connexion sans signature est permise si le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours) n'est pas activé.

Le paramètre Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   L'activation de ce paramètre de stratégie sur des clients SMB de votre réseau garantit leur efficacité pour la signature des paquets avec tous les clients et serveurs de votre environnement.

Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session
Ce paramètre de stratégie détermine s'il est nécessaire de déconnecter l'utilisateur de l'ordinateur local hors des heures d'ouverture de session valides figurant dans le compte d'utilisateur. Ce paramètre affecte le composant SMB. Si vous activez ce paramètre de stratégie, les sessions client établies avec le service SMB se déconnectent à l'expiration des horaires de connexion. Lorsque ce paramètre de stratégie est désactivé, la session en cours d'un client est conservée après l'expiration des horaires de connexion. Si vous activez ce paramètre de stratégie, vous devez également activer le paramètreSécurité réseau :  forcer la fermeture de session quand les horaires de connexion expirent.

Si votre entreprise configure des horaires d'ouverture de session pour les utilisateurs, il est recommandé d'activer ce paramètre de stratégie.

Le paramètre Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session est configuré sur Activé pour les deux environnements qui sont abordés dans ce guide.

Paramètres MSS

Les paramètres suivants incluent des entrées de valeur de registre qui ne s'affichent pas par défaut dans l'Éditeur de configuration de sécurité (SCE). Ces paramètres, précédés de « MSS: », ont été développés par le groupe MSSC (Microsoft Solutions for Security and Compliance) pour des conseils en matière de sécurité. Le script GPOAccelerator.wsf décrit au chapitre 1, « Implémentation de la ligne de base de sécurité » modifie l'Éditeur de configuration de sécurité pour un affichage correct des paramètres MSS.

Le tableau suivant résume les paramètres MSS recommandés pour chaque environnement décrit dans ce guide. Des informations supplémentaires sur chaque paramètre sont fournies à la suite de ce tableau.

Tableau A23. Recommandations relatives aux paramètres d'options de sécurité – Paramètres MSS

MSS: (AutoAdminLogon) Enable Automatic Logon
L'entrée de valeur de registre AutoAdminLogon a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\. L'entrée apparaît sous la forme de MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) dans l'Éditeur de configuration de sécurité.

Ce paramètre est indépendant de la fonctionnalité d'écran de Bienvenue dans Windows XP et Windows Vista. Si cette fonctionnalité est désactivée, ce paramètre ne l'est pas. Si vous configurez une ouverture de session automatique, n'importe quel utilisateur pouvant accéder physiquement à l'ordinateur peut également accéder à tout ce qui s'y trouve, y compris au(x) réseau(x) au(x)quel(s) l'ordinateur est connecté. De plus, si vous activez l'ouverture de session automatique, le mot de passe est stocké dans le registre sous forme de texte en clair. La clé de registre spécifique qui stocke cette valeur est lisible à distance par le groupe Utilisateurs authentifiés. C'est pourquoi le paramètre est configuré sur Not defined pour l'environnement EC et le paramètre par défautDisabled est appliqué explicitement dans l'environnement SSLF.

Pour plus d'informations, consultez l'article 315231 de la Base de connaissances « Comment faire pour activer l'ouverture de session automatique dans Windows XP ».

MSS: (DisableIPSourceRouting) IP source routing protection level
L'entrée de valeur de registreDisableIPSourceRouting a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) dans l'Éditeur de configuration de sécurité.

Le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre dans le réseau. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Highest Protection,source routing is completely disabled pour l'environnement SSLF.

MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways
L'entrée de valeur de registre EnableDeadGWDetecta été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) dans l'Éditeur de configuration de sécurité.

Lorsqu'une détection de passerelle inactive est autorisée, le protocole IP peut utiliser une passerelle de sauvegarde si plusieurs connexions rencontrent des difficultés. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
L'entrée de valeur de registre EnableICMPRedirecta été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routesdans l'Éditeur de configuration de sécurité.

La redirection par le protocole ICPM (Internet Control Message Protocol) entraîne l'ajout d'itinéraires d'hôte dans la pile. Ces itinéraires remplacent les itinéraires générés par le protocole OSPF (Open Shortest Path First). Ce paramètre est configuré sur Not defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (Hidden) Hide Computer From the Browse List
L'entrée de valeur de registre Hidden a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters\. L'entrée apparaît sous la forme MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) dans l'Éditeur de configuration de sécurité.

Vous pouvez configurer un ordinateur de façon à ce qu'il n'envoie pas d'annonces aux navigateurs du domaine. Dans ce cas, vous masquez l'ordinateur dans la liste Parcourir, ce qui signifie que l'ordinateur arrête de s'annoncer aux autres ordinateurs qui se trouvent sur le même réseau. Un utilisateur malveillant connaissant le nom d'un ordinateur aura moins de difficultés à rassembler des informations supplémentaires sur le système. Vous pouvez activer ce paramètre afin d'empêcher les utilisateurs malveillants de rassembler des informations concernant les ordinateurs du réseau de cette façon. En outre, lorsqu'il est activé, ce paramètre peut permettre de réduire le trafic réseau. Les avantages en matière de sécurité de ce paramètre sont cependant limités, les utilisateurs malveillants pouvant employer d'autres méthodes pour identifier et localiser des cibles potentielles. C'est pour cette raison que Microsoft vous recommande d'activer ce paramètre uniquement dans les environnements SSLF.

Ce paramètre est configuré sur Not Definedipour l'environnement EC et sur Enabled pour l'environnement SSLF.

Pour plus d'informations, consultez l'article 321710 de la Base de connaissances « COMMENT FAIRE : masquer un ordinateur Windows 2000 dans la liste Navigateur ».

MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds
L'entrée de registre KeepAliveTime a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) dans l'Éditeur de configuration de sécurité.

Cette valeur indique le nombre de tentatives visant à vérifier qu'une connexion active est toujours intacte en envoyant un paquet persistant. Si l'ordinateur distant est toujours joignable, il reconnaît le paquet persistant. Ce paramètre est configuré surNot Defined pour l'environnement EC et sur30000 ou 5 minutes pour l'environnement SSLF.

MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic
L'entrée de valeur de registre NoDefaultExempt a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\. L'entrée apparaît sous la forme MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic dans l'Éditeur de configuration de sécurité.

Les exemptions par défaut des filtres de stratégies IPSec sont fournies dans l'aide en ligne spécifique du système d'exploitation utilisé. Ces filtres permettent un bon fonctionnement de l'authentification IKE (Internet Key Exchange) et du protocole Kerberos. Les filtres permettent également le signalement de la qualité de service du réseau (QoS, Quality of Service) quand le trafic de données est sécurisé par IPSec et et quand il ne l'est pas (multidiffusion et diffusion, par exemple).

IPSec est de plus en plus utilisé pour le filtrage basique des paquets hôte/pare-feu, et tout particulièrement dans les scénarios exposés à Internet. L'effet de ces exemptions par défaut n'est pas bien connu. Certains administrateurs IPSec créent donc des stratégies IPSec qu'ils pensent sécurisées mais qui en réalité ne le sont pas contre les attaques entrantes utilisant les exemptions par défaut. Microsoft vous recommande d'appliquer le paramètre par défaut dans Windows XP avec SP 2,Multicast,broadcast ,and ISAKMP are exempt, pour les deux environnements abordés dans ce guide.

Pour obtenir plus d'informations, consultez l'article 811832 de la Base de connaissances « Exemptions par défaut IPSec vous permettent de contourner la protection IPSec dans certains scénarios ».

MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives
L'entrée de registre NoDriveTypeAutoRun a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\. L'entrée apparaît sous la formeMSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) dans l'Éditeur de configuration de sécurité.

Le programme d'exécution automatique commence la lecture à partir d'un lecteur de votre ordinateur dès que le support est inséré. Par conséquent, le fichier de configuration des programmes et le son sur le support audio démarrent immédiatement. Ce paramètre est configuré sur255,Disable Autorun for all drives pour les deux environnements abordés dans ce guide.

MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
L'entrée de valeur de registreNoNameReleaseOnDemand a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\
Parameters\. L'entrée apparaît sous la formeMSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversdans l'Éditeur de configuration de sécurité.

NetBIOS sur TCP/IP est un protocole réseau qui fournit entre autre un moyen de résolution simple des noms NetBIOS enregistrés sur les systèmes Windows en adresses IP configurées sur ces systèmes. Ce paramètre détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une requête de libération de nom. Il est configuré sur Not Defined pour l'environnement EC et sur Enabled pour l'environnement SSLF.

MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
L'entrée de valeur de registreNtfsDisable8dot3NameCreation a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\. L'entrée apparaît sous la forme MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) dans l'Éditeur de configuration de sécurité.

Windows Server 2003 prend en charge les formats de nom de fichier 8.3 pour une compatibilité descendante avec les applications 16 bits. La convention de nom de fichier 8.3 est un format de nom qui accepte les noms de fichier contenant jusqu'à huit caractères. Ce paramètre est configuré sur Not Defined pour l'environnement EC et surEnabled pour l'environnement SSLF.

MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
L'entrée de valeur de registrePerformRouterDiscovery a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) dans l'Éditeur de configuration de sécurité.

Ce paramètre permet d'activer ou de désactiver le protocole IRDP (Internet Router Discovery Protocol) qui permet au système de détecter et configurer automatiquement les adresses de passerelle par défaut, comme décrit dans RFC 1256, interface par interface. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Disabled pour l'environnement SSLF.

MSS: (SafeDllSearchMode) Enable Safe DLL Search Order
L'entrée de valeur de registre SafeDllSearchModea été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\. L'entrée apparaît sous la forme MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) dans l'Éditeur de configuration de sécurité.

Vous pouvez configurer la commande de recherche DLL pour rechercher les DLL demandées en exécutant les processus de l’une des deux manières suivantes :

• Commencez par effectuer des recherches dans les dossiers spécifiés dans le chemin d'accès au système, puis dans le dossier de travail actif.

• Commencez par effectuer des recherches dans le dossier de travail actif, puis dans les dossiers spécifiés dans le chemin d'accès au système.

Lorsque ce paramètre est activé, la valeur de registre est configurée sur 1 et le système recherche d'abord dans les fichiers spécifiés dans le chemin système, puis dans le dossier de travail actuel. Lorsque ce paramètre est désactivé, la valeur du registre est définie sur 0 et le système recherche d’abord dans le dossier de travail actuel puis dans les dossiers spécifiés dans le chemin système. Ce paramètre est configuré sur Enabled pour les deux environnements abordés dans ce guide.

MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
L'entrée de valeur de registreScreenSaverGracePeriod a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\. L'entrée apparaît sous la forme MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) dans l'Éditeur de configuration de sécurité.

Windows intègre une période de grâce entre le moment où l'écran de veille est lancé et le moment où la console est verrouillée automatiquement lorsque le verrouillage de l'écran de veille est activé. Ce paramètre est configuré sur0 seconde pour les deux environnements abordés dans ce guide.

MSS: (SynAttackProtect) Syn attack protection level
L'entrée de valeur de registre SynAttackProtect a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) dans l'Éditeur de configuration de sécurité.

Ce paramètre force le protocole TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous configurez cette valeur, le délai de réponse de connexion est dépassé plus rapidement en cas d'attaque par demande de connexion (SYN). Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur Connections time out sooner if a SYN attack is detected pour l'environnement SSLF.

MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
L'entrée de valeur de registreTCPMaxConnectResponseRetransmissions a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Tcpip\Parameters\. L'entrée apparaît sous la forme MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged dans l'Éditeur de configuration de sécurité.

Ce paramètre définit le nombre de fois que le TCP retransmet un SYN avant d'abandonner la tentative. Le délai de retransmission est doublé à chaque nouvelle retransmission successive lors d'une tentative de connexion spécifique. La valeur de délai initiale est de trois secondes. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur à 3 & 6 seconds,half-open connections dropped after 21 seconds pour l'environnement SSLF.

MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted
L'entrée de valeur de registreTCPMaxDataRetransmissions a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip
\Parameters\. L'entrée apparaît sous la formeMSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,5 is default) dans l'Éditeur de configuration de sécurité.

Ce paramètre indique le nombre de tentatives de retransmission par TCP d'un segment de données individuel (segment non connecté) avant de terminer la connexion. Le délai de retransmission est doublé à chaque nouvelle retransmission successive lors d'une connexion. Il est réinitialisé lors de la reprise des réponses. La valeur de délai de base est déterminée de façon dynamique par la durée des boucles sur la connexion. Ce paramètre est configuré sur Not Defined pour l'environnement EC et sur 3 pour l'environnement SSLF.

MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
L'entrée de valeur de registre WarningLevel a été ajoutée au fichier modèle dans la clé de registreHKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\. L'entrée apparaît sous la forme MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning dans l'Éditeur de configuration de sécurité.

Ce paramètre peut générer un audit de sécurité dans le journal d'événements de sécurité lorsque celui-ci a atteint le seuil défini par l'utilisateur. Ce paramètre est configuré surNot Defined pour l'environnement EC et sur90 pour l'environnement SSLF.

Remarque   Si les paramètres du journal sont configurés sur Overwrite events as needed ou sur Overwrite events older thanxdays cet événement n'est pas généré.

Accès réseau

Le tableau suivant résume les paramètres d'options de sécurité recommandés pour l'accès réseau. Des informations supplémentaires sont fournies dans les sous-sections qui suivent.

Tableau A24. Recommandations relatives aux paramètres d'options de sécurité - Accès réseau

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès réseau : permet la traduction de noms/SID anonymes
Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander les attributs d'identificateur de sécurité (SID) d'un autre utilisateur ou utiliser un SID pour obtenir le nom d'utilisateur associé. Vous devez le désactiver pour empêcher les utilisateurs non authentifiés d'obtenir les noms d'utilisateur associés à des SID particuliers.

Le paramètre Accès réseau : permet la traduction de noms/SID anonymes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM
Ce paramètre de stratégie détermine si les utilisateurs anonymes peuvent énumérer les comptes du Gestionnaire de comptes de sécurité (SAM). Si vous l'activez, les utilisateurs disposant de connexions anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine sur les postes de travail de votre environnement. Ce paramètre permet également d'appliquer d'autres restrictions aux connexions anonymes.

Le paramètre Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM
Ce paramètre de stratégie détermine si les utilisateurs anonymes peuvent énumérer les comptes SAM et les partages. Si vous l'activez, les utilisateurs anonymes ne pourront pas énumérer les noms d'utilisateur de compte de domaine et les noms de partage réseau sur les postes de travail de votre environnement.

Le paramètre Accès réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau
Ce paramètre de stratégie contrôle le stockage des informations d'authentification et des mots de passe sur le système local.

Le paramètre Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau est configuré surActivé pour les deux environnements abordés dans ce guide.

Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes
Ce paramètre de stratégie détermine les autres autorisations, qui sont attribuées aux connexions anonymes sur l'ordinateur. Si vous l'activez, les utilisateurs Windows anonymes ont le droit d'effectuer certaines tâches (énumération des noms de compte de domaine et des partages réseau, par exemple). Autrement dit, un utilisateur non autorisé peut lister de façon anonyme les noms de compte et les ressources partagées, puis les utiliser pour deviner des mots de passe ou obtenir des informations confidentielles en exploitant la confiance d'un utilisateur (« social engineering »).

Le paramètre Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Accès réseau : les canaux nommés qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les sessions de communication (ou canaux) dont les attributs et les autorisations permettent l'accès anonyme.

Pour l'environnement EC, le paramètre Accès réseau : les canaux nommés qui sont accessibles de manière anonyme est configuré sur Non défini. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs par défaut suivantes :

• Netlogon

• Isarpc

• Samr

• Explorateur d’ordinateur

Accès réseau : les chemins de Registre accessibles à distance
Ce paramètre de stratégie détermine quels chemins de Registre seront accessibles une fois la clé WinReg référencée pour connaître les autorisations d'accès attribuées aux chemins.

Pour l'environnement EC, le paramètre Accès réseau : les chemins de Registre accessibles à distance est configuré sur Non défini. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs par défaut suivantes :

• System\CurrentControlSet\Control\ProductOptions

• System\CurrentControlSet\Control\Server Applications

• Software\Microsoft\Windows NT\CurrentVersion

Accès réseau : chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de stratégie détermine quels chemins et sous-chemins de Registre seront accessibles lorsqu'une application ou un processus fait référence à la clé WinRegpour déterminer des autorisations d'accès.

Le paramètre Accès réseau : chemins et sous-chemins de Registre accessibles à distance est configuré surNon défini pour l'environnement EC. Dans l'environnement SSLF, le paramètre est configuré sur les valeurs suivantes :

• System\CurrentControlSet\Control\Print\Printers

• System\CurrentControlSet\Services\Eventlog

• Software\Microsoft\OLAP Server

• Software\Microsoft\Windows NT\CurrentVersion\Print

• Software\Microsoft\Windows NT\CurrentVersion\Windows

• System\CurrentControlSet\ContentIndex

• System\CurrentControlSet\Control\Terminal Server

• System\CurrentControlSet\Control\Terminal Server\User Config

• System\CurrentControlSet\Control\Terminal Server\Default User Config

• Software\Microsoft\Windows NT\CurrentVersion\perflib

• System\CurrentControlSet\Services\SysmonLog

Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages
Si vous activez ce paramètre de sécurité, le système restreint l'accès anonyme aux partages et aux canaux qui sont nommés dans les paramètres Accès réseau : les canaux nommés qui sont accessibles de manière anonyme et Accès réseau : les partages qui sont accessibles de manière anonyme. Il contrôle l'accès des sessions NULL aux partages de vos ordinateurs en ajoutant le paramètreRestrictNullSessAccess et la valeur1 à la clé de registre HKLM\System
\CurrentControlSet\Services\LanManServer\Parameters. Cette valeur de registre active ou désactive les partages de session NULL pour contrôler si le service du serveur limite l'accès des clients non authentifiés aux ressources nommées. Les sessions NULL constituent un point faible, qui peut être exploité par les partages (même les partages par défaut) configurés sur les ordinateurs de votre environnement.

Le paramètre Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages est configuré sur Non défini (environnement EC) ou surActivé (environnement SSLF).

Accès réseau : les partages qui sont accessibles de manière anonyme
Ce paramètre de stratégie détermine les partages réseau auxquels des utilisateurs anonymes peuvent accéder. La configuration par défaut du paramètre a peu d'impact dans la mesure où tous les utilisateurs doivent être authentifiés pour pouvoir accéder aux ressources partagées du serveur.

Le paramètre Accès réseau : les partages qui sont accessibles de manière anonyme est configuré surNon défini pour l'environnement EC. Vérifiez qu'il est configuré sur Aucun pour l'environnement SSLF.

Remarque   Il peut être risqué de rajouter des partages à ce paramètre de stratégie de groupe. En effet, vous risquez d'exposer ou de corrompre les données sensibles car n'importe quel utilisateur peut accéder à tous les partages de la liste.

Accès réseau : modèle de partage et de sécurité pour les comptes locaux
Ce paramètre de stratégie détermine comment les ouvertures de session réseau utilisant des comptes locaux sont authentifiées. L'option Classique permet de contrôler précisément l'accès aux ressources ; vous pouvez notamment attribuer différents types d'accès à différents utilisateurs pour une même ressource. Le paramètre Invité seul permet de traiter tous les utilisateurs de la même façon. Dans ce contexte, tous les utilisateurs s'authentifient comme Invité seul pour bénéficier du même niveau d'accès à une ressource donnée.

Par défaut, le paramètre Modèle de partage et de sécurité pour les comptes locaux est configuré sur la valeur Classique pour les deux environnements abordés dans ce guide.

Sécurité réseau

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Sécurité réseau. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A25. Configuration recommandée pour le paramètre de sécurité Sécurité réseau

Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe
Ce paramètre de stratégie détermine si la valeur de hachage LAN Manager du nouveau mot de passe est stockée lorsque le mot de passe est modifié. Le hachage LAN Manager est plutôt faible et sujet aux attaques par rapport au hachage de Microsoft Windows NT®, qui est plus fort d'un point de vue cryptographique.

C'est pour cette raison que le paramètre Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez ce paramètre, les anciens systèmes d'exploitation et certaines applications tierces risquent d'échouer. Vous devrez également modifier le mot de passe sur l'ensemble des comptes.

Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent
Ce paramètre de stratégie détermine si le système doit déconnecter les utilisateurs du réseau local en dehors des heures d'ouverture de session valides appliquées aux comptes d'utilisateur ; il affecte le composant SMB. Si vous l'activez, le système déconnecte les sessions client établies avec le serveur SMB dès que le délai de session du client expire. Si vous le désactivez, le système maintient les sessions client en cours même si le délai de session du client a expiré.

Le paramètre Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent est configuré sur Non défini pour les deux environnements abordés dans cette annexe.

Sécurité réseau : niveau d'authentification Lan Manager
Ce paramètre de stratégie indique le type d'authentification de stimulation/réponse lors des ouvertures de session réseau. L'authentification LAN Manager est la méthode la moins sécurisée, car les mots de passe chiffrés peuvent être piratés vu qu'ils sont facilement interceptés sur le réseau. L'authentification NT LAN Manager (NTLM) est un peu plus sécurisée. NTLMv2 est une version plus puissante de NTLM ; elle est disponible dans Windows Vista, Windows XP Professionnel, Windows Server 2003, Windows 2000 et Windows NT 4.0 Service Pack 4 (SP4) ou plus. NTLMv2 est également disponible pour Windows 95 et 98 avec le client Services d'annuaires en option.

Microsoft vous recommande de configurer ce paramètre de stratégie sur le niveau d'authentification maximum pour votre environnement. Dans les environnements qui exécutent uniquement Windows 2000 Server ou Windows Server 2003 et qui possèdent des postes de travail Windows Vista ou Windows XP Professionnel, configurez le paramètre sur la valeur Envoyer uniquement les réponses NTLMv2. Refuser LM et NTLM pour bénéficier d'un niveau de sécurité optimal.

Le paramètre Sécurité réseau : niveau d'authentification Lan Manager est configuré surEnvoyer uniquement les réponses NTLMv2. Refuser LM pour l'environnement EC. Il est configuré surEnvoyer uniquement les réponses NTLMv2. Refuser LM et NTLM pour l'environnement SSLF (option plus restrictive).

Sécurité réseau : conditions requises pour la signature de client LDAP
Ce paramètre de stratégie détermine le niveau de signature de données demandé pour le compte des clients, qui génèrent des requêtes LDAP BIND. Dans la mesure où le trafic réseau non signé est vulnérable aux attaques par un intermédiaire, les attaquants peuvent forcer un serveur LDAP à prendre des décisions en s'appuyant sur des requêtes fausses générées par le client LDAP.

Le paramètre Sécurité réseau : conditions requises pour la signature de client LDAP est configuré surNégociation des signatures pour les deux environnements abordés dans ce guide.

Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie détermine les niveaux de sécurité minimaux appliqués pour les communications entre les applications des clients. Il accepte les valeurs suivantes :

• Exiger la sécurité de session NTLMv2

• Exiger un niveau de chiffrement à 128 bits

Si tous les ordinateurs de votre réseau prennent en charge le protocole NTLMv2 et le chiffrement 128 bits (Windows Vista, Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), vous pouvez sélectionner les quatre options pour bénéficier d'un niveau de sécurité maximal.

Les valeurs Exiger la sécurité de session NTLMv2 et Exiger un niveau de chiffrement à 128 bits sont activées pour le paramètre Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce guide.

Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Ce paramètre de stratégie est similaire au paramètre précédent, mais il affecte également le côté serveur des communications avec les applications. Il accepte les mêmes valeurs :

• Exiger la sécurité de session NTLMv2

• Exiger un niveau de chiffrement à 128 bits

Si tous les ordinateurs de votre réseau prennent en charge le protocole NTLMv2 et le chiffrement 128 bits (Windows Vista, Windows XP Professionnel SP2 et Windows Server 2003 SP1, par exemple), vous pouvez sélectionner les quatre options pour bénéficier d'un niveau de sécurité maximal..

Les valeurs Exiger la sécurité de session NTLMv2 et Exiger un niveau de chiffrement à 128 bits sont activées pour le paramètre Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) dans les deux environnements abordés dans ce guide.

Console de récupération

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A26. Configuration recommandée pour le paramètre de sécurité Console de récupération

Console de récupération : autoriser l'ouverture de session d'administration automatique
La console de récupération est un environnement de ligne de commande, qui permet de réaliser des opérations de récupération en cas de problèmes système. Si vous activez ce paramètre de stratégie, le compte administrateur se connectera automatiquement à la console de récupération lorsqu'il sera appelé au démarrage. Microsoft vous recommande de le désactiver, car les administrateurs seraient obligés de taper leur mot de passe pour accéder à la console de récupération.

Le paramètre Console de récupération : autoriser l'ouverture de session d'administration automatique est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Ce paramètre de stratégie rend la commande SET de la console de récupération accessible. Elle permet de configurer les variables d'environnement suivantes :

• AllowWildCards. Elle permet d'utiliser les caractères génériques avec certaines commandes (notamment la commande Suppr).

• AllowAllPaths. Elle permet d'accéder à tous les fichiers et dossiers d'un ordinateur.

• AllowRemovableMedia. Elle permet de copier des fichiers sur un support amovible (notamment une disquette).

• NoCopyPrompt. Le système n'avertit pas l'utilisateur lorsqu'il s'apprête à écraser un fichier.

Le paramètre Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers est configuré sur Non définipour l'environnement EC. Pour bénéficier d'un niveau de sécurité maximal, il est configuré surDésactivé pour l'environnement SSLF.

Arrêt

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Arrêt. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A27. Configuration recommandée pour le paramètre de sécurité Arrêt

Arrêt : permet au système d'être arrêté sans avoir à se connecter
Ce paramètre de stratégie détermine si un utilisateur peut arrêter un ordinateur lorsqu'il n'est pas connecté. Si vous l'activez, la commande d'arrêt sera visible sur l'écran de connexion Windows. Microsoft vous recommande de le désactiver de sorte que seuls les utilisateurs possédant des informations d'authentification sur le système puissent arrêter l'ordinateur.

Le paramètre Arrêt : permet au système d'être arrêté sans avoir à se connecter est configuré surNon défini pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Arrêt : effacer le fichier d'échange de mémoire virtuelle
Ce paramètre de stratégie détermine si le fichier d'échange de mémoire virtuelle doit être effacé une fois le système arrêté. Si vous l'activez, il sera effacé chaque fois que le système sera arrêté. Le fichier de mise en veille prolongée (Hiberfil.sys) sera également réinitialisé si la mise en veille est désactivée sur un ordinateur portable. L'ordinateur mettra plus de temps à démarrer et à s'arrêter, surtout s'il possède des fichiers d'échange très volumineux.

Le paramètre Arrêt : effacer le fichier d'échange de mémoire virtuelle est configuré surActivé pour les ordinateurs portables de l'environnement SSLF et sur Désactivé pour les autres types d'ordinateurs dans les environnements abordés dans ce guide.

Cryptographie système

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Cryptographie système. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A28. Configuration recommandée pour le paramètre de sécurité Cryptographie système

Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Ce paramètre de stratégie détermine si le fournisseur de sécurité TLS/SSL (Transport Layer Security/Secure Sockets Layer) prend uniquement en charge la suite de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Même si ce paramètre permet d'améliorer le niveau de sécurité, la plupart des sites Web publics sécurisés via TLS ou SSL ne prennent pas en charge ces algorithmes. En outre, les ordinateurs clients sur lesquels ce paramètre de stratégie est activé ne pourront pas se connecter aux services Terminal Server résidant sur des serveurs qui ne sont pas configurés pour utiliser les algorithmes compatibles FIPS.

Le paramètre Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage,le hachageet la signature est configuré sur Non définipour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Remarque   Si vous activez ce paramètre de stratégie, les performances de l'ordinateur seront plus lentes car le processus 3DES est exécuté trois fois sur chaque bloc de données du fichier. Vous devez l'activer uniquement si votre entreprise doit se conformer aux normes FIPS.

Objets système

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Objets système. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A29. Configuration recommandée pour le paramètre de sécurité Objets système

Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Ce paramètre de stratégie détermine si tous les sous-systèmes doivent faire la distinction majuscules/minuscules. Le sous-système Microsoft Win32® ne distingue par les majuscules et les minuscules. En revanche, le noyau fait la distinction pour certains sous-systèmes comme l'interface POSIX (Portable Operating System Interface for UNIX). Si vous activez ce paramètre, un utilisateur du sous-système POSIX pourra créer un fichier portant le même nom qu'un autre fichier en mélangeant les majuscules et les minuscules car Windows ne fait pas la distinction majuscules/minuscules contrairement au sous-système POSIX. Vu qu'un seul des fichiers ne sera disponible, l'accès aux fichiers risque d'être bloqué par un autre utilisateur qui utilise des outils Win32 standard.

Pour garantir l'homogénéité des noms de fichier, le paramètre Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows est configuré surNon défini pour l'environnement EC et surActivé pour l'environnement SSLF.

Objets système : renforcer les autorisations par défaut des objets système internes
Ce paramètre de stratégie détermine la force de la liste de contrôle d'accès discrétionnaire (DACL) par défaut des objets. Il sécurise les objets pouvant être localisés et partagés par des processus. En outre, sa configuration par défaut renforce la liste DACL car les utilisateurs qui ne sont pas administrateurs peuvent lire les objets partagés mais ne peuvent pas modifier les objets qu'ils n'ont pas créés.

Le paramètre Objets système : renforcer les autorisations par défaut des objets système internes(comme les liaisons symboliques) est configuré surActivé (valeur par défaut) pour les deux environnements abordés dans ce guide.

Contrôle de compte d'utilisateur

Le contrôle de compte d'utilisateur réduit les points d'attaque du système d'exploitation en imposant le mode d'utilisateur standard à l'ensemble des utilisateurs même s'ils ont ouvert une session avec des informations d'identification d'administrateur. De cette manière, les utilisateurs ne peuvent pas apporter de modifications qui risqueraient de déstabiliser leur ordinateur ou d'exposer accidentellement le réseau à des virus par le biais de programmes malveillants non détectés qui pourraient infecter leur ordinateur.

Lorsqu'un utilisateur tente de réaliser une tâche d'administration, le système d'exploitation doit renforcer le niveau de sécurité pour qu'il puisse exécuter la tâche. Les paramètres de contrôle de compte d'utilisateur dans les objets de stratégie de groupe configurent la manière dont le système d'exploitation répond aux demandes d'élévation de privilèges de sécurité.

Le tableau suivant présente la configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A30. Configuration recommandée pour le paramètre de sécurité Contrôle de compte d'utilisateur

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Contrôle du compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré
Ce paramètre de stratégie permet de spécifier si le compte Administrateur intégré s'exécute en mode Approbation administrateur. Le comportement par défaut du paramètre varie, car Windows Vista configure le compte Administrateur intégré en fonction de critères d'installation spécifiques.

Par défaut, Windows Vista définit le paramètre surDésactivé pour les nouvelles installations et pour les mises à niveau où le compte Administrateur intégré n'est pas le seul administrateur actif local sur l'ordinateur. Le compte Administrateur intégré est désactivé par défaut pour les installations et mises à niveau sur les ordinateurs appartenant à un domaine.

Par défaut, Windows Vista configure le paramètre surActivé pour les mises à niveau lorsqu'il détermine que le compte Administrateur intégré est le seul administrateur local actif sur l'ordinateur. Si c'est le cas, Windows Vista active le compte Administrateur intégré une fois la mise à niveau réalisée.

Le paramètre Contrôle du compte d'utilisateur : mode Approbation administrateur pour le compte Administrateur intégré est configuré sur Activé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur
Ce paramètre détermine le comportement de Windows Vista lorsqu'un administrateur connecté tente de réaliser une tâche nécessitant l'élévation des privilèges. Il accepte les trois valeurs suivantes :

• Pas de demande. Le système élève automatiquement les privilèges sans avertir l'utilisateur.

• Demande de consentement. Le système demande le consentement de l'utilisateur avant d'élever les privilèges, mais n'a pas besoin d'informations d'identification.

• Demande d'informations d'identification. Le système invite un administrateur à taper ses informations d'identification d'administrateur avant d'élever les privilèges.

Le paramètre Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur est défini surDemande d'informations d'identification pour les deux environnements abordés dans ce guide.

Contrôle de compte d'utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
Ce paramètre détermine le comportement de Windows Vista lorsqu'un utilisateur connecté tente de réaliser une tâche nécessitant l'élévation des privilèges. Il accepte les deux valeurs suivantes :

• Refuser automatiquement les demandes d'élévation de privilèges. Le système n'affiche pas d'invite d'élévation et l'utilisateur ne peut pas réaliser de tâches d'administration sans utiliser la commandeExécuter en tant qu'administrateur ou en ouvrant une session en tant qu'administrateur.

• Demande d'informations d'identification. Le système invite un administrateur à taper ses informations d'identification d'administrateur avant d'élever les privilèges.

Le paramètre Contrôle de compte utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard est défini sur Refuser automatiquement les demandes d'élévation de privilèges pour les deux environnements abordés dans ce guide.

Ce paramètre empêche les utilisateurs standard d'élever leurs privilèges. En d'autres termes, un utilisateur standard ne peut pas fournir d'informations d'identification d'administrateur pour réaliser une tâche d'administration. Il ne pourra pas non plus sélectionner l'option Exécuter en tant qu'administrateur en cliquant avec le bouton droit de la souris sur un fichier programme. Si un utilisateur standard souhaite réaliser des tâches d'administration, il devra fermer sa session et en ouvrir une nouvelle en utilisant son compte d'administrateur. Même si le processus peut sembler contraignant, il permet de sécuriser davantage votre environnement.

Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation
Ce paramètre détermine le comportement de Windows Vista vis-à-vis des demandes d'installation d'applications. L'installation d'applications requiert une élévation de privilèges. Il accepte les deux valeurs suivantes :

• Activé. Lorsque Windows Vista détecte un programme d'installation, il demande à l'utilisateur son consentement ou ses informations d'identification (selon les paramètres d'invite d'élévation que vous avez configurés).

• Désactivé. Les installations d'applications échouent ; le système n'avertit pas l'utilisateur et ne lui donne aucun motif.

Le paramètre Contrôle compte d'utilisateur : détecter les installations d'applications et demander l'élévation est défini sur Activépour les deux environnements abordés dans ce guide.

Contrôle compte d'utilisateur : élever uniquement les exécutables signés et validés
Ce paramètre empêche l'exécution d'applications non signées ou non valides. Avant d'activer ce paramètre, les administrateurs doivent vérifier que toutes les applications requises sont signées et valides. Il accepte les deux valeurs suivantes :

• Activé. Les applications non signées ne peuvent pas être exécutées ; seuls les fichiers exécutables signés peuvent être exécutés.

• Désactivé. Les fichiers exécutables signés et non signés peuvent être exécutés.

Le paramètre Contrôle compte d'utilisateur : élever uniquement les exécutables signés et validés est défini sur Désactivé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés
Ce paramètre permet de protéger un ordinateur Windows Vista en autorisant l'exécution des applications installées dans un emplacement sécurisé sur le système de fichiers (dossier Program Files ou Windows\System32, par exemple) uniquement avec des privilèges élevés.

Le paramètre Contrôle de compte utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés est défini surActivé pour les deux environnements abordés dans ce guide.

§ Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur
Ce paramètre désactive le contrôle de compte d'utilisateur. Il accepte les deux valeurs suivantes :

• Activé. Les administrateurs et les utilisateurs standard reçoivent une invite lorsqu'ils tentent de réaliser des tâches d'administration. Le style de l'invite dépend de votre stratégie.

• Désactivé. Le système désactive le type d'utilisateur Mode d'approbation Administrateur, ainsi que l'ensemble des stratégies de contrôle de compte d'utilisateur associées. Par ailleurs, le Centre de sécurité signale à l'utilisateur que la sécurité générale du système d'exploitation a été réduite.

Le paramètre Contrôle compte d'utilisateur : exécuter les comptes d'administrateurs en mode d'approbation d'administrateur est défini sur Activépour les deux environnements abordés dans ce guide.

Contrôle compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation
Ce paramètre permet de protéger l'ordinateur et l'utilisateur contre l'utilisation malveillante de l'invite d'élévation. Puisque le Bureau sécurisé de Windows Vista peut uniquement exécuter les processus SYSTEM, les messages provenant de logiciels malveillants sont généralement éliminés. Ainsi, les invites de consentement et d'informations d'identification ne peuvent pas être utilisées à des fins frauduleuses sur le Bureau sécurisé. Par ailleurs, l'invite de consentement est protégée contre l'usurpation des données saisies. Il subsiste tout de même un risque avec l'invite d'informations d'identification, car son contenu peut être usurpé par un programme malveillant. Le paramètre accepte les deux valeurs suivantes :

• Activé. Le système affiche une invite d'élévation du contrôle de compte d'utilisateur sur le Bureau sécurisé.

• Désactivé. Le système affiche une invite d'élévation du contrôle de compte d'utilisateur sur le Bureau de l'utilisateur.

Le paramètre Contrôle compte d'utilisateur : passer au Bureau sécurisé lors d'une demande d'élévation est défini sur Activé pour les deux environnements abordés dans ce guide.

Contrôle de compte utilisateur : inscrire de manière virtuelle les échecs d’écriture des fichiers et du Registre par emplacement utilisateur
Les applications pour lesquelles une entrée de base de données de compatibilité d'applications ou un marquage de niveau d'exécution requis est manquant dans le manifeste de l'application ne prennent pas en charge le contrôle de compte d'utilisateur. Si les applications ne prenant pas en charge le contrôle de compte d'utilisateur tentent d'écrire dans des zones protégées (notamment les dossiers Program Files et %systemroot%), elles échoueront automatiquement et le système ne générera aucun avertissement si le processus d'écriture n'aboutit pas. Si vous activez ce paramètre, vous autorisez Windows Vista à inscrire de manière virtuelle les écritures des fichiers et du Registre dans les emplacements utilisateur ; l'application pourra alors s'exécuter.

Les applications prenant en charge le contrôle de compte d'utilisateur ne doivent pas écrire dans des zones protégées et entraîner des échecs d'écriture. Par conséquent, vous devez désactiver ce paramètre si votre environnement utilise uniquement des applications prenant en charge le contrôle de compte d'utilisateur.

Le paramètre accepte les deux valeurs suivantes :

• Activé. Si votre environnement utilise des logiciels ne prenant pas en charge le contrôle de compte d'utilisateur, vous devez configurer ce paramètre surActivé.

• Désactivé. Si votre environnement utilise des logiciels prenant en charge le contrôle de compte d'utilisateur, vous devez configurer ce paramètre surActivé.

Si vous n'êtes pas sûr que toutes les applications de votre environnement prennent en charge le contrôle de compte d'utilisateur, utilisez la valeur Activé.

C'est pourquoi le paramètre Contrôle de compte d'utilisateur : inscrire de manière virtuelle les échecs d’écriture des fichiers et du Registre par emplacement utilisateur est configuré sur Activépour les deux environnements abordés dans ce guide.

Paramètres de sécurité du journal des événements

Le journal des événements consigne les événements survenant sur le système tandis le journal de sécurité consigne les événements d'audit. Le conteneur des journaux d'événements de la stratégie de groupe permet de définir les attributs des journaux d'événements des applications, de sécurité et du système (notamment la taille maximale des journaux, les droits d'accès à chaque journal, les paramètres et les méthodes de conservation).

Vous pouvez configurer les paramètres des journaux d'événements à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Journal des événements

Cette section décrit en détails les paramètres recommandés pour les environnements abordés dans ce guide. Pour afficher un résumé des paramètres recommandés, consultez le fichier Paramètres du Guide de sécurité Vista.xls. Pour en savoir plus sur les valeurs par défaut et obtenir une explication détaillée de chacun des paramètres abordés dans cette section, consultez le guide Menaces et contre-mesures . Ce guide détaille également les risques de perte de données si vous attribuez une taille trop élevée aux journaux d'événements.

Le tableau suivant présente la configuration recommandée pour les paramètres de sécurité des journaux d'événements pour les clients de bureau et portables dans les deux types d'environnements abordés dans ce guide. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Tableau A31. Configuration recommandée pour les paramètres de sécurité des journaux d'événements

Taille maximale du journal d'applications
Ce paramètre de stratégie détermine la taille maximale du journal des événements des applications (4 Go maximum). Nous vous recommandons de ne pas utiliser cette valeur, car elle présente un risque de fragmentation de la mémoire qui entraîne un ralentissement des performances et une consignation des événements peu fiable. La taille du journal des applications dépend du rôle de la plate-forme et du nombre d'enregistrements d'événements liés aux applications dont vous avez besoin.

Le paramètre Taille maximale du journal d'applications est configuré sur32768 Ko pour tous les ordinateurs dans les deux environnements abordés dans ce guide.

Taille maximale du journal de sécurité
Ce paramètre de stratégie détermine la taille maximale du journal des événements de sécurité (4 Go maximum). Nous vous recommandons de ne pas utiliser cette valeur, car elle présente un risque de fragmentation de la mémoire qui entraîne un ralentissement des performances et une consignation des événements peu fiable. La taille du journal de sécurité dépend du rôle de la plate-forme et du nombre d'enregistrements d'événements liés aux applications dont vous avez besoin.

Le paramètre Taille maximale du journal de sécurité est configuré sur 81920 Kopour tous les ordinateurs dans les deux environnements abordés dans ce guide.

Taille maximale du journal système
Ce paramètre de stratégie détermine la taille maximale du journal des événements système (4 Go maximum). Nous vous recommandons de ne pas utiliser cette valeur, car elle présente un risque de fragmentation de la mémoire qui entraîne un ralentissement des performances et une consignation des événements peu fiable. La taille du journal système dépend du rôle de la plate-forme et du nombre d'enregistrements d'événements liés aux applications dont vous avez besoin.

Le paramètre Taille maximale du journal système est configuré sur 32768 Kopour tous les ordinateurs dans les deux environnements abordés dans ce guide.

Méthode de conservation du journal des applications
Ce paramètre de stratégie détermine la manière dont le journal des applications est encapsulé. Le journal des applications doit être archivé régulièrement si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si vous configurez le paramètre sur Remplacer les événements si nécessaire, le système stockera les événements les plus récents dans le journal, mais vous risquez de perdre des données historiques.

Le paramètre Méthode de conservation du journal des applications est configuré sur Autant que nécessaire pour les deux environnements abordés dans ce guide.

Méthode de conservation du journal de sécurité
Ce paramètre de stratégie détermine la manière dont le journal de sécurité est encapsulé. Le journal de sécurité doit être archivé régulièrement si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si vous configurez le paramètre sur Remplacer les événements si nécessaire, le système stockera les événements les plus récents dans le journal, mais vous risquez de perdre des données historiques.

Le paramètre Méthode de conservation du journal de sécurité est configuré sur Autant que nécessaire pour les deux environnements abordés dans ce guide.

Méthode de conservation du journal système
Ce paramètre de stratégie détermine la manière dont le journal système est encapsulé. Le journal système doit être archivé régulièrement si vous souhaitez récupérer des événements historiques à des fins de dépannage ou de dépistage. Si vous configurez le paramètre sur Remplacer les événements si nécessaire, le système stockera les événements les plus récents dans le journal, mais vous risquez de perdre des données historiques.

Le paramètre Méthode de conservation du journal système est configuré sur Autant que nécessaire pour les deux environnements abordés dans ce guide.

Pare-feu Windows avec fonctions avancées de sécurité

Le pare-feu inclus avec Windows Vista permet un contrôle précis de sa configuration.

Vous pouvez configurer le Pare-feu Windows avec fonctions avancées de sécurité à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité
Pare-feu Windows avec fonctions avancées de sécurité

Dans la section Pare-feu Windows avec fonctions avancées de sécurité de l'Éditeur d'objets de stratégie de groupe, cliquez sur le lien Propriétés du Pare-feu Windows pour contrôler ces paramètres. Dans la boîte de dialoguePare-feu Windows avec fonctions avancées de sécurité, vous pouvez configurer les paramètres des profils Domaine, Privé et Public. Pour chaque profil, vous pouvez configurer des paramètres généraux dans la sectionÉtat et des paramètres personnalisés, dans la section Paramètres (en cliquant sur le boutonPersonnaliser). Dans cette section, vous trouverez des tableaux et des recommandations pour chacun des profils que vous pouvez configurer dans la boîte de dialogue Pare-feu Windows avec fonctions avancées de sécurité.

Profil de domaine

Ce profil s'applique lorsqu'un ordinateur est connecté à un réseau et s'authentifie auprès d'un contrôleur de domaine résidant dans le domaine auquel appartient l'ordinateur.

Tableau A32. Configuration recommandée pour le paramètre Profil de domaine

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

La configuration recommandée du Pare-feu Windows avec fonctions avancées de sécurité pour l'environnement EC comporte des règles de pare-feu, qui permettent d'établir les communications de Bureau à distance et d'Assistance à distance. Par ailleurs, les administrateurs locaux de l'environnement EC peuvent configurer des règles de pare-feu locales pour autoriser des communications supplémentaires avec un ordinateur.

Dans l'environnement SSLF, toutes les communications entrantes sont bloquées par défaut et les règles de pare-feu locales sont ignorées par les ordinateurs. Si vous souhaitez ajouter ou modifier des règles de pare-feu, vous devez les configurer dans l'Éditeur d'objets de stratégie de groupe.

Important   Les paramètres de pare-feu recommandés pour l'environnement SSLF limitent considérablement les connexions entrantes sur les ordinateurs. Nous vous recommandons de tester à plusieurs reprises cette configuration de pare-feu dans votre environnement pour être sûr que toutes les applications fonctionnent correctement.

Dans la section Pare-feu Windows avec fonctions avancées de sécurité de l'Éditeur d'objets de stratégie de groupe, cliquez sur le lien Règles entrantes pour afficher les règles définies pour le profil de domaine.

Profil privé

Ce profil s'applique uniquement si un utilisateur possédant des privilèges d'administration locale attribue le profil privé à un réseau, qui était auparavant configuré pour utiliser le profil public. Microsoft recommande de définir le profil sur Privé uniquement si le réseau est approuvé.

Tableau A33. Configuration recommandée pour le paramètre Profil privé

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

La configuration recommandée du Pare-feu Windows avec fonctions avancées de sécurité pour l'environnement EC comporte des règles de pare-feu, qui permettent d'établir les communications de Bureau à distance. Par ailleurs, les administrateurs locaux de l'environnement EC peuvent configurer des règles de pare-feu locales pour autoriser des communications supplémentaires avec un ordinateur.

Dans l'environnement SSLF, toutes les communications entrantes sont bloquées par défaut et les règles de pare-feu locales sont ignorées par les ordinateurs. Si vous souhaitez ajouter ou modifier des règles de pare-feu, vous devez les configurer dans l'Éditeur d'objets de stratégie de groupe.

Dans la section Pare-feu Windows avec fonctions avancées de sécurité de l'Éditeur d'objets de stratégie de groupe, cliquez sur le lien Règles entrantes pour afficher les règles définies pour le profil privé.

Profil public

Ce profil correspond au type d'emplacement réseau par défaut lorsque l'ordinateur n'est pas connecté à un domaine. Les paramètres de profil public doivent être le plus restrictifs possible, car l'ordinateur est connecté à un réseau public où la sécurité ne peut pas être contrôlée de manière aussi précisé que dans un environnement informatique.

Tableau A34. Configuration recommandée pour le paramètre Profil public

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Dans les deux environnements EC et SSLF, toutes les communications entrantes sont bloquées par défaut et aucune règle de pare-feu n'existe pour autoriser des communications supplémentaires vers un ordinateur. Par ailleurs, les règles de pare-feu locales sont ignorées par les ordinateurs dans les deux environnements abordés dans ce guide. Si vous souhaitez ajouter ou modifier des règles de pare-feu qui s'appliquent au profil public, vous devez les configurer dans l'Éditeur d'objets de stratégie de groupe.

Les sections suivantes décrivent brièvement les paramètres que vous pouvez configurer pour chacun des profils de pare-feu.

État du pare-feu
Sélectionnez l'option Activé (recommandé) pour que le Pare-feu Windows avec fonctions avancées de sécurité utilise les paramètres du profil pour filtrer le trafic réseau. Si vous sélectionnez Désactivé, le Pare-feu Windows avec fonctions avancées de sécurité n'utilisera aucune des règles de pare-feu ou des règles de sécurité de connexion du profil.

Connexions entrantes
Ce paramètre détermine le comportement de Windows Vista vis-à-vis des connexions entrantes, qui ne correspondent à aucune règle de pare-feu entrante. Par défaut, le système bloque toutes les connexions sauf si vous avez activé des règles de pare-feu qui les autorisent.

Connexions sortantes
Ce paramètre détermine le comportement de Windows Vista vis-à-vis des connexions sortantes, qui ne correspondent à aucune règle de pare-feu sortante. Par défaut, le système autorise toutes les connexions sauf si vous avez activez des règles de pare-feu qui les bloquent.

Important Si vous configurez le paramètreConnexions sortantes sur Bloqueret que vous déployez la stratégie du pare-feu en utilisant un objet de stratégie de groupe, les ordinateurs qui recevront les paramètres de l'objet de stratégie de groupe ne recevront pas les mises à jour ultérieures de la stratégie de groupe sauf si vous créez et déployez une règle sortante qui autorise le fonctionnement de la stratégie de groupe. Les règles prédéfinies du réseau de base incluent des règles sortantes, qui autorisent le fonctionnement de la stratégie de groupe. Vérifiez que les règles sortantes sont actives et testez à plusieurs reprises les profils de pare-feu avant de les déployer.

Afficher une notification
Sélectionnez ce paramètre pour que le Pare-feu Windows avec fonctions avancées de sécurité affiche des notifications lorsque la réception de connexions entrantes est bloquée pour un programme particulier.

Remarque   Si vous configurez le paramètreAppliquer les règles de pare-feu locales surNon, Microsoft recommande également de configurer le paramètre Afficher une notification surNon. Par ailleurs, les utilisateurs continueront de recevoir des messages leur demandant s'ils souhaitent débloquer une connexion entrante existante mais le système ignorera la réponse de l'utilisateur.

Autoriser la réponse de monodiffusion
Ce paramètre est utile, car elle permet de vérifier que l'ordinateur reçoit des réponses de monodiffusion aux messages de multidiffusion ou de diffusion sortants. Si vous activez ce paramètre et que l'ordinateur envoie des messages de multidiffusion ou de diffusion à d'autres ordinateurs, le Pare-feu Windows avec fonctions avancées de sécurité attend pendant trois secondes maximum les réponses de monodiffusion provenant des autres ordinateurs, puis bloque toutes les réponses ultérieures. Si vous le désactivez et que l'ordinateur envoie un message de multidiffusion ou de diffusion à d'autres ordinateurs, le Pare-feu Windows avec fonctions avancées de sécurité bloque les réponses de monodiffusion provenant des autres ordinateurs.

Appliquer les règles de pare-feu locales
Ce paramètre permet d'indiquer si les administrateurs locaux ont le droit de créer des règles de pare-feu locales, qui s'appliquent conjointement avec les règles de pare-feu configurées par la stratégie de groupe. Si vous le configurez surNon, les administrateurs pourront toujours créer des règles de pare-feu mais elles ne seront pas appliquées. Le paramètre est disponible uniquement lors de la configuration de la stratégie via la stratégie de groupe.

Appliquer les règles de sécurité de connexion locales
Ce paramètre permet d'indiquer si les administrateurs locaux ont le droit de créer des règles de sécurité de connexion locales, qui s'appliquent conjointement avec les règles de pare-feu configurées par la stratégie de groupe. Si vous le configurez surNon, les administrateurs pourront toujours créer des règles de pare-feu mais elles ne seront pas appliquées. Le paramètre est disponible uniquement lors de la configuration de la stratégie via la stratégie de groupe.

Configuration de l'ordinateur\Modèles d'administration

Les groupes de paramètres suivants pour la stratégie de l'ordinateur contiennent des paramètres recommandés dans ce guide. Les paramètres apparaissent dans le sous-nœudConfiguration de l'ordinateur\Modèles d'administration de l'Éditeur d'objets de stratégie de groupe.

• Connexions réseau

• Système

  • Ouverture de session

  • Stratégie de groupe

  • Assistance à distance

  • Appel de procédure distante (RPC)

  • Gestion de la communication Internet\Paramètres de communication Internet

• Composants Windows

  • Stratégies de lecture automatique

  • Interface utilisateur d'informations d'identification

  • Internet Explorer

  • NetMeeting

  • Services Terminal Server

  • Windows Messenger

  • Windows Update

Connexions réseau

Le conteneur Réseau de la stratégie de groupe ne contient pas de configuration de sécurité spécifique. Toutefois, le conteneurConnexions réseau\Pare-feu Windows comporte de nombreux paramètres très importants.

Microsoft recommande de configurer le Pare-feu Windows en utilisant les paramètres de Pare-feu Windows avec fonctions avancées de sécurité de l'Éditeur d'objets de stratégie de groupe. Par contre, les paramètres recommandés pour le Pare-feu Windows avec fonctions avancées de sécurité modifieront l'état de nombreux paramètres dans cette zone de la stratégie de groupe. Certains des paramètres recommandés permettent également de maintenir la compatibilité avec les ordinateurs exécutant Windows XP dans l'environnement EC décrit dans ce guide.

Sous Windows XP, les paramètres du Pare-feu Windows sont configurés selon deux profils : Profil de domaine et Profil standard. Quand le système détecte un environnement de domaine, il utilise le Profil de. Sinon, il utilise le Profil standard.

Lorsqu'un paramètre du pare-feu Windows est défini surRecommandé dans l'un des tableaux suivants, la valeur à utiliser peut varier d'une entreprise à l'autre. Puisque les applications de chaque entreprise demandent des exceptions spécifiques pour le Pare-feu Windows, nous ne pouvons pas définir une liste standard.

Si vous devez déterminer les applications ou les ports qui nécessitent des exceptions, vous pouvez activer la journalisation et l'audit du Pare-feu Windows, ainsi que le traçage réseau. Pour plus d'informations, lisez l'article « Configuring a Computer for Windows Firewall Troubleshooting ».

Généralement, le Profil de domaine est configuré de façon moins restrictive que le Profil standard car un environnement de domaine propose souvent des couches de protection supplémentaires. Les noms des paramètres de stratégie sont identiques dans les deux profils. Le tableau suivant présente la configuration recommandée pour les paramètres de stratégie des différents profils. Vous trouverez des informations supplémentaires dans les paragraphes qui suivent.

Connexions réseau\Pare-feu Windows\Profil de domaine

Cette section décrit les paramètres du profil de domaine du pare-feu Windows. Vous pouvez les configurer à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Modèles d'administration\Réseau\Connexions réseau
Pare-feu Windows\Profil de domaine

Tableau A35. Configuration recommandée pour le paramètre Pare-feu Windows\Profil de domaine

Remarque   Lorsqu'un paramètre du Pare-feu Windows est défini sur Recommandé dans le tableau, la valeur à utiliser peut varier d'une entreprise à l'autre. Puisque les applications de chaque entreprise demandent des exceptions spécifiques pour le Pare-feu Windows, nous ne pouvons pas définir une liste standard.

Connexions réseau\Pare-feu Windows\Profil standard

Cette section décrit les paramètres du profil standard du pare-feu Windows. Le profil standard est souvent plus restrictif que le profil de domaine, qui suppose qu'un environnement de domaine propose un niveau de sécurité de base. Le profil standard doit être utilisé lorsqu'un ordinateur réside sur un réseau non approuvé (réseau d'un hôtel ou point d'accès sans fil public, par exemple). Les environnements de ce type présentent des menaces inconnues et nécessitent des précautions de sécurité supplémentaires.

Remarque   Le profil standard s'applique uniquement aux ordinateurs exécutant Windows XP. Les recommandations suivantes s'appliquent uniquement à l'environnement EC décrit dans ce guide pour garantir la compatibilité avec Windows XP.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Modèles d'administration\Réseau\Connexions réseau
Pare-feu Windows\Profil standard

Tableau A36. Configuration recommandée pour le paramètre Pare-feu Windows\Profil standard

Remarque   Lorsqu'un paramètre du Pare-feu Windows est défini sur Recommandé dans le tableau, la valeur à utiliser peut varier d'une entreprise à l'autre. Puisque les applications de chaque entreprise demandent des exceptions spécifiques pour le Pare-feu Windows, nous ne pouvons pas définir une liste standard.

Pare-feu Windows : autoriser les exceptions ICMP
Ce paramètre de stratégie définit les types de messages ICMP (Internet Control Message Protocol) autorisés par le pare-feu Windows. Les messages ICMP permettent aux utilitaires de déterminer le statut des autres ordinateurs. Par exemple, l'utilitaire ping utilise le message de requête d'écho.

Si vous configurez le paramètre Pare-feu Windows : autoriser les exceptions ICMP surActivé, vous devez également préciser les types de messages ICMP que le Pare-feu Windows autorise l'ordinateur à envoyer ou recevoir. Si vous le configurez surDésactivé, le pare-feu Windows bloquera tous les types de messages ICMP entrants non sollicités ainsi que les types de message ICMP sortants répertoriés. Les utilitaires qui utilisent ICMP risquent donc ne pas fonctionner.

Les utilisateurs malveillants élaborent leurs attaques à l'aide d'outils, qui ciblent les ordinateurs acceptant les types de messages ICMP. Toutefois, certaines applications ont besoin de messages ICMP pour fonctionner correctement. En outre, les messages ICMP permettent d'évaluer les performances réseau au moment du téléchargement et du traitement de la stratégie de groupe. S'ils sont bloqués, la stratégie de groupe risque de ne pas être appliquée sur les systèmes affectés. C'est pourquoi Microsoft vous recommande de configurer le paramètre Pare-feu Windows : autoriser les exceptions ICMP surDésactivé chaque fois que cela est possible. Si votre environnement nécessite le passage de certains messages ICMP à travers le pare-feu Windows, configurez ce paramètre de stratégie avec les types de messages appropriés.

Si l'ordinateur réside sur un réseau non approuvé, vous devez configurer le paramètre Pare-feu Windows : autoriser les exceptions ICMP sur Désactivé.

Remarque   Si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorisera les messages de requête d'écho ICMP entrants (comme ceux envoyés par l'utilitaire Ping) même si le paramètre de stratégiePare-feu Windows : autoriser les exceptions ICMPdevrait les bloquer. Les paramètres capables d'ouvrir le port TCP 445 sont Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantes,Pare-feu Windows : autoriser l’exception d’administration à distance entrante etPare-feu Windows : définir les exceptions de ports entrants.

Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante
Ce paramètre de stratégie crée une exception, qui autorise le partage de fichier et d'imprimantes. Il configure le Pare-feu Windows afin qu'il ouvre les ports UDP 137 et 138, ainsi que les ports TCP 139 et 445. Si vous activez ce paramètre de stratégie, le Pare-feu Windows ouvrira ces ports pour permettre à votre ordinateur de recevoir les travaux d'impression et les requêtes d'accès aux fichiers partagés. Vous devez préciser les adresses IP ou les sous-réseaux à partir desquels les messages entrants sont autorisés.

Si vous désactivez le paramètre Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante, le Pare-feu Windows bloquera ces ports et empêchera l'ordinateur de partager des fichiers et des imprimantes.

Vu que le partage de fichiers et d'imprimantes n'est pas activé par défaut sur les ordinateurs de votre environnement qui exécutent Windows Vista, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante surDésactivé.

Remarque   Si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorisera les messages de requête d'écho ICMP entrants (comme ceux envoyés par l'utilitaire Ping) même si le paramètre de stratégiePare-feu Windows : autoriser les exceptions ICMPdevrait les bloquer. Les paramètres pouvant ouvrir le port TCP 445 sont Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante,Pare-feu Windows : autoriser l’exception d’administration à distance entrante etPare-feu Windows : définir les exceptions de ports entrants.

Pare-feu Windows : Autoriser l’exception d’administration à distance entrante
De nombreuses entreprises utilisent l'administration à distance dans leurs activités quotidiennes. Toutefois, certaines attaques exploitent les ports généralement utilisés par des programmes d'administration à distance. Le Pare-feu Windows peut précisément bloquer ces ports.

Le paramètre Pare-feu Windows : autoriser l’exception d’administration à distance entrante permet précisément d'assouplir l'administration à distance. Si vous le configurez sur Activé, l'ordinateur pourra recevoir les messages entrants non sollicités associés à l'administration à distance sur les ports TCP 135 et 445. Ce paramètre de stratégie permet également aux programmes Svchost.exe et Lsass.exe de recevoir les messages entrants non sollicités. Il permet aussi aux services hébergés d'ouvrir d'autres ports affectés de façon dynamique, généralement compris dans la plage 1024-1034 (valeur pouvant être située entre 1024 et 65535). Si vous activez ce paramètre, vous devez préciser les adresses IP ou les sous-réseaux à partir desquels les messages entrants sont autorisés.

Si vous configurez le paramètre Pare-feu Windows : autoriser l’exception d’administration à distance entrante sur Désactivé, le Pare-feu Windows n'applique aucune des exceptions décrites. Certaines entreprises peuvent refuser de le configurer surDésactivé, car cette configuration perturbe le fonctionnement de nombreux outils d'administration à distance et d'analyse des vulnérabilités. C'est pourquoi Microsoft recommande de l'activer uniquement dans les entreprises où la sécurité est critique.

Pour le Profil de domaine, Microsoft recommande de configurer le paramètre Pare-feu Windows : autoriser l’exception d’administration à distance entrante surActivé pour les ordinateurs de l'environnement EC uniquement lorsque cela est nécessaire. Si vous l'activez, le nombre de requêtes d'administration à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum. Pour optimiser la protection assurée par le pare-feu Windows, ne précisez que les adresses IP nécessaires et les sous-réseaux d'ordinateurs qui sont utilisés aux fins d'administration à distance.

Microsoft vous recommande de configurer le paramètrePare-feu Windows : autoriser l’exception d’administration à distance entrante surDésactivé pour tous les ordinateurs du Profil standard dans le but d'éviter les attaques connues exploitant les ports TCP 135 et 445.

Remarque   Si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorisera les messages de requête d'écho ICMP entrants (comme ceux envoyés par l'utilitaire Ping) même si le paramètre de stratégiePare-feu Windows : autoriser les exceptions ICMPdevrait les bloquer. Les paramètres pouvant ouvrir le port TCP 445 sont Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante,Pare-feu Windows : autoriser l’exception d’administration à distance entrante etPare-feu Windows : définir les exceptions de ports entrants.

Pare-feu Windows : autoriser les exceptions du Bureau à distance en entrée
De nombreuses entreprises utilisent les connexions Bureau à distance dans le cadre de leurs procédures de dépannage ou de leurs activités quotidiennes. Toutefois, certaines attaques exploitent les ports généralement utilisés par le Bureau à distance.

Le paramètre Pare-feu Windows : autoriser les exceptions du Bureau à distance enentrée permet précisément d'assouplir l'administration à distance. Si vous l'activez, le pare-feu Windows ouvre le port TCP 3389 pour les connexions entrantes. Vous devez également préciser les adresses IP ou les sous-réseaux à partir desquels les messages entrants sont autorisés.

Si vous le désactivez, le pare-feu Windows bloquera ce port et empêchera l'ordinateur de recevoir les requêtes de Bureau à distance. Si un administrateur tente d'ouvrir ce port en l'ajoutant à une liste d'exceptions de ports locaux, le pare-feu Windows n'ouvrira pas le port.

Pour optimiser les capacités de gestion du Bureau à distance, configurez le paramètre sur Activé pour l'environnement EC. Vous devez également préciser les adresses IP et les sous-réseaux des ordinateurs utilisés pour l'administration à distance. Le nombre de requêtes de Bureau à distance acceptées par les ordinateurs de votre environnement doit être réduit au maximum.

Pare-feu Windows : autoriser les exceptions d’infrastructure UPnP entrante
Ce paramètre de stratégie permet à un ordinateur de recevoir des messages Plug-and-Play non sollicités envoyés par des périphériques réseau (routeurs comportant des pare-feu intégrés, par exemple). Pour les recevoir, le pare-feu Windows ouvre le port TCP 2869 et le port UDP 1900.

Si vous activez le paramètre Pare-feu Windows : autoriser les exceptions d’infrastructure UPnP entrante, le Pare-feu Windows ouvrira ces ports pour permettre à l'ordinateur de recevoir les messages Plug-and-Play. Vous devez préciser les adresses IP ou les sous-réseaux à partir desquels les messages entrants sont autorisés. Si vous le désactivez, le pare-feu Windows bloquera ces ports et empêchera l'ordinateur de recevoir les messages Plug-and-Play.

Le blocage du trafic réseau UPnP permet de réduire efficacement les zones d'attaque potentielles des ordinateurs de votre environnement. Sur les réseaux approuvés, Microsoft vous recommande de configurer le paramètre Pare-feu Windows : autoriser les exceptions d’infrastructure UPnP entrantesur Désactivé sauf si vous utilisez des périphériques UPnP sur votre réseau. Ce paramètre de stratégie doit toujours être Désactivé sur les réseaux non approuvés.

Pare-feu Windows : autoriser les exceptions de ports locaux
Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser le composant Pare-feu Windows du panneau de configuration pour définir une liste d'exceptions de ports locaux. Le Pare-feu Windows peut utiliser deux listes d'exceptions de ports ; la deuxième est définie par le paramètre de stratégiePare-feu Windows : définir les exceptions de ports.

Si vous activez le paramètre Pare-feu Windows : autoriser les exceptions de ports locaux, les administrateurs peuvent utiliser le composant Pare-feu Windows du Panneau de configuration pour définir une liste d'exceptions de ports locaux. Si vous le désactivez, le composant Pare-feu Windows du Panneau de configuration n'autorise pas les administrateurs à la définir.

Généralement, les administrateurs locaux ne sont pas autorisés à ignorer la stratégie d'entreprise et à définir leur propre liste d'exceptions de ports. C'est pourquoi Microsoft vous recommande de configurer le paramètre Pare-feu Windows : autoriser les exceptions de ports locaux surDésactivé.

Pare-feu Windows : autoriser les exceptions de programmes locaux
Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser le composant Pare-feu Windows du Panneau de configuration pour définir une liste d'exceptions de programmes locaux. Si vous le désactivez, les administrateurs ne peuvent pas définir de liste d'exceptions de programmes locaux. En outre, les exceptions de programmes proviennent exclusivement de la stratégie de groupe. Si vous l'activez, les administrateurs locaux peuvent utiliser le Panneau de configuration pour définir des exceptions de programmes en local.

Certaines conditions peuvent justifier des exceptions de programmes locaux dans le cas des ordinateurs clients d'entreprise. Par exemple, il peut s'agir d'applications qui n'ont pas été analysées au moment de la création de la stratégie de pare-feu de l'entreprise ou de nouvelles applications nécessitant une configuration de port non standard. Si vous êtes dans l'un de ces cas et que vous activez le paramètre Pare-feu Windows : autoriser les exceptions de programmes locaux, rappelez-vous que la zone d'attaque des ordinateurs concernés sera plus importante.

Pare-feu Windows : définir les exceptions de ports entrants
La liste des exceptions de ports du pare-feu Windows doit être définie via la stratégie de groupe, qui vous permet de centraliser la gestion et le déploiement de vos exceptions de ports . Elle permet également de vérifier que les administrateurs ne créent pas de paramètres moins sécurisés.

Le paramètre Pare-feu Windows : définir les exceptions de ports entrants permet de consulter et de modifier la liste d'exceptions de ports définie par la stratégie de groupe. Pour afficher et modifier la liste des exceptions de ports, configurez le paramètre de stratégie surActivé, puis cliquez sur le boutonAfficher. Si vous tapez une chaîne de définition non valide, le pare-feu Windows l'ajoute à la liste sans vérifier la présence d'erreurs. Autrement dit, vous pouvez créer accidentellement plusieurs entrées pour le même port avec des valeurs Portée ou Statut contradictoires.

Si vous désactivez le paramètre Pare-feu Windows : définir les exceptions de ports entrants, la liste d'exceptions de ports définie par la stratégie de groupe est supprimée mais les autres paramètres peuvent continuer à ouvrir ou bloquer des ports. S'il existe une liste d'exceptions de ports locaux, elle sera également ignorée sauf si vous activez le paramètre Pare-feu Windows : autoriser les exceptions de ports locaux.

Si votre environnement comporte des applications non standard qui nécessitent l'ouverture de ports spécifiques, vous devez envisager le déploiement d'exceptions de programmes. Microsoft vous recommande de configurer le paramètre Pare-feu Windows : définir les exceptions de ports entrants surActivé et de préciser une liste d'exceptions de ports uniquement si vous ne pouvez pas définir d'exceptions de programmes. Les exceptions de programmes permettent au pare-feu Windows d'accepter le trafic réseau non sollicité uniquement lorsque le programme spécifié est en cours d'exécution et que les exceptions de ports maintiennent les ports spécifiés ouverts en permanence.

Remarque   Si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorise les messages de requête d'écho ICMP entrants (comme ceux envoyés par l'utilitaire Ping) même si le paramètre de stratégiePare-feu Windows : autoriser les exceptions ICMPdevrait les bloquer. Les paramètres pouvant ouvrir le port TCP 445 sont Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimante,Pare-feu Windows : autoriser l’exception d’administration à distance entrante etPare-feu Windows : définir les exceptions de ports entrants.

Pare-feu Windows : définir les exceptions des programmes en entrée
Certaines applications peuvent avoir besoin d'ouvrir et d'utiliser des ports réseau, qui ne sont généralement pas autorisés par le pare-feu Windows. Le paramètre Pare-feu Windows : définir les exceptions des programmes en entrée permet de consulter et de modifier la liste d'exceptions de programmes définie par la stratégie de groupe.

Si vous le configurez sur Activé, vous pourrez consulter et modifier la liste des exceptions de programmes. Si vous ajoutez un programme à la liste et que vous configurez son statut sur Activé, le programme pourra recevoir les messages entrants non sollicités sur le port qu'il demande au pare-feu Windows d'ouvrir même si le port est bloqué par un autre paramètre. Si vous configurez le paramètre de stratégie surDésactivé, la liste d'exceptions de programmes définie par la stratégie de groupe est supprimée.

Remarque   Si vous tapez une chaîne de définition non valide, le Pare-feu Windows l'ajoute à la liste sans vérifier la présence d'erreurs. Puisque les donnes ne sont pas vérifiées, vous avez la possibilité d'ajouter des programmes que vous n'avez pas encore installés. En outre, vous pouvez créer accidentellement plusieurs exceptions pour un même programme avec des valeurs Étendue et État contradictoires.

Pare-feu Windows : n'autoriser aucune exception
Ce paramètre de stratégie force le pare-feu Windows à bloquer tous les messages entrants non sollicités. Il écrase tous les autres paramètres de stratégie de pare-feu Windows, qui autorisent ce type de message. Si vous activez ce paramètre de stratégie dans le composant Pare-feu Windows du Panneau de configuration, la case Ne pas autoriser d'exceptions est cochée et les administrateurs ne peuvent pas la décocher.

De nombreux environnements comportent des applications et des services, qui doivent être autorisés à recevoir des communications entrantes non sollicitées pour pouvoir fonctionner normalement. Dans ce cas, le paramètre Pare-feu Windows : n'autoriser aucune exception devra peut-être être configuré sur Désactivé. Avant de configurer ce paramètre de stratégie, vous devez tester l'environnement en vue de déterminer exactement les communications qui doivent être autorisées.

Remarque   Ce paramètre de stratégie permet de protéger efficacement votre environnement contre les utilisateurs et programmes malveillants externes. Vous devez le configurer sur Activé si vous souhaitez bénéficier d'une protection totale contre les attaques externes (notamment les nouvelles épidémies de vers, par exemple). Si vous le configurez sur Désactivé, le pare-feu Windows pourra appliquer d'autres paramètres de stratégie qui autorisent les messages entrants non sollicités.

Pare-feu Windows : empêcher les notifications
Le pare-feu Windows peut afficher des notifications destinées aux utilisateurs lorsqu'un programme demande au pare-feu Windows de l'ajouter à la liste des exceptions de programmes. Cela se produit généralement quand des programmes tentent d'ouvrir un port alors que les règles du pare-feu Windows ne les y autorisent pas.

Le paramètre Pare-feu Windows : empêcher les notifications permet d'indiquer si les utilisateurs doivent voir les notifications ou non. Si vous le configurez surActivé, le pare-feu Windows n'affiche pas les notifications. Si vous le configurez surDésactivé, le pare-feu Windows les affiche.

Pare-feu Windows : empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion
Ce paramètre de stratégie empêche un ordinateur de recevoir des réponses de monodiffusion à ses messages de multidiffusion ou de diffusion sortants. Si vous l'activez et que l'ordinateur envoie des messages de multidiffusion ou de diffusion à d'autres ordinateurs, le pare-feu Windows bloque les réponses de monodiffusion provenant des autres ordinateurs. Si vous le désactivez et que l'ordinateur envoie un message de multidiffusion ou de diffusion à d'autres ordinateurs, le pare-feu Windows attend pendant trois secondes maximum les réponses de monodiffusion provenant des autres ordinateurs, puis bloque toutes les réponses ultérieures.

Généralement, personne n'a intérêt à recevoir des réponses de monodiffusion à des messages de multidiffusion ou de diffusion. Elles peuvent révéler une attaque par déni de service ou une tentative de sondage d'un ordinateur connu. Microsoft vous recommande de configurer le paramètre Pare-feu Windows : empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion sur Activépour empêcher ce type d'attaque.

Remarque   Ce paramètre de stratégie n'a aucun effet si le message de monodiffusion est une réponse à un message de diffusion DHCP (Dynamic Host Configuration Protocol) envoyé par l'ordinateur. Le Pare-feu Windows autorise systématiquement les réponses DHCP. Toutefois, ce paramètre de stratégie peut interférer avec les messages NetBIOS qui détectent les conflits de nom.

Pare-feu Windows : protéger toutes les connexions réseau
Ce paramètre de stratégie active le Pare-feu Windows, qui remplace le pare-feu de connexion Internet sur tous les ordinateurs Windows Vista. Microsoft vous recommande de le configurer surActivé pour protéger toutes les connexions réseau des ordinateurs résidant dans les environnements abordés dans ce guide.

Si le paramètre Pare-feu Windows : protéger toutes les connexions réseau est configuré surDésactivé, le Pare-feu Windows est désactivé et le système ignore tous les autres paramètres associés.

Remarque   Si vous activez ce paramètre de stratégie, le Pare-feu Windows s'exécute et ignore le paramètre de stratégie Configuration ordinateur\Modèles d'administration\Réseau\Connexions réseau
\Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS.

Système

Dans l'emplacement Configuration ordinateur\Modèles d’administration\Système, les autres sections suivantes sont configurées :

• Ouverture de session

• Stratégie de groupe

• Assistance à distance

• Appel de procédure distante (RPC)

• Gestion de la communication Internet\Paramètres de communication Internet

Ouverture de session

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Ouverture de session

Le tableau suivant présente la configuration recommandée pour le paramètre Ouverture de session. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A37. Configuration recommandée pour le paramètre Ouverture de session

Ne pas traiter la liste d'exécution héritée
Ce paramètre de stratégie permet d'ignorer la liste d'exécution, qui répertorie les programmes que Windows Vista exécute automatiquement au démarrage. Les listes d'exécution personnalisées de Windows Vista sont stockées dans les clés de Registre suivantes :

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Si vous activez le paramètre Ne pas traiter la liste d'exécution héritée, le système empêche les utilisateurs malintentionnés d'exécuter un programme à chaque démarrage de Windows Vista dans le but d'endommager les données ou d'exercer une action néfaste sur l'ordinateur. Il empêche également l'exécution de certains programmes système (notamment les logiciels antivirus, les logiciels de contrôle et les outils de distribution de logiciels). Microsoft vous recommande d'évaluer le niveau de menace de votre environnement avant de déterminer si vous devez utiliser ce paramètre dans votre entreprise.

Le paramètre Ne pas traiter la liste d'exécution héritée est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Ne pas traiter la liste d'exécution unique
Ce paramètre de stratégie permet d'ignorer la liste d'exécution unique, qui répertorie les programmes que Windows Vista exécute automatiquement au démarrage. Il diffère du paramètre Ne pas traiter la liste d’exécution héritée dans le sens où la liste répertorie exclusivement les programmes qui s'exécutent une seule fois lors du redémarrage du client. De temps en temps, des programmes de configuration et d'installation sont ajoutés à la liste dans le but d'achever l'installation de certains programmes une fois l'ordinateur client redémarré. Si vous activez ce paramètre de stratégie, les utilisateurs malveillants ne peuvent généralement pas utiliser la liste d'exécution unique pour lancer des applications néfastes comme ils avaient l'habitude de le faire par le passé. Un utilisateur malintentionné peut utiliser la liste d'exécution unique pour installer un programme susceptible de compromettre la sécurité de clients Windows Vista.

Remarque   Les listes d'exécution unique sont stockées dans la clé de Registre suivante :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Le paramètre Ne pas traiter la liste d'exécution unique entraîne une perte minime de fonctionnalités pour les utilisateurs de votre environnement, surtout si les ordinateurs clients ont été configurés avant l'application du paramètre via la stratégie de groupe. Le paramètre Ne pas traiter la liste d'exécution unique est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Stratégie de groupe

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Stratégie de groupe

Tableau A38. Configuration recommandée pour le paramètre Stratégie de groupe

Traitement de la stratégie du Registre
Ce paramètre de stratégie détermine à quel moment les stratégies de registre sont mises à jour. Il affecte l'ensemble des stratégies du dossier Modèles d'administration, ainsi que les stratégies qui stockent des valeurs dans le Registre. Si ce paramètre est activé, les options suivantes sont disponibles :

• Ne pas appliquer lors des traitements en tâche de fond périodiques

• Traiter même si les objets Stratégie de groupe n’ont pas été modifiés

Certains paramètres configurés par l'intermédiaire des modèles d'administration sont également accessibles aux utilisateurs dans le Registre. Le système écrasera les modifications que les utilisateurs apportent à ces paramètres si vous activez le paramètre de stratégie.

Le paramètre Traitement de la stratégie du Registre est configuré sur Activé pour les deux environnements abordés dans ce guide.

Assistance à distance

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Système\Assistance à distance

Le tableau suivant présente la configuration recommandée pour le paramètre Assistance à distance. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A39. Configuration recommandée pour le paramètre Assistance à distance

Proposer l'Assistance à distance
Ce paramètre détermine si un membre du support technique ou un administrateur informatique compétent peut aider à distance les utilisateurs de votre environnement si ces derniers n'ont pas demandé explicitement de l'assistance par l'intermédiaire d'un canal (notamment par courrier électronique ou par le biais d'Instant Messenger).

Remarque   Les experts ne peuvent pas se connecter à l'ordinateur, ni le contrôler sans avoir obtenu le consentement préalable de l'utilisateur. Lorsqu'un expert se connecte, l'utilisateur peut refuser la connexion ou octroyer à l'expert des droits d'accès en lecture seule. Si le paramètreProposer l'Assistance à distance est défini surActivé, l'utilisateur doit cliquer sur le boutonOui pour autoriser l'expert à contrôler le poste de travail à distance.

Si ce paramètre est activé, les options suivantes sont disponibles :

• Ne permettre aux conseillers que de voir l'ordinateur

• Permettre aux conseillers de contrôler l'ordinateur à distance

Si vous configurez ce paramètre, vous pouvez également définir une liste d'utilisateurs ou de groupes d'utilisateurs appelés « conseillers » qui pourront proposer leur assistance à distance.

Configuration de la liste de conseillers

1. Dans la fenêtre de configuration Proposer l’assistance à distance, cliquez surAfficher. Le système ouvre une nouvelle fenêtre dans laquelle vous pouvez préciser les noms des conseillers.

2. Dans la liste Conseiller, tapez le nom de chaque utilisateur ou groupe d'utilisateurs en respectant les formats suivants :

   • <Nom de domaine>\<Nom d'utilisateur>

   • <Nom de domaine>\<Nom du groupe>

Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ou les groupes d'utilisateurs ne pourront pas offrir d'assistance à distance non sollicitée aux utilisateurs de votre environnement.

Le paramètre Proposer l’assistance à distance est configuré sur Non configuré pour l'environnement EC. Il est configuré surDésactivé pour l'environnement SSLF afin d'empêcher l'accès aux ordinateurs clients Windows Vista du réseau.

Assistance à distance sollicitée
Ce paramètre de stratégie détermine si l'assistance à distance peut être sollicitée à partir des ordinateurs Windows Vista de votre environnement. Vous pouvez l'activer pour permettre aux utilisateurs de solliciter l'assistance à distance d'administrateurs compétents appelés « experts ».

Remarque   Les experts ne peuvent pas se connecter à l'ordinateur, ni le contrôler sans avoir obtenu le consentement préalable de l'utilisateur. Lorsqu'un expert se connecte, l'utilisateur peut refuser la connexion ou octroyer à l'expert des droits d'accès en lecture seule. L'utilisateur doit cliquer sur le bouton Oui pour autoriser l'expert à contrôler le poste de travail à distance.

Si le paramètre Assistance à distance sollicitée est activé, les options suivantes sont disponibles :

• Permettre aux conseillers de contrôler l'ordinateur à distance

• Ne permettre aux conseillers que de voir l'ordinateur

En outre, les options suivantes permettent de configurer la durée de validité d'une demande d'assistance émanant d'un utilisateur :

• Durée maximale du ticket (valeur) :

• Durée maximale du ticket (unités) : heures,minutes ou jours

Lorsque le ticket (la demande d'assistance) expire, l'utilisateur doit envoyer une autre demande pour qu'un expert puisse se connecter à l'ordinateur. Si vous désactivez le paramètre Assistance à distance sollicitée, les utilisateurs ne peuvent pas envoyer de demandes d'assistance et l'expert ne peut pas se connecter à leur ordinateur.

Les utilisateurs peuvent configurer le paramètreAssistance à distance sollicitée dans le Panneau de configuration. Par défaut, les paramètres suivants sont activés dans le Panneau de configuration : Assistance à distance sollicitée, Support d'un ami etContrôle à distance. Le paramètreDurée maximale du ticket est défini sur30 jours. Si ce paramètre de stratégie est désactivé, aucune personne ne pourra accéder aux ordinateurs clients Windows Vista du réseau.

Le paramètre Assistance à distance sollicitée est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Appel de procédure distante (RPC)

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Modèles d'administration\Système\Appel de procédure distante

Le tableau suivant présente la configuration recommandée pour le paramètre Appel de procédure distante. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A40. Configuration recommandée pour le paramètre Appel de procédure distante

Restrictions concernant les clients RPC non authentifiés
Ce paramètre de stratégie configure l'exécution RPC sur un serveur RPC pour empêcher les clients RPC non authentifiés de se connecter au serveur RPC. Un client est considéré comme non authentifié dès lors qu'il utilise un canal nommé pour communiquer avec le serveur ou qu'il utilise la sécurité RPC. Les interfaces RPC qui ont demandé à être accessibles aux clients non authentifiés peuvent être exemptées de cette restriction selon la valeur définie pour cette stratégie. Si ce paramètre est activé, les valeurs suivantes sont disponibles :

• Aucun. Tous les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie.

• Authentifié. Seuls les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie. Les interfaces qui ont demandé à être accessibles peuvent être exemptées de cette restriction.

• Authentifié sans exceptions. Seuls les clients RPC authentifiés peuvent se connecter aux serveurs RPC, qui s'exécutent sur l'ordinateur concerné par la stratégie. Aucune exception n'est permise.

Puisque les communications RPC non authentifiées peuvent constituer une vulnérabilité de sécurité, le paramètreRestrictions pour les clients RPC non authentifiés est configuré sur Activéet la valeur Restriction d'exécution du client à distance RPC non authentifié est définie surAuthentifié pour les deux environnements abordés dans ce guide.

Remarque   Les applications RPC qui n'authentifient pas les demandes de connexion entrantes non sollicitées risquent de ne pas fonctionner correctement avec cette configuration. Vous devez tester les applications avant de déployer ce paramètre de stratégie dans votre environnement. Même si la valeur Authentifié ne soit pas totalement sécurisée, elle peut s'avérer utile pour garantir la compatibilité des applications de votre environnement.

Authentification du client mappeur du point de sortie RPC
Si vous activez ce paramètre de stratégie, les ordinateurs clients qui communiquent avec cet ordinateur devront s'authentifier pour pouvoir établir la communication RPC. Par défaut, les clients RPC ne s'authentifient pas pour communiquer avec le service de mappeur du point de sortie RPC lorsqu'ils demandent le point de sortie d'un serveur. Toutefois, la valeur par défaut a été modifiée pour l'environnement SSLF ; les ordinateurs clients doivent donc s'authentifier pour pouvoir établir la communication RPC.

Gestion de la communication Internet\Paramètres de communication Internet

Plusieurs paramètres de configuration sont disponibles dans le groupe Paramètres de communication Internet. Microsoft vous recommande de limiter plusieurs des paramètres pour améliorer la confidentialité des données sur vos systèmes informatiques. Si vous ne le faites pas, des utilisateurs malveillants risquent d'intercepter et d'utiliser certaines informations. Même si ce type d'attaque est plutôt rare aujourd'hui, vous pourrez protéger votre environnement contre les attaques futures si vous configurez correctement ces paramètres.

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Modèles d'administration/Système/Gestion de la communication Internet/Paramètres de communication Internet

Le tableau suivant présente la configuration recommandée pour le paramètre Paramètres de communication Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A41. Configuration recommandée pour le paramètre Paramètres de communication Internet

Désactiver l'option Publier sur le Web de la Gestion des fichiers
Ce paramètre de stratégie indique si les tâches Publier ce fichier sur le Web, Publier ce dossier sur le Web et Publier les éléments sélectionnés sur le Web sont affichées dans le volet Gestion des fichiers dans les dossiers Windows. L'Assistant Publication de pages Web permet de télécharger la liste des fournisseurs et permet aux utilisateurs de publier des pages sur le Web.

Si vous configurez le paramètre Désactiver l'option Publier sur le Web de la Gestion des fichiers surActivé, ces options sont supprimées du volet Gestion des fichiers dans les dossiers Windows. Par défaut, l'option de publication sur le Web est disponible. Puisque cette fonctionnalité pourrait être utilisée pour exposer du contenu sécurisé sur un ordinateur client Web non authentifié, le paramètre est configuré sur Activé pour les environnements EC et SSLF.

Désactiver le téléchargement à partir d'Internet pour les Assistants Publication de sites Web et Commandes via Internet
Ce paramètre de stratégie détermine si Windows doit télécharger la liste des fournisseurs pour les assistants de publication Web et de commande en ligne. Si vous l'activez, Windows ne peut pas la télécharger ; seuls les fournisseurs de services se trouvant en cache dans le registre local s'affichent.

Puisque le paramètreDésactiver Publier sur le Web de la Gestion des fichiers a été activé pour les environnements EC et SSLF (voir paramètre précédent), cette option n'est pas nécessaire. Toutefois, le paramètreDésactiver le téléchargement à partir d'Internet pour les Assistants Publication de sites Web et Commandes via Internet est configuré sur Activé pour minimiser la zone d'attaque potentielle des ordinateurs clients et empêcher qu'un utilisateur malveillant n'exploite cette fonctionnalité d'une quelconque manière.

Désactiver le Programme d'amélioration des services pour Windows Messenger
Ce paramètre de stratégie indique si Windows Messenger peut recueillir des informations anonymes concernant l'utilisation du logiciel et du service Windows Messenger. Vous pouvez l'activer pour garantir que Windows Messenger ne recueille pas de données d'utilisation et empêcher l'affichage des paramètres utilisateur qui activent la collecte des données d'utilisation.

Dans les grands environnements d'entreprise, il n'est pas toujours souhaitable de recueillir des informations sur les ordinateurs clients gérés. Le paramètre Désactiver le Programme d'amélioration des services pour Windows Messenger est configuré sur Activé pour les deux environnements abordés dans ce guide dans le but d'empêcher la collecte d'informations.

Désactiver les mises à jour des fichiers de contenu de l'Assistant Recherche
Ce paramètre de stratégie indique si l'Assistant Recherche doit télécharger automatiquement les mises à jour de contenu lors des recherches locales et Web. Si vous le configurez surActivé, vous empêchez l'Assistant Recherche de télécharger des mises à jour de contenu pendant les recherches.

Le paramètre Désactiver les mises à jour des fichiers de contenu de l'Assistant Recherche est configuré surActivé pour les environnements EC et SSLF dans le but de contrôler les communications réseau inutiles émanant de chaque ordinateur client géré.

Remarque   Dans le cas des recherches Internet, le texte recherché et les informations de recherche sont néanmoins envoyés à Microsoft et au fournisseur de recherche sélectionné. Si vous sélectionnez Recherche classique, l'Assistant Recherche n'est pas disponible. Pour sélectionner Recherche classique, cliquez sur Démarrer,Rechercher, Modifier les préférences et Modifier les paramètres de recherche d'Internet.

Désactiver l'impression via HTTP
Ce paramètre de stratégie permet de désactiver la fonctionnalité d'impression via HTTP de l'ordinateur client, qui peut envoyer ses travaux d'impression aux imprimantes résidant sur l'intranet et sur Internet. Si vous l'activez, l'ordinateur client ne pourra pas utiliser d'imprimantes Internet via HTTP.

Les informations transmises via HTTP au moyen de cette fonction ne sont pas protégées et peuvent être interceptées par des utilisateurs malveillants. C'est pourquoi elle n'est généralement pas utilisée dans les environnements d'entreprise. Le paramètreDésactiver l'impression sur HTTP est configuré sur Activé pour les environnements EC et SSLF dans le but d'empêcher toute violation de sécurité potentielle par l'intermédiaire d'un travail d'impression non sécurisé.

Remarque   Ce paramètre de stratégie affecte uniquement le côté client de l'impression sur Internet. Quelle que soit la configuration choisie, un ordinateur peut jouer le rôle de serveur d'impression Internet et permettre l'accès à ses imprimantes partagées via HTTP.

Désactiver le téléchargement des pilotes d'imprimantes via HTTP
Ce paramètre de stratégie détermine si l'ordinateur peut télécharger des packages de pilotes d'imprimantes via HTTP. Pour configurer l'impression via HTTP, vous devrez peut-être télécharger via HTTP les pilotes d'imprimantes qui ne sont pas disponibles dans l'installation standard du système d'exploitation.

Le paramètre Désactiver le téléchargement des pilotes d'imprimantes via HTTP est configuré surActivé dans le but d'empêcher le téléchargement de pilotes d'imprimantes via HTTP.

Remarque   Ce paramètre de stratégie n'empêche pas l'ordinateur client d'envoyer via HTTP?ses travaux d'impression aux imprimantes résidant sur l'intranet ou sur Internet. Il les empêche uniquement de télécharger les pilotes, qui ne sont pas déjà installés en local.

Désactiver la recherche de pilotes de périphériques sur Windows Update
Ce paramètre de stratégie détermine si Windows doit rechercher des pilotes de périphériques dans Windows Update lorsqu'il ne possède pas de pilotes pour un périphérique particulier en local.

Puisque le téléchargement de pilotes de périphériques sur Internet présente quelques risques, le paramètreDésactiver la recherche de pilotes de périphériques sur Windows Update est configuré sur Activépour l'environnement SSLF et sur Désactivé pour l'environnement EC. En effet, les attaques pouvant exploiter les téléchargements de pilotes sont généralement anéanties par une bonne stratégie de gestion des ressources et des configurations d'entreprise. Cette configuration garantit également la compatibilité et la stabilité sur tous les ordinateurs de l'environnement.

Remarque   Pour plus d'informations, voir aussi Désactiver l'invite de recherche de pilotes d'imprimantes Windows Update dans Modèles d'administration/Système. Ce paramètre détermine si le système doit envoyer une invite à l'administrateur avant de rechercher des pilotes de périphérique dans Windows Update lorsqu'il ne trouve pas de pilote en local.

Composants Windows

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows

Dans la section Modèles d'administration\Composants Windows, vous pouvez configurer les paramètres suivants :

• Stratégies de lecture automatique

• Interface utilisateur d'informations d'identification

• Internet Explorer

• NetMeeting

• Services Terminal Server

• Windows Messenger

• Windows Update

Stratégies de lecture automatique

La lecture automatique est une fonctionnalité Windows, qui ouvre ou lance automatiquement des fichiers multimédia ou des programmes d'installation dès que l'ordinateur les détecte. Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
Stratégies de lecture automatique

Tableau A42. Configuration recommandée pour le paramètre Stratégies de lecture automatique

Désactiver le lecteur automatique
Le lecteur automatique lit le support dès qu'il est inséré et lance immédiatement le fichier d'installation ou le support audio correspondant. Cette fonctionnalité peut être utilisée par un utilisateur malveillant, qui souhaite endommager l'ordinateur ou ses données. Pour la désactiver, il suffit d'activer le paramètre Désactiver le lecteur automatique. Par défaut, le lecteur automatique est désactivé sur certains types de lecteurs amovibles (notamment les lecteurs de disquettes et les lecteurs réseau) mais pas sur les lecteurs de CD-ROM.

Le paramètre Désactiver le lecteur automatique est configuré sur Non configuré pour l'environnement EC et surActivé–Tous les lecteurs pour l'environnement SSLF uniquement.

Remarque   Vous ne pouvez pas activer la lecture automatique sur les lecteurs où la fonctionnalité est désactivée par défaut (notamment lecteurs de disquettes et les lecteurs réseau).

Interface utilisateur d'informations d'identification

Les paramètres d'interface utilisateur d'informations d'identification contrôlent l'interface utilisateur que les utilisateurs voient lorsqu'ils sont invités à préciser leur nom de compte et leur mot de passe pour réaliser des tâches élevées, qui nécessitent une approbation via le Bureau sécurisé. Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Interface utilisateur d'informations d'identification

Tableau A43. Configuration recommandée pour le paramètre Interface utilisateur d'informations d'identification

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Énumérer les comptes d’administrateur aux privilèges élevés
Par défaut, tous les comptes administrateur s'affichent lorsque vous tentez d'élever une application en cours d'exécution. Si vous activez ce paramètre de stratégie, les utilisateurs devront toujours taper leur nom d'utilisateur et leur mot de passer pour procéder à l'élévation. Si vous le désactivez, tous les comptes administrateur locaux résidant sur l'ordinateur s'afficheront pour permettre aux utilisateurs d'en choisir un ou de préciser le mot de passe approprié.

Le paramètre Énumérer les comptes d’administrateur aux privilèges élevés est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Exiger un chemin d’accès approuvé pour une entrée d’informations d’identification
Si vous activez ce paramètre de stratégie, les utilisateurs devront taper des informations d'identification Windows sur le Bureau sécurisé par le biais du mécanisme de chemin approuvé. Autrement dit, ils devront d'abord appuyer sur Ctrl+Alt+Suppr pour pouvoir préciser leur nom de compte et leur mot de passe dans le but d'autoriser une demande d'élévation. L'utilisation d'un chemin approuvé empêche qu'un cheval de Troie ou un autre type de code malveillant ne dérobe les informations d'identification Windows de l'utilisateur.

Si vous désactivez ou que vous ne configurez pas le paramètre de stratégie, les utilisateurs taperont leurs informations d'identification Windows dans la session de bureau Windows au risque d'être subtilisées par un code malveillant.

Le paramètre Exiger un chemin d’accès approuvé pour une entrée d’informations d’identification est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Internet Explorer

La stratégie de groupe Microsoft Internet Explorer® permet de mettre en œuvre les besoins de sécurité des ordinateurs Windows Vista et d'empêcher les échanges de contenu indésirable via Internet Explorer. Respectez les points suivants pour sécuriser Internet Explorer sur les postes de travail de votre environnement :

• Vérifiez que les demandes d'accès à Internet surviennent uniquement lors de réponses directes à des actions utilisateur.

• Vérifiez que les informations envoyées à des sites Web particuliers arrivent exclusivement à destination des sites en question, sauf si certaines actions utilisateur sont autorisées à transmettre des informations à d'autres destinations.

• Vérifiez que les canaux approuvés vers des serveurs/sites et leurs propriétaires respectifs sont clairement identifiés.

• Vérifiez que les scripts ou programmes qui fonctionnent avec Internet Explorer s'exécutent dans un environnement restreint. Dans certains cas, les programmes livrés par des canaux approuvés peuvent être configurés pour s'exécuter en dehors de l'environnement restreint.

Important    Avant d'appliquer les objets de stratégie de groupe inclus dans ce guide, vous devez vérifier qu'Internet Explorer est correctement configuré pour pouvoir accéder à Internet. De nombreux environnements requièrent des paramètres de proxy particuliers pour bénéficier d'un accès Internet adéquat. Les paramètres recommandés présentés dans ce guide empêchent les utilisateurs de modifier la configuration des paramètres de proxy Internet Explorer.

Vous pouvez configurer les paramètres Internet Explorer recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer

Le tableau suivant présente quelques options recommandées pour le paramètre Internet Explorer. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A44. Configuration recommandée pour le paramètre Internet Explorer

Désactiver l'installation automatique de composants Internet Explorer
Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas télécharger de composants lorsque les utilisateurs navigueront sur des sites Web qui en ont besoin pour fonctionner correctement. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs seront invités à télécharger et installer les composants chaque fois qu'ils visiteront les sites Web en question.

Le paramètre Désactiver l'installation automatique de composants Internet Explorer est configuré surActivé pour les deux environnements qui sont abordés dans cette annexe.

Remarque   Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une autre stratégie pour mettre à jour Internet Explorer au moyen de Microsoft Update ou d'un service similaire.

Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer
Si vous activez ce paramètre de stratégie, Internet Explorer ne pourra pas déterminer si une version plus récente du navigateur est disponible, ni avertir les utilisateurs dans l'affirmative. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer recherchera des mises à jour tous les 30 jours (par défaut) et avertira les utilisateurs dès qu'une nouvelle version sera disponible.

Le paramètre Désactiver la vérification périodique des mises à jour de logiciels Internet Explorer est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Avant d'activer ce paramètre de stratégie, Microsoft vous recommande de définir une autre stratégie destinée aux administrateurs de votre entreprise pour qu'ils acceptent régulièrement les nouvelles mises à jour Internet Explorer sur les ordinateurs clients de votre environnement.

Désactiver les notifications de mise à jour de logiciels provenant de l’interface intégrée, lors du lancement du programme
Ce paramètre de stratégie indique que les programmes qui utilisent des canaux de distribution de logiciels Microsoft n'avertiront pas les utilisateurs lorsqu'ils installeront de nouveaux composants. Les canaux de distribution de logiciels permettent de mettre à jour de façon dynamique des logiciels sur les ordinateurs des utilisateurs ; ils s'appuient sur les technologies Open Software Distribution (.osd).

Le paramètre Désactiver les notifications de mise à jour de logiciels provenant de l'interface intégrée, lors du lancement du programme est configuré surActivé pour les deux environnements abordés dans ce guide.

Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires
Ce paramètre de stratégie détermine si les utilisateurs peuvent autoriser ou refuser des modules complémentaires par l'intermédiaire de la fonction Gérer les modules complémentaires. Si vous le configurez surActivé, les utilisateurs ne pourront pas activer ni désactiver les modules complémentaires par l'intermédiaire de la fonction Gérer les modules complémentaires sauf si un module complémentaire a été ajouté à la Liste des modules complémentaires qui autorise les utilisateurs à le gérer. Dans ce cas, l'utilisateur pourra continuer à gérer le module par l'intermédiaire de la fonction Gérer les modules complémentaires. Si vous configurez ce paramètre de stratégie sur Désactivé, l'utilisateur pourra activer ou désactiver les modules complémentaires.

Les utilisateurs décident souvent d'installer des modules complémentaires, qui ne sont pas autorisés par la stratégie de sécurité de l'entreprise. Ces modules complémentaires peuvent présenter des risques importants pour la sécurité et la confidentialité de votre réseau. Ce paramètre de stratégie est donc configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Contrôlez les paramètres GPO dans Internet Explorer\Fonctionnalités de sécurité\Gestion des modules complémentaires pour vérifier que les modules complémentaires autorisés appropriés peuvent s'exécuter dans votre environnement. Pour plus d'informations, lisez l'article 555235 « Outlook Web Access and Small Business Server Remote Web Workplace do not function if XP Service Pack 2 Add-on Blocking is enabled via group policy » de la Base de connaissances.

Paramètres machine du serveur proxy (plutôt que les paramètres individualisés)
Si vous activez ce paramètre de stratégie, les utilisateurs ne pourront pas modifier les paramètres de proxy spécifiques aux utilisateurs. Ils devront utiliser les zones créées pour l'ensemble des utilisateurs des ordinateurs auxquels ils accèdent.

Le paramètre Paramètres machine du serveur proxy (plutôt que les paramètres individualisés) est configuré sur Activé pour les ordinateurs de bureau clients dans les deux environnements abordés dans ce guide. Toutefois, il est configuré sur Désactivé pour les ordinateurs portables clients car les utilisateurs itinérants peuvent avoir besoin de modifier leurs paramètres proxy quand ils sont en déplacement.

Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites
Si vous activez ce paramètre de stratégie, les paramètres de gestion de site sont désactivés pour les zones de sécurité. Pour accéder aux paramètres, sélectionnezOutils > Options Internet dans la barre de menus d'Internet Explorer, cliquez sur l'ongletSécurité et sur Sites. Si vous désactivez ou que vous ne configurez pas ce paramètre de stratégie, les utilisateurs pourront ajouter ou supprimer des sites Web dans les zones Sites de confiance etSites sensibles et modifier les paramètres de la zone Intranet local.

Le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à ajouter/supprimer des sites est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez le paramètreDésactiver l'onglet Sécurité (situé dans \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'ongletSécurité disparaît de l'interface et le paramètre Désactiver prime par rapport au paramètre Zones de sécurité .

Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies
Si vous activez ce paramètre de stratégie, le boutonNiveau personnalisé et le curseur Niveau de sécurité pour cette zone sont désactivés dans l'onglet Sécurité de la boîte de dialogueOptions Internet. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs pourront modifier les paramètres des zones de sécurité. Il empêche les utilisateurs de modifier les paramètres de stratégie des zones de sécurité définis par l'administrateur.

Le paramètre Zones de sécurité : ne pas autoriser les utilisateurs à modifier les stratégies est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Si vous activez le paramètreDésactiver l'onglet Sécurité (situé dans \Configuration utilisateur\
Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet), l'ongletSécurité disparaît d'Internet Explorer dans le Panneau de configuration et le paramètreDésactiver prime par rapport au paramètreZones de sécurité.

Zones de sécurité : utiliser seulement les paramètres ordinateur
Ce paramètre de stratégie affecte la manière dont les modifications apportées aux zones de sécurité s'appliquent aux différents utilisateurs. Il garantit l'uniformité des paramètres des zones de sécurité sur un même ordinateur de sorte qu'ils ne varient pas d'un utilisateur à l'autre. Si vous activez ce paramètre de stratégie, les modifications apportées par un utilisateur à une zone de sécurité s'appliqueront à l'ensemble des utilisateurs de l'ordinateur. Si vous le désactivez ou que vous ne le configurez pas, tous les utilisateurs d'un même ordinateur pourront établir leurs propres paramètres de zone de sécurité.

Le paramètre Zones de sécurité : utiliser seulement les paramètres ordinateur est configuré surActivé pour les deux environnements abordés dans ce guide.

Désactiver la détection d'arrêts intempestifs
Ce paramètre de stratégie permet de gérer la fonctionnalité de détection d'arrêts intempestifs du processus de gestion des modules complémentaires dans Internet Explorer. Si vous l'activez, les arrêts intempestifs dans Internet Explorer seront similaires à ceux qui surviennent sur un ordinateur Windows XP Professionnel avec Service Pack 1 (SP1) ou plus ; le système appellera le Rapport d'erreurs Windows. Si vous le désactivez, la fonction de détection d'arrêts intempestifs du processus de gestion des modules complémentaires sera opérationnelle.

Dans la mesure où les informations de rapport d'erreurs Internet Explorer peuvent contenir des données sensibles résidant dans la mémoire de l'ordinateur, le paramètre Désactiver la détection des pannes est configuré surActivé pour les deux environnements abordés dans ce guide. Si vous rencontrez fréquemment des arrêts intempestifs et que vous souhaitez les signaler pour bénéficier d'un dépannage, vous pouvez configurer provisoirement le paramètre surDésactivé.

Le dossier Configuration ordinateur\Modèles d'administration\Composants Windows\Internet Explorercomporte les sections de paramètres suivantes :

• Panneau de configuration Internet\Onglet Avancé

• Fonctionnalités de sécurité\Restriction de sécurité du protocole MK

• Fonctionnalités de sécurité\Gestion MIME cohérente

• Fonctionnalités de sécurité\Fonctionnalités de sécurité de détection MIME

• Fonctionnalités de sécurité\Restrictions de sécurité de scripts de fenêtres

• Fonctionnalités de sécurité\Protection contre l'élévation de zone

• Fonctionnalités de sécurité\Restreindre l'installation ActiveX

• Fonctionnalités de sécurité\Restreindre le téléchargement de fichiers

• Fonctionnalités de sécurité\Gestion des modules complémentaires

• Paramètre Liste des modules complémentaires Internet Explorer

Les valeurs par défaut des paramètres offrent un niveau de sécurité supérieur par rapport aux versions Windows antérieures. Toutefois, nous vous conseillons de passer en revue les différents paramètres pour savoir si vous devez les appliquer ou non dans votre environnement au vu des questions d'utilisation ou de compatibilité entre les applications.

Par exemple, vous pouvez configurer Internet Explorer pour bloquer par défaut les fenêtres contextuelles dans toutes les zones Internet. Vérifiez que le paramètre de stratégie est appliqué à l'ensemble des ordinateurs de votre environnement pour éliminer les fenêtres contextuelles et limiter les risques d'installation de logiciels malveillants et espions qui sont souvent véhiculés sur Internet. Il se peut également que votre environnement contienne des applications, qui nécessitent l'utilisation de fenêtres contextuelle pour fonctionner convenablement. Dans ce cas, vous pouvez configurer le paramètre de stratégie de façon à autoriser les fenêtres contextuelles pour les sites Web résidant sur votre intranet.

Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Tableau A45. Configuration recommandée pour le paramètre Onglet Avancé

Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide
Les contrôles Microsoft ActiveX® et les téléchargements de fichiers comportent souvent des signatures numériques, qui certifient l'intégrité des fichiers et l'identité de l'éditeur du logiciel (le signataire). Les signatures garantissent que le logiciel téléchargé n'a pas été modifié et identifient les signataires actifs afin de déterminer s'ils sont fiables.

Le paramètre Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide permet d'autoriser ou d'interdire l'installation ou l'exécution de logiciels téléchargés par les utilisateurs lorsque la signature n'est pas valide. Une signature non valide peut indiquer que le fichier a été modifié par une personne. Si vous activez ce paramètre de stratégie, le système affichera une invite lorsque les utilisateurs voudront installer ou exécuter des fichiers comportant une signature non valide. Si vous le désactivez, les utilisateurs ne pourront pas exécuter ni installer les fichiers comportant une signature non valide.

Puisque les logiciels non signés peuvent entraîner une vulnérabilité de sécurité, le paramètre de stratégie est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Certains logiciels et contrôles légitimes peuvent être acceptables malgré une signature non valide. Vous devez tester les logiciels à plusieurs reprises avant d'autoriser leur utilisation sur le réseau de votre entreprise.

Internet Explorer\Fonctions de sécurité\Restriction de sécurité du protocole MK

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restriction de sécurité du protocole MK

Tableau A46. Configuration recommandée pour le paramètre Protocole MK

Processus Internet Explorer (Protocole MK)
Ce paramètre de stratégie réduit la zone d'attaque potentielle de l'ordinateur en bloquant le protocole MK, qui est rarement utilisé. Certaines applications Web anciennes utilisent le protocole MK pour récupérer des informations dans des fichiers compressés. Si vous configurez ce paramètre de stratégie surActivé, le protocole MK sera bloqué pour l'Explorateur Windows et Internet Explorer ; les ressources qui utilisent le protocole MK ne fonctionneront donc pas. Si vous le désactivez, les autres applications seront autorisées à utiliser l'API du protocole MK.

Dans la mesure où le protocole MK n'est plus beaucoup utilisé, vous pouvez le bloquer si vous n'en avez pas besoin. Le paramètre est configuré sur Activé pour les deux environnements abordés dans ce guide. Microsoft vous recommande de bloquer le protocole MK sauf si vous en avez besoin dans votre environnement.

Remarque   Puisque les ressources qui utilisent le protocole MK ne fonctionnent pas si vous déployez ce paramètre de stratégie, vérifiez qu'aucune de vos applications n'utilise le protocole.

Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Gestion MIME cohérente

Tableau A47. Configuration recommandée pour le paramètre Gestion MIME cohérente

Processus Internet Explorer (Gestion MIME cohérente)
Internet Explorer utilise des données MIME (Multipurpose Internet Mail Extensions) pour déterminer les procédures de traitement des fichiers reçus via un serveur Web. Le paramètre Gestion MIME cohérente détermine si Internet Explorer requiert la cohérence de toutes les informations de types de fichier fournies par les serveurs Web. Par exemple, Internet Explorer modifiera l'extension du fichier si le type MIME d'un fichier est texte/brut et que les données MIME indiquent que le fichier est un fichier exécutable. Cette fonction garantit que le code exécutable ne puisse pas être déguisé en types de données fiables.

Si vous activez ce paramètre de stratégie, Internet Explorer examinera tous les fichiers reçus et appliquer des données MIME cohérentes. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer n'exigera pas de données MIME cohérentes pour l'ensemble des fichiers reçus et utilisera les données MIME fournies par les fichiers.

L'usurpation de types de fichier MIME constitue une menace potentielle pour votre entreprise. Vérifiez que les fichiers sont cohérents et correctement étiquetés pour empêcher les téléchargements de fichiers malveillants susceptibles d'infecter votre réseau. Le paramètre est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne conjointement avec les paramètresFonctionnalité de sécurité de détection MIME, mais ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Fonctionnalité de sécurité de détection MIME

Tableau A48. Configuration recommandée pour le paramètre Fonctionnalité de sécurité de détection MIME

Processus Internet Explorer (Fonctionnalité de sécurité de détection MIME)
Le processus de détection MIME examine le contenu d'un fichier MIME dans le but de déterminer son contexte (fichier de données, fichier exécutable ou autre type de fichier). Ce paramètre de stratégie permet de déterminer si la détection MIME d'Internet Explorer empêche la transformation d'un fichier d'un certain type en un type plus dangereux. Si vous le configurez surActivé, la détection MIME ne transformera pas les fichiers d'un certain type en un type plus dangereux. Si vous le désactivez, la détection MIME configurera les processus Internet Explorer pour autoriser la promotion des fichiers d'un certain type vers un type plus dangereux. Par exemple, un fichier texte peut être promu au titre de fichier exécutable ; cela présente des risques, car n'importe quel code se trouvant dans le fichier texte présumé peut être exécuté.

L'usurpation de types de fichier MIME constitue une menace potentielle pour votre entreprise. Microsoft vous recommande de vérifier que les fichiers sont cohérents pour empêcher les téléchargements de fichiers malveillants susceptibles d'infecter votre réseau..

Le paramètre Processus Internet Explorer (Fonctionnalité de sécurité de détection MIME) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne conjointement avec les paramètres Gestion MIME cohérente, mais ne les remplace pas.

Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restrictions de sécurité de scripts de fenêtres

Tableau A49. Configuration recommandée pour le paramètre Restrictions de sécurité de scripts de fenêtres

Processus Internet Explorer (Restrictions de sécurité de scripts de fenêtres)
Internet Explorer autorise les scripts à ouvrir, redimensionner et repositionner divers types de fenêtres par programmation. Très souvent, les sites Web non fiables redimensionnent les fenêtres pour masquer d'autres fenêtres ou forcer les utilisateurs à interagir avec une fenêtre contenant du code malveillant.

Le paramètre Processus Internet Explorer(Restrictions de sécurité de scripts de fenêtres) restreint les fenêtres contextuelles et interdit aux scripts d'afficher des fenêtres dans lesquelles les barres de titre et d'état ne sont pas visibles ou cachent les barres de titre et d'état d'autres fenêtres. Si vous activez ce paramètre de stratégie, les fenêtres contextuelles ne s'afficheront pas dans l'Explorateur Windows et les processus Internet Explorer. Si vous le désactivez ou que vous ne le configurez pas, les scripts pourront générer des fenêtres contextuelles et des fenêtres masquant d'autres fenêtres.

Le paramètre Processus Internet Explorer(Restrictions de sécurité de scripts de fenêtres) est configuré surActivé pour les deux environnements abordés dans ce guide. Si ce paramètre de stratégie est activé, les sites Web malveillants auront plus de mal à contrôler vos fenêtres Internet Explorer ou à pousser les utilisateurs à cliquer sur la mauvaise fenêtre.

Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Protection contre l'élévation de zone

Tableau A50. Configuration recommandée pour le paramètre Protection contre l'élévation de zone

Processus Internet Explorer (Protection contre l'élévation de zone)
Internet Explorer place des restrictions sur chaque page Web ouverte. Les restrictions dépendent de l'emplacement de la page Web (zone Internet, Intranet ou Ordinateur local). Les pages Web résidant sur un ordinateur local sont peu soumis aux restrictions de sécurité ; elles résident dans la zone Ordinateur local, qui constitue donc une cible de choix pour les utilisateurs malveillants.

Si vous activez le paramètre Processus Internet Explorer (Protection contre l'élévation de zone), n'importe quelle zone pourra être protégée contre l'élévation de zone par les processus Internet Explorer. De cette façon, le contenu qui s'exécute dans une zone ne pourra pas obtenir les privilèges élevés d'une autre zone. Si vous désactivez ce paramètre de stratégie, aucune zone ne recevra ce type de protection pour les processus Internet Explorer.

Étant donné la gravité et la fréquence des attaques d'élévation de zone, le paramètre Processus Internet Explorer (Protection contre l'élévation de zone) est configuré sur Activé pour les deux environnements abordés dans ce guide.

Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restreindre l'installation ActiveX

Tableau A51. Configuration recommandée pour le paramètre Restreindre l'installation ActiveX

Processus Internet Explorer (Restreindre l'installation ActiveX)
Ce paramètre de stratégie permet de bloquer les invites d'installation de contrôle ActiveX pour les processus Internet Explorer. Si vous l'activez, les invites d'installation de contrôle ActiveX seront bloquées pour les processus Internet Explorer. Si vous le désactivez, les invites d'installation de contrôles ActiveX ne seront pas bloquées et les utilisateurs pourront les voir.

Les utilisateurs installent souvent des logiciels comme les contrôles ActiveX, qui ne sont pas autorisés par la stratégie de sécurité de l'entreprise. Ces logiciels peuvent présenter des risques significatifs pour la sécurité et la confidentialité des réseaux. Le paramètre Processus Internet Explorer (Restreindre l'installation ActiveX) est donc configuré sur Activé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie empêche également les utilisateurs d'installer des contrôles ActiveX légitimes, qui risqueraient d'interférer avec des composants critiques du système (Windows Update, par exemple). Dans ce cas, veillez à mettre en œuvre une autre stratégie pour déployer des mises à jour de sécurité comme Windows Server Update Services (WSUS). Pour plus d'informations sur WSUS, consultez la page Windows Server Update Services Product Overview.

Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Restreindre le téléchargement de fichiers

Tableau A52. Configuration recommandée pour le paramètre Restreindre le téléchargement de fichiers

Processus Internet Explorer (Restreindre le téléchargement de fichiers)
Dans certains cas, les sites Web affichent des invites de téléchargement de fichiers à l'insu de l'utilisateur. Cette technique permet à certains sites Web de placer des fichiers non autorisés sur le disque dur de l'utilisateur si ce dernier clique sur le mauvais bouton et accepte le téléchargement.

Si vous configurez le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) sur Activé, les processus Internet Explorer bloqueront les invites de téléchargements de fichiers qui n'ont pas été demandées par les utilisateurs. Si vous le configurez sur Désactivé, les invites de téléchargements de fichiers non demandées s'afficheront.

Le paramètre Processus Internet Explorer (Restreindre le téléchargement de fichiers) est configuré surActivé pour les deux environnements abordés dans ce guide dans le but d'empêcher les utilisateurs malveillants de placer du code arbitraire sur les ordinateurs des utilisateurs.

Internet Explorer\Fonctions de sécurité\Gestion des modules complémentaires

Vous pouvez configurer les paramètres recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Internet Explorer\Fonctions de sécurité\Gestion des modules complémentaires

Tableau A53. Configuration recommandée pour le paramètre Gestion des modules complémentaires

Interdire tous les modules complémentaires, sauf s’ils sont explicitement autorisés dans la liste des modules complémentaires
Ce paramètre de stratégie (ainsi que le paramètre Liste des modules complémentaires) permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètre Liste des modules complémentairesdéfinit une liste des modules complémentaires autorisés ou interdits par la stratégie de groupe. Le paramètreInterdire tous les modules complémentaires, sauf s’ils sont explicitement autorisés dans la liste des modules complémentaires suppose que tous les modules complémentaires sont interdits sauf s'ils sont répertoriés dans le paramètre Liste des modules complémentaires.

Si vous l'activez, Internet Explorer autorisera uniquement les modules complémentaires répertoriés dans la Liste des modules complémentaires. Si vous le désactivez, les utilisateurs pourront utiliser le Gestionnaire de modules complémentaires pour autoriser ou interdire les modules complémentaires.

Nous vous conseillons d'utiliser conjointement les paramètresInterdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires, qui peuvent être utilisés dans votre environnement. De cette façon, vous serez sûr que seuls les modules complémentaires autorisés seront utilisés.

Liste des modules complémentaires
Ce paramètre de stratégie (ainsi que le paramètreInterdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires) permet de contrôler les modules complémentaires Internet Explorer. Par défaut, le paramètreListe des modules complémentaires définit une liste des modules complémentaires autorisés ou interdits par la stratégie de groupe. Le paramètre Interdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires suppose que tous les modules complémentaires sont interdits sauf s'ils sont répertoriés dans le paramètre Liste des modules complémentaires.

Si vous activez le paramètre Liste des modules complémentaires, vous devrez répertorier la liste des modules complémentaires autorisés ou interdits par Internet Explorer. Puisque les modules interdits varient d'une entreprise à l'autre, vous ne trouverez pas de liste détaillée dans ce guide. Pour chaque entrée que vous ajoutez à la liste, vous devez fournir les informations suivantes :

• Nom de la valeur. Il s'agit de l'identificateur de classe (CLSID) du module complémentaire que vous souhaitez ajouter à la liste. Vous devez le taper entre accolades. Par exemple : {000000000-0000-0000-0000-0000000000000}. Pour connaître l'identificateur CLSID?d'un module complémentaire, lisez la balise OBJECT?d'une page Web sur laquelle le module complémentaire est référencé.

• Valeur. Il s'agit d'un numéro, qui indique à Internet Explorer s'il doit accepter ou interdire le chargement du module complémentaire. Vous pouvez utiliser les valeurs suivantes :

  • 0-Refuser ce module complémentaire

  • 1-Autoriser ce module complémentaire

  • 2 -Autoriser le module complémentaire et permettre à l'utilisateur de le gérer au moyen du paramètre Gérer les modules complémentaires

Si vous désactivez le paramètre Liste des modules complémentaires, le système supprime la liste. Nous vous conseillons d'utiliser conjointement les paramètresInterdire tous les modules complémentaires, sauf s'ils sont explicitement autorisés dans la liste des modules complémentaires et Liste des modules complémentaires pour contrôler les modules complémentaires, qui peuvent être utilisés dans votre environnement. De cette façon, vous serez sûr que seuls les modules complémentaires autorisés seront utilisés.

NetMeeting

Microsoft NetMeeting® permet d'organiser des réunions virtuelles au sein du réseau de votre entreprise. Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows\
NetMeeting

Tableau A54. Configuration recommandée pour les paramètres NetMeeting

Désactiver le partage de Bureaux distants
Ce paramètre de stratégie désactive la fonctionnalité de partage de bureaux distants de NetMeeting. Si vous l'activez, les utilisateurs ne pourront pas configurer NetMeeting pour contrôler le bureau local à distance.

Le paramètre Désactiver le partage de Bureaux distants est configuré sur Non configuré pour l'environnement EC. En revanche, il est défini sur Activé dans l'environnement SSLF dans le but d'empêcher les utilisateurs de partager à distance des bureaux distants via NetMeeting.

Services Terminal Server

Les paramètres Services Terminal Server proposent des options pour rediriger les ressources d'ordinateurs clients vers des serveurs auxquels les utilisateurs accèdent via Terminal Server Cette section permet de configurer les paramètres des composants suivants :

• Client Connexion Bureau à Distance

• Terminal Server\Connexions

• Terminal Server\Redirection de périphérique et de ressource

• Terminal Server\Sécurité

Services Terminal Server\Client Connexion Bureau à Distance

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Modèles d'administration\Composants Windows\Services Terminal Server
\Connexion Bureau à Distance

Tableau A55. Configuration recommandée pour le paramètre Ne pas autoriser l'enregistrement des mots de passe

Ne pas autoriser l'enregistrement des mots de passe
Ce paramètre de stratégie empêche les clients des services Terminal Server d'enregistrer leurs mots de passe sur un ordinateur. Si vous l'activez, les utilisateurs ne pourront pas enregistrer leurs mots de passe car la case Enregistrer le mot de passe ne sera pas disponible sur les clients Terminal Server.

Étant donné que l'enregistrement de mots de passe peut présenter certains risques, le paramètre Ne pas autoriser l'enregistrement des mots de passe est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Si le paramètre de stratégie était configuré sur Désactivé ou Non configuré par le passé, le système effacera les mots de passe précédemment enregistrés lorsqu'un client Terminal Server se déconnectera pour la première fois d'un serveur.

Services Terminal Server\Terminal Server\Connexions

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Services Terminal Server\Terminal Server\Connexions

Tableau A56. Configuration recommandée pour le paramètre Connexions

Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server
Ce paramètre permet de déterminer si les utilisateurs peuvent ouvrir une session sur un ordinateur utilisant des services Terminal Server ou un Bureau à distance.

Dans l'environnement SSLF, les utilisateurs doivent ouvrir une session directement sur la console physique de l'ordinateur. Le paramètre Autoriser les utilisateurs à se connecter à distance avec les services Terminal Server est donc configuré sur Désactivé pour l'environnement SSLF. Toutefois, il n'est pas configuré pour l'environnement EC.

Services Terminal Server\Terminal Server\Redirection de périphérique et de ressource

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
Services Terminal Server\Terminal Server\Redirection de périphérique et de ressource

Tableau A57. Configuration recommandée pour le paramètre Redirection de périphérique et de ressource

Ne pas autoriser la redirection de lecteur
Ce paramètre de stratégie empêche les utilisateurs de partager les lecteurs locaux de leurs ordinateurs clients avec les services Terminal Servers auxquels ils ont accès. Les lecteurs mappés apparaissent dans l'arborescence des dossiers de session de l'Explorateur Windows au format suivant :

\\TSClient\<lettre lecteur>$

Si les lecteurs locaux sont partagés, ils sont exposés aux attaques tentant d'exploiter les données qu'ils contiennent. De ce fait, le paramètre Ne pas autoriser la redirection de lecteur est configuré sur Activé pour l'environnement SSLF. Toutefois, il n'est pas configuré pour l'environnement EC.

Services Terminal Server\Terminal Server\Sécurité

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration
Composants \Windows\Services Terminal Server\Terminal Server\Sécurité

Tableau A58. Configuration recommandée pour le paramètre Sécurité des services Terminal Server

Toujours demander au client le mot de passe à la connexion
Ce paramètre de stratégie indique si les services Terminal Server doivent toujours demander un mot de passe à l'ordinateur client lors de la connexion. Vous pouvez l'utiliser pour afficher une invite de mot de passe destinée aux utilisateurs, qui se connectent aux services Terminal Server même s'ils ont déjà tapé leur mot de passe sur le client Connexion Bureau à distance. Par défaut, les services Terminal Server autorisent les utilisateurs à se connecter automatiquement s'ils tapent un mot de passe sur le client de Connexion Bureau à distance.

Le paramètre Toujours demander au client le mot de passe à la connexion est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Si vous ne configurez pas ce paramètre, l'administrateur de l'ordinateur local peut utiliser l'outil Configuration des services Terminal Server pour autoriser ou empêcher l'envoi automatique de mots de passe.

Définir le niveau de chiffrement de la connexion client
Ce paramètre de stratégie indique si l'ordinateur qui s'apprête à accueillir la connexion à distance doit mettre en œuvre un niveau de chiffrement pour l'ensemble des données transitant par l'ordinateur client lors de la session à distance.

Le niveau de chiffrement est configuré surActivé:Niveau haut ; le système met en œuvre un chiffrement 128 bits pour les deux environnements abordés dans ce guide.

Windows Messenger

Windows Messenger permet d'envoyer des messages instantanés à d'autres utilisateurs résidant sur un réseau d'ordinateurs. Les messages peuvent comporter des fichiers et/ou d'autres pièces jointes.

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d’administration
\Composants Windows\Windows Messenger

Tableau A59. Configuration recommandée pour le paramètre Windows Messenger

Ne pas autoriser l’exécution de Windows Messenger
Vous pouvez activer le paramètre Ne pas autoriser l'exécution de Windows Messenger pour désactiver Windows Messenger et empêcher son exécution. Étant donné que cette application a été utilisée à des fins malveillantes par le passé (courrier indésirable, distribution de logiciels malveillants et divulgation de données sensibles), Microsoft vous recommande de configurer le paramètre Ne pas autoriser l'exécution de Windows Messenger surActivé pour les environnements EC et SSLF.

Remarque   Ce paramètre affecte uniquement le logiciel Windows Messenger inclus dans Windows XP. Il n'empêche pas les utilisateurs d'exécuter MSN® Messenger ou Windows Live™ Messenger.

Windows Update

Les paramètres de Windows Update permettent aux administrateurs de gérer la manière dont les mises à jour et les correctifs sont mis en œuvre sur les postes de travail Windows Vista. Les mises à jour sont disponibles à partir de Windows Update. Vous pouvez également mettre en place un site Web intranet, qui distribuera les mises à jour et les correctifs sans utiliser d'outil d'administration complémentaire.

Windows Server Update Services (WSUS) est un service d'infrastructure, qui s'appuie sur les technologies Microsoft Windows Update et Software Update Services (SUS). Il gère et distribue les mises à jour Windows critiques destinées à résoudre des brèches de sécurité et les problèmes de stabilité connus sur les systèmes Microsoft Windows.

WSUS élimine les opérations manuelles au profit d'un système de notification dynamique, qui installe automatiquement les mises à jour critiques disponibles pour les clients Windows via votre serveur intranet. L'accès à ce service ne requiert pas de connexion Internet. Cette technologie constitue également une solution simple et automatique pour distribuer des mises à jour sur les postes de travail et les serveurs Windows.

Windows Server Update Services propose également les fonctionnalités suivantes :

• Administration des synchronisations de contenu sur votre intranet. Ce service de synchronisation est un composant côté serveur, qui récupère les mises à jour critiques à partir de Windows Update. À mesure que de nouvelles mises à jour sont ajoutées à Windows Update, le serveur qui exécute WSUS les télécharge et les stocke automatiquement d'après un calendrier défini par l'administrateur.

• Un serveur Windows Update hébergé sur l'intranet. Ce serveur simple à utiliser joue le rôle de serveur Windows Update virtuel pour les ordinateurs clients. Il propose un service de synchronisation et des outils d'administration pour gérer les mises à jour. Il utilise le protocole HTTP pour traiter des demandes de mises à jour approuvées émanant des clients connectés. Le serveur peut également héberger des mises à jour critiques qui sont téléchargées à partir du service de synchronisation et informer les clients de leur disponibilité.

• Administration des mises à jour. L'administrateur peut tester et valider les mises à jour émanant du site public Windows Update avant de les déployer sur l'intranet de l'entreprise. Les mises à jour sont déployées d'après un calendrier défini par l'administrateur Si WSUS s'exécute sur plusieurs ordinateurs, l'administrateur détermine quels ordinateurs peuvent accéder aux serveurs qui proposent le service. L'administrateur peut définir ce niveau d'intervention à l'aide de la stratégie de groupe dans un environnement Active Directory ou par l'intermédiaire de clés de Registre.

• Mises à jour automatiques (sur les postes de travail ou les serveurs). Le service Mises à jour automatiques est une fonction Windows, qui permet de vérifier automatiquement les mises à jour disponibles sur le site Windows Update. WSUS l'utilise pour publier sur un intranet les mises à jour validées par l'administrateur.

Remarque   Si vous optez pour une autre méthode de distribution des mises à jour (notamment Microsoft Systems Management Server), nous vous recommandons de désactiver le paramètre Configuration du service Mises à jour automatiques.

Il existe plusieurs paramètres Windows Update. Vous devez configurer au moins trois paramètres pour assurer le bon fonctionnement de Windows Update : Configuration du service Mises à jour automatiques, Pas de redémarrage automatique des installations planifiées des mises à jour automatiques et Replanifier les installations planifiées des mises à jour automatiques. Il existe un quatrième paramètre facultatif, qui dépend des exigences de votre entreprise : Spécifier l'emplacement intranet du service de Mise à jour Microsoft.

Vous pouvez configurer les paramètres recommandés ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration ordinateur\Modèles d'administration\Composants Windows
\Windows Update

Les paramètres présentés dans cette section ne traitent pas chacun de risques de sécurité spécifiques ; ils dépendent davantage des préférences de l'administrateur. Toutefois, la configuration de Windows Update est essentielle à la sécurité de votre environnement car elle garantit que les ordinateurs clients qui le composent bénéficient des mises à jour de sécurité de Microsoft dès qu'elles sont disponibles.

Remarque   Windows Update dépend de plusieurs services, notamment le service de Registre distant et le service de transfert intelligent en arrière-plan.

Le tableau suivant présente la configuration recommandée pour les paramètres Windows Update. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A60. Configuration recommandée pour les paramètres Windows Update

Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows
Ce paramètre de stratégie détermine si l'optionInstaller les mises à jour et éteindre doit s'afficher dans la boîte de dialogue Arrêt de Windows. Si vous le désactivez, l'optionInstaller les mises à jour et éteindre s'affiche dans la boîte de dialogue Arrêt de Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter dans le menuDémarrer.

Puisque les mises à jour sont essentielles à la sécurité globale des ordinateurs, le paramètre Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configuré surDésactivé pour les deux environnements abordés dans ce guide. Il fonctionne conjointement avec le paramètreNe pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows.

Ne pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows
Ce paramètre de stratégie détermine si l'optionInstaller les mises à jour et éteindre doit être l'option par défaut dans la boîte de dialogueArrêt de Windows. Si vous le désactivez, l'option Installer les mises à jour et éteindresera l'option par défaut de la boîte de dialogue Arrêt de Windows si des mises à jour sont disponibles lorsque l'utilisateur sélectionne l'option Arrêter dans le menu Démarrer.

Puisque les mises à jour sont essentielles à la sécurité globale des ordinateurs, le paramètre Ne pas modifier l'option par défaut "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie n'a pas d'effet si l'option Configuration ordinateur\Modèles d'administration\Composants Windows\Windows Update\Ne pas afficher l'option "Installer les mises à jour et éteindre" dans la boîte de dialogue Arrêt de Windows est configurée surActivé.

Configuration du service Mises à jour automatiques
Ce paramètre de stratégie indique si les ordinateurs de votre environnement recevront les mises à jour de sécurité par l'intermédiaire de Windows Update ou de WSUS. Si vous le configurez sur Activé, le système d'exploitation utilisera une connexion réseau dès qu'elle sera disponible pour rechercher les mises à jour applicables sur Windows Update ou sur votre site intranet désigné.

Après avoir configuré le paramètre surActivé, sélectionnez l'une des trois options de la boîte de dialogue Configurer les propriétés des mises à jour automatiques pour définir le fonctionnement du service :

• Avertir l’utilisateur avant de télécharger des mises à jour et l’avertir à nouveau avant de les installer

• Télécharger automatiquement les mises à jour et avertir l’utilisateur lorsqu’elles sont prêtes pour l’installation (par défaut)

• Télécharger automatiquement les mises à jour et les installer en fonction de la planification spécifiée ci-dessous

Si vous désactivez ce paramètre de stratégie, vous devrez télécharger et installer manuellement les mises à jour disponibles à partir de Windows Update.

Le paramètre Configuration du service Mises à jour automatiques est configuré sur Activépour les deux environnements abordés dans ce guide.

Pas de redémarrage automatique des installations planifiées des mises à jour automatiques
Si vous activez ce paramètre de stratégie, l'ordinateur attendra que l'utilisateur redémarre l'ordinateur pour réaliser une installation planifiée. Sinon, l'ordinateur redémarrera automatiquement. Il empêche le service Mises à jour automatiques de redémarrer l'ordinateur lors d'une installation planifiée. Si le service Mises à jour automatique a besoin de redémarrer l'ordinateur pour terminer une installation de mise à jour, il indique à l'utilisateur connecté qu'il pourra redémarrer son ordinateur plus tard. Le service Mises à jour automatiques ne pourra pas détecter les mises à jour futures tant que l'ordinateur n'aura pas redémarré.

Si le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiquesest configuré sur Désactivé ou Non configuré, le service Mises à jour automatiques avertit l'utilisateur que l'ordinateur redémarrera automatiquement dans les cinq minutes qui suivent pour terminer l'installation. Si les redémarrages automatiques constituent un problème quelconque, vous pouvez configurer le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiques sur Activé. Si vous l'activez, pensez à planifier le redémarrage des ordinateurs clients après les heures de travail pour être sûr que les mises à jour seront installées.

Le paramètre Pas de redémarrage automatique des installations planifiées des mises à jour automatiquesest configuré sur Désactivé pour les deux environnements abordés dans ce guide.

Remarque   Ce paramètre de stratégie fonctionne uniquement si le service Mises à jour automatiques est configuré pour réaliser des installations planifiées des mises à jour. Il ne fonctionnera pas si le paramètreConfiguration du service Mises à jour automatiques est configuré surDésactivé.

Replanifier les installations planifiées des mises à jour automatiques
Ce paramètre de stratégie détermine le délai que le système doit attendre pour réaliser les installations planifiées du service Mises à jour automatiques après redémarrage. Si vous le configurez sur Activé, le système réalisera une installation planifiée au bout du nombre de minutes spécifié la prochaine fois que l'utilisateur démarrera l'ordinateur. Si vous le configurez sur Désactivé ou Non configuré, les installations planifiées seront réalisées à l'heure indiquée.

Le paramètre Replanifier les installations planifiées des mises à jour automatiques est configuré surActivé pour les deux environnements abordés dans ce guide. Une fois le paramètre de stratégie activé, vous pouvez modifier le délai d'attente par défaut si vous le souhaitez.

Remarque   Ce paramètre de stratégie fonctionne uniquement si le service Mises à jour automatiques est configuré pour réaliser des installations planifiées des mises à jour. Si le paramètre Configuration du service Mises à jour automatiques est configuré surDésactivé, le paramètre Replanifier les installations planifiées des mises à jour automatiquesest sans effet. En activant les deux paramètres, vous êtes sûr que les installations qui n'ont pas eu lieu seront planifiées à chaque redémarrage de l'ordinateur.

Stratégie utilisateur

Dans le reste de cette annexe, vous découvrirez des recommandations concernant les paramètres de configuration utilisateur. Ils ne doivent pas être appliqués aux ordinateurs, mais aux utilisateurs. Vous devez les mettre en œuvre dans une stratégie de groupe que vous associerez à l'unité d'organisation, qui contient les utilisateurs que vous souhaitez configurer. Appliquez les paramètres au moyen d'un objet de stratégie de groupe associé à une unité d'organisation contenant les comptes d'utilisateur.

Remarque   Les paramètres de configuration utilisateur sont appliqués à tous les ordinateurs Windows Vista auxquels l'utilisateur se connecte à travers un domaine Active Directory. Toutefois, les paramètres de configuration ordinateur s'appliquent à tous les ordinateurs clients qui sont régis par un objet GPO dans Active Directory (quel que soit l'utilisateur connecté à l'ordinateur).

Configuration utilisateur\Modèles d'administration

Les sections suivantes présentent les paramètres de stratégie utilisateur recommandés. Ils figurent dans le sous-nœudConfiguration utilisateur\Modèles d'administration de l'Éditeur d'objets de stratégie de groupe :

• Système

  • Gestion de l’alimentation

• Composants Windows

  • Gestionnaire de pièces jointes

  • Internet Explorer

  • Explorateur Windows

Système

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système

Le tableau suivant présente la configuration recommandée pour les paramètres utilisateur de l'Éditeur de Registre.

Tableau A61. Configuration recommandée pour le paramètre utilisateur Système

Empêche l'accès aux outils de modifications du Registre
Ce paramètre de stratégie désactive les éditeurs du Registre Windows (Regedit.exe et Regedt32.exe). Si vous l'activez, un message indique aux utilisateurs qu'ils ne peuvent pas les utiliser s'ils tentent d'utiliser l'un des deux éditeurs. Il empêche les utilisateurs et intrus potentiels d'accéder au Registre à l'aide des deux outils, mais n'interdit pas l'accès au Registre proprement dit.

Le paramètre Empêche l'accès aux outils de modifications du Registre est configuré sur Non configuré pour l'environnement EC. Il est configuré surActivé pour l'environnement SSLF.

Gestion de l’alimentation

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets Stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Système\Gestion de l'alimentation

Le tableau suivant présente la configuration recommandée pour le paramètre Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension.

Tableau A62. Configuration recommandée pour le paramètre utilisateur Système\Gestion de l'alimentation

Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension
Ce paramètre de stratégie détermine si les ordinateurs clients de votre environnement sont verrouillés en cas de reprise après une mise en veille prolongée ou suspension. Si vous l'activez, les ordinateurs clients sont verrouillés ; les utilisateurs devront taper un mot de passe pour les déverrouiller. Si vous le désactivez ou que vous ne le configurez pas, votre environnement peut être exposé à des violations de sécurité pouvant être graves car n'importe quel utilisateur peut accéder aux ordinateurs clients.

Le paramètre Demande le mot de passe lors de la reprise à partir de la mise en veille prolongée/suspension est configuré sur Activé pour les deux environnements abordés dans ce guide.

Composants Windows

Vous pouvez configurer le paramètre recommandé ci-dessous à l'emplacement suivant dans l'Éditeur d'objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Éditeur du Registre.

Gestionnaire de pièces jointes

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Gestionnaire de pièces jointes

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Gestionnaire de pièces jointes. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A63. Configuration recommandée pour le paramètre utilisateur Gestionnaire de pièces jointes

Ne pas conserver les informations de zones dans les pièces jointes
Ce paramètre de stratégie permet de déterminer si Windows inclut les informations concernant la zone d'origine des pièces jointes Internet Explorer ou Microsoft Outlook® Express sensible Internet, intranet ou locale). Pour qu'il fonctionne correctement, les fichiers doivent être téléchargés dans des partitions de disque NTFS. Si les informations de zones ne sont pas conservées, Windows ne pourra pas évaluer correctement les risques sur la zone d'origine de la pièce jointe.

Si le paramètre Ne pas conserver les informations de zones dans les pièces jointes est activé, les pièces jointes ne contiendront pas d'informations concernant la zone d'origine. Si vous le désactivez, Windows stockera les pièces jointes avec les informations correspondantes. Puisque des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non approuvées (notamment Internet), Microsoft vous recommande de configurer le paramètre de stratégie sur Désactivé dans le but de préserver un maximum d'informations avec chaque fichier.

Le paramètre Ne pas conserver les informations de zones dans les pièces jointes est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Masquer les mécanismes de suppression d'informations de zones
Ce paramètre de stratégie permet d'autoriser ou non les utilisateurs à supprimer manuellement les informations de zone des pièces jointes enregistrées. Généralement, ils peuvent cliquer sur le bouton Déverrouiller de la boîte de dialogue Propriétés ou cocher une case de la boîte de dialogue Avertissement de sécurité. Si les informations de zone sont supprimées, les utilisateurs peuvent ouvrir des pièces jointes potentiellement dangereuses qui avaient été interdites par Windows.

Si le paramètre Masquer les mécanismes de suppression d'informations de zones est activé, Windows masque la case à cocher et le bouton Déverrouiller. Si vous le désactivez, Windows affiche la case à cocher et le boutonDéverrouiller. Puisque des pièces jointes dangereuses sont fréquemment téléchargées à partir de zones Internet Explorer non approuvées (notamment Internet), Microsoft vous recommande de configurer le paramètre de stratégie surActivé dans le but de préserver un maximum d'informations avec chaque fichier.

Le paramètre Masquer les mécanismes de suppression d'informations de zones est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Pour déterminer si les fichiers sont enregistrés avec les informations de zone, reportez-vous au paramètre Ne pas conserver les informations de zones dans les pièces jointes de fichiers précédent.

Avertir les programmes antivirus lors de l'ouverture des pièces jointes
Les programmes antivirus sont obligatoires dans la majeure partie des environnements et assurent une bonne défense contre les attaques.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes permet de gérer la façon dont les programmes antivirus enregistrés sont avertis. Si vous l'activez, Windows appelle le programme antivirus enregistré en lui demandant d'analyser les pièces jointes lorsque les utilisateurs les ouvrent. Si l'analyse antivirus échoue, les pièces jointes sont bloquées et ne peuvent pas être ouvertes. Si vous désactivez le paramètre de stratégie, Windows n'appelle pas le programme antivirus enregistré à l'ouverture des pièces jointes. Microsoft vous recommande de le configurer surActivé dans tous environnements de sorte que tous les fichiers soient examinés par un programme antivirus avant d'être ouverts.

Le paramètre Avertir les programmes antivirus lors de l'ouverture des pièces jointes est configuré surActivé pour les deux environnements abordés dans ce guide.

Remarque   Pour que le paramètre de stratégie fonctionne correctement, un programme antivirus à jour doit être installé.

Internet Explorer

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows\
Internet Explorer

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Internet Explorer. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A64. Configuration recommandée pour le paramètre utilisateur Internet Explorer

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Configurer Outlook Express
Ce paramètre de stratégie permet aux administrateurs d'autoriser ou non les utilisateurs Microsoft Outlook® Express d'enregistrer ou d'ouvrir des pièces jointes pouvant contenir un virus. Les utilisateurs ne peuvent pas désactiver le paramètreConfigurer Outlook Express pour déverrouiller le blocage des pièces jointes. Pour appliquer ce paramètre, cliquez sur Activer et sélectionnez Bloquer les pièces jointes qui pourraient contenir un virus.

Le paramètre Configurer Outlook Express est configuré sur Activé avec l'optionBloquer les pièces jointes qui pourraient contenir un virus dans les deux environnements définis dans ce guide.

Désactiver "Configuration de l’historique"
Ce paramètre détermine le nombre de jours pendants lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation. Vous pouvez accéder à l'option Supprimer l'historique de navigation à partir de l'ongletOutils > Options Internet > Général. Le paramètre est également disponible via l'option Supprimer l'historique sous Outils > Options Internet > Supprimer l'historique de navigation dans Internet Explorer 7.

Si vous l'activez, l'utilisateur ne pourra pas définir le nombre de jours pendant lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation. Vous devrez préciser la durée en jours. Les utilisateurs ne pourront pas supprimer l'historique de navigation. Si vous désactivez ou que vous ne configurez pas le paramètre, l'utilisateur pourra définir le nombre de jours pendant lesquels Internet Explorer consigne les pages affichées dans l'historique de navigation et également utiliser l'option Supprimer l'historique de navigation.

Le paramètre Désactiver "Configuration de l’historique" est configuré sur Non configuré pour l'environnement EC et surActivé:40 pour l'environnement SSLF.

Désactiver la saisie semi-automatique dans les formulaires
Ce paramètre de stratégie contrôle la saisie automatique des champs dans les formulaires de pages Web. Si vous l'activez, la fonction de saisie automatique ne suggère pas de propositions pour le remplissage des formulaires. Elle permet de protéger les données sensibles dans certains environnements.

Le paramètre Désactiver la saisie semi-automatique dans les formulaires est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la modification des paramètres de la configuration automatique
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres configurés automatiquement. Les administrateurs peuvent utiliser la configuration automatique pour mettre à jour régulièrement les paramètres du navigateur. Si vous l'activez, les paramètres de configuration automatique seront désactivés dans Internet Explorer. Ils figurent dans la zoneConfiguration automatique de la boîte de dialogue de Paramètres réseau. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe.

Pour afficher la boîte de dialogue Paramètres réseau :

1. Ouvrez la boîte de dialogue Options Internet, puis cliquez sur l'onglet Connexions.

2. Cliquez sur le bouton Paramètres réseau pour afficher les paramètres.

Le paramètre Désactiver la modification des paramètres de la configuration automatique est configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Le paramètre Désactiver l'onglet Connexions supprime l'ongletConnexions d'Internet Explorer dans le Panneau de configuration et prime par rapport à l'option de configurationDésactiver la modification des paramètres de la configuration automatique. Si le premier paramètre est activé, le système ignore le second. Le paramètreDésactiver l'onglet Connexions figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres des certificats
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres des certificats dans Internet Explorer. Les certificats permettent de vérifier l'identité des éditeurs de logiciels. Si vous l'activez, les paramètres de certificats seront désactivés dans la zone Certificats de l'ongletContenu de la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe.

Le paramètre Désactiver la modification des paramètres des certificats est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Même si le paramètre de stratégie est activé, les utilisateurs pourront toujours exécuter l'Assistant Importation du Gestionnaire de certificats en double-cliquant sur le fichier de certificat .spc (Software Publishing Certificate). Cet assistant permet aux utilisateurs d'importer et de configurer des paramètres de certificats émanant d'éditeurs de logiciels, qui ne sont pas configurés dans Internet Explorer.

Remarque   Le paramètre Désactiver l'onglet Contenu supprime l'ongletContenu d'Internet Explorer dans le Panneau de configuration et prime par rapport à l'option de configurationDésactiver la modification des paramètres des certificats. Si le premier paramètre est activé, le système ignore le second. Le paramètre Désactiver l'onglet Contenu figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres de connexion
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de connexion à distance. Si vous l'activez, le bouton Paramètres disparaît de l'ongletConnexions dans la boîte de dialogueOptions Internet. Il empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe. Vous pouvez le désactiver dans le cas des utilisateurs d'ordinateurs portables, qui sont amenés à modifier leurs paramètres de connexion lors de leurs déplacements.

Le paramètre Désactiver la modification des paramètres de connexion est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Si vous configurez le paramètreDésactiver l'onglet Connexions, vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètreDésactiver l'onglet Connexions supprime l'ongletConnexions de l'interface. Le paramètreDésactiver l'onglet Connexions figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Désactiver la modification des paramètres de proxy
Ce paramètre de stratégie empêche les utilisateurs de modifier les paramètres de proxy. Si vous l'activez, les paramètres de proxy seront désactivés. Les paramètres de proxy figurent dans la zone Serveur proxy de la boîte de dialogueParamètres réseau, qui s'affiche lorsque l'utilisateur clique sur l'onglet Connexions, puis sur le bouton Paramètres réseau dans la boîte de dialogue Options Internet. Ce paramètre de stratégie empêche également les utilisateurs de modifier les paramètres configurés via la stratégie de groupe. Vous pouvez le désactiver dans le cas des utilisateurs d'ordinateurs portables, qui sont amenés à modifier leurs paramètres de connexion lors de leurs déplacements.

Le paramètre Désactiver la modification des paramètres de proxy est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Remarque   Si vous configurez le paramètreDésactiver l'onglet Connexions, vous n'avez pas besoin de configurer ce paramètre de stratégie. Le paramètreDésactiver l'onglet Connexions supprime l'ongletConnexions de l'interface. Ce paramètre figure sous \Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet dans l'Éditeur d'objets Stratégie de groupe.

Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires
Ce paramètre de stratégie détermine si les utilisateurs peuvent autoriser ou refuser des modules complémentaires via leGestionnaire de modules complémentaires. Si vous l'activez, les utilisateurs ne pourront pas les activer ni les désactiver via le Gestionnaire de modules complémentaires à l'exception des modules complémentaires éventuellement associés au paramètreListe des modules complémentaires. Dans ce cas, ils pourront continuer à les gérer via le Gestionnaire de modules complémentaires. Si vous désactivez ou que vous ne configurez pas le paramètre de stratégie, l'utilisateur aura accès aux commandes adéquates du Gestionnaire de modules complémentaires.

Le paramètre Ne pas autoriser les utilisateurs à activer ou désactiver les modules complémentaires est configuré sur Non configuré pour l'environnement EC et sur Activé pour l'environnement SSLF.

Interdire la fonctionnalité « Corriger les paramètres »
Ce paramètre de stratégie empêche les utilisateurs d'exécuter la fonctionnalité Corriger les paramètresassociée à la fonction de vérification des paramètres de sécurité dans Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas cliquer sur l'optionDéfinir les paramètres pour moi dans le menu contextuel de la Barre d'informations qui s'affiche lorsqu'Internet Explorer détermine que sa configuration n'est pas sécurisée.

Le paramètre Interdire la fonctionnalité « Corriger les paramètres » est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Empêcher la suppression des fichiers Internet temporaires et des cookies
Ce paramètre de stratégie permet de gérer les fichiers Internet temporaires et les cookies associés à votre historique de navigation Internet. Il est disponible sous Outils > Options Internet > Supprimer l'historique de navigationdans Internet Explorer 7. Si vous l'activez, les utilisateurs ne pourront pas supprimer les fichiers Internet temporaires ni les cookies. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs pourront les supprimer.

Le paramètre Empêcher la suppression des fichiers Internet temporaires et des cookies est configuré surNon configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la fonctionnalité « Supprimer l’historique de navigation »
Ce paramètre de stratégie empêche les utilisateurs d'utiliser la fonction Supprimer l'historique de navigation dans Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas exécuter la fonction Supprimer l'historique de navigation dans Options Internet sous Internet Explorer 7. Si vous le désactivez ou que vous ne le configurez pas, ils auront accès au paramètre Supprimer l'historique de navigation dans Options Internet sous Internet Explorer 7.

Le paramètre Désactiver la fonctionnalité « Supprimer l’historique de navigation » est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Désactiver la fonction de vérification des paramètres de sécurité
Ce paramètre permet de désactiver la fonction de vérification des paramètres de sécurité, qui vérifie les paramètres de sécurité Internet Explorer pour savoir à quel moment ils font courir un risque au programme Internet Explorer. Si vous l'activez, le système ne vérifie pas les paramètres de sécurité. Si vous le désactivez, il les vérifie. Si vous ne le configurez pas, l'utilisateur pourra modifier le paramètreDésactiver la fonction de vérification des paramètres de sécurité.

Le paramètre Désactiver la fonction de vérification des paramètres de sécurité est configuré surNon configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Désactiver la fonctionnalité de saisie semi-automatique des noms d’utilisateur et des mots de passe sur les formulaires
Ce paramètre de stratégie contrôle la saisie automatique des noms d'utilisateur et des mots de passe dans les formulaires Web et empêche l'affichage d'invites utilisateur pour l'enregistrement de mots de passe. Si vous le désactivez, le système grise les cases à cocher Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe, puis interdit l'enregistrement des mots de passe en local.

Le paramètre Désactiver la fonctionnalité de saisie semi-automatique des noms d’utilisateur et des mots de passe sur les formulaires est configuré surDésactivé pour les deux environnements abordés dans ce guide.

Les sections de paramètres suivantes figurent sousConfiguration ordinateur\Modèles d'administration\Composants Windows\Internet Explorer :

• Menus du navigateur

• Panneau de configuration Internet

• Panneau de configuration Internet\Onglet Avancé

• Panneau de configuration Internet\Onglet Sécurité

• Panneau de configuration Internet\Onglet Sécurité\Zone Internet

• Panneau de configuration Internet\Onglet Sécurité\Zone Sites sensibles

• Pages hors connexion

Menus du navigateur

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Menus du navigateur

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Menus du navigateur. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A65. Configuration recommandée pour le paramètre utilisateur Menus du navigateur

Désactiver l’option Enregistrer ce programme sur le disque
Ce paramètre de stratégie empêche les utilisateurs d'enregistrer sur le disque dur un programme ou un fichier téléchargé par Internet Explorer. Si vous l'activez, les utilisateurs ne pourront pas enregistrer de programmes sur le disque via l'optionEnregistrer ce programme sur le disque. Les fichiers programme ne seront pas téléchargés et le système indiquera à l'utilisateur que la commande n'est pas disponible. Ce paramètre de stratégie permet de protéger les environnements SSLF, car les utilisateurs ne peuvent pas télécharger ni enregistrer de programmes potentiellement dangereux par le biais d'Internet Explorer.

Le paramètre Désactiver l'option Enregistrer ce programme sur le disque est configuré surActivé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Panneau de configuration Internet

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Panneau de configuration Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A66. Configuration recommandée pour le paramètre utilisateur Panneau de configuration Internet

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Désactiver l’onglet Avancé
Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres ; il empêche les utilisateurs de modifier les paramètres configurés dans l'onglet Avancéd'Internet Explorer.

Le paramètre Désactiver l’onglet Avancéest configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Désactiver l’onglet Sécurité
Ce paramètre de stratégie fonctionne conjointement avec d'autres paramètres ; il empêche les utilisateurs de modifier les paramètres configuré via la stratégie de groupe. Il supprime l'onglet Sécurité de la boîte de dialogueOptions Internet. Si vous l'activez, les utilisateurs ne pourront pas consulter ni modifier les paramètres des zones de sécurité (scripts, téléchargements, authentification utilisateur). Microsoft vous recommande d'activer ce paramètre pour interdire aux utilisateurs de modifier des paramètres qui pourraient altérer la sécurité dans Internet Explorer.

Le paramètre Désactiver l’onglet Sécuritéest configuré sur Activé pour l'environnement SSLF uniquement. Il est configuré sur Non configuré pour l'environnement EC.

Empêcher la non-prise en compte des erreurs de certificat
Si un message d'erreur SSL/TLS (Secure Socket Layer/Transport Layer Security) indique que le certificat a expiré ou a été révoqué ou souligne une incohérence au niveau des noms, Internet Explorer empêchera l'utilisateur de naviguer sur le site Web. Si vous l'activez, l'utilisateur ne pourra pas continuer à naviguer sur le site Web. Si vous le désactivez ou que vous ne le configurez pas, l'utilisateur pourra ignorer les erreurs de certificat et continuer à naviguer.

Le paramètre Empêcher la non-prise en compte des erreurs de certificat est configuré sur Non configuré pour l'environnement EC et surActivé pour l'environnement SSLF.

Panneau de configuration Internet\Onglet Avancé

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Avancé

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Onglet Avancé. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A67. Configuration recommandée pour le paramètre utilisateur Onglet avancé

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Autoriser l'installation à la demande (Internet Explorer)
Ce paramètre de stratégie détermine quels utilisateurs peuvent télécharger et installer automatiquement des composants Web (notamment des polices de caractères) installables par l'utilitaire Active Setup d'Internet Explorer. Par exemple, Internet Explorer peut inviter l'utilisateur à télécharger le pack de langue japonaise s'il n'est pas installé alors que l'utilisateur ouvre une page Web nécessitant une page de codes japonaise.

Si vous activez ce paramètre de stratégie, lescomposants Web manquants (notamment les polices de caractères) seront installés automatiquement. Si vous le désactivez, Internet Explorer pourra télécharger lescomposants Web (notamment les polices de caractères) uniquement si l'utilisateur l'accepte. Si vous ne le configurez pas, Internet Explorer pourra télécharger lescomposants Web (notamment les polices de caractères) uniquement si l'utilisateur l'accepte.

Le paramètre Autoriser l'installation à la demande (Internet Explorer) est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide
Ce paramètre de stratégie détermine si les logiciels comme les contrôles ActiveX et les téléchargements de fichiers peuvent être installés ou exécutés même si la signature n'est pas valide. Une signature non valide peut indiquer qu'une personne a altéré le fichier.

Si vous l'activez, une invite s'affichera lorsque les utilisateurs voudront installer ou exécuter des fichiers comportant une signature non valide. Si vous le désactivez, les utilisateurs ne pourront ni exécuter, ni installer des fichiers comportant une signature non valide. Si vous ne le configurez pas, les utilisateurs pourront choisir d'exécuter ou d'installer les fichiers dont la signature n'est pas valide.

Le paramètre Autoriser le logiciel à s'exécuter ou à s'installer même si la signature n'est pas valide est configuré sur Non configuré pour l'environnement EC et sur Désactivé pour l'environnement SSLF.

Vérifier automatiquement les mises à jour de Internet Explorer
Ce paramètre de stratégie permet de configurer Internet Explorer pour qu'il vérifie si des versions plus récentes sont disponibles sur Internet.

Si vous l'activez, Internet Explorer vérifiera tous les 30 jours environ si de nouvelles versions sont disponibles sur Internet et invitera l'utilisateur à les télécharger dès qu'elles seront disponibles. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer ne vérifiera pas la présence de nouvelles versions sur Internet et n'invitera pas l'utilisateur à les installer.

Le paramètre Vérifier automatiquement les mises à jour de Internet Explorer est configuré sur Non configuré pour l'environnement EC et surDésactivé pour l'environnement SSLF.

Contrôler la révocation du certificat de serveur
Ce paramètre de stratégie détermine si Internet Explorer doit vérifier l'état de révocation des certificats de serveur. Les certificats sont révoqués lorsqu'ils sont compromis ou ne sont plus valides ; cette option protège donc les utilisateurs contre l'envoi de données confidentielles vers un site susceptible d'être frauduleux ou non sécurisé.

Si vous l'activez, Internet Explorer vérifiera si les certificats de serveur ont été révoqués. Si vous le désactivez ou que vous ne le configurez pas, Internet Explorer ne les vérifiera pas.

Le paramètre Vérifier la révocation du certificat de serveur est configuré sur Non configurépour l'environnement EC et sur Activé pour l'environnement SSLF.

Panneau de configuration Internet\Onglet Sécurité

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Onglet Sécurité. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Tableau A68. Configuration recommandée pour le paramètre utilisateur Onglet Sécurité

Sites intranet : inclure tous les chemins d'accès réseau UNC
Ce paramètre de stratégie détermine si les URL représentant des UNC sont associées à la zone de sécurité Intranet local. Si vous l'activez, tous les chemins d'accès réseau sont associés à la zone Intranet. Si vous le désactivez, les chemins d'accès réseau ne sont pas nécessairement associés à la zone Intranet (d'autres règles peuvent en associer un).

Si vous ne le configurez pas, les utilisateurs décident si les chemins d'accès réseau sont associés à la zone Intranet.

Le paramètre Sites intranet : inclure tous les chemins d'accès réseau UNC est configuré surDésactivé pour l'environnement SSLF et surNon configuré pour l'environnement EC.

Panneau de configuration Internet\Onglet Sécurité\Zone Internet

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Internet

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Zone Internet. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Remarque   Les paramètres des zones Internet et Sites sensibles sont très similaires. Ils sont décrits dans les paragraphes qui suivent.

Tableau A69. Configuration recommandée pour le paramètre utilisateur Zone Internet

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Panneau de configuration Internet\Onglet Sécurité\Zone Sites sensibles

Vous pouvez configurer les paramètres utilisateur recommandés ci-dessous à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration utilisateur\Modèles d'administration\Composants Windows
\Internet Explorer\Panneau de configuration Internet\Onglet Sécurité\Zone Sites sensibles

Le tableau suivant présente la configuration recommandée pour le paramètre utilisateur Zone Sites sensibles. Vous trouverez des informations supplémentaires sur chaque paramètre dans les paragraphes qui suivent.

Remarque   Les paramètres des zones Internet et Sites sensibles sont très similaires. Ils sont décrits dans les paragraphes qui suivent.

Tableau A70. Configuration recommandée pour le paramètre utilisateur Zone Sites sensibles

§ - Signale les nouveaux paramètres de stratégie de groupe de Windows Vista.

Accès aux sources de données sur plusieurs domaines
Ce paramètre de stratégie détermine si Internet Explorer peut accéder aux données provenant d'une autre zone de sécurité en utilisant le moteur d'analyse XML de Microsoft (MSXML) ou les objets ADO (ActiveX Data Object).

Si vous l'activez, les utilisateurs pourront charger une page dans la zone qui utilise MSXML ou ADO pour accéder aux données provenant d'un autre site de la zone. Si vous sélectionnezDemander dans la liste déroulante, les utilisateurs devront indiquer s'ils souhaitent charger une page dans la zone qui utilise MSXML ou ADO pour accéder aux données provenant d'un autre site de la zone.

Si vous le désactivez, les utilisateurs ne pourront pas la charger pour accéder aux données provenant d'un autre site de la zone.

Si vous ne le configurez pas, ils ne pourront pas non plus charger de page pour accéder aux données en question.

Le paramètre Accès aux sources de données sur plusieurs domaines est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autoriser les scripts actifs
Ce paramètre de stratégie détermine si le code de script des pages de la zone est exécuté. Si vous l'activez, le code de script sur les pages de la zone peut s'exécuter automatiquement. Si vous sélectionnez Demander dans la liste déroulante, les utilisateurs devront indiquer s'ils souhaitent exécuter le code de script sur les pages de la zone. Si vous le désactivez ou que vous ne le configurez pas, le code de script sur les pages de la zone ne s'exécutera pas automatiquement.

Le paramètre Autoriser les scripts actifs est configuré sur Activé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour la zone Zone Sites sensibles.

Autoriser les comportements des fichiers binaires et des scripts
Ce paramètre de stratégie permet de gérer le comportement dynamique des fichiers binaires et des scripts, autrement dit les composants qui intègrent une fonctionnalité spécifique pour les éléments HTML auxquels ils sont attachés. Si vous l'activez, les comportements des fichiers binaires et des scripts sont disponibles. Si vous sélectionnez Approuvé par l'administrateur dans la liste déroulante, seuls les comportements répertoriés dans la zone Comportements approuvés par l'administrateur sous la stratégieRestriction de sécurité de comportement binairesont disponibles.

Si vous le désactivez ou que vous ne le configurez pas, les comportements des fichiers binaires et des scripts ne seront pas disponibles sauf si les applications ont mis en œuvre un gestionnaire de sécurité personnalisé.

Le paramètre Autoriser les comportements des fichiers binaires et des scripts est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour la zone Zone Sites sensibles.

Autoriser les opérations couper, copier ou coller dans le Presse-papiers à l'aide d’un script
Ce paramètre de stratégie détermine si les scripts peuvent utiliser le Presse-papiers (pour les opérations couper, copier ou coller) dans une région spécifiée. Si vous l'activez, ils pourront utiliser le Presse-papiers. Si vous sélectionnezDemander dans la liste déroulante, les utilisateurs seront à invités à confirmer qu'ils souhaitent utiliser le Presse-papiers. Si vous le désactivez ou que vous ne le configurez pas, les scripts ne pourront pas utiliser le Presse-papiers.

Le paramètre Autoriser les opérations couper, copier ou coller dans le Presse-papiers à l'aide d’un scriptest configuré sur Activé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet etZone Sites sensibles.

Autoriser le glisser-déplacer ou le copier-coller des fichiers
Ce paramètre de stratégie détermine si les utilisateurs peuvent réaliser un glisser-déplacer ou un copier-coller de fichiers depuis une source comprise dans la zone. Si vous l'activez, les utilisateurs pourront automatiquement réaliser un glisser-déplacer ou un copier-coller de fichiers depuis la zone. Si vous sélectionnez Demander dans la liste déroulante, les utilisateurs seront invités à confirmer qu'ils souhaitent réaliser un glisser-déplacer ou un copier-coller de fichiers depuis la zone en question. Si vous le désactivez, les utilisateurs ne pourront pas réaliser de glisser-déplacer ni de copier-coller de fichiers depuis la zone.

Si vous ne le configurez pas, ils seront invités à confirmer qu'ils souhaitent réaliser un glisser-déplacer ou un copier-coller de fichiers depuis la zone en question.

Le paramètre Autoriser le glisser-déplacer ou le copier-coller des fichiers est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autoriser les téléchargements de fichiers
Ce paramètre de stratégie détermine si les téléchargements de fichiers sont autorisés depuis la zone. Il n'est pas défini par la zone depuis laquelle le fichier est envoyé, mais par la zone de la page contenant le lien qui lance le téléchargement. Si vous l'activez, les fichiers pourront être téléchargés depuis la zone. Si vous le désactivez ou que vous ne le configurez pas, ils ne pourront pas être téléchargés depuis la zone.

Le paramètre Autoriser les téléchargements de fichiers est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour la zone Zone Sites sensibles.

Autoriser les téléchargements de polices
Ce paramètre de stratégie détermine si les pages de la zone peuvent télécharger des polices HTML.

Si vous l'activez, les polices HTML pourront être téléchargées automatiquement. Si vous l'activez et que vous sélectionnez Demander dans la liste déroulante, les utilisateurs seront invités à confirmer qu''ils souhaitent télécharger les polices HTML. Si vous le désactivez, les polices HTML ne pourront pas être téléchargées. Si vous ne le configurez pas, les utilisateurs seront invités à confirmer qu''ils souhaitent télécharger les polices HTML.

Le paramètre Autoriser les téléchargements de polices est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autoriser l'installation des éléments du Bureau
Ce paramètre de stratégie détermine si les utilisateurs peuvent installer des éléments Active Desktop depuis cette zone. Il accepte les valeurs suivantes :

Activer - Les utilisateurs peuvent installer des éléments du Bureau automatiquement depuis cette zone.

Demander - Les utilisateurs sont invités à confirmer qu'ils souhaitent installer des éléments du Bureau depuis cette zone.

Désactiver - Les utilisateurs ne peuvent pas installer d'éléments du Bureau depuis cette zone.

Si vous ne le configurez pas, les utilisateurs ne pourront pas installer des éléments du Bureau depuis cette zone.

Le paramètre Autoriser l'installation des éléments du Bureau est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autoriser l'actualisation des métafichiers
Ce paramètre de stratégie détermine si le navigateur d'un utilisateur peut être redirigé vers une autre page Web si l'auteur de la page Web en question utilise le paramètre d'actualisation des métafichiers pour rediriger les navigateurs vers une autre page Web. Si vous l'activez, le navigateur de l'utilisateur qui charge une page contenant un paramètre d'actualisation des métafichiers actif peut être redirigé vers une autre page Web. Si vous le désactivez, le navigateur de l'utilisateur qui charge une page contenant un paramètre d'actualisation des métafichiers actif ne peut pas être redirigé vers une autre page Web. Si vous ne le configurez pas, le navigateur de l'utilisateur qui charge une page contenant un paramètre d'actualisation des métafichiers actif ne peut pas être redirigé vers une autre page Web.

Le paramètre Autoriser l'actualisation des métafichiers est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour la zone Zone Sites sensibles.

Autoriser les fenêtres initiées par des scripts sans contrainte de taille ou de position
Ce paramètre de stratégie permet de gérer les restrictions concernant les fenêtres intempestives initiées par des scripts et les fenêtres qui incluent les barres de titre et d'état. Si vous l'activez, la fonctionnalité de sécurité Restrictions des fenêtres ne s'appliquera pas à cette zone. La zone de sécurité s'exécutera sans le niveau de protection supplémentaire offert par cette fonctionnalité. Si vous le désactivez, les actions potentiellement néfastes contenues dans les fenêtres intempestives initiées par des scripts et dans les fenêtres qui incluent les barres de titre et d'état ne pourront pas s'exécuter. Cette fonctionnalité de sécurité d'Internet Explorer sera activée dans cette zone comme indiqué par la valeur du paramètre Restrictions de sécurité de scripts de fenêtres du processus. Si vous ne le configurez pas, les actions potentiellement néfastes contenues dans les fenêtres intempestives initiées par des scripts et dans les fenêtres qui incluent les barres de titre et d'état ne pourront pas s'exécuter. Cette fonctionnalité de sécurité d'Internet Explorer sera activée dans cette zone comme indiqué par la valeur du paramètre Restrictions de sécurité de scripts de fenêtres du processus.

Le paramètre Autoriser les fenêtres initiées par des scripts sans contrainte de taille ou de position surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autoriser les mises à jour à la barre d’état via le script
Ce paramètre de stratégie détermine si les scripts sont autorisés à mettre à jour la barre d'état dans la zone. Si vous l'activez, les scripts seront autorisés à la mettre à jour. Si vous le désactivez ou que vous ne le configurez pas, les scripts ne seront pas autorisés à la mettre à jour.

Le paramètre Autoriser les mises à jour à la barre d’état via le script est configuré surDésactivé pour l'environnement SSLF et surNon configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Demander confirmation pour les téléchargements de fichiers
Ce paramètre de stratégie détermine si les utilisateurs sont invités à confirmer les téléchargements de fichiers initiés par l'utilisateur. Quelle que soit la valeur du paramètre, le système affiche une boîte de dialogue chaque fois que les utilisateurs initient un téléchargement de fichier. Si vous l'activez, une boîte de dialogue demandera systématiquement aux utilisateurs s'ils souhaitent télécharger le fichier en question.

Si vous le désactivez ou que vous ne le configurez pas, le système bloquera les téléchargements de fichiers non initiés par les utilisateurs et affichera une Barre d'informations à la place de la boîte de dialogue de téléchargement. Les utilisateurs pourront ensuite cliquer sur laBarre d'informations pour autoriser l'invite de téléchargement de fichier.

Le paramètre Demander confirmation pour les téléchargements de fichiers est configuré surActivé:Activer pour l'environnement SSLF et surNon configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Télécharger les contrôles ActiveX signés
Ce paramètre de stratégie détermine si les utilisateurs peuvent télécharger les contrôles ActiveX signés depuis une page de la zone. Si vous l'activez, les utilisateurs pourront systématiquement les télécharger. Si vous sélectionnezDemander dans la liste déroulante, le système demandera aux utilisateurs s'ils souhaitent télécharger les contrôles signés par des éditeurs non approuvés. Le système télécharge le code signé par les éditeurs approuvés sans demander aux utilisateurs de confirmer l'opération. Si vous le configurez sur Désactiver, les contrôles signés ne pourront pas être téléchargés.

Si vous ne le configurez pas, le système demandera aux utilisateurs s'ils souhaitent télécharger les contrôles signés par des éditeurs non approuvés. Le système télécharge le code signé par les éditeurs approuvés sans demander aux utilisateurs de confirmer l'opération.

Le paramètre Télécharger les contrôles ActiveX signés est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Télécharger les contrôles ActiveX non signés
Ce paramètre de stratégie détermine si les utilisateurs peuvent télécharger les contrôles ActiveX non signés depuis la zone. Ce code est potentiellement dangereux, surtout s'il provient d'une zone non approuvée.

Si vous l'activez, les utilisateurs pourront systématiquement exécuter les contrôles non signés. Si vous sélectionnezDemander dans la liste déroulante, le système demandera aux utilisateurs s'ils souhaitent exécuter les contrôles non signés. Si vous le désactivez ou que vous ne le configurez pas, les utilisateurs ne pourront pas exécuter les contrôles non signés.

Le paramètre Télécharger les contrôles ActiveX non signés est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés
Ce paramètre de stratégie permet de gérer les contrôles ActiveX non considérés comme sûrs. Si vous l'activez, les contrôles ActiveX seront exécutés, chargés avec des paramètres et scriptés sans définir la sécurité des objets pour les données ou les scripts non approuvés. Ce paramètre n'est pas recommandé, sauf pour les zones fiables et administrées. Ce paramètre force l'initialisation et le scriptage des contrôles sécurisés et non sécurisés, et ignore l'option Contrôles ActiveX reconnus sûrs pour l'écriture de scripts.

Si vous l'activez et que vous sélectionnezDemander dans la liste déroulante, le système demandera aux utilisateurs s'ils souhaitent charger le contrôle avec des paramètres ou le scripter.

Si vous le désactivez ou que vous ne le configurez pas, les contrôles ActiveX qui ne peuvent pas être sécurisés ne seront ni chargés avec des paramètres, ni scriptés.

Le paramètre Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Autorisations Java
Ce paramètre de stratégie permet de gérer les autorisations des applets Java. Si vous l'activez, vous pourrez choisir parmi les options de la liste déroulante. L'optionPersonnalisé permet de contrôler les paramètres d'autorisation de façon individuelle. Puis, l'optionSécurité basse permet aux applets d'effectuer toutes leurs opérations. Quant à l'option Sécurité moyenne, elle permet aux applets de s'exécuter en mode « sandbox » (dans une zone mémoire en dehors de laquelle le programme ne peut pas effectuer d'appels) avec en outre des capacités comme l'espace « scratch » (zone de stockage sécurisée sur l'ordinateur client) et les écritures/lectures de fichiers contrôlées par l'utilisateur. Enfin, l'optionSécurité élevée permet aux applets de s'exécuter en mode « sandbox ». Désactivez Java pour empêcher les applets de s'exécuter. Si vous désactivez ce paramètre de stratégie, les applets Java ne pourront pas s'exécuter. Si vous ne le configurez pas, les autorisations Java seront définies sur Sécurité élevée.

Le paramètre Autorisations Java est configuré sur Activé:Désactiver Java pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites Zone.

Lancement des programmes et des fichiers dans un cadre IFRAME
Ce paramètre de stratégie détermine si les utilisateurs peuvent exécuter des applications et télécharger des fichiers depuis une référence IFRAME dans le source HTML des pages de la zone. Si vous l'activez, ils pourront exécuter des applications et télécharger des fichiers à partir de cadres IFRAME figurant dans les pages de cette zone, sans entrer de confirmation. Si vous sélectionnez Demander dans la liste déroulante, le système demandera aux utilisateurs s'ils souhaitent exécuter des applications et télécharger des fichiers à partir de cadres IFRAME figurant dans les pages de cette zone.

Si vous le désactivez, les utilisateurs ne pourront pas exécuter d'applications, ni télécharger de fichiers à partir de cadres IFRAME figurant dans les pages de cette zone. Si vous ne le configurez pas, le système demandera aux utilisateurs s'ils souhaitent exécuter des applications et télécharger des fichiers à partir de cadres IFRAME figurant dans les pages de cette zone.

Le paramètre Lancement des programmes et des fichiers dans un cadre IFRAME est configuré surActivé:Désactiver pour l'environnement SSLF et sur Non configuré pour l'environnement EC pour les zones Zone Internet et Zone Sites sensibles.

Options d'ouverture de session
Ce paramètre de stratégie permet de gérer les paramètres des options d'ouverture de session. Si vous l'activez, vous pourrez choisir parmi les options d'ouverture de session suivantes :

Ouverture de sessionanonyme - Le système désactive l'authentification HTTP et utilise le compte Invité uniquement pour le protocole CIFS (Common Internet File System).

Demander aux utilisateurs leur nom d'utilisateur et leur mot de passe - Les utilisateurs sont invités à préciser leur ID utilisateur et leur mot de passe. Ensuite, le système pourra utiliser ces informations sans les demander systématiquement aux utilisateurs.

Connexion automatique uniquement dans la zone intranet - Les utilisateurs sont invités à préciser leur ID utilisateur et leur mot de passe pour accéder aux autres zones. Ensuite, le système pourra utiliser ces informations sans les demander systématiquement aux utilisateurs.

Connexion automatique avec le nom d’utilisateur et le mot de passe actuel - Le système tente d'ouvrir une session avec l'authentification Stimulation/réponse de Windows NT (également appelée authentification NTLM). Si le protocole Stimulation/réponse de Windows NT est pris en charge par le serveur, le processus d'ouverture de session utilisera le nom d'utilisateur et le mot de passe réseau des utilisateurs. S'il n'est pas pris en charge, les utilisateurs devront taper leur nom d'utilisateur et leur mot de passe.