Jeu d'outils de configuration de sécurité

  • Article
Sur cette page

Jeu d'outils de configuration de sécurité (2ème partie) Jeu d'outils de configuration de sécurité (2ème partie)
Configuration de la sécurité Configuration de la sécurité
Analyse de la sécurité Analyse de la sécurité
Intégration de la stratégie de groupe Intégration de la stratégie de groupe
Utilisation des outils Utilisation des outils
Annexe A. Mise en œuvre d'attachements de sécurité de service Annexe A. Mise en œuvre d'attachements de sécurité de service
Les structures de données Les structures de données
API de rappel et d'assistance du Jeu d'outils de configuration de sécurité API de rappel et d'assistance du Jeu d'outils de configuration de sécurité
Paramètres Paramètres
Valeurs retournées Valeurs retournées
Valeurs retournées Valeurs retournées
Paramètres Paramètres
Valeurs retournées Valeurs retournées
Paramètres Paramètres
Paramètres Paramètres
Valeurs retournées Valeurs retournées
Paramètres Paramètres
Valeurs retournées Valeurs retournées
Interfaces d'attachement requises Interfaces d'attachement requises
Syntaxe Syntaxe
Paramètres Paramètres

Jeu d'outils de configuration de sécurité (2ème partie)

Configuration de la sécurité

Cette section décrit comment utiliser le Jeu d'outils de configuration de sécurité pour configurer divers aspects de sécurité sur un système Windows 2000. Ces outils reposent entièrement sur les fonctionnalités de sécurité déjà intégrées dans Windows 2000 (ils ne modifient pas les possibilités de sécurité du système). L'unique but du jeu d'outils est de vous permettre de configurer et de gérer plus facilement les fonctionnalités de sécurité avancées incluses dans la dernière version du système d'exploitation.

Il existe deux types de comptes sous Windows 2000 : les comptes de domaine et les comptes locaux. Les stratégies de compte pour les comptes de domaine sont configurées au niveau du domaine et les stratégies de compte pour les comptes locaux sont configurées localement sur le poste de travail. Cela permet un contrôle très précis de la sécurité, mais peut s'avérer difficile à configurer. La figure 8 montre l'écran de configuration des stratégies de compte.

Configuration des stratégies de compte
Figure 8 Configuration des stratégies de compte

Une stratégie de compte de domaine définit la complexité et l'historique des mots de passe, la durée de vie des tickets Kerberos, les verrouillages du compte, etc. Vous pouvez définir chacun de ces attributs à partir de la configuration de la sécurité. De même, vous pouvez définir localement les mêmes stratégies pour les comptes locaux sur un poste de travail. La seule exception à cette règle concerne la stratégie Kerberos, laquelle n'existe pas pour les comptes locaux qui ne sont pas authentifiés à l'aide du protocole Kerberos.

Sous Windows 2000, les stratégies locales sont par définition locales à un ordinateur sans distinction de type d'ordinateur (contrôleur de domaine, serveur ou poste de travail). Les stratégies locales comprennent la stratégie d'audit, les droits des utilisateurs et les privilèges accordés ainsi que différentes options de sécurité qui peuvent être configurées localement sur un ordinateur sous Windows 2000 en particulier.

  • La stratégie d'audit vous permet de configurer les événements de sécurité qui sont définis dans le journal de sécurité sur cet ordinateur.

  • Les droits de l'utilisateur et l'attribution des privilèges vous permettent de maîtriser les utilisateurs à qui vous accordez des droits et des privilèges sur un système donné.

  • Les options de sécurité vous permettent de contrôler les utilisateurs qui ont accès aux périphériques tels que lecteurs de disquette et de CD-Rom.

Tout comme les stratégies de compte, la stratégie locale peut être configurée ou analysée à l'aide des nombreuses options fournies avec le jeu d'outils. La figure 9 montre quelques-unes des options disponibles pour configurer les stratégies locales.

Configuration des stratégies locales
Figure 9 Configuration des stratégies locales

La zone groupe restreint vous permet de gérer les membres des groupes intégrés qui possèdent certaines possibilités prédéfinies. Ces groupes comprennent les groupes intégrés tels que les administrateurs, les utilisateurs prioritaires, les opérateurs d'impression, les opérateurs de serveur, etc. ainsi que les groupes de domaine tels que les administrateurs de domaine.

Vous pouvez également ajouter à la liste des groupes restreints des groupes que vous considérez sensibles ou privilégiés, avec leurs informations d'appartenance. Cela vous permet de suivre et de gérer ces groupes comme parties intégrantes de la configuration ou de la stratégie de sécurité.

Outre l'appartenance au groupe, cette zone assure le suivi et le contrôle de l'appartenance inverse à chaque groupe restreint dans la colonne Membre de. Cette colonne indique les autres groupes auxquels le groupe restreint peut appartenir. Vous pouvez utiliser ce champ pour contrôler exactement les groupes auxquels peuvent appartenir les membres d'un groupe restreint, ou encore pour limiter certains utilisateurs à un seul groupe et les empêcher d'appartenir à d'autres groupes (voir Figure 10).

Configuration des groupes restreints
Figure 10 Configuration des groupes restreints

L'application de la configuration garantit que les appartenances à des groupes sont définies telles que spécifiées dans le fichier de configuration. Les groupes et les utilisateurs non spécifiés sont retirés du groupe restreint. En outre, l'option Configuration d'appartenance inverse garantit que chaque groupe restreint est membre uniquement des groupes spécifiés dans la colonne Membre de.

Le registre est une autre arborescence d'objets dans laquelle le Jeu d'outils de configuration de sécurité vous permet de gérer les objets en plaçant un descripteur de sécurité sur l'objet. Toutefois, dans le cas du registre, les objets sont des clés de registre. Là aussi, la configuration contient le chemin complet de la clé de registre et le descripteur de sécurité au format SDDL.

Du fait que Windows 2000 reconnaît un modèle d'héritage dynamique pour tous les fournisseurs d'objets, lorsque la sécurité est appliquée aux clés du registre, le Jeu d'outils de configuration de sécurité suit le même algorithme d'héritage que l'arborescence des répertoires. La figure 11 montre la présentation du composant logiciel destiné à la configuration de la sécurité du registre.

Configuration des paramètre de sécurité du registre
Figure 11 Configuration des paramètre de sécurité du registre

La sécurité du système de fichiers local est la troisième arborescence d'objets reconnue au sein du Jeu d'outils de configuration de sécurité. Il traite tous les volumes d'un système comme faisant partie d'une arborescence unique, les nœuds de premier niveau étant le répertoire racine de chaque volume. Celui-ci est similaire à la configuration de la sécurité du répertoire et du registre en ce que le fichier de configuration contient une liste des chemins des fichiers ou répertoires pleinement qualifiés et des descripteurs de sécurité pour chacun. Le modèle d'héritage dynamique est également accepté sur les fichiers NTFS. La figure 12 montre la présentation du composant logiciel destiné à la configuration de la sécurité du système de fichiers.

Configuration des paramètre de sécurité du système de fichiers
Figure 12 Configuration des paramètre de sécurité du système de fichiers

Les services système incluent des fonctionnalités critiques telles que des services réseau, les services fichiers et impression, les services téléphonie et télécopie et les services Internet/intranet. En raison de l'ampleur et de la diversité de cette zone, la zone des services système du Jeu d'outils de configuration de sécurité est conçue de façon à être facilement extensible. Le Jeu d'outils de configuration de sécurité prend directement en charge des paramètres généraux pour chaque service système. Ces paramètres généraux incluent le mode de démarrage du service (automatique, manuel ou désactivé) ainsi que la sécurité du service. Le nom du service doit être le même que celui utilisé dans le Gestionnaire de contrôle de service (voir Figure 13).

Configuration de la sécurité des services système
Figure 13 Configuration de la sécurité des services système

Pour étendre cette zone du Jeu d'outils de configuration de sécurité afin qu'elle puisse être utilisée pour configurer des paramètres spécifiques d'un nouveau service, vous devez créer et joindre un attachement de configuration de sécurité qui se compose des éléments suivants :

  • Une DLL moteur ** qui exporte trois interfaces bien définies. La mise en œuvre de toutes ces interfaces est facultative. Une interface est utilisée pour configurer les paramètres, l'autre interroge les paramètres pour l'analyse (décrite ci-dessous) et la troisième met à jour les paramètres. Vous pouvez choisir de ne mettre en œuvre que la configuration, que l'analyse, ou les deux. Vous avez la possibilité de laisser l'utilisateur modifier la configuration enregistrée dans la base de données. Vous devez inscrire le nom de cette DLL en un endroit bien connu du registre, à côté du nom du service auquel elle s'applique. Le moteur de configuration de la sécurité recherche la clé de registre pour obtenir la liste des services et charge chaque DLL attachée. Le moteur de configuration de la sécurité invoque alors l'interface appropriée, suivant qu'il configure un système ou collecte des informations pour l'analyse. L'interface communique avec l'attachement qui est alors responsable de l'enregistrement de la configuration ou des informations d'analyse dans la section spécifiée au sein de la configuration et de l'utilisation de ces informations pour configurer le système ou alerter l'administrateur.

  • Un composant logiciel d'extension, ****** qui étend les composants logiciels de configuration de la sécurité (éditeur et gestionnaire) au sein de Microsoft Management Console. Le composant logiciel d'extension consiste en un nœud du volet domaine d'application (avec son propre nom d'espace) qui étend le nœud des services afin qu'il reconnaisse les paramètres spécifiques au service. Le composant logiciel d'extension doit également exporter des interfaces bien définies pour communiquer avec les composants logiciels de configuration de la sécurité. Le composant logiciel d'extension ne communique pas directement avec sa DLL moteur. Un composant logiciel d'extension n'offre une fonctionnalité que lorsqu'il est invoqué par un composant logiciel parent (dans ce cas, le Jeu d'outils de configuration de sécurité).

  • Un kit d'installation qui enregistre le moteur pour le Jeu d'outils de configuration de sécurité et le composant logiciel d'extension.

    La figure 14 présente les différentes parties de l'attachement et la manière dont elles s'intègrent dans le composant logiciel Jeu d'outils de configuration de sécurité et dans Microsoft Management Console.

Jeu d'outils de configuration de sécurité et architecture de l'attachement
Figure 14 Jeu d'outils de configuration de sécurité et architecture de l'attachement

Microsoft prévoit des attachements pour certains services fournis avec le système. Dans cette version initiale, Microsoft prévoit de fournir un attachement de configuration de la sécurité pour le service de partage de fichiers CIFS.

L'interface utilisée pour étendre le jeu d'outils est en outre décrite dans l'annexe A, Mise en œuvre d'attachements de sécurité de service.

Analyse de la sécurité

Cette section décrit comment utiliser le Jeu d'outils de configuration de sécurité pour analyser divers aspects de la sécurité sur un système Windows 2000. Le Jeu d'outils de configuration de sécurité dispose d'une interface graphique qui vous permet de visualiser les informations d'analyse collectées sur le système. Vous pouvez également utiliser le Gestionnaire de configuration de sécurité ou l'éditeur de ligne de commande secedit pour collecter les données d'analyse sur le système. Cela vous permet de recueillir les données de façon interactive ou de programmer une collecte de données dans un script de traitement par lots en dehors des heures d'activité en utilisant le Serveur d'administration du système ou le planificateur de tâches.

Pour faciliter l'utilisation (et éviter l'apprentissage ardu normalement associé aux nouveaux outils d'administration), la conception de l'interface graphique utilisateur pour l'analyse a été maintenue simple et informative. Au lieu de graphiques et d'alertes d'erreur complexes, elle fournit des indications visuelles simples (icônes) permettant d'identifier les problèmes de sécurité et donne les informations requises pour résoudre ces problèmes. L'interface recourt à un tableau unique contenant une liste des attributs, de leurs valeurs et des valeurs recommandées. Les problèmes potentiels sont identifiés par un changement d'icône.

Le Jeu d'outils de configuration de sécurité utilise la configuration composite présente dans la base de données pour effectuer l'analyse de la sécurité. La configuration composite, qui contient les paramètres préférentiels ou recommandés, est nécessaire pour effectuer les comparaisons et fournir les informations de configuration recommandée de manière à pouvoir identifier et résoudre les problèmes potentiels dans les paramètres actuels du système. Le moteur du Jeu d'outils de configuration de sécurité interroge les paramètres des différents attributs de la sécurité dans chacune des zones de sécurité et compare leurs valeurs avec les recommandations de la configuration composite. Si les paramètres du système concordent avec ceux de la configuration, ils sont supposés corrects. Dans le cas contraire, ils sont identifiés comme des problèmes potentiels qui nécessitent un examen plus détaillé. Ces problèmes potentiels sont repérés et affichés dans l'interface du Gestionnaire de configuration de sécurité.

La configuration composite par défaut est celle utilisée pendant la configuration du système. Vous pouvez mettre à jour la configuration composite en l'éditant, en important des configurations supplémentaires ou en la remplaçant complètement par une nouvelle configuration. Les informations d'analyse sont collectées par le moteur et stockées dans la technologie de base de données Microsoft ISAM standard. L'utilisation de la technologie de base de données Microsoft est intentionnelle. Elle apporte des générateurs d'état intégrés et des fonctionnalités puissantes telles que les requêtes, les transactions, etc. La compatibilité ODBC sera également assurée.

Outre l'analyse de la configuration actuelle du système, l'interface du Gestionnaire de configuration de sécurité vous permet d'effectuer des modifications interactives de deux types : vous pouvez modifier la configuration du système ou la configuration enregistrée.

  • Modification de la configuration du système Cette modification consiste à mettre à jour les paramètres du système de façon à ce qu'ils concordent avec ceux recommandés par la configuration composite stockée dans la base de données. Si vous choisissez l'option Configurer, vous appliquez à nouveau tous les paramètres spécifiés dans la configuration composite stockée dans la base de données.

  • **Modification de la configuration de sécurité composite **** Cette modification consiste à mettre à jour la configuration stockée dans la base de données pour refléter un nouveau paramétrage du système. Vous pouvez utiliser cette option pour demander au jeu d'outils de ne pas vous signaler les paramètres spécifiques non standard que vous avez examinés et que vous considérez raisonnables. Vous pouvez également apporter des modifications aux configurations en important des fichiers de configuration supplémentaires ou en remplaçant la configuration courante par une nouvelle.

Le Gestionnaire de configuration de sécurité fourni avec le Jeu d'outils de configuration de sécurité affiche les informations de configuration de sécurité du système organisées en zones de sécurité telles qu'elles sont définies précédemment dans le présent document. Les sections qui suivent décrivent les possibilités d'analyse associées à chaque zone.

Lorsqu'il analyse la sécurité du système, le Jeu d'outils de configuration de sécurité interroge tous les attributs de sécurité définis pour le système qui appartiennent à cette zone et les enregistre dans la section d'analyse courante de la base de données. Vous pouvez utiliser le Gestionnaire de configuration pour visualiser les informations.

Le Gestionnaire de configuration de sécurité affiche les informations sous forme de tableau. Pour chaque attribut, il affiche les paramètres actuels et recommandés (les paramètres recommandés sont issus de la configuration composite stockée dans la base de données). Les attributs qui diffèrent des paramètres recommandés sont clairement identifiés par des icônes spécifiques de façon à ce que vous puissiez facilement identifier et résoudre les problèmes. Pour corriger un problème, vous pouvez soit accepter le paramètre courant, auquel cas la valeur dans la configuration stockée sera modifiée, soit modifier le paramètre du système de manière à ce qu'il concorde avec la recommandation, auquel cas l'attribut correspondant prend la nouvelle valeur lorsque le système est reconfiguré.

La figure 15 présente le Gestionnaire de configuration qui affiche les informations des stratégies de sécurité.

Analyse des paramètres de compte et de stratégie locale
Figure 15 Analyse des paramètres de compte et de stratégie locale

L'analyse des groupes restreints fait appel au suivi des appartenances au groupe, y compris l'appartenance récursive. Les problèmes sont identifiés par des icônes spécifiques. Pour corriger un problème, vous pouvez soit accepter les paramètres courants, auquel cas le valeur dans la configuration stockée sera modifiée, soit modifier le paramètre du système de manière à ce qu'il concorde avec la recommandation, auquel cas les appartenances au groupe qui présentent un problème sont modifiées lorsque le système est reconfiguré.

La figure 16 présente le Gestionnaire de configuration qui affiche les informations de gestion d'un groupe restreint.

Analyse de l'appartenance d'un groupe restreint
Figure 16 Analyse de l'appartenance d'un groupe restreint

Le moteur du Jeu d'outils de configuration de sécurité utilise comme base pour son analyse les chemins vers les clés du registre et leurs descripteurs de sécurité (les chemins et les descripteurs sont stockés au format SDDL dans la configuration composite). Le moteur analyse les informations du registre et fournit des informations sur la similitude entre les descripteurs de la sécurité et ceux définis. Le moteur utilise également OK, Examiner et Non configuré pour classifier les informations de descripteur de sécurité dans l'arborescence réelle après les avoir comparées avec celles de la configuration stockée. La figure 17 présente le Gestionnaire de configuration qui affiche les informations de sécurité du registre.

Analyse des paramètre de sécurité du registre
Figure 17 Analyse des paramètre de sécurité du registre

La sécurité du système de fichiers local est la troisième arborescence d'objets reconnue au sein du Jeu d'outils de configuration de sécurité. Le moteur d'analyse du Jeu d'outils de configuration de sécurité utilise comme base pour son analyse la liste des chemins de fichier ou de répertoire pleinement qualifiés et leurs descripteurs de sécurité stockés dans la configuration associée. Le moteur analyse ces informations et détermine la similitude entre les descripteurs de la sécurité réels et ceux définis. Le moteur utilise également OK, Examiner et Non configuré pour classifier les informations de descripteur de sécurité dans l'arborescence réelle après les avoir comparées avec celles de la configuration.

La figure 18 présente l'Afficheur de configuration qui affiche les informations de sécurité sur le système de fichiers local.

Analyse des paramètres de sécurité du système de fichiers
Figure 18 Analyse des paramètres de sécurité du système de fichiers

Le Jeu d'outils de configuration de sécurité collecte des informations de sécurité générales sur tous les services configurés pour être exécutés sur le système. Ces informations générales comprennent les paramètres de démarrage et les descripteurs de sécurité. Le jeu d'outils détecte les problèmes tels que les défauts de concordance ou les services non spécifiés dans la configuration, puis les signale.

Comme décrit dans la partie configuration ci-dessus, l'analyse des paramètres de sécurité spécifiques à chaque service est également assurée par l'architecture d'attachement de sécurité de service pour le Jeu d'outils de configuration de sécurité. Dans ce cas, le Jeu d'outils de configuration de sécurité invoque les interfaces définies pour permettre à l'attachement de collecter les données nécessaires et les enregistre dans un endroit spécifique de la base de données. Le Gestionnaire de configuration invoque ensuite l'interface d'analyse du composant logiciel d'extension pour afficher les informations et pour permettre à l'utilisateur d'engager des actions afin de corriger les problèmes (voir Figure 19).

Analyse des paramètres des services de sécurité
Figure 19 Analyse des paramètres des services de sécurité

Comme indiqué précédemment, Microsoft fournira un attachement de configuration de sécurité pour le Service de partage de fichiers CIFS dans la version initiale du Jeu d'outils de configuration de sécurité. L'attachement de partage de fichiers vous permet de configurer et d'analyser les informations de sécurité suivantes à propos du service :

  • Stratégies - Activation ou désactivation des signatures de paquet sur les paquets du réseau à la fois pour le côté client et serveur, accès anonyme aux partages et aux canaux, etc.

  • Partages - Sécurité sur différents partages rendus disponibles à partir de l'ordinateur.

Analyse des paramètres de partage de fichiers
Figure 20 Analyse des paramètres de partage de fichiers

L'interface utilisée pour étendre le jeu d'outils est décrite dans l'annexe A, Mise en œuvre d'attachements de sécurité de service. Cette interface permet aux fournisseurs de logiciels indépendants de créer des attachements de sécurité pour d'autres services.

Intégration de la stratégie de groupe

Comme indiqué ci-dessus, un autre élément essentiel du Jeu d'outils de configuration de sécurité est son intégration avec l'infrastructure de stratégie de groupe développée pour l'initiative d'administration Microsoft Windows. L'objectif de cette initiative est de permettre aux administrateurs de configurer un grand nombre de clients en définissant des stratégies au niveau du serveur pour ensuite les diffuser et les appliquer automatiquement aux clients. La stratégie de groupe recourt à Active Directory pour permettre le regroupement des ordinateurs et des utilisateurs en fonction de leur domaine d'activités. Le domaine d'activités est identifié à l'un des niveaux suivants : site, domaine ou unité d'organisation. Une assistance avancée vous permet de créer des sous-groupes au sein d'une unité d'organisation. Une stratégie de groupe limitée peut également être définie localement sur des ordinateurs individuels, où elle est appelée stratégie de l'ordinateur local. Pour plus d'informations sur cette infrastructure, reportez-vous aux livres blancs consacrés à l'administration de Windows et à la stratégie de groupe.

L'une des stratégies qui peut être configurée et diffusée est la stratégie de sécurité. La stratégie de sécurité est définie sous la forme d'un fichier de configuration de la sécurité qui est enregistré comme partie d'un objet de stratégie de groupe. Ce fichier de configuration de la sécurité est identique à celui utilisé à n'importe quel autre endroit dans le jeu d'outils. En conséquence, les zones couvertes par la partie sécurité de la stratégie de groupe sont :

  • Stratégies de compte

  • Stratégies locales

  • Groupes restreints

  • Services système

  • Registre

  • Système de fichiers

  • Objets annuaire

La figure 21 présente la partie sécurité de l'objet de stratégie de groupe. Cliquez sur Paramètres de l'ordinateur, puis sur Paramètres de sécurité pour obtenir la partie sécurité de l'objet de stratégie de groupe, laquelle a un aspect identique à celui de la configuration dans l'Éditeur de configuration de sécurité et dans le Gestionnaire de configuration de sécurité. La compatibilité intégrée entre les outils permet les opérations de couper/coller entre les mêmes nœuds et offre la possibilité d'exporter la configuration de l'un et de l'importer dans un autre.

Présentation de la partie sécurité de l'objet de stratégie de groupe
Figure 21 Présentation de la partie sécurité de l'objet de stratégie de groupe.

La partie sécurité de la stratégie de groupe reconnaît les stratégies de sécurité supplémentaires qui sont utilisées dans une entreprise Active Directory. Ces stratégies sont également présentées dans le nœud Paramètres de sécurité de tout objet de stratégie de groupe (local ou sur Active Directory). Parmi celles-ci, on trouve :

  • Stratégie de sécurité du protocole Internet - Cette stratégie pointe sur l'objet stratégie IPSec dans Active Directory. Les objets stratégie IPSec définissent les exigences de cryptage et de signature pour les paquets IP entre un ordinateur source et plusieurs ordinateurs cibles.

  • Stratégies de clé publique - Ces stratégies comprennent plusieurs sous-stratégies qui sont utilisées par les technologies à base d'infrastructure de clé publique incluses dans Windows 2000, à savoir :

  • Agents de récupération des données cryptées - Cette stratégie comprend un jeu de certificats X509 version 3. Le détenteur de la clé privée associée à chaque certificat a la possibilité de récupérer tout fichier crypté en utilisant le système de fichiers de cryptage sur n'importe lequel des ordinateurs du domaine d'influence de cette stratégie.

  • Certificats de racine - Cette stratégie comprend un jeu de certificats X509 version 3 auto-signés qui appartiennent à différentes autorités de certification. Tout certificat identifié comme racine dans un domaine d'influence donné (domaine, unité d'organisation ou local) représente une approbation ultime dans l'autorité de ce certificat. Toutes les validations des certificats de fin d'entité dans PKI doivent se terminer par un certificat racine identifié ici pour que le certificat de fin d'entité soit considéré comme valide.

  • Listes d'approbation de certificat - Cette stratégie comprend un jeu de certificats X509 version 3 non auto-signés qui appartiennent aux autorités de certification. Ces autorités de certification sont parfois appelées autorités secondaires. La liste d'approbation de certificats contient des informations supplémentaires, telles que les objets pour lesquels l'autorité de certification est approuvée, etc. Cela permet à l'administrateur de limiter le domaine d'application des différentes autorités de certification en terme de type de certificat qu'elles émettent.

Utilisation des outils

Pour utiliser l'Éditeur de configuration de sécurité, vous devez tout d'abord charger le composant logiciel dans une console MMC.

Chargement de l'Éditeur de configuration de sécurité dans la console MMC

  1. Démarrez Microsoft Management Console. Dans le menu Démarrer, cliquez sur Exécuter. Dans la zone de texte Ouvrir, tapez

    Mmc.exe

  2. Cliquez sur Console puis sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Cliquez sur Ajouter.

  4. Sélectionnez Éditeur de configuration de sécurité dans la liste, puis cliquez sur OK.

  5. Cliquez sur l'onglet Extensions. La liste déroulante doit afficher Éditeur de configuration de sécurité.

  6. Choisissez toutes les extensions de la liste.

  7. Retournez à la liste déroulante pour vérifier si les nouveaux composants logiciels y figurent. Si ce n'est pas le cas, sélectionnez-les l'un après l'autre et ajoutez leurs extensions.

  8. Répétez l'étape précédente jusqu'à ce que toutes les extensions soient ajoutées. Vous créez ainsi une console MMC avec un Éditeur de configuration de sécurité entièrement chargé.

  9. Cliquez sur Console, puis sur Enregistrer sous pour enregistrer la console et pouvoir l'utiliser ultérieurement.

Exemple 1 : Personnalisation des configurations redéfinies

  1. Lancez la console enregistrée pour l'Éditeur de configuration de sécurité.

  2. Ouvrez le nœud de l'Éditeur de configuration de sécurité. Vous devriez apercevoir le chemin de recherche par défaut des configurations dans votre répertoire système.

  3. Ouvrez ce nœud pour afficher la liste des configurations prédéfinies. La description associée à chaque configuration indique ce que vous pouvez faire avec cette configuration.

  4. Cliquez sur la configuration Sécurité de base.

  5. Cliquez sur Stratégies locales , puis sur Options de sécurité.

  6. Double-cliquez sur Renommer le compte administrateur.

  7. Désactivez la case à cocher afin d'activer le paramètre.

  8. Saisissez un nom générique tel que "personne".

  9. Répétez cette opération avec Renommer le compte Invité. Vous pouvez personnaliser de la même manière tous les paramètres de la configuration.

  10. Cliquez avec le bouton droit de la souris sur le nœud Sécurité de base, puis sélectionnez Enregistrer sous.

  11. Dans la boîte de dialogue Ouvrir le fichier, entrez le chemin à utiliser pour enregistrer cette configuration.

Exemple 2 : Création d'une nouvelle configuration

  1. Lancez la console enregistrée pour l'Éditeur de configuration de sécurité.

  2. Cliquez avec le bouton droit de la souris sur le nœud de l'Éditeur de configuration de sécurité, puis cliquez sur Ajouter un chemin de recherche de configuration.

  3. Allez dans le répertoire dans lequel vous voulez enregistrer votre nouvelle configuration.

  4. Cliquez sur OK.

  5. Un nœud vers le chemin sélectionné est ajouté sous le nœud de l'Éditeur de configuration de sécurité.

  6. Cliquez avec le bouton droit sur ce nœud, puis sélectionnez Nouvelle configuration.

    Un nouveau nœud représentant la configuration apparaît sous ce nœud. Cette configuration est complètement vide. Vous pouvez effectuer l'une des trois actions suivantes pour la remplir :

    • Importer des configurations existantes - Cliquez avec le bouton droit sur la nouvelle configuration, puis sélectionnez Importer la configuration. Recherchez la configuration que vous voulez importer, puis cliquez sur OK.

    • Valeurs personnalisées individuelles — Parcourez les différents éléments et définissez les valeurs comme dans l'exemple précédent.

    • Copier et coller des zones des configurations existantes — Allez à la configuration que vous voulez copier. Sélectionnez la zone concernée (stratégies de compte, stratégies locales, etc.). Cliquez avec le bouton droit de la souris sur la zone, puis cliquez sur Copier. Rendez-vous ensuite dans la même zone de la nouvelle configuration, cliquez avec le bouton droit puis cliquez sur Coller.

Pour utiliser le Gestionnaire de configuration de sécurité, vous devez tout d'abord charger le composant logiciel dans une console MMC.

Chargement du Gestionnaire de configuration de sécurité dans la console MMC

  1. Démarrez Microsoft Management Console. Dans le menu Démarrer, cliquez sur Exécuter. Dans la zone de texte Ouvrir, tapez

    Mmc.exe

  2. Cliquez sur Console, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Cliquez sur Ajouter.

  4. Sélectionnez Gestionnaire de configuration de sécurité dans la liste, puis cliquez sur OK.

  5. Cliquez sur l'onglet Extensions. La liste déroulante doit afficher Gestionnaire de configuration de sécurité.

  6. Choisissez toutes les extensions de la liste.

  7. Retournez à la liste déroulante pour vérifier si les nouveaux composants logiciels y figurent. Si ce n'est pas le cas, sélectionnez-les l'un après l'autre et ajoutez leurs extensions.

  8. Répétez l'étape précédente jusqu'à ce que toutes les extensions soient ajoutées. Vous créez ainsi une console MMC avec un Gestionnaire de configuration de sécurité complètement chargé.

  9. Cliquez sur Console, puis sur Enregistrer sous pour enregistrer la console et pouvoir l'utiliser ultérieurement.

Exemple 1 : Application d'une configuration prédéfinie à l'ordinateur

  1. Lancez la console enregistrée pour le Gestionnaire de configuration de sécurité. Par défaut, le domaine d'application est défini comme étant la base de données Stratégie de l'ordinateur local.

  2. Cliquez avec le bouton droit de la souris sur le nœud du Gestionnaire de configuration de sécurité, puis cliquez sur Importer la configuration.

  3. Utilisez la boîte de dialogue Ouvrir le fichier pour rechercher la configuration que vous voulez appliquer.

  4. Assurez-vous que la case à cocher de l'option de remplacement de la configuration existante n'est pas validée afin de ne pas remplacer la configuration existante par la configuration importée.

  5. Cliquez sur OK. La configuration sélectionnée fait maintenant partie intégrante de la configuration stockée dans la stratégie de l'ordinateur local.

  6. Cliquez sur Configurer maintenant dans le menu contextuel du Gestionnaire de configuration de sécurité.

Exemple 2 : Pour s'assurer que le système est cohérent par rapport à la base de données Stratégie de l'ordinateur local.

  1. Lancez la console enregistrée pour le Gestionnaire de configuration de sécurité. Par défaut, elle pointe vers la base de données Stratégie de l'ordinateur local.

  2. Cliquez avec le bouton droit de la souris sur le nœud du Gestionnaire de configuration de sécurité, puis cliquez sur Analyser.

  3. Indiquez le chemin du fichier journal d'erreurs, puis cliquez sur OK.

  4. La boîte de dialogue qui indique la progression de l'analyse s'affiche.

  5. S'il y a des erreurs, le Bloc-notes s'ouvre sur le fichier journal contenant les erreurs.

Vous pouvez à présent naviguer dans les différentes zones, par exemple les stratégies de compte, les stratégies locales, etc. et rechercher tout défaut de concordance. Il ne devrait normalement y en avoir aucun.

Exemple 3 : Exportation de la configuration courante du système vers un ordinateur et application de celle-ci sur un autre système.

  1. Lancez sur l'ordinateur choisi la console enregistrée pour le Gestionnaire de configuration de sécurité. Par défaut, elle pointe vers la base de données Stratégie de l'ordinateur local.

  2. Cliquez avec le bouton droit de la souris sur le nœud du Gestionnaire de configuration de sécurité, puis cliquez sur Exporter la configuration.

  3. Indiquez le chemin vers lequel vous voulez enregistrer le fichier de configuration. Il peut s'agir d'un chemin du réseau vers un quelconque partage. La configuration y sera enregistrée.

    Vous disposez de plusieurs options pour l'appliquer à différents ordinateurs :

    • S'il n'y a qu'un petit nombre de systèmes et que vous voulez effectuer cette opération manuellement, reportez-vous à l'exemple 1 ci-dessus pour appliquer cette configuration à chacun des ordinateurs.

    • En présence d'un grand nombre d'ordinateurs et dans une infrastructure Active Directory, vous pouvez utiliser l'extension Éditeur de stratégie de groupe, importer la configuration dans un objet de stratégie de groupe (GPO) pour ensuite la diffuser au grand nombre de systèmes.

    • En présence d'un grand nombre d'ordinateurs et en l'absence d'une infrastructure Active Directory, vous pouvez utiliser le serveur d'administration du système pour appliquer la configuration aux différents ordinateurs en utilisant un script de commande qui invoque Secedit.exe.

Exemple 4 : Pour analyser un système par rapport aux configurations fournies par une source externe

  1. Lancez sur l'ordinateur la console enregistrée pour le Gestionnaire de configuration de sécurité.

  2. Cliquez avec le bouton droit sur Nouvelle base de données, puis sélectionnez une nouvelle base de données de sécurité.

  3. Cliquez avec le bouton droit de la souris sur Importer la configuration et indiquez l'un des fichiers de configuration.

  4. Répétez l'étape précédente pour chacune des configurations à inclure.

  5. Cliquez avec le bouton droit sur Analyser. Indiquez le chemin du fichier journal d'erreurs, puis cliquez sur OK.

  6. La boîte de dialogue qui apparaît vous indique la progression. Une fois l'opération terminée, vous pouvez parcourir les différentes zones et rechercher les éventuels défauts de concordance. Ceux-ci sont clairement identifiés par une icône en forme de X.

Exemple 1 : Pour travailler avec la stratégie de l'ordinateur local

  1. Sur le bureau, cliquez avec le bouton droit sur Poste de travail.

  2. Cliquez sur Gérer. pour lancer le composant logiciel Gestion de l'ordinateur.

  3. Dans le menu Outils système, amenez le curseur sur Stratégie de l'ordinateur local puis sur Paramètres de l'ordinateur, et cliquez enfin sur Paramètres de sécurité. Vous devriez voir apparaître le nœud de Configuration de la sécurité. Vous pouvez éditer les différentes stratégies telles que le mot de passe, le verrouillage, l'audit ou les droits des utilisateurs. Ces modifications prennent effet immédiatement après que vous avez terminé toutes les modifications et refermé le programme.

    Remarque : Si vous vous trouvez dans une infrastructure de stratégie de groupe basée sur le domaine, toute modification apportée peut être remplacée par les modifications effectuées depuis Active Directory.

Exemple 2 : Pour définir les stratégies de compte pour le domaine et tous les ordinateurs de ce domaine.

  1. Lancez le Gestionnaire Active Directory.

  2. Dans le menu Démarrer, amenez le curseur sur Programmes, puis sur Outils d'administration et cliquez ensuite sur Gestionnaire Active Directory.

  3. Cliquez avec le bouton droit de la souris sur le nœud Domaine, cliquez sur Propriétés et cliquez ensuite sur l'onglet Stratégie de groupe.

  4. Sélectionnez l'objet Stratégie de compte de domaine par défaut, puis cliquez sur Modifier.

  5. Cette commande ouvre l'Éditeur de stratégie de groupe pour la stratégie sélectionnée.

  6. Cliquez sur le nœud Stratégie. Dans le menu Paramètres de l'ordinateur, amenez le curseur sur Paramètres de sécurité puis cliquez sur Stratégies de comptes.

    Vous pouvez à présent ouvrir chaque nœud sous les stratégies de compte.

    • Stratégie de mot de passe pour configurer les options de la stratégie de mot de passe pour le domaine.

    • Stratégie de verrouillage de compte pour configurer les restrictions par verrouillage de compte.

    • Stratégie Kerberos pour configurer les stratégies de type Kerberos pour le domaine.

Exemple 3 : Pour désactiver RAS, DHCP et DNS sur tous les ordinateurs du domaine sauf certains ordinateurs spécifiques.

La configuration de cette stratégie s'effectue en deux étapes. Vous devez tout d'abord définir une stratégie de premier ordre générique pour désactiver ces services sur tous les ordinateurs du domaine. Deuxièmement, vous devez déplacer les ordinateurs spécifiques qui exécutent RAS, DHCP et DNS dans des unités d'organisation séparées et configurer la stratégie de manière à activer le service correspondant.

Partie 1 : Définition de la stratégie de premier plan générique

  1. Lancez le Gestionnaire Active Directory. Dans le menu Démarrer, amenez le curseur sur Programmes, puis sur Outils d'administration et cliquez ensuite sur Gestionnaire Active Directory.

  2. Cliquez avec le bouton droit de la souris sur le nœud Domaine, cliquez sur Propriétés et cliquez ensuite sur l'onglet Stratégie de groupe. La boîte de dialogue d'attribution de stratégie de groupe s'affiche. Elle contient tous les objets de stratégie de groupe attribués.

  3. Cliquez sur Ajouter pour ouvrir la boîte de dialogue d'attribution d'objet de stratégie de groupe.

  4. Cliquez sur l'option Nouvelle stratégie de groupe et remplacez le nom présent par le nom Désactiver services réseau.

  5. Vous créez ainsi l'objet de stratégie de groupe (GPO, Group Policy Object) et lancez le GPE avec ce GPO.

  6. Dans le menu Paramètres de l'ordinateur, amenez le curseur sur Paramètres de sécurité puis cliquez sur Services système.

  7. Sélectionnez chacun des trois services et double-cliquez pour ouvrir la boîte de dialogue de configuration.

  8. Paramétrez le mode de démarrage du service sur Désactivé et cliquez sur OK.

  9. Fermez le programme pour configurer la stratégie requise.

Partie 2 : Pour déplacer les ordinateurs RAS, DHCP et DNS dans des unités d'organisation séparées et configurer la stratégie de manière à activer le service correspondant

  1. Lancez le Gestionnaire Active Directory. Dans le menu Démarrer, amenez le curseur sur Programmes, puis sur Outils d'administration et cliquez ensuite sur Gestionnaire Active Directory.

  2. Cliquez avec le bouton droit à l'endroit où vous voulez créer l'unité d'organisation dans laquelle loger les ordinateurs qui exécutent les serveurs RAS. Cliquez sur Nouveau, puis sur Unité d'organisation et saisissez le nom suivant :

    Serveurs d'accès distant

  3. Sélectionnez l'unité d'organisation Serveurs d'accès distant. Cliquez avec le bouton droit de la souris sur Propriétés, puis cliquez sur l'onglet Stratégie de groupe.

  4. Cliquez sur Ajouter pour ouvrir la boîte de dialogue d'attribution d'objet de stratégie de groupe.

  5. Cliquez sur Nouveau et insérez Activer serveurs d'accès distant. Vous créez ainsi le GPO (objet de stratégie de groupe) et lancez le GPE avec ce GPO.

  6. Dans le menu Paramètres de l'ordinateur, amenez le curseur sur Paramètres de sécurité, puis cliquez sur Services système.

  7. Sélectionnez Service RAS, puis double-cliquez pour ouvrir la boîte de dialogue de configuration.

  8. Paramétrez le mode de démarrage du service sur Activé et cliquez sur OK.

  9. Fermez le programme pour configurer la stratégie requise pour les serveurs RAS.

  10. Répétez les étapes ci-dessus pour les serveurs DHCP et DNS.

Annexe A. Mise en œuvre d'attachements de sécurité de service

Cette annexe décrit les procédures permettant de construire et de mettre en œuvre des attachements pour le jeu d'outils de configuration de la sécurité.

L'architecture d'attachement de sécurité nécessite la mise en œuvre des deux éléments suivants :

  • Une DLL de moteur d'attachement qui met en œuvre trois interfaces (décrites ultérieurement dans cette annexe).

    Un composant logiciel enfichable d'extension de Microsoft Management Console (MMC) qui fournit la fonctionnalité d'éditeur et de gestionnaire de configuration employée pour configurer et analyser des paramètres de sécurité spécifiques à l'attachement. Cette extension peut se présenter sous la forme d'un nœud à l'un des deux endroits possibles de l'espace de nom Jeu d'outils de configuration de sécurité :

    • Sous la zone de sécurité Services dans les composants logiciels enfichables Éditeur et Gestionnaire de configuration de sécurité. Cette option doit être utilisée lorsque l'attachement exécute une configuration ou une analyse de la sécurité spécifique au service.

      Le Jeu d'outils de configuration de sécurité gère directement des paramètres de sécurité généraux pour des services individuels. Ces paramètres généraux incluent la stratégie d'invocation de service (désactivé, automatique ou manuel) ainsi que les descripteurs de sécurité pour chaque service. Par conséquent, aucun attachement de configuration de la sécurité ne doit tenter de configurer ces paramètres. L'architecture d'attachement de sécurité de service dans le Jeu d'outils de configuration de sécurité crée une infrastructure permettant de configurer et d'analyser les paramètres de sécurité spécifiques d'un service pour des services individuels. Par exemple, Spooler est un service Windows NT qui définit des objets privés (dans ce cas, des imprimantes) à sécuriser. En outre, il comporte des paramètres de configuration sensibles sur le plan de la sécurité. Pour Spooler, un attachement de sécurité de service doit permettre la configuration et l'analyse des paramètres de sécurité sur les objets d'imprimante et des paramètres sensibles de sécurité pour le service.

    • Au même niveau que les Services et d'autres zones de sécurité. Cette option doit être utilisée lorsque l'attachement exécute une configuration ou une analyse de la sécurité plus générale. Par exemple, un attachement qui suit les lots de services et les difficultés particulières appliqués au système serait mis à ce niveau car il s'applique à l'ensemble du système.

Le Jeu d'outils de configuration de sécurité fournit un ensemble d'API de support que le moteur d'attachement ou le composant logiciel enfichable d'extension peut employer pour interroger ou définir des informations spécifiques de service contenues dans la base de données de configuration et d'analyse de sécurité.

La figure 1A présente les éléments de l'architecture de composant logiciel enfichable incluant l'infrastructure d'attachement (les composants logiciels enfichables d'extension pour les attachements, les moteurs d'attachement et la base de données d'inspection).

Architecture des composants logiciels enfichables,<br>du moteur et des extensions du Jeu d'outils de configuration de sécurité
Figure 1A Architecture des composants logiciels enfichables,
du moteur et des extensions du Jeu d'outils de configuration de sécurité

Le Jeu d'outils de configuration de sécurité, qui est composé du moteur principal et du composant logiciel enfichable MMC, fournit le cadre global pour la mise en œuvre et l'analyse de la sécurité système pour les installations Windows NT et Windows 2000.

Dans le cadre des attachements, les DLL du moteur d'attachement s'enregistrent avec le moteur de configuration de la sécurité. Le service du moteur de configuration de la sécurité charge ensuite l'attachement pendant l'exécution. Il appelle l'interface de configuration de l'attachement lorsque le système est configuré, l'interface d'analyse où le système est analysé et l'interface de mise à jour lorsque les paramètres de la base de données sont modifiés par le composant logiciel enfichable d'extension.

De façon similaire, le composant logiciel enfichable d'extension pour l'attachement doit s'enregistrer comme une extension du composant logiciel enfichable Jeu d'outils de configuration de sécurité. Les composants logiciels enfichables du Jeu d'outils de configuration de sécurité chargent le composant logiciel enfichable d'extension comme un nœud sous la zone de sécurité de services ou au même niveau que la zone des services (en fonction de la manière dont l'extension est inscrite) à la fois dans les outils d'édition et du gestionnaire. Si vous écrivez un composant logiciel enfichable d'extension, vous devez suivre la documentation du créateur de l'extension MMC pour mettre en œuvre le composant logiciel enfichable d'extension global. En outre, vous devez mettre en œuvre l'interface COM (Component Object Model) décrite ci-dessous pour communiquer avec les composants logiciels enfichables Éditeur et Gestionnaire de configuration de sécurité.

La construction de l'attachement de service implique la mise en œuvre de ces interfaces et l'installation/enregistrement de l'attachement avec le Jeu d'outils de configuration de sécurité. Le Jeu d'outils de configuration de sécurité charge l'attachement et appelle ensuite ces interfaces en fonction des opérations invoquées par l'utilisateur.

Avant de décrire les interfaces à mettre en œuvre et de préciser comment procéder pour les mettre en œuvre, il est important de définir diverses structures de données ainsi que les API prises en charge et fournies par le Jeu d'outils de configuration de sécurité.

Les structures de données

Notez que les structures de données décrites ici sont définies dans le fichier d'en-tête Scesvc.h, inclus dans la plate-forme Microsoft SDK.

  • Codes de statut de l'Éditeur de configuration de sécurité : divers codes de statut du Jeu d'outils de configuration de sécurité renvoyés par les fonctions d'assistance et attendus par les interfaces d'attachement.

    typedef DWORD SCESTATUS;

    #define SCESTATUS_SUCCESS 0L

    #define SCESTATUS_INVALID_PARAMETER 1L

    #define SCESTATUS_RECORD_NOT_FOUND 2L

    #define SCESTATUS_INVALID_DATA 3L

    #define SCESTATUS_OBJECT_EXIST 4L

    #define SCESTATUS_BUFFER_TOO_SMALL 5L

    #define SCESTATUS_PROFILE_NOT_FOUND 6L

    #define SCESTATUS_BAD_FORMAT 7L

    #define SCESTATUS_NOT_ENOUGH_RESOURCE 8L

    #define SCESTATUS_ACCESS_DENIED 9L

    #define SCESTATUS_CANT_DELETE 10L

    #define SCESTATUS_PREFIX_OVERFLOW 11L

    #define SCESTATUS_OTHER_ERROR 12L

    #define SCESTATUS_ALREADY_RUNNING 13L

    #define SCESTATUS_SERVICE_NOT_SUPPORT 14L

  • Descripteurs SCE : les descripteurs opaques fournis par le Jeu d'outils de configuration de sécurité aux interfaces d'attachement pour la prise en charge des fonctions de rappel.

    typedef PVOID SCE_HANDLE;

    typedef ULONG SCE_ENUMERATION_CONTEXT, *PSCE_ENUMERATION_CONTEXT;

    typedef struct _SCESVC_CALLBACK_INFO_ {

    SCE_HANDLE sceHandle;

    PFSCE_QUERY_INFO pfQueryInfo;

    PFSCE_SET_INFO pfSetInfo;

    PFSCE_FREE_INFO pfFreeInfo;

    PFSCE_LOG_INFO pfLogInfo;

    } SCESVC_CALLBACK_INFO, *PSCESVC_CALLBACK_INFO;

  • Information de configuration du service Éditeur de configuration de sécurité : structure d'informations à utiliser par des interfaces d'attachement lors de l'interrogation ou de la définition d'informations de configuration dans la base de données ou lors de la configuration par l'intermédiaire des interfaces de rappel reconnues.

    typedef enum _SCESVC_INFO_TYPE {

    SceSvcConfigurationInfo,

    SceSvcAnalysisInfo,

    SceSvcInternalUse // NE PAS UTILISER.

    } SCESVC_INFO_TYPE;

    typedef struct _SCESVC_CONFIGURATION_LINE_ {

    LPTSTR Key;

    LPTSTR Value;

    DWORD ValueLen; // nombre d'octets

    } SCESVC_CONFIGURATION_LINE, *PSCESVC_CONFIGURATION_LINE;

    typedef struct _SCESVC_CONFIGURATION_INFO_ {

    DWORD Count;

    PSCESVC_CONFIGURATION_LINE Lines;

    } SCESVC_CONFIGURATION_INFO, *PSCESVC_CONFIGURATION_INFO;

  • Informations d'analyse du service Éditeur de configuration de sécurité : la structure d'informations à utiliser par les interfaces d'attachement lors de l'interrogation ou de la définition d'informations d'analyse dans la base de données par l'intermédiaire des interfaces de rappel reconnues.

    typedef enum _SCESVC_INFO_TYPE {

    SceSvcConfigurationInfo,

    SceSvcAnalysisInfo,

    SceSvcInternalUse // NE PAS UTILISER

    } SCESVC_INFO_TYPE;

    typedef struct _SCESVC_ANALYSIS_LINE_ {

    LPTSTR Key;

    PBYTE Value;

    DWORD ValueLen; // nombre d'octets

    } SCESVC_ANALYSIS_LINE, *PSCESVC_ANALYSIS_LINE;

    typedef struct _SCESVC_ANALYSIS_INFO_ {

    DWORD Count;

    PSCESVC_ANALYSIS_LINE Lines;

    } SCESVC_ANALYSIS_INFO, *PSCESVC_ANALYSIS_INFO;

API de rappel et d'assistance du Jeu d'outils de configuration de sécurité

Le Jeu d'outils de configuration de sécurité fournit une série de fonctions de rappel et d'assistance que l'attachement doit utiliser pour lire ou écrire des informations dans le fichier de configuration et dans la base de données.

Ces fonctions sont les suivantes :

  • PFSCE_QUERY_INFO — Cette fonction de rappel permet à l'attachement d'obtenir des informations de configuration ou d'analyse de la base de données pour un service.

  • PFSCE_SET_INFO — Cette fonction de rappel permet à l'attachement de définir des informations de configuration et d'analyse dans la base de données pour un service donné.

  • PFSCE_FREE_INFO — Cette fonction de rappel doit être utilisée pour libérer les tampons alloués par le Jeu d'outils de configuration de sécurité pour l'attachement.

  • PFSCE_FREE_INFO — Cette fonction de rappel est utilisée pour écrire des informations dans le fichier journal généré pendant les différentes opérations de SCTS : configuration, analyse et diffusion des stratégies.

  • ConvertSecurityDescriptorToStringSecurityDescriptor — Cette fonction prend un descripteur de sécurité Windows NT binaire relatif à lui-même et renvoie une représentation de texte pour celui-ci. Cette fonction est utile pour stocker des descripteurs de sécurité dans des fichiers de configuration.

  • ConvertStringSecurityDescriptorToSecurityDescriptor — Cette fonction prend un descripteur de sécurité sous forme de texte ayant été initialement généré par l'intermédiaire de ConvertSecurityDescriptorToStringSecurityDescriptor et renvoie un descripteur de sécurité Windows NT binaire relatif à lui-même le représentant. Cette fonction est utile lors de la lecture d'un descripteur de sécurité textuel à partir d'un fichier de configuration et de son application à un objet sur le système.

Les fonctions de rappel sont déclarées dans le fichier d'en-tête Scesvc.h de la plate-forme SDK et les fonctions d'assistance sont déclarées dans le fichier d'en-tête Sddl.h. Les bibliothèques statiques à lier sont Scesvc.lib et Advapi32.lib, disponibles pour les plates-formes x86 et Alpha. Ces fonctions sont décrites de façon plus détaillées ci-après.

PFSCE_QUERY_INFO

Cette fonction de rappel permet à l'attachement de demander des informations de configuration ou d'analyse à la base de données.

typedef
SCESTATUS
(*PFSCE_QUERY_INFO)(
IN SCE_HANDLE sceHandle,
IN SCESVC_INFO_TYPE sceType,
IN LPTSTR lpPrefix OPTIONAL,
IN BOOL bExact,
OUT PVOID *ppvInfo,
OUT PSCE_ENUMERATION_CONTEXT psceEnumHandle
);

Paramètres

  • sceHandle — Descripteur SCE opaque transmis à l'attachement par le Jeu d'outils de configuration de sécurité. Celui-ci est utilisé pour déterminer où seront stockées les informations.

  • sceType — Doit être SCE_SERVICE_CONFIGURATION_INFO si des informations de configuration sont demandées, ou SCE_SERVICE_ANALYSIS_INFO si des informations d'analyse sont demandées.

  • lpPrefix — Ce paramètre peut être NULL. S'il est NULL, toutes les clés sont renvoyées. Si une chaîne est fournie, les informations renvoyées contiennent toutes les clés (et les valeurs correspondantes) avec le même préfixe que la chaîne spécifiée.

  • bExact — Ce paramètre n'est pas utilisé si lpPrefix a la valeur NULL. Si ce paramètre a la valeur TRUE, la clé correspondant exactement à la chaîne spécifiée dans lpPrefix est renvoyée. Si ce paramètre a la valeur FALSE, toutes les clés (et leurs valeurs) ayant le même préfixe que la chaîne spécifiée dans lpPrefix sont renvoyées.

  • pvInfo — Pointeur vers un pointeur de type SCESVC_CONFIGURATION_INFO si sceType est SceSvcConfigurationInfo. Sinon, il doit être SCESVC_ANALYSIS_INFO si le sceType est SceSvcAnalysisInfo. C'est le Jeu d'outils de configuration de sécurité, et non l'attachement, qui alloue la mémoire tampon ; par conséquent, le pointeur doit pointer vers NULL.

  • psceEnumHandle — Descripteur qui doit être employé dans les appels successifs à cette fonction. La fonction peut ne pas renvoyer toutes les clés dans un appel unique puisqu'il y aurait un très grand nombre de clés. Le nombre maximal de clés renvoyées dans un appel unique est 256.

Valeurs retournées

SCESTATUS_SUCCESS indique que l'opération a réussi. L'une des valeurs suivantes signale un échec :

  • SCESTATUS_INVALID_PARAMETER

  • SCESTATUS_RECORD_NOT_FOUND

  • SCESTATUS_BAD_FORMAT

  • SCESTATUS_OTHER_ERROR

  • SCESTATUS_NOT_ENOUGH_RESOURCE

PFSCE_SET_INFO

Cette API de rappel permet à l'attachement de définir/remplacer des informations de configuration/analyse stockées dans la base de données concernant un service spécifique.

typedef
SCESTATUS
(*PFSCE_SET_INFO)(
IN SCE_HANDLE sceHandle,
IN SCESVC_INFO_TYPE sceType,
IN LPTSTR lpPrefix OPTIONAL,
IN BOOL bExact,
IN PVOID pvInfo
);

Paramètres

  • SceHandle — Le descripteur opaque transmis à l'attachement par le Jeu d'outils de configuration de sécurité. Celui-ci est utilisé pour déterminer où seront stockées les informations.

  • SceType — Doit être SCE_SERVICE_CONFIGURATION_INFO si des informations de configuration sont définies, ou SCE_SERVICE_ANALYSIS_INFO si des informations d'analyse sont définies.

  • lpPrefix — Ce paramètre peut être NULL. S'il a la valeur NULL, toutes les informations de service sont remplacées par les informations fournies. Si une chaîne est fournie, les informations remplacées contiennent toutes les clés (et les valeurs correspondantes) avec le même préfixe que la chaîne spécifiée.

  • bExact — Ce paramètre n'est pas utilisé si lpPrefix a la valeur NULL. Si ce paramètre a la valeur TRUE, la clé correspondant exactement à la chaîne spécifiée dans lpPrefix est remplacée. Si ce paramètre a la valeur FALSE, toutes les clés (et leurs valeurs) ayant le même préfixe que la chaîne spécifiée dans lpPrefix sont remplacées.

  • pvInfo — Doit être un pointeur de type SCESVC_CONFIGURATION_INFO si sceType est SceSvcConfigurationInfo. Sinon, il doit être SCESVC_ANALYSIS_INFO si le sceType est SceSvcAnalysisInfo.

Valeurs retournées

SCESTATUS_SUCCESS indique que l'opération a réussi. L'une des valeurs suivantes signale un échec :

  • SCESTATUS_INVALID_PARAMETER

  • SCESTATUS_RECORD_NOT_FOUND

  • SCESTATUS_BAD_FORMAT

  • SCESTATUS_NOT_ENOUGH_RESOURCE

  • SCESTATUS_ACCESS_DENIED

  • SCESTATUS_DATA_OVERFLOW

  • SCESTATUS_OTHER_ERROR

PFSCE_FREE_INFO

L'attachement doit appeler cette fonction pour libérer les tampons alloués par le Jeu d'outils de configuration de sécurité dans les appels à PFSCE_QUERY_INFO.

typedef
SCESTATUS
(*PFSCE_FREE_INFO)(
IN PVOID pvServiceInfo
);

Paramètres

pvServiceInfo — Pointeur vers le tampon alloué.

Valeurs retournées

SCESTATUS_SUCCESS indique que l'opération a réussi. SCESTATUS_INVALID_PARAMETER signale un échec.

PFSCE_LOG_INFO

L'attachement peut appeler cette fonction pour écrire des informations dans le fichier journal généré lorsque le Jeu d'outils de configuration de sécurité effectue une configuration, une analyse et une diffusion des stratégies sur un système.

typedef
SCESTATUS
(*PFSCE_LOG_INFO)(
IN INT ErrLevel,
IN DWORD Win32rc,
IN LPTSTR pErrFmt,
...
);

Paramètres

  • ErrLevel Spécifie le niveau du journal des erreurs auquel l'information fournie doit être inscrite dans le fichier journal. Si l'opération invoquée se trouve à ce niveau, l'information de l'attachement est enregistrée ; dans le cas contraire elle est ignorée. Les niveaux définis sont les suivants :

    #define SCE_LOG_LEVEL_ALWAYS 0

    #define SCE_LOG_LEVEL_ERROR 1

    #define SCE_LOG_LEVEL_DETAIL 2

    #define SCE_LOG_LEVEL_DEBUG 3

  • Win32rc Retourne la valeur à inscrire dans le journal. Celle-ci peut être la valeur erronée retournée par certaines API du système appelées par l'attachement pour effectuer la configuration ou l'analyse.

  • PerrEmt La chaîne qui se termine par NULL et qui doit être écrite dans le fichier journal.

ConvertSecurityDescriptorToStringSecurityDescriptor

Il s'agit d'une fonction d'assistance qui permet à l'attachement de convertir un descripteur de sécurité relatif à lui-même sous forme textuelle pouvant être stocké dans le fichier de configuration et dans la base de données. Cette fonction est utile lorsqu'un attachement configure la sécurité sur un service prenant en charge des objets privés ayant des descripteurs de sécurité.

WINADVAPI
BOOL
WINAPI
ConvertSecurityDescriptorToStringSecurityDescriptorA(
IN PSECURITY_DESCRIPTOR SecurityDescriptor,
IN DWORD RequestedStringSDRevision,
IN SECURITY_INFORMATION SecurityInformation,
OUT LPSTR *StringSecurityDescriptor OPTIONAL,
OUT PULONG StringSecurityDescriptorLen OPTIONAL
);
WINADVAPI
BOOL
WINAPI
ConvertSecurityDescriptorToStringSecurityDescriptorW(
IN PSECURITY_DESCRIPTOR SecurityDescriptor,
IN DWORD RequestedStringSDRevision,
IN SECURITY_INFORMATION SecurityInformation,
OUT LPWSTR *StringSecurityDescriptor OPTIONAL,
OUT PULONG StringSecurityDescriptorLen OPTIONAL
);

Paramètres

  • SecurityDescriptor — Pointeur vers le descripteur de sécurité. Reportez-vous à la plate-forme SDK pour les fonctions qui manipulent les descripteurs de sécurité.

  • RequestedStringSDRevision — Spécifie le niveau de révision pour la représentation sous forme de texte du descripteur de sécurité. Doit être SDDL_REVISION.

  • SecurityInformation — Spécifie la partie d'informations de sécurité du descripteur de sécurité devant être convertie sous forme textuelle. Reportez-vous à la plate-forme SDK pour les valeurs de SECURITY_INFORMATION.

  • StringSecurityDescriptor — Spécifie la forme chaîne du descripteur de sécurité renvoyé par cette fonction. La mémoire tampon est allouée par la fonction et doit être libérée à l'aide de la fonction SceSvcFree lorsqu'elle n'est plus requise.

  • StringSecurityDescriptorLen — Pointeur vers un ULONG rempli avec la longueur de la chaîne.

La chaîne utilisée pour renvoyer la forme textuelle est allouée par cette fonction d'assistance. Elle doit être libérée à l'aide de la fonction LocalFree.

Valeurs retournées

SCESTATUS_SUCCESS indique que l'opération a réussi. L'une des valeurs suivantes signale un échec :

  • SCESTATUS_INVALID_PARAMETER

  • SCESTATUS_NOT_ENOUGH_RESOURCE

ConvertStringSecurityDescriptorToSecurityDescriptor

Il s'agit d'une fonction d'assistance qui permet à l'attachement de convertir une forme textuelle de descripteur de sécurité (créée plus tôt à l'aide de ConvertSecurityDescriptorToStringSecurityDescriptor) en sa forme binaire relative à elle-même.

WINADVAPI
BOOL
WINAPI
ConvertStringSecurityDescriptorToSecurityDescriptorA(
IN LPCSTR StringSecurityDescriptor,
IN DWORD StringSDRevision,
OUT PSECURITY_DESCRIPTOR *SecurityDescriptor,
OUT PULONG SecurityDescriptorSize OPTIONAL
);
WINADVAPI
BOOL
WINAPI
ConvertStringSecurityDescriptorToSecurityDescriptorW(
IN LPCWSTR StringSecurityDescriptor,
IN DWORD StringSDRevision,
OUT PSECURITY_DESCRIPTOR *SecurityDescriptor,
OUT PULONG SecurityDescriptorSize OPTIONAL
);

Paramètres

  • StringSecurityDescriptor — Spécifie la forme textuelle du descripteur de sécurité.

    RequestedStringSDRevision — Spécifie le niveau de révision pour la représentation sous forme de texte du descripteur de sécurité. Doit être SDDL_REVISION.

    • SecurityDescriptor — Pointeur vers un pointeur de descripteur de sécurité. Cette fonction alloue la mémoire nécessaire pour créer le descripteur de sécurité relatif à elle-même. Elle doit être libérée à l'aide de la fonction SceSvcFree lorsqu'elle n'est plus utilisée.

    • SecurityDescriptorSize — Spécifie la taille du descripteur de sécurité alloué.

Le tampon destiné à renvoyer un descripteur de sécurité est alloué par cette fonction d'assistance. Il doit être libéré à l'aide de la fonction LocalFree.

Valeurs retournées

SCESTATUS_SUCCESS indique que l'opération a réussi. L'une des valeurs suivantes signale un échec :

  • SCESTATUS_INVALID_PARAMETER

  • SCESTATUS_RECORD_NOT_FOUND

  • SCESTATUS_NOT_ENOUGH_RESOURCE

Interfaces d'attachement requises

Les trois interfaces que l'attachement doit mettre en œuvre sont les suivantes :

  • SceSvcAttachmentConfig — Le gestionnaire de sécurité appelle cette interface lors de la configuration du système.

  • SceSvcAttachmentAnalyze — Le gestionnaire de sécurité appelle cette interface lors de l'analyse du système.

  • SceSvcAttachmentUpdate — Le gestionnaire de sécurité appelle cette interface lorsqu'il reçoit une demande de mise à jour de configuration du composant logiciel enfichable MMC.

SceSvcAttachmentConfig

Syntaxe

typedef
SCESTATUS
(*PF_ConfigAnalyzeService)(
IN PSCESVC_CALLBACK_INFO pSceCbInfo
);

Paramètres

  • PsceCbInfo — Structure transmise au moteur de l'attachement par le Jeu d'outils de configuration de sécurité lorsqu'il faut invoquer cette interface. Elle fournit un descripteur de contexte qui est utilisé par les différentes fonctions de rappel. Elle fournit également les pointeurs de fonction vers les fonctions de rappel.

Cette interface doit effectuer les opérations suivantes :

  • Utiliser la fonction d'assistance PFSCE_QUERY_INFO du Jeu d'outils de configuration de sécurité pour demander des informations de configuration.

  • Configurer le service.

<< 1 2 3 4 >>

Dernière mise à jour le vendredi 1 septembre 2000