Exporter (0) Imprimer
Développer tout

Guide de sécurité Windows Server 2003

Chapitre 8 : Rôle du serveur d'impression

Dernière mise à jour le 27 décembre 2005

Sur cette page

Présentation
Paramètres de stratégie d’audit
Attribution des droits de l’utilisateur
Options de sécurité
Paramètres du journal des événements
Paramètres de sécurité supplémentaires
Création de la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)
Résumé

Présentation

Ce chapitre porte sur le renforcement des serveurs d'impression qui exécutent Microsoft® Windows Server™ 2003 avec SP1, ce qui est parfois complexe. Les services les plus importants de ces serveurs nécessitent les protocoles SMB (Server Message Block) et CIFS (Common Internet File System), qui peuvent fournir des informations précieuses aux utilisateurs authentifiés. Ces protocoles sont souvent désactivés sur les serveurs d'impression dans les environnements haute sécurité de Windows. Cependant, les administrateurs et les utilisateurs pourront difficilement accéder aux serveurs d'impression si ces protocoles sont désactivés dans votre environnement.

La plupart des paramètres mentionnés dans ce chapitre sont configurés et sont appliqués par la stratégie de groupe. Vous pouvez lier un objet de stratégie de groupe (GPO) qui complète la stratégie de base des serveurs membres (MSBP) aux unités d'organisation (UO) qui contiennent les serveurs d'impression, afin de modifier les paramètres de sécurité de ce rôle de serveur. Ce chapitre porte uniquement sur les paramètres de stratégie qui diffèrent de la stratégie MSBP.

Dans la mesure du possible, ces paramètres sont rassemblés dans un modèle de stratégie de groupe incrémentiel qui sera appliqué à l'UO des serveurs d'impression. Certains des paramètres mentionnés dans ce chapitre ne peuvent pas être appliqués par la stratégie de groupe. Des informations détaillées sur la configuration manuelle de ces paramètres sont fournies.

Le tableau suivant regroupe les noms des modèles de sécurité du serveur d'impression pour les trois environnements qui sont définis dans ce guide. Ces modèles fournissent les paramètres de stratégie pour le modèle de serveur d'impression incrémentiel, qui est lui-même utilisé pour créer un nouvel objet GPO lié à l'UO des serveurs d'impression dans l'environnement approprié. Vous trouverez des instructions détaillées dans le chapitre 2, « Mécanismes de renforcement de Windows Server 2003 » pour créer les UO et les stratégies de groupe et importer ensuite le modèle de sécurité approprié dans chaque GPO.

Tableau 8.1 Modèles de sécurité du serveur d'impression pour les trois environnements

Client hérité

Client Entreprise

Sécurité spécialisée – Fonctionnalité limitée

LC-Print Server.inf

EC-Print Server.inf

SSLF-Print Server.inf


Pour plus d'informations sur les paramètres de la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Pour plus d'informations sur tous les paramètres par défaut, voir le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP ,  qui est disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.

Remarque : Les serveurs d'impression qui sont sécurisés à l'aide du modèle de sécurité SSLF-Print Server.inf n'offrent un accès fiable qu'aux ordinateurs clients qui sont sécurisés avec des paramètres compatibles. Voir le Guide de sécurité de Windows XP pour plus d'informations sur la sécurisation des ordinateurs clients avec des paramètres compatibles SSLF.

Paramètres de stratégie d’audit

Les paramètres de stratégie d’audit pour les serveurs d’impression dans les trois environnements définis dans ce guide sont configurés via la stratégie MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres MSBP activent la journalisation des informations d'audit de sécurité pertinentes sur les serveurs d'impression.

Attribution des droits de l’utilisateur

Les paramètres d'attribution de droits utilisateur pour les serveurs d'impression dans les trois environnements définis dans ces instructions sont configurés via la stratégie MSBP. Pour plus d'informations sur la stratégie MSBP, consultez le chapitre 4, « Stratégie de base des serveurs membres ». Les paramètres de la stratégie MSBP configurent les attributions de droits utilisateur de façon uniforme sur tous les serveurs d'impression.

Options de sécurité

Les paramètres de l'option de sécurité pour les serveurs d'impression dans les trois environnements définis dans ces instructions sont configurés via la MSBP. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ». Les différences entre la stratégie MSBP et la stratégie de groupe de serveur d'impression sont décrites dans la section suivante.

Serveur réseau Microsoft : Signer numériquement les communications (toujours)

Tableau 8.2 Paramètres recommandés pour la signature numérique des communications (Toujours)

Paramètre

Client hérité

Client Entreprise

Sécurité spécialisée – Fonctionnalité limitée

Serveur réseau Microsoft : Signer numériquement les communications (toujours)

Désactivé

Désactivé

Désactivé


Ce paramètre de stratégie détermine si la signature des paquets est requise par le composant serveur SMB. Le protocole SMB fournit la base du partage des fichiers et de l’impression Microsoft, ainsi que de nombreuses autres opérations réseau, telles que l’administration de Windows à distance. Pour empêcher les attaques de type « man-in-the-middle » (attaque de l'intercepteur) modifiant les paquets SMB en transit, le protocole SMB prend en charge la signature numérique de paquets SMB. Ce paramètre de stratégie détermine si la signature de paquets SMB doit être négociée avant que toute communication supplémentaire avec un client SMB soit autorisée.

Le paramètre Serveur réseau Microsoft : Signer numériquement les communications (toujours) est désactivé par défaut, cependant la stratégie MSBP l’active pour l’environnement SSLF. Cela permet aux utilisateurs d'imprimer leurs documents, mais pas d'afficher la file d'attente d'impression. Tout utilisateur qui tenterait d'afficher la file d’attente d’impression recevrait un message d’accès refusé.

Le paramètre Serveur réseau Microsoft : Signer numériquement les communications (toujours) des serveurs d'impression est configuré sur Désactivé dans les trois environnements décrits dans ce guide.

Paramètres du journal des événements

Les paramètres du journal des événements pour les serveurs d’impression sont configurés via la stratégie MSBP dans les trois environnements définis dans ce guide. Pour plus d'informations sur la stratégie MSBP, voir le chapitre 4, « Stratégie de base des serveurs membres ».

Paramètres de sécurité supplémentaires

Les paramètres de sécurité qui sont appliqués à l'aide de la stratégie MSBP améliorent de façon significative la sécurité des serveurs d'impression. Cependant, vous devez également envisager quelques paramètres supplémentaires. Les paramètres décrits dans cette section ne peuvent pas être mis en œuvre avec la stratégie de groupe et doivent donc être appliqués de façon manuelle sur tous les serveurs d'impression.

Sécurisation de comptes bien connus

Microsoft Windows Server 2003 avec SP1 comprend un certain nombre de comptes utilisateur intégrés qu’il est impossible de supprimer, mais qui peuvent être renommés. Parmi les comptes intégrés les plus connus de Windows Server 2003, citons les deux suivants : Invité et Administrateur.

Par défaut, le compte Invité est désactivé sur les serveurs membres et les contrôleurs de domaine. Il est déconseillé de modifier cette configuration. De nombreuses variations de code malveillant font appel au compte Administrateur intégré dans une tentative initiale de compromettre un serveur. Vous devez donc renommer le compte Administrateur intégré et modifier sa description pour protéger les serveurs distants contre les attaques qui portent sur ce compte facile à identifier.

L’impact de ce changement de configuration s’est amenuisé au fil des dernières années avec l’apparition d’outils d’attaque qui ciblent l’identificateur de sécurité (SID, Security Identifier) du compte Administrateur intégré afin de déterminer son véritable nom et d'accéder ainsi au serveur. L'identificateur de sécurité correspond à la valeur qui définit de manière unique un compte d'utilisateur, de groupe ou d'ordinateur et une session en cours sur un réseau. Il est impossible de modifier l'identificateur de sécurité de ce compte intégré. Cependant, vos groupes d'opérations peuvent contrôler facilement les attaques tentées contre ce compte Administrateur si vous lui donnez un nom unique.

Pour sécuriser les comptes connus sur les serveurs d’impression, procédez comme suit :

  • Renommez les comptes Administrateur et Invité, puis modifiez leurs mots de passe en leur attribuant une valeur longue et complexe sur chaque domaine et serveur.

  • Choisissez des noms et mots de passe différents sur tous les serveurs. Si vous utilisez un seul nom et un seul mot de passe de compte pour l’ensemble des domaines et des serveurs, tout pirate qui parviendra à accéder à un serveur membre sera en mesure d’accéder à tous les autres.

  • Modifiez les descriptions des comptes en remplaçant les valeurs définies par défaut afin de rendre l’identification des comptes plus difficile.

  • Enregistrez les modifications apportées dans un emplacement sécurisé.

    Remarque : Vous pouvez renommer le compte administrateur intégré à l'aide de la stratégie de groupe. Ce paramètre n'a pas été implémenté dans les modèles de sécurité qui sont fournis avec ce guide, car chaque organisation doit choisir un nom unique pour ce compte. Cependant, vous pouvez configurer le paramètre Comptes : Renommer le compte administrateur pour renommer des comptes administrateur dans les trois environnements définis dans ce guide. Ce paramètre de stratégie fait partie de la section des options de sécurité d’un GPO.

Sécurisation des comptes de service

À moins que cela ne s’avère absolument nécessaire, évitez de configurer un service pour qu’il fonctionne dans le contexte de sécurité d’un compte de domaine. Si le serveur est endommagé physiquement, les mots de passe de comptes de domaine risquent d'être facilement obtenus en vidant les secrets LSA. Pour plus d'informations sur la sécurisation des comptes de service, consulter le Guide de planification de la sécurité des services et comptes de service à l'adresse http://www.microsoft.com/france/technet/security/guidance/serversecurity/serviceaccount/default.mspx.

Création de la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)

Pour déployer les paramètres de sécurité requis, vous devez utiliser l'Assistant Configuration de la sécurité (SCW) et les modèles de sécurité qui sont inclus avec la version téléchargeable de ce guide pour créer une stratégie de serveur.

Lorsque vous créez votre propre stratégie, ignorez les sections « Paramètres de Registre » et « Stratégie d'audit ». Ces paramètres sont fournis par les modèles de sécurité pour l'environnement choisi. Cette approche permet de s'assurer que les éléments de stratégie fournis par les modèles sont prioritaires par rapport à ceux qui seraient configurés par SCW.

Vous devez utiliser une nouvelle installation du système d'exploitation pour commencer votre travail de configuration, ce qui permet de s'assurer qu'il ne subsiste aucun paramètre ou logiciel provenant des configurations précédentes. Vous devez utiliser un matériel aussi proche que possible de l'environnement de déploiement afin d'assurer la compatibilité. La nouvelle installation est appelée ordinateur de référence.

Pour créer la stratégie de serveur d'impression :

  1. Installez de nouveau Windows Server 2003 avec SP1 sur un nouvel ordinateur de référence.

  2. Installez le composant Assistant Configuration de la sécurité sur l'ordinateur en cliquant sur Panneau de configuration, Ajouter ou supprimer des programmes, Ajouter/Supprimer des composants Windows.

  3. Intégrez l’ordinateur au domaine qui applique tous les paramètres de sécurité des UO parents.

  4. Installez et configurez uniquement les applications obligatoires, présentes sur tous les serveurs qui partagent ce rôle. Les exemples incluent les services propres aux rôles, les agents logiciels et de gestion, les agents de sauvegarde sur bande et les utilitaires antivirus ou de détection des logiciels espions.

  5. Lancez l'interface graphique utilisateur (GUI) de l'Assistant de configuration de la sécurité, sélectionnez Créer une nouvelle stratégie, et dirigez-la vers l'ordinateur de référence.

  6. Assurez-vous que les rôles de serveur détectés conviennent à votre environnement (par exemple, le rôle de serveur d'impression).

  7. Assurez-vous que les fonctionnalités détectées du client correspondent à votre environnement.

  8. Assurez-vous que les options d'administration détectées correspondent à votre environnement.

  9. Assurez-vous que les services supplémentaires requis par votre base, tels que les agents de sauvegarde ou les logiciels antivirus, sont détectés.

  10. Décidez comment traiter les services non spécifiés dans votre environnement. Pour plus de sécurité, vous pouvez définir ce paramètre de stratégie sur Désactiver. Vous devez tester cette configuration avant de la déployer sur votre réseau de production, afin de prévenir les problèmes liés aux serveurs de production exécutant des services supplémentaires qui ne sont pas dupliqués sur votre ordinateur de référence.

  11. Assurez-vous que la case Ignorer cette section est désactivée dans la section « Sécurité réseau », puis cliquez sur Suivant. Les ports et les applications identifiés plus haut sont configurés en tant qu'exceptions pour le pare-feu Windows.

  12. Dans la section « Paramètres de Registre », cliquez sur la case Ignorer cette section, puis sur Suivant. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.

  13. Dans la section « Stratégie d'audit », cliquez sur la case Ignorer cette section, puis sur Suivant. Ces paramètres de stratégie sont importés à partir du fichier INF fourni.

  14. Incluez le modèle de sécurité approprié (par exemple, EC-Print Server.inf).

  15. Enregistrez la stratégie sous un nom approprié (par exemple, Print Server.xml).

Testez la stratégie recourant à l'Assistant Configuration de la sécurité (SCW)

Après avoir créé et enregistré la stratégie, Microsoft recommande fortement de la déployer dans votre environnement de test. Dans l'idéal, vos serveurs de test reproduisent le matériel et la configuration logicielle des serveurs de production. Cette approche permet de trouver et réparer les problèmes potentiels, tels que la présence de services imprévus, requis par des périphériques matériels spécifiques.

Deux options sont disponibles pour tester la stratégie. Vous pouvez utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité, ou déployer les stratégies avec un GPO.

Lorsque vous mettez en place vos stratégies, envisagez d'utiliser les fonctionnalités natives de déploiement de l'Assistant Configuration de la sécurité. Vous pouvez utiliser l'Assistant Configuration de la sécurité (SCW) pour pousser une stratégie de serveur en serveur, ou utiliser Scwcmd pour la pousser vers un groupe de serveurs. La méthode native de déploiement a pour avantage de simplifier la restauration des stratégies déployées à l'aide de l'Assistant Configuration de la sécurité. Cette capacité peut être très utile lorsque vous apportez plusieurs modifications à vos stratégies pendant le processus de test.

La stratégie est testée pour s'assurer que l'application de cette stratégie aux serveurs cibles ne nuira pas à leurs fonctions essentielles. Après avoir appliqué les modifications de configuration, vous devez vérifier les principales fonctionnalités de l'ordinateur. Par exemple, si le serveur est configuré en tant qu'autorité de certification, assurez-vous que les clients peuvent demander et obtenir des certificats, télécharger une liste de révocation de certificats, et ainsi de suite.

Lorsque vos configurations de stratégie sont fiables, vous pouvez utiliser Scwcmd comme indiqué dans la procédure suivante afin de convertir les stratégies en objet de stratégie de groupe (GPO).

Pour plus de détails sur la manière de tester les stratégies SCW, consulter le Guide de déploiement pour l'Assistant de configuration de la sécurité à l'adresse http://technet2.microsoft.com/windowsserver/fr/
library/5254f8cd-143e-4559-a299-9c723b3669461036.mspx?mfr=true et la Documentation de l'Assistant Configuration de la sécurité à http://go.microsoft.com/fwlink/?linkid=43450.

Convertissez et déployez la stratégie

Après avoir testé la stratégie de façon exhaustive, procédez comme suit pour la convertir en GPO et la déployer :

  1. Suite à l'invite de commande, tapez la commande suivante :

                  scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    puis appuyez sur ENTREE. Exemple :

                  scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Print
                  Server.xml" /g:"Print Server Policy"
                
    

    Remarque : Les informations à entrer sur la ligne de commande sont présentées ici sur plusieurs lignes pour des raisons de limitation de l'affichage. Ces informations doivent être tapées sur une seule ligne.

  2. Utilisez la console de gestion des stratégies de groupe pour relier le nouveau GPO à l'UO correspondante.

Si le fichier de stratégie de sécurité de l'Assistant Configuration de la sécurité (SCW) contient des paramètres de pare-feu Windows, ce dernier doit être actif sur l'ordinateur local pour que cette procédure aboutisse. Pour s'assurer que le pare-feu Windows est actif, ouvrez le Panneau de configuration et double-cliquez ensuite sur Pare-feu Windows.

Vous devez maintenant procéder à un test final pour vous assurer que le GPO applique les paramètres voulus. Pour compléter cette procédure, assurez-vous que les paramètres appropriés ont été appliqués et que les fonctionnalités ne sont pas affectées.

Résumé

Ce chapitre a permis de présenter les paramètres de stratégie relatifs aux serveurs d'impression Windows Server 2003 avec SP1 dans les trois environnements définis dans ce guide. La plupart des paramètres de stratégie sont appliqués par l'intermédiaire d'un objet Stratégie de groupe (GPO) conçu pour compléter la stratégie MSBP. Les objets GPO peuvent être liés aux unités d'organisation appropriées (UO) qui contiennent les serveurs d'impression pour plus de sécurité.

Certains des paramètres de stratégie mentionnés ici ne peuvent pas être appliqués par la stratégie de groupe. Des détails de configuration manuelle ont été fournis pour ces paramètres de stratégie.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur les rubriques relatives au renforcement des serveurs d'impression qui exécutent Windows Server 2003 avec SP1.

  • Pour une présentation des serveurs d'impression, consultez le document « Technical Overview of Windows Server 2003 Print Services », qui peut être téléchargé à l'adresse suivante www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx.

  • Pour plus d'informations sur les serveurs d'impression, consultez le document « What's New in File and Print Services » à l'adresse www.microsoft.com/windowsserver2003/evaluation/overview/technologies/
    fileandprint.mspx.


Téléchargement

Obtenir le Guide de sécurité Windows Server 2003

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft