Sécurisation de Windows 2000 Professionnel dans un environnement réseau poste à poste

Dernière mise à jour le 08 juin 2004

Sur cette page

Introduction
Avant de commencer
Sécurisation du système de fichiers
Sécurisation des comptes utilisateur
Utilisation d'un pare-feu
Mise à jour des correctifs de sécurité
Vérifiez la sécurité avec Microsoft Baseline Security Analyzer
Informations complémentaires

Introduction

Parce qu'ils facilitent le partage des informations et des ressources, les réseaux poste à poste permettent d'augmenter la productivité. Toutefois, la capacité des utilisateurs à contrôler l'accès à leur ordinateur peut les rendre vulnérables au vol, à la perte ou au partage accidentel d'informations. C'est pourquoi il est nécessaire de mettre en place une stratégie informatique à l'échelle de l'entreprise et de s'assurer que tous les employés connaissent et appliquent les principes fondamentaux de la sécurité et des réseaux poste à poste. Voici quelques recommandations à respecter :

• installation des mises à jour de sécurité de Windows ;

• utilisation d'un logiciel antivirus ;

• utilisation d'un pare-feu pour la connexion à Internet ;

• utilisation de mots de passe sûrs ;

• non-partage de fichiers ou de dossiers avec des hôtes sur Internet ;

• restriction des permissions des dossiers partagés au minimum requis ;

• limitation du nombre de dossiers partagés ;

• désactivation du partage lorsqu'il n'est pas nécessaire.

Face à la menace représentée par les vers, les virus et les pirates, il est primordial que tous les clients prennent des mesures immédiates pour protéger leurs ordinateurs de bureau et leurs portables. Ce document explique comment mettre en place des mesures de sécurité adaptées aux réseaux poste à poste des petites et moyennes entreprises. Ces recommandations offrent aux ordinateurs exécutant Microsoft Windows 2000 Professionnel une meilleure protection contre les intrusions, tout en garantissant la productivité des utilisateurs.

Ce document détaille les procédures suivantes :

• sécurisation du système de fichiers ;

• sécurisation des comptes utilisateur ;

• sécurisation de l'accès à partir du réseau ;

• vérification de la sécurité avec Microsoft Baseline Security Analyzer.

Outre des procédures détaillées, ce document fournit des mesures de sécurité que Microsoft propose à tous les clients, particuliers ou entreprises.

IMPORTANT : toutes les procédures détaillées dans ce document ont été développées avec le menu Démarrer qui apparaît par défaut lors de l'installation du système d'exploitation. Si vous avez modifié ce menu, ces étapes peuvent être légèrement différentes.

Haut de page

Avant de commencer

Comme pour les recommandations de sécurité, ce guide vise à trouver le juste équilibre entre sécurité et confort d'utilisation. Les recommandations fournies concernent les déploiements de Windows 2000 Professionnel dans différents environnements. Toutefois, avant d'appliquer ces recommandations, gardez à l'esprit que ce document ne couvre pas le large éventail de besoins et de configurations que peut requérir une grande entreprise. De plus, il n'aborde pas de manière exhaustive le cas particulier de certaines organisations en matière de sécurité.

Installation des Service Packs requis

Les recommandations fournies dans ce document ne s'appliquent qu'aux ordinateurs exécutant Windows 2000 Professionnel Service Pack 4, qui sont membres d'un GROUPE DE TRAVAIL. Si le Service Pack 4 n'est pas installé sur un ordinateur ou en cas de doute sur son installation, visitez la page Windows Update sur le site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?LinkID=22630. Laissez Windows Update analyser votre ordinateur et identifier les mises à jour à installer. Si le Service Pack 4 apparaît comme une mise à jour disponible, installez-le avant d'exécuter les procédures décrites dans le présent document.

Droits requis

Pour exécuter les procédures suivantes, vous devez être connecté en tant qu'administrateur ou membre du groupe Administrateurs. Si votre ordinateur est connecté à un réseau, des paramètres de stratégie de réseau peuvent également constituer des sources de blocage.

Haut de page

Sécurisation du système de fichiers

Un système de fichiers désigne le système d'organisation des répertoires et des fichiers sur un ordinateur. Il existe plusieurs méthodes permettant de protéger votre système de fichiers contre les intrusions, les dommages ou les suppressions non autorisées. Cette section détaille la marche à suivre pour sécuriser le système de fichiers :

• conversion des systèmes de fichiers en NTFS ;

• utilisation d'un logiciel antivirus ;

• protection des partages de fichiers ;

• sécurisation des dossiers partagés ;

• désactivation ou suppression des comptes contingents.

Conversion des systèmes de fichiers en NTFS

Pendant l'installation de Windows 2000, les ordinateurs sont configurés pour utiliser le système de fichiers FAT32 ou NTFS. Le système FAT32 est une technologie utilisée dans les anciennes versions de Windows. Le système NTFS est plus rapide et plus sûr que son prédécesseur. Pour une sécurité et des performances optimales du système d'exploitation, utilisez le système de fichiers NTFS sur toutes les partitions de votre ordinateur.

Vérification du type du système de fichiers sur votre ordinateur

Avant de convertir le système de fichiers sur votre ordinateur, vous devez vérifier qu'il ne s'agit pas d'un système NTFS. Pour ce faire, suivez la procédure ci-dessous. Si vous utilisez déjà un système de fichiers NTFS, ignorez la section Conversion du système de fichiers en NTFS.

• Pour vérifier le type du système de fichiers sur votre ordinateur, procédez comme suit :

  1. Sur le Bureau, double-cliquez sur Poste de travail.

  2. Cliquez avec le bouton droit de la souris sur la lettre de lecteur à vérifier, puis cliquez sur Propriétés.

  3. Vérifiez que le système de fichiers est de type NTFS. Si tel n'est pas le cas, exécutez l'utilitaire décrit ci-après pour convertir le système FAT16 ou FAT32 en NTFS.

     

Vérifiez le type de système de fichiers de tous les disques de l'ordinateur. Même s'il a été configuré en tant que FAT32 lors de l'installation du système d'exploitation, le système de fichiers peut être converti en NTFS pour offrir une meilleure sécurité.

Conversion du système de fichiers en NTFS

Pour convertir le système de fichiers en NTFS, notez le nom du disque ( C dans l'exemple précédent) et suivez la procédure ci-dessous.

• Pour convertir le système de fichiers en NTFS

  1. Dans le menu Démarrer, cliquez sur Exécuter. Tapez cmd, puis cliquez sur OK.

  2. À l'invite, tapez la commande suivante, où lecteur désigne le lecteur à convertir : convert lecteur : /fs:ntfs Vous êtes invité à entrer le nom de volume du lecteur.

  3. Indiquez le nom de volume du lecteur et appuyez sur ENTRÉE.

  4. Une fois la conversion terminée, fermez la fenêtre en tapant EXIT.

Remarque : Si vous tentez de convertir le lecteur sur lequel le système d'exploitation est installé, il se peut que vous soyez invité à planifier la conversion au prochain redémarrage du système. Dans ce cas, tapez O et redémarrez l'ordinateur.

Utilisation d'un logiciel antivirus

Les virus informatiques sont des programmes qui s'introduisent subrepticement dans votre système. Les virus et autres logiciels malveillants existent depuis de nombreuses années. Mais aujourd'hui, ils sont capables de se répliquer et s'appuient sur Internet et les applications de messagerie pour se répandre dans le monde entier en quelques heures.

Un logiciel antivirus protège votre ordinateur contre de nombreux virus, vers, chevaux de Troie et autres programmes malveillants connus. Son rôle consiste à rechercher les virus sur le système et à les éradiquer. Toutefois, l'installation d'un logiciel antivirus ne résout qu'une partie du problème. La mise à jour des fichiers de signatures de virus est essentielle pour sécuriser un ordinateur de bureau ou un portable.

Dans la plupart des cas, les nouveaux ordinateurs sont fournis avec un logiciel antivirus installé. Mais cette solution requiert un abonnement pour assurer une protection réellement efficace. Si vous n'êtes pas abonné aux mises à jour, votre ordinateur est vulnérable à ces nouvelles menaces.

Pour garantir une protection efficace contre les attaques virales, la formation des utilisateurs aux pratiques de messagerie sécurisées est également vitale. Les utilisateurs ne doivent jamais ouvrir un courrier électronique ou effectuer une action sur une pièce jointe s'ils n'attendent pas de message ou de fichier. Avant d'être ouvertes, les pièces jointes doivent être analysées par le logiciel antivirus.

Pour consulter la liste des éditeurs qui proposent des logiciels antivirus compatibles avec Windows, visitez la page http://go.microsoft.com/fwlink/?LinkId=22712.

Protection des partages de fichiers

Les réseaux poste à poste permettent de créer des fichiers partagés. Certains utilisateurs n'y ont accès qu'en lecture seule, alors que d'autres sont autorisés à créer, modifier et supprimer des fichiers. Si vous êtes connecté à Internet et que vous n'êtes pas protégé par un pare-feu, gardez à l'esprit que les fichiers partagés que vous créez sont consultables par d'autres utilisateurs.

Par défaut, Windows 2000 Professionnel octroie les droits Contrôle total, Modifier et Lecture à toute personne ayant accès à vos dossiers partagés. Suivez la procédure ci-dessous pour supprimer le groupe Tout le monde des droits d'accès à vos dossiers partagés, ou du moins, pour supprimer les permissions Contrôle total et Modifier. Si vous retirez le groupe Tout le monde des autorisations de partage, octroyez la permission de partage à certains utilisateurs. Sinon cela signifie que vous n'autorisez personne à accéder au dossier partagé.

Sécurisation des dossiers partagés

Les réseaux Windows poste à poste vous permettent de partager le contenu de votre système de fichiers avec d'autres ordinateurs du réseau. La procédure ci-dessous suppose que vous avez déjà partagé un ou plusieurs dossiers de votre système de fichiers. En modifiant certains paramètres par défaut du système de fichiers, vous pouvez améliorer la sécurité de vos dossiers partagés.

• Pour sécuriser un dossier partagé

  1. Sur le Bureau, cliquez sur Poste de travail, puis recherchez le fichier ou le dossier à sécuriser.

  2. À l'aide du bouton droit de la souris, cliquez sur le dossier partagé à sécuriser, puis cliquez sur Partager.

  3. Dans l'onglet Partage, cliquez sur Autorisations.

     

  4. Supprimez le groupe Tout le monde pour empêcher les accès non autorisés. Pour ce faire, cliquez sur le groupe Tout le monde, puis sur Supprimer.

     

  5. Dans la liste Nom, cliquez sur l'utilisateur ou le groupe à ajouter, puis sur Ajouter. Répétez l'opération pour ajouter d'autres utilisateurs ou groupes. Une fois les utilisateurs sélectionnés, cliquez sur OK.

  6. Chaque utilisateur figurant dans la liste des autorisations doit recevoir la permission ou les permissions appropriées. Double-cliquez sur un utilisateur et désactivez la case à cocher Autoriser en regard de Contrôle total. Décidez ensuite si l'utilisateur doit posséder les autorisations Modifier et Lecture ou simplement l'accès en Lecture.

  7. Cliquez sur OK une fois les autorisations définies.

     Remarques :

     • Vous ne pouvez définir les autorisations que sur les lecteurs utilisant le système de fichiers NTFS.

     • Si les cases à cocher de la boîte de dialogue Autorisations ne sont pas disponibles, les autorisations sont celles du dossier parent.

     • Pour modifier les autorisations, vous devez être le créateur du dossier partagé ou y être autorisé par l'utilisateur qui l'a créé.

     • Les groupes ou les utilisateurs qui possèdent l'autorisation Contrôle total sur un dossier peuvent supprimer des fichiers et des sous-dossiers du dossier en question, quelles que soient les autorisations qui protègent ces fichiers et ces sous-dossiers.

Désactivation ou suppression des comptes contingents

Après avoir installé Windows 2000 Professionnel, désactivez ou supprimez les comptes utilisateur dont vous n'avez pas besoin.

• Pour désactiver un compte

  1. Cliquez sur Démarrer, Paramètres et Panneau de configuration.

  2. Double-cliquez sur Outils d'administration, puis sur Gestion de l'ordinateur.

  3. Dans l'arborescence de la console, double-cliquez sur Utilisateurs et groupes locaux, puis sur Utilisateurs.

  4. Cliquez avec le bouton droit de la souris sur le compte utilisateur à modifier, puis cliquez sur Propriétés.

  5. Dans l'onglet Général, activez la case à cocher Le compte est désactivé.

     

Remarques :

• Un compte désactivé n'est pas supprimé, mais l'utilisateur n'est pas autorisé à se connecter. son icône apparaît recouverte d'un X, dans le volet d'informations Utilisateurs.

• Lorsqu'un compte utilisateur n'est pas désactivé, l'utilisateur est autorisé à se connecter normalement.

• Il est impossible de désactiver le compte Administrateur intégré.

• Pour supprimer un compte

  1. Cliquez sur Démarrer, Paramètres et Panneau de configuration.

  2. Double-cliquez sur Outils d'administration, puis sur Gestion de l'ordinateur.

  3. Dans l'arborescence de la console, cliquez sur Utilisateurs et groupes locaux, puis sur Utilisateurs.

  4. Cliquez avec le bouton droit de la souris sur le compte utilisateur à supprimer, puis cliquez sur Supprimer.

  Remarques :

  • Avant de supprimer des comptes utilisateur, désactivez-les. Lorsque vous êtes certain que leur désactivation ne pose aucun problème, vous pouvez les supprimer.

  • Un compte utilisateur supprimé ne peut pas être restauré.

  • Il est impossible de supprimer les comptes Invité et Administrateur intégrés.

Haut de page

Sécurisation des comptes utilisateur

Les mots de passe, la désactivation/suppression des comptes contingents et le verrouillage des comptes permettent d'améliorer la protection de votre ordinateur.

Utilisation des mots de passe

Il est important de définir des mots de passe pour tous les comptes utilisateur créés sur un ordinateur Windows, et ce pour deux raisons. Tout d'abord, un compte utilisateur sans mot de passe est une porte ouverte offrant un accès à tous.

Ensuite, par défaut, les comptes utilisateur locaux n'ayant aucun mot de passe ne peuvent se connecter à un ordinateur que via l'écran d'accueil de la console, mais pas à distance. Cette restriction ne s'applique pas aux comptes de domaine ni au compte Invité local. Si le compte Invité est activé et qu'il n'a aucun mot de passe, il permet d'accéder à toutes les ressources d'un réseau poste à poste auquel ce compte a accès.

• Pour définir ou redéfinir le mot de passe d'un compte utilisateur

  1. Cliquez sur Démarrer, Paramètres et Panneau de configuration.

  2. Double-cliquez sur Utilisateurs et mots de passe.

  3. Cliquez sur le compte utilisateur souhaité. Si cette action est sans effet et que la zone Utilisateurs de cet ordinateur n'est pas disponible, cela signifie que l'ordinateur est configuré pour connecter l'utilisateur par défaut et qu'aucun écran de connexion n'apparaît. Pendant l'installation initiale du système d'exploitation, vous pouvez choisir d'utiliser des mots de passe pour accéder au système d'exploitation ou de laisser l'ordinateur supposer que l'utilisateur par défaut (créé à l'installation) est toujours celui qui se connecte. Dans ce dernier cas, l'ordinateur n'affiche aucun écran de connexion au démarrage du système d'exploitation. Activez toujours la case à cocher Les utilisateurs doivent entrer un nom d'utilisateur et un mot de passe pour utiliser cet ordinateur.

  4. Cliquez sur Définir le mot de passe.

  5. Dans le champ Nouveau mot de passe, indiquez un nouveau mot de passe comprenant au moins huit caractères. Retapez de nouveau le même mot de passe dans le champ Confirmer le nouveau mot de passe.

  6. Cliquez sur OK.

Haut de page

Utilisation d'un pare-feu

Un pare-feu est un logiciel ou un matériel qui crée une barrière protectrice entre votre ordinateur et du contenu potentiellement dangereux sur Internet. Il assure une protection contre les pirates et de nombreux virus et vers informatiques. Si votre ordinateur fonctionne sur Windows 2000 Professionnel, Microsoft vous recommande d'installer un pare-feu matériel ou logiciel avant de vous connecter à Internet.

Microsoft ne propose pas de logiciels pare-feu autonomes ni de matériel équipé d'un pare-feu. Les ressources ci-dessous fournissent des informations complémentaires sur certaines options de pare-feu.

Pare-feu matériels

Les pare-feu matériels représentent une solution idéale pour les versions de Windows antérieures à Windows XP. Certains matériels de connexion, comme les points d'accès sans fil et les routeurs large bande, sont fournis avec des pare-feu matériels intégrés. Ils protègent la plupart des réseaux domestiques. Microsoft Broadband Networking Wireless Base Station est un exemple de point d'accès sans fil intégrant un pare-feu matériel et d'autres fonctions d'interconnexion à domicile.

Pare-feu logiciels

Plusieurs éditeurs proposent des pare-feu logiciels : BlackICE PC Protection, Computer Associates, McAfee Security, Symantec, Tiny Software et ZoneAlarm.

Pour plus d'informations sur les pare-feu logiciels de sociétés tierces, sur les pare-feu matériels et sur les routeurs de réseau, et pour savoir comment choisir un pare-feu pour votre ordinateur, lisez l'article Installe a Firewall à l'adresse http://go.microsoft.com/fwlink/?LinkId=22496.

Si votre configuration est différente, si votre réseau est de petite taille ou si vous souhaitez en savoir plus sur les pare-feu, visitez le Forum aux questions sur les pare-feu à l'adresse http://go.microsoft.com/fwlink/?LinkId=19713.

Haut de page

Mise à jour des correctifs de sécurité

Une méthode efficace pour maintenir un bon niveau de sécurité consiste à vous abonner aux Bulletins de sécurité Microsoft, que vous recevez automatiquement dans votre messagerie en même temps que la fonction Mises à jour automatiques vous informe des mises à jour disponibles. Pour recevoir les bulletins de sécurité par e-mail, abonnez-vous à l'adresse http://go.microsoft.com/fwlink/?LinkId=22339. Outre les bulletins, plusieurs technologies permettent d'automatiser l'installation des correctifs de sécurité.

Mises à jour automatiques

La fonction Mises à jour automatiques de Windows 2000 Service Pack 4 détecte et télécharge automatiquement les derniers correctifs de sécurité de Microsoft. Elle peut être configurée pour télécharger automatiquement les correctifs en arrière-plan, puis pour inviter l'utilisateur à les installer une fois leur téléchargement terminé.

• Pour configurer la mise à jour automatique de votre ordinateur

  1. Dans le menu Démarrer, cliquez sur Paramètres, puis sur Panneau de configuration et double-cliquez sur Mises à jour automatiques.

  2. Activez la case à cocher Maintenir mon ordinateur à jour. Lorsque ce paramètre est activé, Mises à jour automatiques peut être mis à jour automatiquement avant d'appliquer d'autres mises à jour.

  3. Sélectionnez l'option Télécharger automatiquement les mises à jour, et les installer en fonction de la planification que je spécifie.

     

  4. Sélectionnez le jour et l' heure des mises à jour.

  5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés système.

     Remarque : Par ailleurs, Microsoft diffuse des bulletins de sécurité via son service de notification de sécurité. Ces bulletins sont émis pour tous les produits Microsoft sur lesquels une faille de sécurité est découverte. Lorsqu'ils recommandent l'installation d'un correctif de sécurité, vous devez le télécharger et l'installer sur vos ordinateur dans les meilleurs délais.

Haut de page

Vérifiez la sécurité avec Microsoft Baseline Security Analyzer

Dans le cadre du Programme de protection des technologies stratégiques de Microsoft, et en réponse à la demande des clients qui recherchent une méthode d'identification des configurations de sécurité incorrectes, Microsoft a développé Microsoft Baseline Security Analyzer (MBSA).

Sous Windows 2000, Windows XP et Windows Server 2003, Microsoft Baseline Security Analyzer signale les configurations offrant une sécurité insuffisante et les correctifs appropriés. Les tests peuvent s'effectuer en local ou sur des ordinateurs distants.

• Pour installer Microsoft Baseline Security Analyzer

  • Téléchargez et installez MBSA à partir de la Page d'accueil de MBSA à l'adresse http://go.microsoft.com/fwlink/?linkid=20567

Recherche des mises à jour et des correctifs

• Pour rechercher des mises à jour et des correctifs avec MBSA

  1. Cliquez sur Démarrer, Programmes et Microsoft Baseline Security Analyzer.

  2. Cliquez sur Choisir l'ordinateur à analyser.

  3. Vérifiez que les options suivantes ne sont pas sélectionnées et cliquez sur Démarrer l'analyse  :

     • Rechercher les vulnérabilités de Windows

     • Rechercher les mots de passe faibles

     • Rechercher les vulnérabilités IIS

     • Rechercher les vulnérabilités SQL

       

Recherche d'une configuration sécurisée

• Pour rechercher une configuration sécurisée

  1. Désactivez la case à cocher Rechercher les mises à jour de sécurité, vérifiez que les options ci-dessous ne sont pas sélectionnées, et cliquez sur Démarrer l'analyse :

     • Rechercher les vulnérabilités Windows

     • Recherche les mots de passe faibles

     • Rechercher les vulnérabilités IIS

     • Rechercher les vulnérabilités SQL

  2. Analysez la recherche. Le rapport qui s'affiche est similaire à la recherche de correctifs effectuée auparavant. La seule différence est le lien How to correct this qui s'active lorsque des problèmes sont détectés. Lorsque vous cliquez sur ce lien, une page s'affiche. Elle contient des informations sur le problème détecté, la solution à ce problème et la marche à suivre pour le résoudre.

  3. Corrigez les problèmes signalés en cliquant sur le lien How to correct this. La page qui apparaît détaille la solution et la procédure à suivre.

Haut de page

Informations complémentaires

Pour plus d'informations sur la sécurisation de Windows 2000, consultez :

• la page Guide sur le renforcement de la sécurité de Windows 2000 sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?linkid=22380 pour télécharger le guide ;

• la page Guide to Securing Windows XP in Small and Medium Businesses sur le site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?linkid=19453.

Pour plus d'informations sur les rubriques connexes relatives la sécurisation de Windows 2000, visitez les pages :

• Threats and Countermeasures Guide sur le site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?LinkID=15159 ;

• Microsoft HotFix & Security Bulletin Service, à l'adresse http://go.microsoft.com/fwlink/?linkid=22690.

Haut de page