Sécurisation des clients Windows 2000 Professionnel dans un environnement Windows Server
Dernière mise à jour le 08 juin 2004
Sur cette page
Introduction
Avant de commencer
Téléchargement des modèles de sécurité pour Windows 2000
Configuration de l'infrastructure de domaine Active Directory
Création d'objets de stratégie de groupe et importation de modèles de sécurité
Vérification de l'application de la stratégie aux ordinateurs portables et de bureau
Vérification des nouveaux paramètres
Installation d'un logiciel pare-feu réparti
Installation d'un logiciel antivirus
Mise à niveau par les patches
Conversion de votre système de fichiers en NTFS
Informations complémentaires
Introduction
La menace constituée par les intrusions et les codes nocifs tels que les virus et les vers continue à croître. Il est donc essentiel pour les entreprises de toutes tailles d'entreprendre des actions immédiates de sécurité sur leurs ordinateurs portables et de bureau. Un virus est un programme intrus qui infecte les fichiers d'ordinateurs en y insérant des copies de code à réplication automatique ; un ver est un programme indépendant qui voyage de machine en machine grâce aux connexions réseau. Ce document explique comment mettre en place les mesures de sécurité recommandées dans le manuel Microsoft® Windows® 2000 Security Hardening Guide au sein d'une petite ou moyenne entreprise, grâce au service Microsoft Active Directory®.
Son but est de vous donner des instructions claires et précises pour vous aider à télécharger les modèles de sécurité de Windows 2000, à configurer l'infrastructure de domaine Active Directory sur les contrôleurs de domaine de votre réseau, et à créer des objets de stratégie de groupe (OSG) pour importer les modèles de sécurité qui devraient améliorer la sécurité des ordinateurs de votre réseau. Vous trouverez également des informations vous expliquant comment vérifier les nouveaux réglages, installer un pare-feu ou un logiciel antivirus, utiliser les dernières versions de patches, et convertir le système de fichiers de votre ordinateur en NTFS.
La liste suivante propose une vue d'ensemble des rubriques et tâches couvertes par ce document :
Téléchargement de modèles de sécurité préétablis, appliquant des modifications automatiques à votre système et vous aidant à le sécuriser.
Configuration de l'infrastructure de domaine Active Directory pour gérer le niveau de sécurité sur tous les ordinateurs Microsoft Windows® 2000 Professionnel de votre réseau.
Application de stratégies sur vos ordinateurs portables et de bureau.
Vérification des nouveaux réglages.
Installation d'un logiciel pare-feu réparti.
Installation d'un logiciel antivirus.
Conversion du système de fichiers de votre ordinateur en NTFS, qui propose un niveau de sécurité plus élevé que les systèmes FAT.
Maintien à jour de votre système grâce aux patches de sécurité.
Ces recommandations vous aideront à vous assurer que les systèmes portables ou de bureau, fonctionnant dans votre environnement avec Windows 2000 Professionnel Service Pack 4, sont mieux protégés contre la majorité des menaces de sécurité actuelles, tout en vous garantissant que les utilisateurs peuvent continuer à travailler d'une façon efficace et productive sur leur ordinateur. En plus des guides détaillés étape par étape de ce document, vous trouverez des informations sur les recommandations de sécurité offertes par Microsoft à tous ses clients, particuliers ou entreprises.
Remarque : La mise en place des recommandations de ce guide permettra à vos ordinateurs portables ou de bureau, fonctionnant sur Windows 2000 Professionnel, de communiquer d'une façon plus sûre avec les autres ordinateurs Microsoft Windows® XP, Windows 2000 et Windows ServerTM 2003. Cependant, les ordinateurs Windows 2000 peuvent éprouver des difficultés à partager leurs fichiers, dossiers ou imprimantes avec d'autres machines fonctionnant sous Microsoft Windows® 98 ou Microsoft Windows NT® 4.0. Windows 98 et Windows NT 4.0 sont des systèmes d'exploitation plus anciens et il est plus difficile de les protéger contre les menaces de sécurité actuelles.
IMPORTANT : Toutes les instructions étape par étape contenues dans ce document ont été développées par rapport au menu Démarrer qui apparaît par défaut lorsque vous installez votre système d'exploitation. Ces étapes peuvent être légèrement différentes si vous avez modifié votre menu Démarrer.
Avant de commencer
Comme toutes les recommandations de sécurité, ces conseils s'efforcent d'établir un bon équilibre entre une sécurité renforcée et la capacité d'utilisation. Les recommandations données ici fonctionneront parfaitement en cas de déploiement de Windows 2000 Professionnel dans des environnements très variés. Cependant, vous devez noter plusieurs points clés avant de les mettre en œuvre.
Ce document ne s'applique pas aux divers besoins et configurations requis dans une grande société. En outre, ces conseils ne couvrent pas totalement les besoins de sécurité spécifiques de certaines entreprises.
Prérequis en matière de Service Pack
Les recommandations de ce document s'appliquent uniquement aux ordinateurs fonctionnant sur Windows 2000 Professionnel Service Pack 4 et membres d'un domaine Active Directory. Si le Service Pack 4 n'est pas installé sur un ordinateur particulier ou si vous ne savez pas s'il est installé ou non, vous pouvez accéder à la page Windows Updatedu site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkID=22630, et demander à Windows Update de rechercher les mises à jour après analyse de votre machine. Si le Service Pack 4 fait partie des mises à jour disponibles, installez-le avant de suivre les procédures de ce document.
Éviter l'emploi de comptes avec privilèges d'administrateur
L'un des problèmes les plus fréquents dans de nombreuses entreprises est la prévalence d'utilisateurs employant leur ordinateur portable ou de bureau avec des droits d'administrateur. Il est préférable que tous les comptes d'utilisateur soient membres du groupe Utilisateurs. Les utilisateurs ne doivent pas utiliser de façon routinière des comptes membres du groupe Administrateurs. Après application de cette modification, les utilisateurs ne pourront plus installer des logiciels non autorisés susceptibles de contenir des virus ou d'autres types de code potentiellement dangereux.
La satisfaction de cette exigence peut relever du défi, mais l'emploi de Windows 2000 Professionnel avec des applications certifiées pour ce système d'exploitation peut la rendre plus facile. Les applications non certifiées peuvent ne pas fonctionner correctement pour les utilisateurs ne possédant pas de privilèges d'administrateur. Pour connaître la liste des applications certifiées, recherchez les logiciels libellés « Designed for Windows 2000 » sur la page Windows Catalogdu site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=22382.
Un administrateur doit mettre en œuvre les recommandations de ce document, mais les réglages proposent des fonctionnalités qui permettront aux personnes non membres du groupe d'administrateurs d'utiliser l'ordinateur au quotidien. Dès que les paramètres de sécurité recommandés dans ce document seront mis en place, ils s'appliqueront à tous les utilisateurs de l'ordinateur portable ou de bureau, y compris l'administrateur local.
Téléchargement des modèles de sécurité pour Windows 2000
Un modèle de sécurité est un fichier représentant une configuration de sécurité recommandée. Pour appliquer des modèles de sécurité, il suffit des les importer sur l'ordinateur de bureau ou portable. La procédure suivante vous explique comment télécharger les modèles de sécurité préconfigurés pour sécuriser vos systèmes de bureau ou portables.
La procédure indique où vous pouvez vous procurer les modèles de sécurité pour Windows 2000, puis comment les installer sur un contrôleur de domaine de votre réseau informatique. Assurez-vous que les modèles sont correctement installés, ce qui vous permettra d'utiliser efficacement les procédures de ce document pour renforcer la sécurité de votre ordinateur.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté à un contrôleur de domaine et à un ordinateur membre, en tant que membre du groupe des administrateurs de domaines.
Outils : Un navigateur Web et l'Explorateur de Windows.
Pour télécharger les modèles de sécurité
Sur l'ordinateur membre, ouvrez un navigateur web et accédez à la page Windows 2000 Security Hardening Guidedu centre de téléchargement de Microsoft à l'adresse http://go.microsoft.com/fwlink/?linkid=22380.
Sur la droite de la page, dans la boîte grise appelée Windows 2000 Security Hardening Guide, cliquez sur Télécharger.
Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Enregistrer.
Lorsque le programme vous demande une destination, déroulez la liste Enregistrer sous, cliquez sur Bureau, puis cliquez sur Enregistrer.
Dans la boîte de dialogue Téléchargement terminé, cliquez sur Fermer.
Copiez le fichier que vous venez de télécharger, W2KHG.exe, dans le dossier Mes documents du contrôleur de domaine.
Remarque : Les instructions étape par étape permettant de copier le fichier de votre ordinateur vers le contrôleur de domaine peuvent varier en fonction de la configuration de votre réseau. Vous pouvez avoir à ouvrir une nouvelle fenêtre de l'explorateur, pointant vers le partage C$ de votre contrôleur de domaine, en cliquant sur Démarrer puis sur Exécuter, puis en tapant \\Votre_Nom_Controleur_de_Domaine\c$.
Depuis le contrôleur de domaine, cliquez sur Démarrer, sélectionnez Tous les programmes, puis Accessoires, et enfin Explorateur Windows.
Utilisez l'explorateur de Windows pour accéder à votre dossier Mes documents puis double-cliquez sur le fichier W2KHG.exe.
Dans la boîte de dialogue WinZip Self-Extractor, cliquez sur Browse.
Cliquez sur Mes documents puis sur OK.
Dans la boîte de dialogue WinZip Self-Extractor, cliquez sur Unzip.
Lorsque l'extraction des fichiers est terminée, cliquez sur OK.
Dans la boîte de dialogue WinZip Self-Extractor, cliquez sur Close.
Configuration de l'infrastructure de domaine Active Directory
La stratégie de groupe est une fonction d'Active Directory facilitant les changements et la gestion des configurations au sein des domaines Windows Server 2003 et Windows 2000 Server. Cependant, avant de pouvoir appliquer la Stratégie de groupe aux clients Microsoft Windows 2000 Professionnel de votre environnement, il convient d'exécuter certaines étapes préliminaires dans votre environnement.
Utilisez la procédure suivante pour paramétrer l'infrastructure Active Directory de votre réseau informatique. La création de cette structure vous permettra d'employer les procédures connexes de ce document pour vous aider à renforcer la sécurité de vos ordinateurs.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté à un contrôleur de domaine en tant que membre du groupe des administrateurs de domaines.
Outils : Module enfichable Utilisateurs et ordinateurs Active Directory.
Configuration de l'infrastructure de domaine Active Directory Utilisez le module enfichable pour créer l'arborescence suivante d'unités d'organisation (UO) dans votre domaine :
UO ordinateurs sécurisés : Cette UO contiendra les UO affiliées pour chaque système d'exploitation de votre environnement.
UO Windows 2000 : Cette UO contiendra les UO affiliées pour chaque type de client Windows 2000 de votre environnement. Ce module donne des indications pour les clients ordinateurs portables et ordinateurs de bureau.
Remarque : Bien que les paramètres de sécurité appliqués aux ordinateurs portables et de bureau soient identiques lorsque vous suivez les instructions de ce document, nous avons choisi de créer des unités d'organisation séparées pour vous permettre de configurer plus facilement les éventuels paramètres supplémentaires qui pourraient être spécifiques à une seule classe d'ordinateurs clients de votre environnement.
UO Bureau : Cette unité d'organisation contient tous les ordinateurs de bureau connectés en permanence au réseau de votre société.
UO Portables : Cette unité comporte tous les ordinateurs portables des utilisateurs itinérants non connectés en permanence au réseau de votre société.
La structure UO que vous allez créer est résumée dans l'image ci-dessous.
.jpg)
Cliquez sur Démarrer, sur Paramètres, sur Panneau de configuration, double-cliquez sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur le conteneur racine du domaine, maintenez le pointeur sur Nouveau, puis sélectionnez Unité d'organisation.
.jpg)
Remarque : Les copies d'écran de ce document reflètent un environnement de test et les informations peuvent différer de celles qui s'affichent sur votre écran.
Tapez UO Ordinateurs sécurisés pour nommer la nouvelle UO, puis cliquez sur OK.
Cliquez avec le bouton droit sur UO Ordinateurs sécurisés, maintenez le pointeur sur Nouveau, puis sélectionnez Unité d'organisation.
Tapez UO Windows 2000 pour nommer la nouvelle UO, puis cliquez sur OK.
Cliquez avec le bouton droit sur UO Windows 2000, maintenez le pointeur sur Nouveau, puis sélectionnez Unité d'organisation.
Tapez UO Bureau pour nommer la nouvelle UO, puis cliquez sur OK.
Cliquez avec le bouton droit sur UO Windows 2000, maintenez le pointeur sur Nouveau, puis sélectionnez Unité d'organisation.
Tapez UO Portables pour nommer la nouvelle UO, puis cliquez sur OK.
Déplacez tous les ordinateurs de bureau fonctionnant sur Windows 2000 de leur emplacement actuel vers UO Bureau en les glissant de leur UO actuelle vers la nouvelle.
Déplacez tous les ordinateurs de portables fonctionnant sur Windows 2000 de leur emplacement actuel vers UO Portables en les glissant de leur UO actuelle vers la nouvelle.
Remarque : L'emplacement par défaut des nouveaux objets ordinateurs dans Active Directory est le conteneur Ordinateurs.
La nouvelle structure d'unités d'organisation doit ressembler à ce que vous voyez dans l'image suivante.
.jpg)
Création d'objets de stratégie de groupe et importation de modèles de sécurité
La prochaine étape pour vous aider à sécuriser vos ordinateurs est de configurer de nombreux paramètres de sécurité. Bien que cette tâche puisse sembler décourageante, les instructions pas à pas pour utiliser les fichiers W2KHG-baseline.inf et W2KHG-MemberWKS.inf incluses dans le manuel Windows 2000 Security Hardening Guide vous sont proposées ci-dessous pour accomplir cette tâche.
Ces stratégies vont configurer des réglages permettant de s'assurer que seuls des utilisateurs autorisés se connecteront à l'ordinateur, seuls les administrateurs pourront sauvegarder et restaurer les fichiers, et que les seuls administrateurs pourront installer des nouveaux pilotes sur le système.
Utilisez la procédure suivante pour créer des objets de stratégie de groupe (OSG) à employer pour configurer les mesures de sécurité sur les ordinateurs de bureau de votre réseau. Les OSG vous permettront d'employer les procédures connexes de ce document pour vous aider à renforcer la sécurité de vos ordinateurs.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté au contrôleur de domaine en tant que membre du groupe des administrateurs de domaines.
Outils : Le module Utilisateurs et ordinateurs Active Directory et l'invite de commandes.
Pour créer l'OSG des ordinateurs de bureau
Si nécessaire, ouvrez de nouveau le module enfichable Utilisateurs et ordinateurs Active Directory en cliquant sur Démarrer, puis sur Paramètres, sur Panneau de configuration, puis en double-cliquant sur Outils d'administration, et enfin sur Utilisateurs et ordinateurs Active Directory.
- Accédez à UO Bureau.
Cliquez avec le bouton droit sur UO Bureau et sélectionnez Propriétés.
.jpg)
Dans la boîte de dialogue Propriétés de UO bureau, cliquez sur l'onglet Stratégie de groupe, puis sur Nouveau.
Tapez Stratégie bureau 2000 pour nommer le nouvel OSG, puis cliquez sur Edition.
.jpg)
L'outil Éditeur d'objets stratégie de groupe s'ouvre et affiche l'OSG que vous venez de créer dans le dialogue Liens d'objets stratégie de groupe.
Sous Configuration de l'ordinateur, développez le dossier Paramètres Windows, cliquez avec le bouton droit sur Paramètres de sécurité, puis sélectionnez Import Policy.
.jpg)
Dans la boîte de dialogue Importer la stratégie à partir de, développez le dossier Modèles dans la liste déroulante, puis accédez à \Mes documents\Modèles\.
Sélectionnez le modèle de sécurité W2KHG-baseline.inf et cliquez sur Ouvrir.
Remarque : Si vous ne voyez pas le fichier W2KHG-baseline.inf, c'est que vous l'avez peut-être sauvegardé à un autre endroit. Si c'est le cas, procédez de nouveau à l'extraction des fichiers de l'archive auto-extractible W2KHG.exe.
.jpg)
Répétez l'étape 6 ci-dessus en cliquant avec le bouton droit sur Paramètres de sécurité puis en sélectionnant importer la stratégie.
Sélectionnez le modèle de sécurité W2KHG-MemberWKS.inf et cliquez sur Ouvrir.
.jpg)
Fermez l'outil Éditeur d'objets stratégie de groupe.
Fermez la boîte de dialogue Propriétés de UO Bureau.
Utilisez la procédure suivante pour créer des objets de stratégie de groupe (OSG) à employer pour configurer les mesures de sécurité sur les ordinateurs portables de votre réseau. Les OSG vous permettront d'employer efficacement les procédures connexes de ce document pour vous aider à renforcer la sécurité de vos ordinateurs.
Pour créer l'OSG des ordinateurs portables
Si nécessaire, ouvrez de nouveau le module enfichable Utilisateurs et ordinateurs Active Directory en cliquant sur Démarrer, puis sur Paramètres, sur Panneau de configuration, puis en double-cliquant sur Outils d'administration, et enfin sur Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur UO Portables et sélectionnez Propriétés.
Dans la boîte de dialogue Propriétés de UO Portables, cliquez sur l'onglet Stratégie de groupe, puis sur Nouveau.
Tapez Stratégie portable 2000 pour nommer le nouvel OSG, puis cliquez sur Edition.
L'outil Éditeur d'objets stratégie de groupe s'ouvre et affiche l'OSG que vous venez de créer dans le dialogue Liens d'objets stratégie de groupe.
Sous Configuration de l'ordinateur, développez le dossier Paramètres Windows, cliquez avec le bouton droit sur Paramètres de sécurité, puis sélectionnez Importer la stratégie.
Dans la boîte de dialogue Importer la stratégie à partir de, développez le dossier Modèles dans la liste déroulante, puis accédez à \Mes documents\Modèles\.
Sélectionnez le modèle de sécurité W2KHG-baseline.inf et cliquez sur Ouvrir.
Remarque : Si vous ne voyez pas le fichier W2KHG-baseline.inf, c'est que vous l'avez peut-être sauvegardé à un autre endroit. Si c'est le cas, procédez de nouveau à l'extraction des fichiers de l'archive auto-extractible W2KHG.exe.
Répétez l'étape 6 ci-dessus en cliquant avec le bouton droit sur Paramètres de sécurité puis en sélectionnant importer la stratégie.
Sélectionnez le modèle de sécurité W2KHG-MemberWKS.inf et cliquez sur Ouvrir.
Fermez l'outil Éditeur d'objets stratégie de groupe.
Fermez la boîte de dialogue Propriétés de UO Portables.
Attendez que la réplication s'effectue entre tous vos contrôleurs de domaine afin que la nouvelle stratégie soit disponible pour tous les ordinateurs clients sans considération du contrôleur employé pour la connexion.
Vérification de l'application de la stratégie aux ordinateurs portables et de bureau
Vous êtes maintenant prêt à appliquer les paramètres de sécurité à votre portable ou votre machine de bureau. Pour vérifier que ces réglages sont appliqués, utilisez la commande secedit.exe. Vous pouvez employer la procédure suivante pour forcer le rafraîchissement d'une stratégie de groupe. Accomplissez cette procédure et redémarrez votre système pour vous assurer que vous avez bien appliqué les procédures de sécurité.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté à l'ordinateur portable ou de bureau en tant que membre du groupe des administrateurs de domaines.
Outils : Invite de commandes, secedit.exe.
Pour forcer le rafraîchissement d'une stratégie de groupe
Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
À l'invite de commandes, tapez secedit /refreshpolicy machine_policy /enforce, et pressez ENTRÉE.
.jpg)
Vérifiez dans le Journal d'événements d'applications que le téléchargement de la stratégie a réussi en cliquant sur Démarrer, Paramètres, puis sur Panneau de configuration.
Dans le Panneau de configuration, double-cliquez sur Outils d'administration.
Dans Outils d'administration, double-cliquez sur Observateur d'événements.
Dans Observateur d'événements, cliquez sur Journal d'application puis observez l'événement le plus récent défini en fonction de ce qui suit :
Le Type nommé Informations.
La Source appelée SceCli.
L' Événement numéro 704.
Si vous double-cliquez sur cet événement, vous verrez s'afficher une boîte de dialogue Propriétés de l'événement similaire à celle-ci:
.jpg)
Redémarrez l'ordinateur. Dès que le système redémarre, l'application des stratégies a réussi. Dans l'image ci-dessus, les informations de la zone Description : de l'onglet Événement indiquent aussi que les OSG ont été appliquées avec succès.
Vérification des nouveaux paramètres
Les procédures et informations suivantes ont pour but de vous permettre de vérifier que les réglages de sécurité appropriés ont été appliqués sur les ordinateurs locaux de votre environnement. Utilisez la procédure suivante pour afficher les paramètres locaux de votre machine. La vérification des réglages vous garantira que ceux qui sont actifs sont corrects.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté en tant que membre du groupe des administrateurs de domaines.
Outils : Le module enfichable Stratégie de sécurité locale, le panneau de configuration.
Pour vérifier la stratégie de sécurité de votre ordinateur
Cliquez sur Démarrer, sur paramètres, puis sur Panneau de configuration.
Dans le Panneau de configuration, double-cliquez sur Outils d'administration.
Dans Outils d'administration, double-cliquez sur Stratégie de sécurité locale.
Dans l'arborescence Paramètres de sécurité, développez le dossier Stratégies locales, puis cliquez sur le dossier Options de sécurité.
.jpg)
À droite, dans le volet des détails du dossier Options de sécurité, examinez les paramètres des options de sécurité.
Vous devez seulement vérifier que quelques réglages ont été changés par rapport à leurs valeurs d'origine, pour d'autres plus sûrs. Pour ce faire, examinez les réglages suivants avec soin :
Vérifiez que la stratégie nommée Restrictions supplémentaires pour les connexions anonymes est configurée sur Aucun accès sans permission anonyme explicite.
Vérifiez que la stratégie nommée Signer numériquement les communications (toujours) est configurée sur Activé.
Vérifiez que la stratégie nommée Prévenir la maintenance système du mot de passe du compte de l'ordinateur est configurée sur Activé.
Installation d'un logiciel pare-feu réparti
Les logiciels pare-feu répartis, souvent appelés pare-feu pour hôte ou pare-feu personnels, peuvent vous aider à protéger vos systèmes informatiques contre les attaques et les vers circulant sur le réseau. L'emploi de cette technologie est critique pour éviter aux utilisateurs distants ou itinérants de transmettre des programmes nocifs à leur insu. Les pare-feu répartis sont des pare-feu logiciels installés sur chaque système individuel, mais employant une stratégie d'accès centralisée. Selon le logiciel choisi, un pare-feu pour hôte peut offrir des fonctions allant au-delà de celles des pare-feu pour réseau, telles que la protection contre les logiciels espions et les chevaux de Troie. Un cheval de Troie est une application logicielle maligne conçue pour avoir un aspect légitime, par exemple, un cheval de Troie peut simuler la boîte de dialogue de connexion d'une application financière, ce qui permet à l'attaquant de collecter les mots de passe des utilisateurs.
Windows XP intègre un pare-feu, appelé Internet Connection Firewall (ICF), qui propose cette fonctionnalité. À l'origine, Microsoft a conçu ICF pour les particuliers de préférence aux entreprises, mais, pour de nombreuses sociétés, ICF peut constituer une couche de protection supplémentaire contre les attaques du réseau telles que les vers ou les refus de service. Si vous n'êtes pas préparé à faire migrer vos ordinateurs Windows 2000 Professionnel vers Windows XP, il est très important d'acheter et de déployer des pare-feu répartis sur ces ordinateurs.
La plupart des pare-feu du commerce protègent les ordinateurs contre les logiciels qui pourraient porter atteinte à la vie privée des utilisateurs et permettre une utilisation détournée de la machine par un intrus. Pour en savoir plus sur les produits pare-feu les plus populaires et leurs distributeurs, vous pouvez consulter les sites Web suivants :
Symantec, à l'adresse http://www.symantec.com/microsoft.
McAfee Security, à l'adresse http://www.networkassociates.com/us/products/home.htm.
ZoneAlarm, à l'adresse http://www.zonelabs.com/store/content/home.jsp.
Tiny Personal Firewall, à l'adresse http://www.tinysoftware.com/home/tiny2?la=EN.
Internet Security Systems' BlackICE PC Protection, à l'adresse http://blackice.iss.net/.
Installation d'un logiciel antivirus
Les virus informatiques sont des programmes qui sont chargés sur votre système à votre insu et sans votre accord. Les virus et autres formes de code nocif sont présents depuis des années. Les virus actuels se répliquent et utilisent Internet et les applications de messagerie pour se répandre en quelques heures dans le monde entier.
Les logiciels antivirus recherchent continuellement les virus sur votre ordinateur et vous aident à les détecter et à les supprimer. L'installation de logiciels antivirus ne résout que partiellement le problème - le fait de maintenir les signatures virales à jour étant aussi vital pour maintenir la sécurité sur les ordinateurs.
L'apprentissage de pratiques saines d'envoi de courrier aux utilisateurs est une autre étape critique dans la prévention des attaques virales. Les utilisateurs ne doivent pas ouvrir une pièce jointe de courrier s'ils n'attendent pas un fichier et s'ils ne peuvent pas en vérifier la source. Assurez-vous que toutes les pièces jointes de courrier sont analysées par un logiciel antivirus avant leur ouverture.
Pour en savoir plus sur les éditeurs de logiciel distribuant des logiciels antivirus compatibles avec Windows 2000, consultez la page List of Antivirus Software Vendorsde la Base de connaissances du site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?LinkId=22381.
Mise à niveau par les patches
Pour vous assurer que vos ordinateurs portables et de bureau resteront sûrs, Microsoft vous recommande fortement de les maintenir à jour avec tous les patches de sécurité de Windows 2000. Avec Windows 2000, cette manipulation est très simple si vos ordinateurs sont reliés à Internet. Il suffit de configurer vos ordinateurs pour télécharger et installer automatiquement les dernières versions de Microsoft avec la procédure suivante.
Cette procédure va paramétrer votre machine pour qu'elle reçoive des mises à jour automatiques. L'activation de cette fonction sur votre ordinateur vous protège contre les nouveaux virus et les vers qui pourraient tenter de se répandre via Internet sur les machines de votre réseau.
Outils nécessaires
Les éléments suivants sont nécessaires pour mener à bien cette tâche :
Informations d'identification : Vous devez être connecté à l'ordinateur portable ou client en tant que membre du groupe des administrateurs de domaines.
Outils : Panneau de configuration.
Pour configurer votre machine pour les mises à jour automatiques
Cliquez sur le menu Démarrer, puis sur Panneau de configuration.
Double-cliquez sur Mises à jour automatiques.
Activez la case à cocher libellée : Maintenir mon ordinateur à jour. Une fois ce paramètre activé, le logiciel Windows Update peut être mis à jour automatiquement avant l'application de toute autre évolution.
Sélectionnez l'option Télécharger automatiquement les mises à jour et les installer à la fréquence indiquée.
Sélectionnez un jour et une heure pour les mises à jour, puis cliquez sur OK pour fermer la fenêtre Mises à jour automatiques.
.jpg)
Dès que le programme de Mises à jour automatiques est activé, les nouvelles mises à jour sont automatiquement appliquées sur l'ordinateur en fonction du planning défini. Vous pouvez choisir de déclencher le téléchargement à une heure quelconque du jour ou de la nuit. Assurez-vous simplement que l'ordinateur sera allumé à l'heure choisie. (Pour éviter les ralentissements, Microsoft vous conseille de choisir une heure à laquelle vous n'utiliserez pas l'ordinateur. Cependant, la machine devra être allumée.) Si vous paramétrez le programme pour qu'il vous avertisse, ou si vous oubliez de laisser l'ordinateur allumé, une infobulle s'affichera. Cliquez sur cette notification pour examiner et installer les mises à jour.
Conversion de votre système de fichiers en NTFS
Un système de fichiers désigne la méthode d'organisation des fichiers et des répertoires sur l'ordinateur. Pendant le processus d'installation de Windows 2000, les ordinateurs peuvent être configurés pour employer l'un des systèmes FAT32 ou NTFS.
FAT32 est une technologie plus ancienne employée par les versions précédentes de Windows. Le système NTFS est plus rapide et plus sûr que les systèmes précédents. Pour optimiser les performances et la sécurité du système d'exploitation, utilisez NTFS pour protéger les partitions système de votre machine. Utilisez les deux procédures suivantes pour vérifier le type de système de fichiers de votre ordinateur, puis, si nécessaire, convertir ce système en NTFS.
Pour contrôler le système de fichiers de votre machine
Cliquez sur le menu Démarrer, puis sur Poste de travail.
Cliquez avec le bouton droit sur le lecteur à vérifier, puis pointez sur Propriétés et cliquez.
Le type de système de fichiers doit être NTFS. Dans le cas contraire, vous pouvez employer l'utilitaire convert.exe pour passer de FAT6 ou FAT32 à NTFS.
.jpg)
Répétez cette procédure pour toutes les partitions des disques durs de l'ordinateur. Même si le système de fichiers était configuré comme FAT32 lors de l'installation du système d'exploitation, vous pouvez facilement le convertir en NTFS pour apporter une sécurité supplémentaire.
Pour convertir le système de fichiers en NTFS, notez le nom du disque, autrement dit, le label ( Lecteur C dans l'image ci-dessus) et suivez les étapes ci-dessous.
Cette procédure va convertir votre système de fichiers en NTFS. La conversion en NTFS apporte un niveau de sécurité plus élevé à votre ordinateur.
Pour convertir le système de fichiers en NTFS
Dans le menu Démarrer, cliquez sur Exécuter et tapez cmd. Cliquez ensuite sur OK.
À l'invite de commande, tapez ce qui suit, lettre lecteur représentant le lecteur à convertir :
- Convertlettre lecteur**: /fs:ntfs**
Le programme vous demande d'indiquer le nom de volume (label) du lecteur. Entrez le nom que vous avez identifié auparavant, puis appuyez sur ENTRÉE.
Lorsque la conversion est terminée, tapez EXIT, puis appuyez sur ENTRÉE pour fermer l'invite de commandes.
Remarque : Si vous tentez de convertir le lecteur contenant les informations système, un message peut vous demander de différer la conversion pour qu'elle se produise lors du prochain redémarrage. Dans ce cas, tapez Y pour redémarrer l'ordinateur.
Informations complémentaires
Pour tout renseignement concernant la sécurisation de Windows 2000, consultez les rubriques suivantes :
La page Windows 2000 Security Hardening Guidedu site Web de Microsoft pour télécharger le guide complet, à l'adresse http://go.microsoft.com/fwlink/?linkid=22380.
La page Guide to Securing Windows XP in Small and Medium Businessesdu site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?linkid=19453.
Pour tout renseignement concernant la sécurisation de Windows 2000, consultez les rubriques suivantes :
La page Threats and Countermeasures Guidedu site Web de Microsoft, à l'adresse http://go.microsoft.com/fwlink/?LinkID=15159.
La section « Mise en place d'une stratégie de mots de passe » du document « Sélection de mots de passe sécurisés » du kit de sécurité.
La section consacrée à la mise en œuvre d'une politique de mots de passe sûrs sur toutes les machines du document « Mise en œuvre de mots de passe sécurisés dans votre organisation » du kit de sécurité.