Menaces et contre-mesures
Chapitre 1 : Introduction aux menaces et aux contre-mesures : Paramètres de sécurité pour Windows Server 2003 et Windows XP
Dernière mise à jour le 27 décembre 2005
Le Guide menaces et contre-mesures présente les paramètres de sécurité permettant la mise en œuvre de contre-mesures face à des menaces visant les versions actuelles des systèmes d'exploitation Microsoft® Windows®.
Ce guide vient en complément de deux autres publications disponibles auprès de Microsoft :
Guide de sécurité Windows Server 2003, disponible en ligne à
https://go.microsoft.com/fwlink/?LinkId=14845Guide de sécurité Windows XP, disponible en ligne à
https://go.microsoft.com/fwlink/?LinkId=14839* *
De nombreuses contre-mesures décrites dans ce guide ne sont pas destinées à des rôles spécifiques décrits dans les deux guides sécurité, ou dans certains cas à aucun rôle.. Ces contre-mesures aident à garantir la compatibilité, le confort d'utilisation, l'administration, la disponibilité ou les performances.
Il n'est pas inutile de répéter que les notions de sécurité et de fonctionnalité s'opposent : plus la sécurité est élevée, plus la fonctionnalité est basse, et inversement. Il existe cependant des exceptions, mais bien que certaines contre-mesures de sécurité améliorent la fonctionnalité, dans la plupart des cas cette affirmation reste exacte.
Les chapitres de ce guide sont structurés de manière similaire à l'affichage des paramètres dans l'Éditeur de stratégie de groupe. Une brève description du contenu, ainsi que la liste des sections représentant un paramètre ou un groupe de paramètres introduit chaque chapitre. (Ces paramètres sont répertoriés dans le classeur Microsoft Excel® décrit plus loin dans ce chapitre). Chaque sous-section fournit une brève explication de l'action de la contre-mesure et inclut les informations suivantes :
Vulnérabilité. Explique comment un attaquant pourrait exploiter une fonctionnalité ou sa configuration.
Contre-mesures. Explique comment mettre en œuvre la contre-mesure associée.
Impact potentiel. Explique les conséquences négatives pouvant apparaître avec la mise en œuvre de la contre-mesure.
Par exemple, le chapitre 2 « Stratégies au niveau du domaine » commence avec les sections suivantes :
Stratégies de compte
Conserver l’historique des mots de passe
Vulnérabilité
Contre-mesure
Impact potentiel
Durée de vie maximale du mot de passe
Vulnérabilité
Contre-mesure
Impact potentiel
Ce modèle est répété tout au long de ce guide. Les paramètres en relation étroite sont présentés dans une section unique. Par exemple, dans le chapitre 5 « Options de Sécurité », quatre paramètres sont placés dans la section « Client et serveur réseau Microsoft : Signer numériquement les communications (quatre paramètres associés) ». Ces paramètres sont les suivants :
Client réseau Microsoft : Signer numériquement les communications (toujours)
Serveur réseau Microsoft : Signer numériquement les communications (toujours)
Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)
Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client l'accepte)
Bien que de nombreux paramètres de stratégie de groupe soient abordés dans ce guide, ceux qui aident les entreprises dans la gestion de leurs environnements ne sont pas décrits. Ce guide examine seulement les paramètres et les fonctionnalités de Microsoft Windows Server™ 2003 SP1 et Windows XP SP2 permettant à des organisations de se protéger contre des menaces spécifiques. Les paramètres et les fonctionnalités qui ont été ajoutées ultérieurement à ces Service Packs ou qui peuvent être ajoutées via un logiciel distribué après ces Service Packs, ne sont pas abordés dans ce guide. De même, les fonctionnalités de gestion et les fonctionnalités de sécurité qui ne sont pas configurables par les administrateurs ne sont pas décrites dans ce guide.
Les informations fournies dans ce guide doivent vous aider à connaître les contre-mesures disponibles dans les versions actuelles du système d'exploitation Windows ; cependant, en ce qui concerne les instructions relatives aux paramètres à utiliser dans des scénarios spécifiques, reportez-vous aux deux guides complémentaires :
Guide de sécurité Windows Server 2003, disponible en ligne à
https://go.microsoft.com/fwlink/?LinkId=14845Guide sur la sécurité Windows XP, disponible en ligne à
https://go.microsoft.com/fwlink/?LinkId=14839* *
Le classeur Microsoft Excel « Configuration des services et de la sécurité Windows par défaut » (Windows Default Security and Services Configuration), fourni avec ce guide décrit les paramètres par défaut. La première fiche « Paramètres par défaut Windows Server 2003 » (Windows Server 2003 Defaults) détaille tous les paramètres par défaut de la stratégie de groupe disponibles dans Windows Server 2003. Cette fiche comprend les colonnes suivantes :
La colonne H, Nom du paramètre de stratégie dans l'interface utilisateur (Policy Setting Name in User Interface), porte le nom du paramètre tel qu'il apparaît dans le composant logiciel enfichable de l'Éditeur de stratégie de groupe de Windows Server 2003.
La colonne J, Stratégie de domaine par défaut (Default Domain Policy), représente la valeur du paramètre par défaut dans la stratégie de domaine qui est créée au moment de la promotion du premier contrôleur de domaine dans un nouveau domaine Active Directory®.
La colonne K, Stratégie de contrôleur de domaine par défaut (Default Domain Controller Policy), représente la valeur du paramètre par défaut dans la stratégie du contrôleur de domaine qui est créée au moment de la promotion du premier contrôleur de domaine dans un nouveau domaine Active Directory®.
La colonne L, Paramètres par défaut pour serveur autonome (Stand-Alone Server Default Settings), représente la valeur par défaut du paramètre sur un serveur autonome Windows Server 2003.
La colonne M, Paramètres effectifs par défaut d'un contrôleur de domaine (Domain Controller Effective Default Settings), indique la valeur par défaut pour un contrôleur de domaine.
La colonne N, Paramètres effectifs par défaut d'un serveur membre (Member Server Effective Default Settings), indique la valeur par défaut pour un serveur membre d'un domaine.
« Paramètre effectif par défaut » (Effective Default Setting) fait référence au paramètre appliqué sur le système lorsqu'aucun paramètre de sécurité n'a été modifié. Le paramètre effectif d'un système est déterminé par le moteur de la stratégie de groupe pendant son traitement au démarrage de l'ordinateur. L'ordre de priorité entre les paramètres accordé par le moteur est décrit dans la section « Application de la stratégie de groupe » du chapitre 2 « Mécanismes de renforcement de Windows Server 2003 » du Guide de sécurité Windows Server 2003.
Pour une meilleure lisibilité des feuilles de calcul, des colonnes supplémentaires ont été insérées afin d'illustrer la hiérarchie des objets dans l'Éditeur de stratégie de groupe. Les colonnes A à G représentent chacune un niveau de hiérarchie. Par exemple, Configuration de l'ordinateur (Computer Configuration) apparaît dans la colonne A et Paramètres de sécurité (Security Settings) apparaît dans la colonne C. La colonne I a également été insérée pour améliorer la lisibilité des feuilles de calcul.
La deuxième feuille « Services du système Windows Server 2003 » (Windows Server 2003 System Services) répertorie les services disponibles dans Windows Server 2003. Cette feuille de préparation inclut les colonnes suivantes :
La colonne A, Nom complet du service (Full Service Name), répertorie les noms des services tels qu'ils apparaissent dans les outils de gestion graphiques tels que la MMC (Microsoft Management Console).
La colonne B, Nom du service (Service Name), répertorie les noms abrégés des services, ce qui correspond au format utilisé par de nombreux outils de ligne de commande.
La colonne C, Type de démarrage sur un contrôleur de domaine (DC Startup Type), affiche l'état de démarrage par défaut du service sur un contrôleur de domaine Windows Server 2003.
La colonne D, Type de démarrage sur un serveur membre (Member Server Startup Type), affiche l'état de démarrage par défaut du service sur un serveur Windows Server 2003 membre d'un domaine Active Directory.
La colonne E, Type de démarrage sur un serveur autonome (Stand-Alone Server Startup Type), affiche l'état de démarrage par défaut du service sur un serveur autonome Windows Server 2003.
La colonne H, Ouvrir une session en tant que (Logon As), affiche le compte utilisé par le service pour ouvrir une session dans la configuration par défaut.
Le format des feuilles supplémentaires « Paramètres par défaut Windows XP » (Windows XP Defaults) et « Services du système Windows XP » (Windows XP System Services) est similaire à ces deux feuilles. Elles fournissent des informations sur les paramètres de sécurité et les services de Windows XP.
Sur cette page
Résumés des chapitres
Outils et modèles
Résumés des chapitres
Windows Server 2003 SP1 et Windows XP SP2 sont les versions les plus fiables de ces systèmes d'exploitation à ce jour. En effet, leurs fonctionnalités de sécurité et de confidentialité ont été améliorées. Ce guide se compose de douze chapitres. Les chapitres 2 à 6 abordent les procédures de création d'un environnement sécurisé. Chaque chapitre présente un processus complet de sécurisation des ordinateurs qui exécutent ces systèmes d'exploitation.
Chapitre 1 : Introduction aux menaces et aux contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP
Ce chapitre présente le guide, notamment la description du public auquel il s'adresse, les problèmes abordés et sa finalité dans son ensemble.
Chapitre 2 : Stratégies au niveau du domaine
Ce chapitre aborde les paramètres de stratégie de groupe qui sont appliqués au niveau du domaine : les stratégies de mot de passe, les stratégies de verrouillage de compte et les stratégies d'authentification Kerberos. Ces stratégies sont regroupées sous le terme « stratégies de compte ».
Chapitre 3 : Stratégie d'audit
Ce chapitre aborde l'utilisation de stratégies d'audit pour contrôler et appliquer vos mesures de sécurité. Il décrit les différents paramètres et présente par des exemples l'incidence sur les informations d'audit lorsque les paramètres sont modifiés.
Chapitre 4 : Droits utilisateur
Ce chapitre présente les divers droits d'ouverture de session et privilèges existants sur les systèmes d'exploitation Windows, et conseille sur quels comptes les appliquer.
Chapitre 5 : Options de sécurité
Ce chapitre présente la section « Options de sécurité » de la stratégie de groupe et fournit des instructions sur les paramètres de sécurité des signatures numériques de données, des noms de comptes Administrateur et Invité, de l'accès aux lecteurs de disquette et de CD-ROM, du comportement à l'installation des pilotes et des invites d'ouverture de session.
Chapitre 6 : Journaux des événements
Ce chapitre fournit des instructions sur la configuration des paramètres liés aux différents journaux d'événements de Windows Server 2003 et Windows XP.
Chapitre 7 : Services système
Windows XP et Windows Server 2003 intègrent de nombreux services système. Beaucoup de ces services sont configurés de manière à s'exécuter par défaut, tandis que d'autres ne seront présents que si vous installez des composants spécifiques. Ce chapitre présente les différents services fournis avec les systèmes d'exploitation et spécifie ceux qui peuvent être activés et ceux qui peuvent être désactivés en toute sécurité.
Chapitre 8 : Stratégies de restriction logicielle
Ce chapitre fournit une vue d'ensemble du mécanisme de stratégie de restriction logicielle, qui a été introduit dans Windows XP et Windows Server 2003. Il fournit des liens vers d'autres ressources présentant la manière de concevoir et utiliser des stratégies de restriction logicielle.
Chapitre 9 : Modèles d'administration pour Windows XP et Windows Server 2003
Ce chapitre indique les paramètres disponibles par le biais des Modèles d'administration de stratégie de groupe. Il n'examine pas chaque paramètre disponible. Il traite uniquement des paramètres liés à la sécurité.
Chapitre 10 : Entrées de registre supplémentaires
Ce chapitre fournit des informations sur les entrées de registre supplémentaires qui ne sont pas indiquées dans le fichier de Modèle d'administration mais qui sont présentes dans le modèle de sécurité de base. Il fournit des instructions sur la manière de modifier l'interface de l'Éditeur de configuration de sécurité pour exposer ces entrées dans l'interface utilisateur. Il fournit également des entrées de registre supplémentaires qui sont disponibles dans Windows XP SP2 et Windows Server 2003 SP1.
Chapitre 11 : Contre-mesures supplémentaires
Ce chapitre décrit plusieurs mesures de sécurité supplémentaires qu'il peut être nécessaire d'appliquer à vos ordinateurs. Cependant, ces contre-mesures ne s'appliquent pas aisément via une stratégie de groupe ou d'autres moyens automatisés. Ces contre-mesures incluent la sécurisation des comptes sur des serveurs membres d'un domaine, des paramètres NTFS, de la segmentation de données et d'applications, des paramètres de nom de communauté SNMP, la désactivation de liaisons NetBIOS, la configuration de services Terminal Server, Dr. Watson, des stratégies IPSec et un pointeur vers un complément d'instructions concernant le pare-feu Windows.
Chapitre 12 : Conclusion
Le chapitre final reprend les points importants du guide en retraçant brièvement ce qui a été abordé dans les différents chapitres.
Outils et modèles
Une collection de fichiers est incluse avec la version téléchargeable de ce guide pour aider votre entreprise à évaluer, tester et mettre en œuvre les contre-mesures recommandées. Ces fichiers sont identifiés collectivement comme outils et modèles.
Les fichiers sont placés dans un fichier .msi au sein de l'archive WinZip auto-extractible disponible depuis le Centre de téléchargement Microsoft : https://go.microsoft.com/fwlink/?LinkId=15160. Lors de l'exécution du fichier .msi, la structure de dossiers suivante sera créée à l'emplacement que vous indiquerez :
Le dossier \Threats and Countermeasures Guide Tools and Templates contient le classeur Microsoft Excel « Windows Default Security and Services Configuration.xls », configuration des services et de la sécurité par défaut de Windows Server 2003 SP1 et Windows XP SP2.
Le dossier \Threats and Countermeasures Guide Tools and Templates\SCE Update contient les fichiers texte et les fichiers de script. Vous pouvez utiliser les fichiers texte pour modifier et personnaliser l'interface utilisateur de l'Éditeur de configuration de sécurité. Les fichiers de script permettent d'appliquer ou d'annuler ces paramètres automatiquement. Ces procédures sont détaillées dans le chapitre 10 « Entrées de registre supplémentaires ».
Téléchargement
Obtenir le Guide menaces et contre-mesures
Alertes de mise à jour
Inscrivez-vous pour plus d'informations sur les mises à jour et les nouvelles publications
Commentaires