menaces et contre-mesures

  • Article

Chapitre 10 : Entrées de registre supplémentaires

Dernière mise à jour le 27 décembre 2005

Ce chapitre fournit des informations supplémentaires sur les entrées de registre (également connues sous le terme de valeurs de registre) pour le fichier modèle de sécurité de base. Ces entrées ne sont pas définies dans le fichier modèle d’administration (.adm). Le fichier .adm définit les stratégies et restrictions pour le bureau, l’environnement et la sécurité de Microsoft® Windows Server™ 2003.

Sur cette page

Editeur de configuration de sécurité personnalisé
Entrées de registre TCP/IP
Entrées de registre diverses
Entrées de registre disponibles dans Windows XP avec SP2 et Windows Server 2003 avec SP1
Entrées de registre disponibles dans Windows XP avec SP2
Entrées de registre disponibles dans Windows Server 2003 avec SP1
Informations complémentaires

Editeur de configuration de sécurité personnalisé

Lorsque vous chargez le composant logiciel enfichable Modèles de sécurité MMC (Microsoft Management Console) et affichez les modèles de sécurité, les entrées des tableaux ci-dessous ne sont pas représentées. Ces entrées ont été ajoutées au fichier .inf à l'aide d'une version personnalisée de l'Éditeur de configuration de sécurité (SCE). Ces entrées peuvent également être visualisées et modifiées dans un éditeur de texte comme Bloc-notes. Elles sont appliquées aux ordinateurs lorsque les stratégies sont téléchargées, que les interfaces utilisateur de l'Éditeur de configuration de sécurité aient été modifiées ou non.

Les entrées sont intégrées aux modèles de sécurité en vue d’automatiser les modifications. La suppression de cette stratégie n’entraîne pas automatiquement celle de ces entrées ; vous devez les modifier manuellement à l’aide d’un outil de modification du Registre tel que Regedt32.exe. Le classeur Microsoft Excel® intitulé « Windows Default Security and Services Configuration », qui est fourni avec ce guide, détaille les paramètres par défaut.

Comment personnaliser l’interface utilisateur de l’Éditeur de configuration de sécurité

L’Éditeur de configuration de sécurité permet de définir des modèles de sécurité applicables à certains ordinateurs ou à n'importe quel ensemble d'ordinateurs, via la stratégie de groupe. Les modèles de sécurité peuvent contenir des stratégies de mot de passe, des stratégies de verrouillage, des stratégies de protocole Kerberos, des stratégies d'audit, des paramètres de journal des événements, des valeurs de registre, des modes de démarrage de service, des autorisations de service, des droits d'utilisateur, des restrictions d'appartenance aux groupes, des autorisations de registre et des autorisations de système de fichiers. L’Éditeur de configuration de sécurité est présent dans plusieurs composants logiciels enfichables MMC et outils d'administration. Il est utilisé par le composant logiciel enfichable Modèles de sécurité et dans le module Configuration et analyse de la sécurité. Le composant logiciel enfichable Editeur de stratégie de groupe l'utilise pour la section Paramètres de sécurité de l'arborescence Configuration de l'ordinateur. Enfin, il est utilisé pour les paramètres de sécurité locaux, la stratégie de sécurité de contrôleur de domaine et les outils de la stratégie de sécurité du domaine.

Ce guide comprend des entrées supplémentaires qui sont ajoutées à l’Éditeur de configuration de sécurité par modification du fichier Seregvl.inf (situé dans le dossier %systemroot%\inf) et le réenregistrement du fichier Scecli.dll. Les paramètres de sécurité d'origine, ainsi que les paramètres supplémentaires, apparaissent sous Stratégies locales\Sécurité dans les composants logiciels enfichables et outils répertoriés précédemment dans ce guide. Vous devez mettre à jour le fichier Sceregvl.inf et réenregistrer le fichier Scecli.dll sur tous les ordinateurs pour lesquels vous aurez à modifier les modèles de sécurité et stratégies de groupe fournis avec ce guide, comme décrit dans les sections suivantes. Cependant, les informations de personnalisation du fichier Sceregvl.inf utilisent des fonctions disponibles uniquement dans Microsoft Windows® XP Professionnel avec Service Pack 1 (SP1) et Windows Server 2003. N'essayez pas de l'installer sur des versions antérieures de Windows.

Après modification et enregistrement du fichier Sceregvl.inf, les valeurs de registre personnalisées sont exposées dans les interfaces utilisateur de l’Éditeur de configuration de sécurité de l'ordinateur concerné. Les nouveaux paramètres apparaissent à la fin de la liste des éléments de l'Éditeur de configuration de sécurité, tous commençant par « MSS: ». MSS est l'abréviation de Microsoft Solutions for Security, le groupe à l'origine de ce guide. Vous pouvez dès lors créer des modèles ou des stratégies de sécurité contenant des définitions de ces nouvelles valeurs de Registre. Ces modèles et stratégies peuvent ensuite être appliqués à tout ordinateur, que le fichier Sceregvl.inf ait été modifié sur l'ordinateur cible ou non. Les valeurs de registre que vous avez personnalisées seront exposées lors des lancements ultérieurs de l'interface utilisateur de l'Éditeur de configuration de sécurité.

Les instructions relatives à la modification de l'interface utilisateur de l'Éditeur de configuration de sécurité sont fournies dans les procédures suivantes. Vous devez observer des instructions manuelles si vous avez déjà effectué d'autres personnalisations de l'Éditeur. Un script est fourni pour ajouter les paramètres avec une interaction minimale de l'utilisateur. Bien qu'il intègre des fonctions de détection des erreurs et de récupération, il peut échouer. Dans ce cas, vous devez déterminer la cause de la défaillance et corriger le problème ou suivre les instructions manuelles. Un autre script est fourni ; vous pouvez l'utiliser pour restaurer l'interface utilisateur de l'Éditeur de configuration de sécurité par défaut. Ce script supprime tous les paramètres personnalisés et restaure l'éditeur tel qu'il apparaît lors d'une installation par défaut de Windows XP avec SP2 ou Windows Server 2003 avec SP1.

Pour mettre à jour manuellement sceregvl.inf

  1. Utilisez un éditeur de texte tel que le Bloc-notes pour ouvrir le fichier Values-sceregvl.txt du dossier SCE Update de téléchargement de ce guide.

  2. Ouvrez une autre fenêtre dans l'éditeur de texte et ouvrez ensuite le fichier %systemroot%\inf\sceregvl.inf.

  3. Accédez à la fin de la section « [Register Registry Values] » du fichier sceregvl.inf. Copiez et collez le texte du fichier Values-sceregvl.txt, sans saut de page, dans cette section du fichier sceregvl.inf.

  4. Fermez le fichier Values-sceregvl.txt et ouvrez le fichier Strings-sceregvl.txt dans le dossier SCE Update de téléchargement.

  5. Accédez à la fin de la section « [Strings] » du fichier sceregvl.inf. Copiez et collez le texte du fichier Strings-sceregvl.txt, sans saut de page, dans cette section du fichier sceregvl.inf.

  6. Enregistrez le fichier sceregvl.inf et fermez l'éditeur de texte.

  7. Ouvrez une invite de commande et exécutez la commande regsvr32 scecli.dll pour réenregistrer le fichier DLL.

Ces valeurs de registre personnalisées apparaîtront lors des démarrages ultérieurs de l'Éditeur de configuration de sécurité.

Pour mettre à jour automatiquement sceregvl.inf

  1. Les fichiers Values-sceregvl.txt,Strings-sceregvl.txt et Update_SCE_with_MSS_Regkeys.vbs, qui sont situés dans le dossier SCE Update de téléchargement de ce guide, doivent tous être stockés au même emplacement pour que le script fonctionne.

  2. Exécutez le script Update_SCE_with_MSS_Regkeys.vbs sur l'ordinateur que vous souhaitez mettre à jour.

  3. Suivre les invites d'écran

Cette procédure supprime seulement les entrées personnalisées réalisées à l'aide du script décrit dans la procédure précédente, Update_SCE_with_MSS_Regkeys.vbs. Vous pouvez également annuler les modifications effectuées par le script de mise à jour automatique.

Pour annuler les modifications effectuées par le script Update_SCE_with_MSS_Regkeys.vbs

  1. Exécutez le script Rollback_SCE_for_MSS_Regkeys.vbs sur l'ordinateur que vous souhaitez mettre à jour.

  2. Suivre les invites d'écran

Cette procédure supprime toute entrée personnalisée que vous avez pu ajouter à l'interface utilisateur de l'Éditeur de configuration de sécurité, y compris celles de ce guide et d'autres qui peuvent avoir été fournies dans des versions précédentes de ce guide ou dans d'autres guides sur la sécurité.

Pour restaurer l'Éditeur de configuration de sécurité à son état par défaut pour Windows XP avec SP2 Windows Server 2003 avec SP1

  1. Les fichiers sceregvl_W2K3_SP1.inf.txt,sceregvl_XPSP2.inf.txt et Restore_SCE_to_Default.vbs, qui sont situés dans le dossier SCE Update de téléchargement de ce guide, doivent tous être stockés au même emplacement pour que le script fonctionne.

  2. Exécutez le script Restore_SCE_to_Default.vbs sur l'ordinateur que vous souhaitez mettre à jour.

  3. Suivre les invites d'écran

Pour restaurer manuellement l'apparence par défaut de l'interface utilisateur de l'Éditeur de configuration de sécurité

  1. Cliquez sur Démarrer, Exécuter, saisissez regedit.exe et appuyez sur ENTRÉE pour ouvrir l'outil Éditeur du Registre.

  2. Accédez à HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Reg Values.

  3. Chaque sous-clé à cet emplacement représente un élément de la section Options de sécurité de l'Éditeur de configuration de sécurité. Supprimez avec précaution toutes les sous-clés. Ne supprimez pas la clé parent (Reg Values), mais uniquement les sous-clés qu'elle contient.

  4. Ouvrez une invite de commande et exécutez la commande regsvr32 scecli.dll pour réenregistrer le fichier DLL de l'Éditeur de configuration de sécurité.

  5. Lors des démarrages ultérieurs de l'Éditeur de configuration de sécurité, seules les valeurs de registre d'origine qui ont été incluses dans votre version de Windows s'afficheront.

Entrées de registre TCP/IP

Afin d'empêcher les attaques par déni de service (DoS), vous devez mettre à jour votre ordinateur avec les derniers correctifs de sécurité et renforcer la pile de protocole TCP/IP sur les ordinateurs Windows Server 2003 exposés à des attaquants potentiels. La configuration par défaut de la pile de protocole TCP/IP est ajustée pour traiter le trafic intranet standard. Si vous connectez directement un ordinateur à Internet, Microsoft vous recommande de renforcer la pile de protocole TCP/IP pour la protéger contre les attaques par déni de service.

Les attaques par déni de service lancées sur la pile TCP/IP appartiennent généralement à deux catégories : les attaques qui consomment une quantité excessive de ressources système (en ouvrant de nombreuses connexions TCP, par exemple) ou les attaques qui consistent à envoyer des paquets spécialement conçus pour provoquer un dysfonctionnement de la pile réseau ou de l'ensemble du système d'exploitation. Les paramètres du Registre suivants protègent contre les attaques visant la pile TCP/IP.

Les paramètres de registre du tableau suivant ont été ajoutés au fichier modèle de la sous-clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. Vous trouverez des informations plus détaillées concernant chacun des paramètres dans les sous-sections qui suivent le tableau et sur la page Microsoft Windows Server 2003 TCP/IP Implementation Details à l'adresse http://technet2.microsoft.com/windowsserver/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true.

Tableau 10.1 Entrées de registre TCP/IP de Windows Server 2003 avec SP1 et Windows XP avec SP2

Entrée de registre

Format

XP SP2 par défaut

2003 SP1 par défaut

Valeur la plus sûre (nombre décimal)

DisableIPSourceRouting

DWORD

1

1

2

EnableDeadGWDetect

DWORD

1

1

0

EnableICMPRedirect

DWORD

1

1

0

KeepAliveTime

DWORD

7200000

7200000

300 000

PerformRouterDiscovery

DWORD

2

2

0

SynAttackProtect

DWORD

0

1

1

TcpMaxConnectResponseRetransmissions

DWORD

2

2

2

TcpMaxDataRetransmissions

DWORD

5

5

3

DisableIPSourceRouting :IP source routing protection level (protects against packet spoofing)

Cette entrée apparaît sous la forme MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) dans l'Éditeur de configuration de sécurité. Le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre dans le réseau.

Vulnérabilité

Un pirate peut utiliser des paquets à routage source pour brouiller son identité et son lieu d’attaque. Le routage source permet à un ordinateur qui expédie un paquet de spécifier l’itinéraire que le paquet va suivre.

Contre-mesures

Configurez l'entrée MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) sur la valeur Highest protection, source routing is completely disabled.

Cette entrée de registre peut prendre les valeurs suivantes :

  • 0, 1 ou 2. La configuration par défaut est 1 (les paquets acheminés par source IP ne sont pas transférés).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, les options suivantes s'affichent :

  • No additional protection, source routed packets are allowed.

  • Medium, source routed packets ignored when IP forwarding is enabled.

  • Highest protection, source routing is completely disabled.

  • Non défini.

Impact potentiel

Si vous configurez cette valeur sur 2, tous les paquets entrants à routage source seront supprimés

EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)

Cette entrée apparaît sous la forme MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) dans l'Éditeur de configuration de sécurité. Lorsqu'une détection de passerelle inactive est autorisée, l'adresse IP peut se transformer en une passerelle de sauvegarde si plusieurs connexions rencontrent des difficultés.

Vulnérabilité

Une attaque peut forcer le serveur à échanger les passerelles et donc le diriger vers une passerelle non désirée. Cette action est très difficile à réaliser, la valeur de cette entrée est donc faible.

Contre-mesures

Configurez l'entrée MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) sur la valeur Désactivé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 1 (activée) sur Windows Server 2003.

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Si vous configurez cette valeur sur 0, Windows ne peut pas détecter les passerelles inactives et ne bascule pas automatiquement vers une autre passerelle.

EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routes

Cette entrée apparaît sous la forme MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes dans l'Éditeur de configuration de sécurité. En raison des redirections du protocole ICMP (Internet Control Message Protocol), la pile analyse les routes de l’hôte. Ces routes remplacent les routes générées par le protocole OSPF (Open Shortest Path First).

Vulnérabilité

Ce comportement est prévu. Le problème vient du fait que le délai d’attente de 10 minutes dû à l’analyse des routes et provoqué par la redirection ICMP crée une situation de réseau au cours de laquelle le trafic n'est plus acheminé correctement pour l'hôte concerné.

Contre-mesures

Configurez l'entrée MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes sur la valeur Désactivé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 1 (activée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Lorsque le service système Routage et accès à distance (RRAS) est configuré en tant que routeur de frontière de système autonome (ASBR), il n’importe pas correctement les routes de sous-réseau de l'interface connectée. Le routeur introduit au contraire les routes de l’hôte dans les routes OSPF. Cependant, le routeur OSPF ne peut pas être utilisé en tant que routeur ASBR. S'il est connecté, les routes de sous-réseau de l’interface sont importées dans OSPF, ce qui génère des tables de routage équivoques contenant d’étranges chemins de routage.

Cette entrée apparaît sous la forme MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) dans l'Éditeur de configuration de sécurité. Elle contrôle la fréquence d'expédition d'un paquet persistant par TCP à des fins de vérification de l'intégrité d'une connexion inoccupée. Si l'ordinateur distant est toujours joignable, il reconnaît ce paquet persistant.

Vulnérabilité

Si un attaquant réussit à se connecter aux applications réseau, il peut provoquer une condition de refus de service (DoS) en créant un grand nombre de connexions.

Contre-mesures

Configurez l'entrée MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) sur une valeur égale à 300000 ou 5 minutes.

Cette entrée de registre admet les valeurs suivantes :

  • 1 à 0xFFFFFFFF. La configuration par défaut est 7,200,000 (deux heures).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, les options suivantes s'affichent :

  • 150000 or 2.5 minutes

  • 300000 or 5 minutes (recommended)

  • 600000 or 10 minutes

  • 1200000 or 20 minutes

  • 2400000 or 40 minutes

  • 3600000 or 1 hour

  • 7200000 or 2 hours (default value)

  • Non défini

Impact potentiel

Les paquets persistants ne sont pas envoyés par défaut par Windows. Cependant, certaines applications peuvent configurer l'indicateur de pile TCP qui demandent des paquets persistants. Pour ce type de configurations, vous pouvez abaisser la valeur du paramètre par défaut de deux heures à cinq minutes pour déconnecter des sessions inactives plus rapidement.

PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)

Cette entrée apparaît sous la forme MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) dans l'Éditeur de configuration de sécurité. Elle active ou désactive le protocole IRDP (Internet Router Discovery Protocol). Le protocole IRDP permet à l'ordinateur de détecter et de configurer automatiquement les adresses de passerelle par défaut (comme décrit dans RFC 1256) sur une base par interface.

Vulnérabilité

Si un attaquant a réussi à accéder au même segment de réseau, il peut configurer un ordinateur du réseau pour lui faire emprunter l'identité d'un routeur. Les autres ordinateurs utilisant le protocole IRDP essaieront alors d’acheminer leur trafic par l'intermédiaire de l'ordinateur affecté.

Contre-mesures

Configurez l'entrée MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) sur la valeur Désactivé.

Cette entrée de registre admet les valeurs suivantes :

  • 0, 1 ou 2. La configuration par défaut est 2 (activez-la uniquement si DHCP envoie l'option Perform Router Discovery).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • 0 (Désactivé)

  • 1 (Activé)

  • 2 (activez-la uniquement si DHCP envoie l'option Perform Router Discovery)

  • Non défini

Impact potentiel

Si vous désactivez cette entrée, Windows Server 2003 (qui prend en charge le protocole IRDP) ne peut pas détecter et configurer automatiquement les adresses de passerelle par défaut sur l'ordinateur.

SynAttackProtect: Syn attack protection level (protects against DoS)

Cette entrée apparaît sous la forme MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) dans l'Éditeur de configuration de sécurité. Cette entrée force le protocole TCP à ajuster la retransmission de SYN-ACKS. Quand vous configurez cette entrée, la surcharge des transmissions incomplètes d'une attaque par demande de connexion (SYN) est réduite.

Vous pouvez utiliser cette entrée pour configurer Windows afin qu'il envoie des messages de recherche de routeur comme des diffusions au lieu de multidiffusions, comme décrit dans le RFC 1256. Par défaut, si la recherche de routeur est activée, les sollicitations de recherche sont envoyées au groupe de multidiffusion de tous les routeurs (224.0.0.2).

Vulnérabilité

Dans une attaque par saturation SYN, l'attaquant envoie un flot continu de paquets SYN à un serveur. Le serveur garde les connexions semi-ouvertes jusqu’à ce que toutes ses ressources soient consommées et qu’il ne puisse plus répondre aux demandes légitimes des utilisateurs.

Contre-mesures

Configurez l'entrée MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) sur la valeur Connections time out sooner if a SYN attack is detected.

Cette entrée de registre peut prendre les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 1 (activé) pour Windows Server 2003 SP1 et 0 (désactivé) pour Windows XP SP2.

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Connections time out more quickly if a SYN attack is detected

  • No additional protection, use default settings

  • Non défini

Impact potentiel

Cette valeur ajoute des délais supplémentaires aux indications de connexion. Le délai de connexion TCP s'écoule rapidement lorsqu'une attaque SYN est en cours. Si vous configurez cette entrée de registre, les options de socket de fenêtres évolutives et de paramètres TCP configurés sur chaque carte (y compris RTT initial et la taille de la fenêtre) ne fonctionnent plus. Si l'ordinateur est attaqué, les options de socket de fenêtres évolutives (RFC 1323) et de paramètres TCP configurés sur chaque carte (RTT initial, taille de la fenêtre) ne peuvent plus être activées. Les raisons pour lesquelles ces options ne peuvent pas être activées sont liées au fait que, lorsque la protection fonctionne, l'entrée du cache de routage n'est pas interrogée avant l'envoi du SYN-ACK, et les options Winsock ne sont pas disponibles à ce stade de la connexion.

TcpMaxConnectResponseRetransmissions: SYN-ACK retransmissions when a connection request is not acknowledged

Cette entrée apparaît sous la forme MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged dans l'Éditeur de configuration de sécurité. Cette entrée définit le nombre de fois que le TCP retransmet un SYN avant d'abandonner la tentative. Le délai de retransmission est doublé à chaque retransmission successive d'une tentative de connexion donnée. Le délai d'expiration initial est de trois secondes.

Vulnérabilité

Dans une attaque par saturation SYN, l'attaquant envoie un flot continu de paquets SYN à un serveur. Le serveur garde les connexions semi-ouvertes jusqu’à ce que toutes ses ressources soient consommées et qu’il ne puisse plus répondre aux requêtes légitimes des utilisateurs.

Contre-mesures

Configurez l'entrée MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged sur la valeur 3 seconds, half-open connections dropped after nine seconds.

Cette entrée de registre admet les valeurs suivantes :

  • 0-0xFFFFFFFF. La configuration par défaut est 2.

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, les options suivantes s'affichent et correspondent respectivement aux valeurs 0, 1, 2 et 3 :

  • No retransmission, half-open connections dropped after 3 seconds

  • 3 seconds, half-open connections dropped after 9 seconds

  • 3 et 6 secondes, connexions à demi ouvertes abandonnées au bout de 21 secondes

  • 3, 6, & 9 seconds, half-open connections dropped after 45 seconds

  • Non défini

Impact potentiel

Si vous configurez cette entrée à une valeur supérieure ou égale à 2, la pile utilise en interne la protection SYN-ATTACK. Si vous configurez cette entrée à une valeur inférieure à 2, la pile ne peut pas lire les valeurs de registre pour la protection SYN-ATTACK. Cette entrée raccourcit la durée de vie par défaut d'une connexion TCP semi-ouverte. En cas d’attaque violente, un site peut réduire cette valeur à 1. Une valeur de 0 est également possible. Cependant, si vous définissez cette valeur sur 0, les SYN-ACK ne sont pas retransmis du tout et sont éliminés au bout de 3 secondes. Une valeur aussi basse peut faire échouer les tentatives légitimes de connexion de clients distants.

Cette entrée apparaît sous la forme MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) dans l'Éditeur de configuration de sécurité. Cette entrée indique le nombre de tentatives de retransmission par TCP d'un segment de données individuel (segment non connecté) avant d'abandonner la connexion. Le délai de retransmission est doublé à chaque retransmission successive sur une connexion. Il est réinitialisé lorsque les réponses reprennent. Le délai d'expiration de base est déterminé de façon dynamique par la mesure de la durée du parcours circulaire de la connexion.

Vulnérabilité

Un utilisateur malveillant pourrait épuiser les ressources d'un ordinateur cible, s'il n'a jamais envoyé d'accusé de réception pour les données transmise par l'ordinateur cible.

Contre-mesures

Configurez l'entrée MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) sur une valeur de 3. Cette entrée de registre admet les valeurs suivantes :

  • 0 à 0xFFFFFFFF. La configuration par défaut est 5.

Dans l'interface utilisateur de l'Éditeur de configuration de sécurité, ce paramètre peut être ajusté à l'aide d'une zone de saisie :

  • Nombre spécifié par l'utilisateur

  • Non défini

Impact potentiel

TCP fait courir un délai de retransmission chaque fois qu’un segment sortant est transmis à l’IP. Si aucun accusé de réception des données n’est reçu avant l’expiration du délai, le segment est retransmis jusqu’à trois fois.

Entrées de registre diverses

Les entrées de registre du tableau suivant sont également recommandées. Les informations supplémentaires sur chaque entrée, y compris l'emplacement de chaque paramètre de clé de registre, sont fournies dans les sous-sections qui suivent le tableau.

Tableau 10.2 Entrées non TCP/IP ajoutées au Registre de Windows Server 2003

Entrée de registre

Format

Valeur la plus sûre (nombre décimal)

MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)

DWORD

Pas défini, sauf les environnements extrêmement sécurisés, qui doivent utiliser 0.

MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments)

DWORD

Pas défini, sauf les environnements extrêmement sécurisés, qui doivent utiliser 0.

MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments)

DWORD

Pas défini, sauf les environnements extrêmement sécurisés, qui doivent utiliser 1.

MSS: (DisableSavePassword) Prevent the dial-up passsword from being saved (recommended)

DWORD

1

MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)

DWORD

Pas défini, sauf les environnements extrêmement sécurisés, qui doivent utiliser 1.

MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)

DWORD

1 pour les ordinateurs qui exécutent Windows XP, 3 pour les ordinateurs qui exécutent Windows Server 2003.

MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)

DWORD

0xFF

MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers)

DWORD

1

MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended)

DWORD

1

MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)

DWORD

1

MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)

Chaîne

0

MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning

DWORD

0

Disable Automatic Logon: Disable Automatic Logon

Cette entrée apparaît sous la forme MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) dans l'Éditeur de configuration de sécurité. Cette entrée détermine si la fonction d'ouverture de session automatique est activée. (Elle est séparée de la fonctionnalité d'écran de bienvenue dans Windows XP. Si vous désactivez cette fonctionnalité, cette entrée n'est pas affectée.) Par défaut, elle n'est pas activée. L'ouverture de session automatique utilise le domaine, le nom d'utilisateur et le mot de passe stockés dans le registre pour connecter des utilisateurs à l'ordinateur lors de son démarrage. La boîte de dialogue d'ouverture de session ne s'affiche pas.

Pour obtenir des informations supplémentaires, consultez l'article de la Base de connaissances Microsoft « Comment faire pour activer l'ouverture de session automatique dans Windows XP » à l'adresse https://support.microsoft.com/kb/315231/fr.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\

.

Vulnérabilité

Si vous configurez un ordinateur pour une ouverture de session automatique, quiconque ayant un accès physique à l'ordinateur peut également accéder à tous les éléments stockés dessus, y compris les réseaux auxquels l'ordinateur est connecté. De même, si vous activez l'ouverture de session automatique, le mot de passe est stocké dans le registre en texte clair. La clé de registre spécifique qui stocke ce paramètre peut être lue à distance par le groupe Utilisateurs authentifiés. Par conséquent, cette entrée est appropriée uniquement si l'ordinateur est sécurisé physiquement et si vous vous assurez que les utilisateurs non approuvés ne peuvent pas consulter le registre à distance.

Contre-mesures

Ne configurez pas l'entrée MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended), sauf sur les ordinateurs extrêmement sécurisés, où elle doit être définie sur la valeur Désactivé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 0 (désactivée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Aucune. Par défaut, cette entrée n'est pas activée.

Configurez l'entrée de redémarrage automatique après des pannes système (Automatic Reboot from System Crashes)

Cette entrée apparaît sous la forme MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) dans l'Éditeur de configuration de sécurité. Elle détermine si l'ordinateur doit redémarrer automatiquement après une panne.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\

.

Vulnérabilité

Il existe une certaine inquiétude quant au fait qu'un ordinateur pourrait être bloqué dans une boucle sans fin de pannes et de redémarrages. Cependant, l'alternative à cette entrée n'est pas beaucoup plus plaisante : l'ordinateur s'arrêtera simplement de fonctionner.

Contre-mesures

Configurez l'entrée MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) sur la valeur Désactivé.

Cette entrée de registre peut prendre les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 1 (activée).

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft « COMMENT FAIRE : Configurer les options de défaillance du système et de récupération dans Windows » à l'adresse https://support.microsoft.com/kb/307973/fr.

Dans l'interface SCE, les options suivantes sont disponibles :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

L'ordinateur ne redémarrera plus automatiquement après une panne.

Enable Administrative Shares

Cette entrée apparaît sous la forme MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments) dans l'Éditeur de configuration de sécurité. Par défaut, Windows XP Professionnel crée automatiquement des partages administratifs tels que C$ et IPC$.

Pour obtenir des informations supplémentaires, consultez l'article de la Base de Connaissances Microsoft « Comment faire pour créer et supprimer des partages cachés ou administratifs sur des ordinateurs clients » à l'adresse https://support.microsoft.com/kb/314984/fr.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\

.

Vulnérabilité

Étant donné que ces partages administratifs intégrés sont connus et présents sur la plupart des ordinateurs Windows, des utilisateurs malveillants les ciblent souvent pour des attaques en force destinées à deviner des mots de passe, ainsi que pour d'autres types d'attaques.

Contre-mesures

Ne configurez pas l'entrée MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments), sauf sur les ordinateurs extrêmement sécurisés, où elle doit être définie sur la valeur Activé.

Cette entrée de registre admet les valeurs suivantes :

●    1 ou 0. La configuration par défaut est 1 (activée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

●    Activé

●    Désactivé

●    Non défini

Impact potentiel

Si vous supprimez ces partages, vous pourriez occasionner des problèmes aux administrateurs et aux programmes ou services reposant sur ces partages. Par exemple, Microsoft Systems Management Server (SMS) et Microsoft Operations Manager 2000 nécessitent des partages administratifs pour une installation et un fonctionnement corrects. En outre, un grand nombre d'applications tierces de sauvegarde réseau nécessitent des partages administratifs.

Disable Saving of Dial-Up Passwords

Cette entrée apparaît sous la forme MSS: (DisableSavePassword) Prevent the dial-up passsword from being saved (recommended) dans l'Éditeur de configuration de sécurité. Elle détermine si les mots de passe associés aux entrées d'annuaire de connexions réseau sont enregistrés. Si l'utilisateur dispose d'un grand nombre d'entrées d'annuaire, l'accumulation des mots de passe enregistrés peut entraîner un léger retard après la saisie des informations d'authentification de l'utilisateur dans la boîte de dialogue Connexion.

Vous pouvez ajouter cette valeur de registre au modèle dans la sous-clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\
Parameters\

.

Vulnérabilité

Un attaquant qui dérobe l'ordinateur mobile d'un utilisateur pourrait se connecter automatiquement au réseau de l'entreprise si la case à cocher Enregistrer ce mot de passe est activée pour l'entrée d'accès à distance.

Contre-mesures

Configurez l'entrée MSS: (DisableSavePassword) Prevent the dial-up password from being saved (recommended) sur la valeur Désactivé.

Cette entrée de registre peut prendre les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 0 (désactivée).

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft « Disabling Save Password Option in Dial-Up Networking » à l'adresse https://support.microsoft.com/kb/172430/fr.

Dans l'interface SCE, les options suivantes sont disponibles :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Les utilisateurs ne pourront pas automatiquement stocker leurs informations d'identification pour des connexions d'accès à distance et VPN.

Hide the Computer from Network Neighborhood Browse Lists: Hide Computer From the Browse List

Cette entrée apparaît sous la forme MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) dans l'Éditeur de configuration de sécurité. Vous pouvez configurer un ordinateur pour qu'il n'envoie pas d'annonces aux navigateurs sur le domaine. Dans ce cas, vous masquez l'ordinateur dans la liste de l'explorateur ; il n'envoie pas lui-même d'annonces aux autres ordinateurs du même réseau.

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft « HOW TO: Hide a Windows 2000–Based Computer from the Browser List » à l'adresse https://support.microsoft.com/kb/321710/fr.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\
Parameters\

.

Vulnérabilité

Un attaquant qui connaît le nom d'un ordinateur peut facilement rassembler des informations supplémentaires à son sujet. Si vous activez cette entrée, vous supprimez une méthode qu'un attaquant pourrait utiliser pour rassembler des informations sur les ordinateurs du réseau. Si vous activez cette entrée, vous pouvez également contribuer à la réduction du trafic réseau. Cependant, la vulnérabilité reste faible, car les attaquants peuvent utiliser d'autres méthodes pour identifier et localiser des cibles potentielles.

Contre-mesures

Ne configurez pas l'entrée MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments), sauf sur les ordinateurs extrêmement sécurisés, où elle doit être définie sur la valeur Activé.

Cette entrée de registre admet les valeurs suivantes :

●    1 ou 0. La configuration par défaut est 0 (désactivée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

●    Activé

●    Désactivé

●    Non défini

Impact potentiel

L'ordinateur n'apparaîtra plus dans la liste de l'explorateur ou dans le voisinage réseau d'autres ordinateurs du même réseau.

Enable IPSec to protect Kerberos RSVP Traffic: Enable NoDefaultExempt for IPSec Filtering

Cette entrée apparaît sous la forme MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended) dans l'Éditeur de configuration de sécurité. Les exemptions par défaut aux filtres de stratégie IPSec sont décrites dans l'aide en ligne de Microsoft Windows Server 2003 et Microsoft Windows XP. Ces filtres permettent le fonctionnement du protocole IKE (Internet Key Exchange) et du protocole d'authentification Kerberos. Ils permettent également d'avertir la qualité de service (QoS) réseau (RSVP) lorsque le trafic de données est sécurisé par IPSec, et lorsque le trafic ne peut pas l'être, comme dans le cas de la multidiffusion et du trafic de diffusion.

Pour plus d'informations, consultez l'article Technet « Specifying Default Exemptions to IPSec Filtering » http://technet2.microsoft.com/windowsserver/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true. Reportez-vous également à l'article de la Base de Connaissances Microsoft « IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios » à l'adresse https://support.microsoft.com/kb/811832/fr.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\

.

Vulnérabilité

Comme IPSec est de plus en plus utilisé pour le filtrage de base de paquets de pare-feu hôte, en particulier dans les scénarios Internet, l'effet de ces exemptions par défaut n'a pas été entièrement compris. Certains administrateurs IPSec peuvent créer des stratégies IPSec qu'ils pensent sûres, mais qui ne le sont pas réellement vis-à-vis des attaques entrantes qui utilisent les exemptions par défaut. Les attaquants pourraient falsifier le trafic réseau qui semble se composer de paquets de protocole IKE, RSVP ou Kerberos légitimes, mais le diriger vers d'autres services réseau sur l'hôte.

Contre-mesures

Ne configurez pas l'entrée MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended), sauf sur les ordinateurs qui utilisent des filtres IPSec, où cette entrée doit être configurée sur la valeur Activé.

Cette entrée de registre peut prendre les valeurs suivantes :

  • Une valeur de 0 indique que le trafic multidiffusion, diffusion, RSVP, Kerberos ou IKE (ISAKMP) est exempt de filtres IPSec, ce qui correspond à la configuration par défaut de Windows 2000 et Windows XP. Utilisez ce paramètre uniquement si vous avez besoin d'une compatibilité avec une stratégie IPSec déjà existante ou Windows 2000 et Windows XP.

  • Une valeur de 1 indique que le protocole Kerberos et le trafic RSVP ne sont pas exempts de filtres IPSec, contrairement au trafic multidiffusion, diffusion et IKE. Ce paramètre correspond à la valeur recommandée pour Windows 2000 et Windows XP.

  • Une valeur de 2 indique que le trafic multidiffusion et diffusion ne sont pas exempts de filtres IPSec, contrairement au trafic RSVP, Kerberos et IKE. Ce paramètre est pris en charge uniquement sous Windows Server 2003.

  • Une valeur de 3 indique que seul le trafic IKE est exempt de filtres IPSec. Ce paramètre est pris en charge uniquement dans Windows Server 2003, qui contient ce comportement par défaut bien que la clé de registre n'existe pas par défaut.

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • 0

  • 1

  • 2

  • 3

Impact potentiel

Après avoir activé cette entrée, il peut être nécessaire de modifier les stratégies de sécurité déjà existantes pour qu'elles fonctionnent correctement. Pour les détails, reportez-vous à l'article de la Base de Connaissances Microsoft « IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios » https://support.microsoft.com/kb/811832/fr, qui a été mentionné précédemment dans cette section.

Disable Autorun: Disable Autorun for all drives

Cette entrée apparaît sous la forme MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) dans l'Éditeur de configuration de sécurité. Autorun démarre la lecture à partir d’un lecteur de votre ordinateur dès que le support est inséré. Par conséquent, le fichier d’installation des programmes et le son du média audio démarrent immédiatement.

Pour désactiver Autorun sur tous lecteurs, vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\

.

Sinon, pour désactiver l'exécution automatique des lecteurs CD/DVD uniquement, vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\

.

Vulnérabilité

Afin d’empêcher un programme malveillant potentiel de s'exécuter lorsqu’un média est inséré dans un lecteur, la stratégie de groupe désactive l'exécution automatique sur tous les lecteurs.

Un attaquant ayant accès physiquement à l'ordinateur pourrait insérer un CD ou un DVD avec fonction d'exécution automatique dans l'ordinateur. Cela aurait pour effet de lancer automatiquement le programme malveillant.

Contre-mesures

Configurez l'entrée MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) sur la valeur 255, disable Autorun for all drives.

Cette entrée de registre admet les valeurs suivantes :

  • Une plage de valeurs hexadécimales

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft "La fonctionnalité d'exécution automatique ou de lecture automatique ne fonctionne pas lorsque vous insérez un CD dans le lecteur" à l'adresse https://support.microsoft.com/kb/330135/fr.

Dans l'interface SCE, les options suivantes sont disponibles :

  • Null, allow Autorun

  • 255, disable Autorun for all drives

  • Non défini

Impact potentiel

L'exécution automatique ne fonctionne plus lorsque des disques sont insérés dans l'ordinateur. De même, les utilitaires de gravage de CD peuvent ne pas fonctionner comme prévu, car il est possible que les CD vierges ne soient pas reconnus. Les applications multimédia, telles que le Lecteur Windows Media, ne reconnaîtront pas les nouveaux CD ou DVD insérés, ce qui obligera les utilisateurs à les lancer manuellement.

Configure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers

Cette entrée apparaît sous la forme MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) dans l'Éditeur de configuration de sécurité. Netbios sur TCP/IP (NetBT) est un protocole réseau qui fournit, entre autres, un moyen de résoudre aisément les noms NetBIOS enregistrés sur les ordinateurs Windows en adresses IP configurées sur ces ordinateurs. Cette valeur détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une requête de libération de nom.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

.

Vulnérabilité

Le protocole NetBT est conçu pour ne pas utiliser l'authentification, ce qui le rend vulnérable à l'usurpation. L’usurpation consiste à faire croire qu’une transmission provient d’un utilisateur autre que celui qui réalise effectivement l’action. Un utilisateur malveillant pourrait profiter de l'absence d'authentification pour envoyer un datagramme de conflit de nom à l'ordinateur cible, ce qui l'obligerait à renoncer à son nom et à ne pas répondre aux requêtes.

Ce type d'attaque peut engendrer des problèmes de connexion intermittents sur l'ordinateur cible, ou même empêcher l'utilisation du voisinage réseau, les ouvertures de session de domaine, la commande NET SEND ou la poursuite de la résolution de noms NetBIOS.

Pour plus d'informations, consultez l'article de la Base de Connaissances Microsoft "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts" à l'adresse https://support.microsoft.com/kb/269239/fr.

Contre-mesures

Configurez l'entrée MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) sur la valeur Activé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 1 (activée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Comme alternative, vous pouvez désactiver l'utilisation de WINS dans votre environnement et vous assurer que toutes les applications utilisent les services de résolution de noms DNS. Bien que cette approche soit une stratégie à long terme recommandée, les entreprises ne peuvent généralement pas l'appliquer à court terme pour des raisons pratiques. Les entreprises qui utilisent encore WINS sont soumises à des dépendances entre applications qui ne peuvent pas être résolues rapidement sans mises à niveau et déploiements de logiciels, ce qui nécessite des planifications minutieuses et prend du temps.

Si vous ne pouvez pas déployer cette contre-mesure et souhaitez forcer la résolution des noms NetBIOS, procédez à une étape supplémentaire de "pré-chargement" des noms NETBIOS dans le fichier LMHOSTS de certains ordinateurs. Pour plus d'informations sur le préchargement du fichier LMHOSTS, reportez-vous à l'article de la Base de Connaissances Microsoft "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts", mentionné précédemment dans cette section.

Remarque : La gestion des fichiers LMHOSTS dans la plupart des environnements nécessite beaucoup d'efforts. Microsoft recommande d'utiliser WINS plutôt que LMHOSTS.

Impact potentiel

Un attaquant pourrait envoyer une requête sur le réseau et demander à un ordinateur de libérer son nom NetBIOS. Comme pour toutes les modifications susceptibles d'affecter les applications, Microsoft recommande de tester ce changement en dehors de l'environnement de production avant de l'appliquer réellement.

Disable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenames

Cette entrée apparaît sous la forme MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) dans l'Éditeur de configuration de sécurité. Windows Server 2003 prend en charge les formats de nom de fichier 8.3 pour une compatibilité descendante avec les applications 16 bits. (La convention de nom de fichier 8.3 est un format de nom qui accepte les noms de fichier contenant jusqu’à huit caractères.)

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\

.

Vulnérabilité

Si vous autorisez des noms de fichier 8.3, un attaquant n'a besoin que de huit caractères pour faire référence à un fichier qui peut avoir une longueur de 20 caractères. Par exemple, un fichier nommé Thisisalongfilename.doc peut être désigné par son nom de fichier 8.3, Thisis~1.doc. Si vous n'utilisez pas d'applications 16 bits, vous pouvez désactiver cette fonction. En outre, les performances d'énumération de répertoire sont meilleures si vous désactivez la génération de noms de fichiers courts sur une partition de système de fichiers NTFS.

Les pirates pourraient utiliser les noms de fichiers courts pour accéder plus facilement aux fichiers de données et aux applications portant des noms longs. Un pirate ayant réussi à accéder au système de fichiers pourrait accéder aux données ou exécuter des applications.

Contre-mesures

Configurez l'entrée MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) sur la valeur Activé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut est 0 (désactivée).

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Les applications 16 bits de votre entreprise ne pourront pas accéder aux fichiers dont les noms ne correspondent pas au format 8.3. Certaines applications 32 bits reposent également sur la présence de noms courts, car ces derniers ne comportent généralement pas d'espaces intégrés et ne nécessitent donc pas de guillemets lorsqu'ils sont utilisés dans des lignes de commande. Les routines d'installation de certains programmes peuvent échouer ; celles qui sont conçues pour s'exécuter sur des architectures à plusieurs processeurs sont probablement des applications 16 bits. L'installation d'Exchange 2000 SP2 échouera si cette entrée est activée. L'installation de service packs pour SQL 2000 échoue si cette entrée est activée et le chemin pour la variable de système %temp% inclut un espace. Une solution simple à ce problème consiste à redéfinir la variable avec un chemin sans espace (par exemple, C:\temp).

Remarque : Si vous appliquez cette entrée à un serveur possédant déjà des fichiers automatiquement générés au format de nom 8.3, il ne supprime pas ces fichiers. Pour supprimer les noms de fichiers au format 8.3, vous devrez copier les fichiers hors du serveur, les supprimer de leur emplacement initial, puis les recopier à cet emplacement.

Cette entrée apparaît sous la forme MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) dans l'Éditeur de configuration de sécurité. Vous pouvez configurer l'ordre de recherche DLL (dynamic-link library) pour rechercher les DLL demandées de l’une des deux manières suivantes :

Si SafeDllSearchMode est configuré sur 1, l'ordre de recherche est le suivant :

  • Le répertoire à partir duquel l'application a été chargée.

  • Le répertoire système.

  • Le répertoire système de 16 bits. Aucune fonction n'obtient le chemin de ce répertoire, mais ce dernier est recherché.

  • Le répertoire Windows.

  • Le répertoire en cours.

  • Les répertoires qui sont indiqués dans la variable d'environnement CHEMIN.

Si SafeDllSearchMode est configuré sur 0, l'ordre de recherche est le suivant :

  • Le répertoire à partir duquel l'application a été chargée.

  • Le répertoire en cours.

  • Le répertoire système.

  • Le répertoire système de 16 bits. Aucune fonction n'obtient le chemin de ce répertoire, mais ce dernier est recherché.

  • Le répertoire Windows.

  • Les répertoires qui sont indiqués dans la variable d'environnement CHEMIN.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\

.

Vulnérabilité

Si un utilisateur exécute sans le savoir un code hostile accompagné de versions modifiées des DLL système, ce code peut charger ses propres versions de DLL et aggraver le type et l'importance des dommages provoqués.

Contre-mesures

Configurez l'entrée MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) sur la valeur Activé.

Cette entrée de registre admet les valeurs suivantes :

  • 1 ou 0. La configuration par défaut de Windows XP est 0 et 1 pour Windows Server 2003.

Dans l'interface utilisateur de l’Éditeur de configuration de sécurité, ces options apparaissent comme suit :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Les applications sont contraintes de rechercher d'abord les DLL dans le chemin système. Cette entrée peut provoquer des problèmes de performance ou de stabilité pour les applications qui reposent sur les versions uniques de ces DLL, telles qu'elles ont été initialement fournies.

Cette entrée apparaît sous la forme MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) dans l'Éditeur de configuration de sécurité. Windows intègre une période de grâce entre le moment où l’écran de veille est lancé et le moment où la console est réellement verrouillée automatiquement lorsque le verrouillage de l’écran de veille est activé.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon\

sous-clé.

Vulnérabilité

Par défaut, la période de grâce pendant laquelle l'utilisateur peut faire un mouvement avant que le verrouillage de l'écran de veille ne s'active est de cinq secondes. Si vous conservez la configuration par défaut de la période de grâce, vous exposez l'ordinateur à une attaque potentielle lancée par une personne susceptible de s'approcher de la console pour essayer de se connecter à l'ordinateur avant l'activation du verrouillage. Vous pouvez ajouter une entrée au Registre pour régler la durée de la période de grâce.

Contre-mesures

Configurez l'entrée MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) sur la valeur 0.

Cette entrée de registre admet les valeurs suivantes :

  • 0 à 255. La valeur par défaut est de 5 secondes.

Dans l'interface utilisateur de l'Éditeur de configuration de sécurité, la valeur de cette entrée prend la forme d'une zone de saisie :

  • Nombre spécifié par l'utilisateur

  • Non défini

Impact potentiel

Dès que l'économiseur d'écran se lance, les utilisateurs doivent entrer leur mot de passe pour reprendre leur session de console.

Security Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warning

Cette entrée apparaît sous la forme MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning dans l'Éditeur de configuration de sécurité. Windows Server 2003 et Service Pack 3 pour Windows 2000 incluent une nouvelle fonction pour la génération d’un audit de sécurité dans le journal d’événements de sécurité lorsque celui-ci atteint un seuil défini par l’utilisateur. Par exemple, si cette valeur est définie sur 90, une entrée d'événement (eventID 523) sera enregistrée dans le journal de sécurité lorsqu'il atteindra 90 % de sa capacité. Cette entrée contient le texte suivant :

« The security event log is 90 percent full ».

Remarque : Ce paramètre sera sans effet si le journal d'événements de sécurité est configuré pour remplacer les anciens événements par les nouveaux si nécessaire.

Vous pouvez ajouter cette valeur de registre au fichier modèle dans la sous-clé

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\

.

Vulnérabilité

Si le journal de sécurité atteint 90 % de sa capacité et que l'ordinateur n'a pas été configuré pour remplacer les événements si nécessaire, les événements les plus récents ne seront pas consignés. Si le journal a atteint sa capacité maximale et que l'ordinateur a été configuré pour s'éteindre lorsqu'il ne peut plus consigner les événements dans le journal de sécurité, il s'arrête et cesse de fournir les services réseau.

Contre-mesures

Configurez l'entrée MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning sur une valeur de 90.

Cette entrée de registre admet les valeurs suivantes :

  • 0 à 100. La configuration par défaut est 0 (aucun événement d'avertissement n'est généré).

Dans l'interface SCE, les options suivantes sont disponibles :

  • 50 %

  • 60 %

  • 70 %

  • 80 %

  • 90 %

  • Non défini

Impact potentiel

Ce paramètre permet de générer un événement d’audit lorsque le journal de sécurité atteint le seuil de saturation de 90 %, à moins que le journal d'événements ne soit configuré pour remplacer les événements si nécessaire.

Entrées de registre disponibles dans Windows XP avec SP2 et Windows Server 2003 avec SP1

Les entrées de registre décrites précédemment dans ce chapitre s'appliquent à Microsoft Windows XP avec SP1 et Windows Server 2003.

Les versions Windows XP SP2 et Windows Server 2003 SP1 fournissent des entrées de registre de sécurité supplémentaires que vous pouvez configurer pour répondre aux exigences de sécurité spécifiques à votre environnement.

Les entrées de registre suivantes sont disponibles dans Windows XP avec SP2 et Windows Server 2003 avec SP1.

RestrictRemoteClients

Quand une interface est enregistrée par l'intermédiaire de RpcServerRegisterIf, l'appel de procédure distante RPC permet à l'application serveur de limiter l'accès à l'interface, généralement par un rappel de sécurité. La clé de registre RestrictRemoteClients oblige RPC à exécuter des vérifications de sécurité supplémentaires pour toutes les interfaces, même si elles n'ont pas enregistré de rappel de sécurité. Les clients RPC qui utilisent la séquence de protocole de canal nommé (ncacn_np) sont exemptés de ces restrictions. Cette séquence de protocole ne peut pas être limitée en raison de plusieurs problèmes importants de compatibilité ascendante.

La clé de registre RestrictRemoteClients peut prendre l'une des trois valeurs DWORD suivantes :

  • 0. Cette valeur est la valeur par défaut dans Windows Server 2003 avec SP1 ; elle permet à l'ordinateur de contourner la restriction d'interface RPC. L'application serveur est entièrement responsable quant aux restrictions RPC adéquates à appliquer. Cette configuration correspond à la configuration des versions précédentes de Windows.

  • 1. Cette valeur est la valeur par défaut dans Windows XP avec SP2. Tous les appels anonymes à distance sont rejetés par le service d'exécution RPC, sauf les appels qui entrent par les canaux nommés (ncacn_np).

  • 2. Tous les appels anonymes à distance sont rejetés par le service d'exécution RPC sans exemption. Dans cette configuration, un ordinateur ne peut pas recevoir d'appels anonymes à distance via RPC.

Les développeurs peuvent modifier leurs applications pour transmettre des indicateurs au sous-système RPC, précisant si le client ou le serveur acceptera les requêtes RPC anonymes.

Vulnérabilité

Les interfaces RPC qui permettent des connexions non autorisées peuvent être utilisées pour exploiter à distance les saturations de la mémoire tampon et propager du code malveillant.

Contre-mesures

La configuration par défaut de la valeur RestrictRemoteClients dans Windows Server 2003 avec SP1 et Windows XP avec SP2 permet la compatibilité ascendante. Pour renforcer la protection contre les vers qui peuvent tenter d'exploiter à distance des saturations de mémoire tampon dans les services RPC, configurez RestrictRemoteClients sur 1 ou 2.

Impact potentiel

Si vous activez la clé de registre RestrictRemoteClients, l'interface du mappeur de point final RPC ne sera pas accessible de manière anonyme. Cette restriction est une amélioration importante de la sécurité, mais elle modifie le mode de résolution des points finaux. Actuellement, un client RPC qui tente de passer un appel en utilisant une extrémité dynamique interroge d'abord le mappeur de point final RPC sur le serveur pour déterminer le point final auquel il doit se connecter. Cette requête est anonyme, même si l'appel client RPC utilise la sécurité RPC. Les appels anonymes passés à l'interface du mappeur de point final RPC échoueront sur Windows Server 2003 avec SP1 si la clé RestrictRemoteClients est définie sur 1 minimum. Le service d'exécution client RPC doit donc être modifié de manière à exécuter une requête authentifiée au mappeur de point final. Si la clé EnableAuthEpResolution est configurée, le service d'exécution client RPC utilisera NTLM pour s'authentifier auprès du mappeur de point final. Cette requête sera authentifiée uniquement si le véritable appel client RPC utilise l'authentification RPC.

Certains services et applications peuvent ne pas fonctionner correctement si cette clé est activée. Vous devez donc la tester soigneusement avant de la déployer dans votre environnement. Si vous avez l'intention d'activer cette clé, vous devez également utiliser la clé EnableAuthEpResolution pour activer l'authentification du mappeur de point final RPC.

EnableAuthEpResolution

Les appels anonymes vers l'interface du mappeur de point final RPC échoueront par défaut sur Windows XP avec SP2 en raison de la valeur par défaut de la nouvelle clé RestrictRemoteClients. Le service d'exécution client RPC doit donc être modifié de manière à exécuter une requête authentifiée au mappeur de point final. Pour ce faire, configurez la clé EnableAuthEpResolution sur 1. Si cette configuration est en place, le service d'exécution client RPC utilisera NTLM pour s'authentifier auprès de l'interface du mappeur de point final. Cette requête sera authentifiée uniquement si le véritable appel client RPC utilise l'authentification RPC.

Vulnérabilité

Les interfaces RPC qui permettent des connexions non autorisées peuvent être utilisées pour exploiter à distance les saturations de la mémoire tampon et propager du code malveillant.

Contre-mesures

Pour renforcer la protection contre les vers qui peuvent tenter d'exploiter à distance des saturations de la mémoire tampon dans les services RPC, configurez RestrictRemoteClients comme décrit dans la section précédente et utilisez EnableAuthEpResolution pour activer l'authentification NTLM pour les requêtes RPC informatiques.

Impact potentiel

Les clients qui n'ont pas configuré la clé EnableAuthEpResolution ne pourront pas effectuer de requêtes de service RPC sur les serveurs dont la clé RestrictRemoteClients est activée. Cette restriction peut entraîner l'arrêt des services basés sur RPC.

RunInvalidSignatures

Par défaut, Windows Server 2003 avec SP1 et Windows XP avec SP2 empêchent l'installation d'objets de code dont les signatures ne sont pas valides. Ces signatures peuvent être non valides pour différentes raisons : code modifié, certificat de signature expiré ou certificat de signature présent sur une liste de révocation de certificats (CRL). Internet Explorer 6.0 bloquait déjà l'installation de code dont les signatures n'étaient pas valides, mais le service pack étend ce comportement à toutes les applications.

Vulnérabilité

Un contrôle Microsoft ActiveX® signé qui a été falsifié peut être téléchargé et exécuté par une application. Ceci pourrait compromettre l'ordinateur sur lequel il s'exécute.

Contre-mesures

La valeur par défaut de RunInvalidSignatures bloque cette vulnérabilité.

Impact potentiel

Les applications qui dépendent des contrôles signés légitimes ne fonctionneront pas si ces signatures de contrôle ne sont pas valides pour une raison quelconque. Si vous êtes disposez d'une application dont la signature semble non valide, vous pouvez modifier cette configuration de clé pour permettre le téléchargement et l'exécution du contrôle. Cependant, cette modification génère une vulnérabilité de sécurité. La solution recommandée consiste à contacter les développeurs du contrôle utilisé dans l'application afin d'obtenir une version avec une signature valide.

Entrées de registre disponibles dans Windows XP avec SP2

Les entrées de registre suivantes sont disponibles uniquement dans Windows XP avec SP2.

Entrées de registre Centre de sécurité pour XP

Il existe trois valeurs de registre pour le centre de sécurité qui déterminent si l'utilisateur doit recevoir ou non des alertes pour une fonction donnée. Si une clé présente une valeur de 0 ou est inexistante, l'icône de notification et le système d'alerte de cette fonctionnalité sont activés. Si une valeur existe et est différente de 0, l'icône de notification et le système d'alerte de la fonctionnalité sont désactivés.

Ces trois valeurs sont situées dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Centre de sécurité. Ces valeurs sont les suivantes :

  • AntiVirusDisableNotify

  • FirewallDisableNotify

  • UpdatesDisableNotify

Vulnérabilité

Les utilisateurs qui désactivent les fonctions d'alerte du centre de sécurité ne peuvent pas recevoir d'avertissements appropriés si l'antivirus, le pare-feu ou les services de mise à jour automatique installés sur leurs ordinateurs ne fonctionnent pas correctement pour une raison quelconque.

Contre-mesures

Appliquez une entrée de registre de stratégie de groupe pour mettre en place la configuration d'avertissement appropriée à votre environnement.

Impact potentiel

Ces valeurs de registre sont visibles dans l'interface utilisateur du centre de sécurité, si la fonctionnalité correspondante est activée. Les utilisateurs dotés d'un accès administrateur local pourront modifier les valeurs du centre de sécurité.

StorageDevicePolicies\WriteProtect

Par défaut, les utilisateurs peuvent monter des périphériques de stockage de bloc USB sur leurs ordinateurs Windows XP et lire à partir de ces périphériques ou écrire dessus sans restriction. Dans SP2, les administrateurs ont désormais la possibilité d'empêcher les utilisateurs d'écrire sur les périphériques de stockage de bloc USB.

Pour cela, vous pouvez ajouter la valeur DWORD WriteProtect à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies et la configurer sur 1. Lorsque cette valeur est configurée, le pilote Windows des périphériques de stockage de bloc USB rejette les requêtes en écriture sur les périphériques montés.

Vulnérabilité

Un attaquant pourrait copier des données d'un périphérique USB amovible et les voler.

Contre-mesures

Si la valeur de WriteProtect est définie sur 1, Windows XP avec SP2 bloque les écritures sur les périphériques de stockage de bloc USB.

Impact potentiel

Cette clé de registre réduit partiellement une menace sérieuse. Cependant, un attaquant averti dispose de bien d'autres méthodes pour voler des données avec un périphérique USB. Par exemple, il est possible de programmer un périphérique USB de façon à ce qu'il soit énuméré comme un périphérique de stockage hors bloc (comme une imprimante ou un lecteur de CD-ROM), qui contournera ce contrôle. Les entreprises qui souhaitent empêcher le vol de données sensibles par des utilisateurs ou des attaquants peuvent utiliser cette entrée comme élément d'une stratégie de sécurité plus large, conjointement aux contrôles d'accès physique et autres mesures de restriction d'accès aux périphériques USB accessibles en écriture.

Entrées de registre disponibles dans Windows Server 2003 avec SP1

Les entrées de registre suivantes sont disponibles uniquement dans Windows Server 2003 avec SP1.

UseBasicAuth

Le protocole DAV (Distributed Authoring and Versioning) est un protocole HTTP qui autorise l'accès distant à des systèmes et des serveurs de fichiers. Les utilisateurs peuvent utiliser des chemins UNC pour accéder à des ressources de serveurs DAV. Cependant, le redirecteur WebDAV de Windows Server 2003 communique avec les serveurs Web qui prennent en charge le protocole DAV via HTTP. Il ne peut pas utiliser les sessions HTTP protégées par SSL. Lorsque ces sites Web permettent d'utiliser l'authentification de base, les requêtes DAV transmettent les informations d'authentification de l'utilisateur en texte clair.

Dans Windows Server 2003 avec SP1, le redirecteur WebDAV a été modifié de façon à ne jamais envoyer les informations d'authentification de l'utilisateur avec l'authentification de base. Cette modification peut affecter des applications ou des processus métier qui dépendent du redirecteur DAV par défaut de l'ordinateur. (Notez que Microsoft Office utilise son propre client DAV indépendant et n'est pas affecté par cette entrée.)

Windows Server 2003 SP1 présente la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\UseBasicAuth. Si vous configurez sa valeur sur 1, le redirecteur WebDAV de l'ordinateur peut communiquer avec les serveurs Web qui prennent en charge uniquement l'authentification de base.

Vulnérabilité

Un attaquant pourrait configurer un serveur Web qui utilise l'authentification de base, puis s'emparer des autorisations d'un utilisateur en le persuadant de se connecter à ce serveur.

Contre-mesures

Par défaut, le redirecteur WebDAV de Windows Server 2003 n'utilisera pas l'authentification de base, ce qui bloque efficacement cette vulnérabilité.

Impact potentiel

Les applications qui utilisent le redirecteur WebDAV intégré pour accéder aux ressources Web échoueront si le serveur Web prend uniquement en charge l'authentification de base. Pour résoudre ce problème, vous pouvez configurer le serveur Web pour prendre en charge davantage de méthodes d'authentification sécurisée ou activer la valeur UseBasicAuth. Cependant, le mécanisme recommandé consiste à configurer de nouveau le serveur Web, qui ne permet pas l'exposition des informations d'authentification des utilisateurs.

DisableBasicOverClearChannel

Le redirecteur WebDAV fait partie de la pile du système de fichiers à distance. Quand les utilisateurs tentent d'ouvrir des URL sur des ordinateurs distants, leurs informations d'authentification peuvent être exposées si le serveur à distance prend uniquement en charge l'authentification de base. Un attaquant peut tromper un utilisateur et le diriger vers un site Web qui demande des informations d'authentification (via DAV) et utilise l'authentification de base. Si l'utilisateur répond, il expose ses informations d'authentification à l'hôte malveillant.

L'entrée de registre UseBasicAuth contrôle si l'authentification de base peut être utilisée pour les requêtes WebDAV. Si vous configurez la valeur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\
Parameters\ DisableBasicOverClearChannel sur 1, l'utilisation de l'authentification de base par d'autres ressources Web est bloquée.

Vulnérabilité

Un attaquant pourrait configurer un serveur Web qui utilise l'authentification de base, puis s'emparer des autorisations d'un utilisateur en le persuadant de se connecter à ce serveur.

Contre-mesures

Configurez la valeur DisableBasicOverClearChannel sur 1 sur les ordinateurs clients afin de limiter leur capacité de connexion à des serveurs HTTP par l'intermédiaire de l'authentification de base.

Impact potentiel

De nombreux périphériques intégrés (tels que les routeurs, les serveurs d'impression et les photocopieuses) offrant un accès HTTP prennent uniquement en charge l'authentification de base, comme le font certaines applications d'entreprise. Si DisableBasicOverClearChannel est configuré sur 1, les ordinateurs clients ne pourront pas s'authentifier à ces périphériques ou applications.

Informations complémentaires

Les liens suivants fournissent des informations complémentaires sur certaines des entrées abordées dans ce chapitre :

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Mettre à jour les notifications

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions