• Article

Guide de sécurité Windows Vista

Chapitre 5 : Sécurité spécialisée – Fonctionnalité limitée
Paru le 08 novembre 2006

La ligne de base Sécurité spécialisée – Fonctionnalité limitée (SSFL) de ce guide répond aux besoins de création d'environnements hautement sécurisés pour les ordinateurs exécutant Windows Vista™. Dans ces environnements, la question de sécurité est si importante que l'on peut supporter une perte significative de fonctionnalité et d'ergonomie. La ligne de base de sécurité pour le Client Entreprise (CE) contribue à une sécurité améliorée tout en permettant une fonctionnalité suffisante du système d'exploitation et des applications pour la majorité des entreprises.

Avertissement

Les paramètres de sécurité SSFL ne sont pas destinés à la majorité des organisations. Cette configuration de paramètres a été développée pour des entreprises pour lesquelles la sécurité est plus importante que la fonctionnalité.

Si vous décidez de tester et de déployer les paramètres de configuration SSFL sur les ordinateurs clients de votre environnement, le personnel informatique de votre entreprise peut se trouver confronté à une augmentation des appels au support technique concernant la fonctionnalité, limitée par les paramètres. Même si la configuration pour cet environnement offre un niveau de sécurité des données et du réseau plus élevé, elle empêche aussi certains services dont votre entreprise peut avoir besoin de s'exécuter. Entre autres exemples, celui des Services Terminal Server, qui permettent à plusieurs utilisateurs de se connecter de manière interactive à des bureaux et des applications sur des ordinateurs à distance et celui du Service de télécopie, qui permet aux utilisateurs d'envoyer et de recevoir des télécopies via le réseau et leur ordinateur. Pour obtenir une liste complète des services dont l'environnement SSFL empêche l'exécution, reportez-vous à la section « Services limités » de ce chapitre. Remarque importante : la ligne de base SSFL ne constitue pas un ajout à la ligne de base CE : la ligne de base SSFL constitue un niveau de sécurité distinct. Par conséquent, n'essayez pas d'appliquer la ligne de base SSFL et la ligne de base CE aux mêmes ordinateurs exécutant Windows Vista. Dans le cadre de ce guide, il est au contraire impératif d'identifier tout d'abord le niveau de sécurité que votre environnement requiert, puis d'appliquer au choix la ligne de base CE ou la ligne de base SSFL. Pour comparer les différences de paramétrage entre la ligne de base CE et la ligne de base SSFL, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité  ». Le fichier Paramètres du Guide de sécurité Vista.xls qui accompagne également ce guide fournit une autre ressource que vous pouvez utiliser pour comparer les valeurs de paramétrage.
Important   Si vous envisagez d'utiliser ou non la ligne de base SSFL pour votre environnement, préparez-vous à tester les ordinateurs de votre environnement de manière exhaustive après avoir appliqué les paramètres de sécurité SSFL pour vous assurer qu'ils ne font pas obstacle à une fonctionnalité requise par les ordinateurs de votre environnement.

Environnement de sécurité personnalisé Environnement de sécurité personnalisé
Environnement à fonctionnalité limitée Environnement à fonctionnalité limitée
L'outil GPOAccelerator Tool L'outil GPOAccelerator Tool
Plus d'informations Plus d'informations

Environnement de sécurité personnalisé

Les entreprises qui utilisent des ordinateurs et des réseaux, en particulier si elles se connectent à des ressources extérieures comme Internet, doivent prendre en compte la question de sécurité lorsqu'ils conçoivent leurs systèmes et leurs réseaux, et sur la manière de configurer et de déployer leurs ordinateurs. L'automatisation des processus, l'administration à distance, la disponibilité 24H/24, un accès au monde entier et l'indépendance des périphériques logiciels permettent aux entreprises d'être mieux structurées et plus productives sur un marché compétitif. Cependant, ces capacités risquent aussi de mettre en danger les ordinateurs de ces entreprises. En général, les administrateurs prennent les mesures de précaution qui s'imposent pour empêcher l'accès non autorisé aux données, les interruptions de service et une mauvaise utilisation des ordinateurs. Certaines organisations spécialisées comme les organisations militaires, gouvernementales, financières et les collectivités locales sont obligées de personnaliser leur niveau de sécurité afin de protéger une partie ou la totalité des services, des systèmes et des données qu'elles utilisent. La ligne de base SSFL est conçue pour fournir ce niveau de sécurité à ces organisations. Pour avoir un aperçu des paramètres SSFL, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité ».

Environnement à fonctionnalité limitée

La sécurité personnalisée implémentée par la ligne de base SSFL peut réduire la fonctionnalité de votre environnement. Ceci est dû au fait que cette sécurité limite les utilisateurs aux seules fonctions dont ils ont besoin pour effectuer les tâches nécessaires. L'accès est limité aux applications, aux services et aux environnements d'infrastructure approuvés. La fonctionnalité de la configuration est réduite du fait que la ligne de base désactive plusieurs pages de propriétés connues des utilisateurs. Les sections suivantes de ce chapitre décrivent les zones de sécurité plus élevée et de fonctionnalité limitée définies par la ligne de base SSFL :

Accès restreint aux services et aux données
Accès restreint au réseau
Protection du réseau élevée
Services limités

Accès restreint aux services et aux données

Des paramètres spécifiques de la ligne de base SSFL peuvent empêcher des utilisateurs valides d'accéder à des services et à des données s'ils oublient ou orthographient mal les mots de passe. De plus, ces paramètres peuvent entraîner une augmentation du nombre d'appels au support technique. Cependant, les avantages en matière de sécurité offerts par ces paramètres compliquent la tâche des utilisateurs malveillants qui attaquent les ordinateurs exécutant Windows Vista dans cet environnement. Parmi les options de paramétrage de la ligne de base SSFL qui pourraient éventuellement empêcher les utilisateurs d'accéder à des services et des données, on trouve celles qui :

désactivent les comptes administrateur ;
appliquent des conditions plus strictes en matière de mots de passe ;
requièrent une stratégie de verrouillage de comptes plus stricte ;
requièrent une stratégie plus stricte pour les paramètres d'Attribution des droits utilisateur suivants :
Ouvrir une session en tant que service et Ouvrir une session en tant que tâche.
Remarque   Des précisions sur les paramètres pour les lignes de base CE et SSFL sont disponibles dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité ». Le fichier Paramètres du Guide de sécurité Vista.xls qui accompagne également ce guide fournit une autre ressource que vous pouvez utiliser pour comparer les valeurs de paramètres.

Accès restreint au réseau

La fiabilité du réseau et la connectivité des systèmes sont essentiels à la bonne marche d'une entreprise. Les systèmes d'exploitation Microsoft offrent des fonctions réseau avancées qui aident à connecter les systèmes, à maintenir la connectivité et à réparer les connexions interrompues. Bien que cette fonction participe au maintien de la connectivité réseau, les attaquants peuvent l'utiliser pour interrompre ou mettre en danger les ordinateurs de votre réseau. En règle générale, les administrateurs accueillent favorablement les fonctionnalités qui permettent de prendre en charge les communications réseau. Cependant, dans certains cas, la priorité est donnée à la sécurité des données et des services. Dans ce type d'environnements spécialisés, une certaine perte de connectivité est tolérée pour garantir la protection des données. Parmi les options de paramétrage de la ligne de base SSFL qui augmentent le niveau de sécurité du réseau mais qui pourraient éventuellement empêcher les utilisateurs d'accéder au réseau, on trouve celles qui :

limitent l'accès aux systèmes client sur le réseau ;
masquent les systèmes dans les listes d'exploration ;
contrôlent les exceptions du pare-feu Windows ;
implémentent la sécurité des connexions, telles que la signature des paquets.

Protection du réseau élevée

Une stratégie couramment utilisée pour attaquer les services réseau consiste à utiliser une attaque par déni de service. Une telle attaque empêche la connectivité aux données ou aux services ou étend d'une manière trop importante les ressources du système et détériore les performances. La ligne de base SSFL protège l'accès aux objets système et l'attribution des ressources pour vous aider à vous protéger contre ce type d'attaques. Parmi les options de paramétrage de la ligne de base SSFL qui permettent d'empêcher les attaques DoS, on trouve celles qui :

contrôlent les attributions des quotas de mémoire de processus ;
contrôlent la création d'objets ;
contrôlent la possibilité de déboguer des programmes ;
contrôlent le profil des processus.
Grâce à toutes ces mesures de sécurité, les paramètres de sécurité dans la ligne de base SSFL empêchent les applications de votre environnement de s'exécuter ou les utilisateurs d'accéder aux services et aux données comme ils le voudraient. Pour cela, il est important de tester entièrement la ligne de base SSFL après l'avoir implémentée et avant de la déployer dans un environnement de production.

Services limités

En outre, la ligne de base SSFL empêche un certain nombre d'applications et d'utilitaires de s'exécuter automatiquement. Les zones du Registre Exécuter et Exécuter une seule fois ne font pas non plus l'objet d'un traitement. Et la ligne de base SSFL désactive également la lecture automatique des CD-ROM. La ligne de base SSFL désactive en particulier les services suivants :

Explorateur réseau (Explorateur). Ce service conserve une liste à jour des ordinateurs sur le réseau et fournit cette liste aux ordinateurs désignés comme explorateurs. Si ce service est désactivé, la liste ne sera pas mise à jour, ni conservée. Tout service qui dépend explicitement du service en question pour démarrer échouera.
Service de télécopie (Télécopie). Ce service permet aux utilisateurs d'envoyer et de recevoir des télécopies à l'aide des fonctions de télécopie disponibles sur leurs ordinateurs ou sur le réseau.
Service de publication FTP (MSFtpsvc). Ce service permet la connectivité et l'administration FTP par le biais du composant logiciel additionnel de Services Internet (IIS).
Service d'indexation (CiSvc). Ce service indexe le contenu et les propriétés de fichiers sur des ordinateurs en local et à distance. Il permet aussi d'accéder rapidement à des fichiers par le biais d'un langage d'interrogation flexible.
Service de découverte IIS (IISADMIN). Ce service permet l'administration des services Web et FTP par le biais du composant logiciel additionnel IIS.
Service de gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr). Ce service gère et contrôle l'Assistance à distance. Si ce service est désactivé, l'Assistance à distance n'est pas disponible.
Service de routage et d'accès distant (Accès distant) Ce service offre aux entreprises des services de routage dans les environnements de réseau local (LAN) ou de réseau étendu (WAN).
Service d'interruption SNMP (SNMPTRAP). Ce service reçoit des messages d'interruption générés par les agents SNMP locaux ou distants et transfère les messages aux programmes de gestion SNMP s'exécutant sur les ordinateurs clients.
Service SNMP (SNMP). Le service SNMP icomprend des agents qui contrôlent l'activité des périphériques réseau et la signalent à la console de gestion réseau.
Service de découverte SSDP (SSDPSRV). Ce service active la détection de périphériques Plug-and-Play sur un réseau domestique.
Service du Planificateur de tâches (Planification). Ce service permet aux utilisateurs de configurer et de planifier des tâches automatisées sur leurs ordinateurs. Si ce service est désactivé, les tâches planifiées ne s'exécuteront pas. Tout service qui dépend explicitement de ce service pour démarrer échouera.
Service Telnet (TlntSvr). Ce service permet à un utilisateur distant d'ouvrir une session sur un autre ordinateur et d'exécuter des programmes. Ce service prend en charge divers clients Telnet TCP/IP, y compris des ordinateurs UNIX et Windows. Si ce service est désactivé, l'accès des utilisateurs distants à des programmes peut être indisponible. Tout service qui dépend explicitement de ce service pour démarrer chouera.
Service Terminal Server (Service Terminal Server). Ce service permet à des utilisateurs multiples de se connecter de manière interactive aux écrans bureau et aux applications d'ordinateurs distants. Ce service fournit le logiciel d'arrière-plan du Bureau à distance (y compris du Bureau à distance des administrateurs), le Changement rapide d'utilisateur, l'Assistance à distance et le serveur Terminal Server.
Service de l'hôte de périphérique Plug-and-Play universel (Upnphost). Ce service prend en charge l'hébergement des périphériques Plug-and-Play universels.
Service de publication World Wide Web (W3SVC). Ce service permet connectivité et administration Web par le biais du composant logiciel additionnel IIS.
La fonctionnalité de Windows Vista s'exécutant sur des ordinateurs clients est contrôlée par la ligne de base SSFL dans la mesure où toute fonctionnalité qui ne sont pas nécessaires sont désactivées. Ceci constitue un changement de perspective important par rapport aux stratégies de sécurité précédentes : Plutôt que d'identifier ce dont les utilisateurs ont besoin, puis de désactiver tout le reste, cette approche se concentre sur la désactivation de tous les services et utilitaires qui peuvent, plus particulièrement, menacer le système d'exploitation.

Implémentation des stratégies de sécurité

La solution SSFL décrite dans ce guide utilise la console de gestion des stratégies de groupe (GPMC) et les scripts GPMC. La console GPMC est intégrée au système d'exploitation Windows Vista, ainsi vous n'avez pas à télécharger et à installer la console à chaque fois que vous devez gérer des objets GPO sur un autre ordinateur. Important   Vous devez effectuer toutes les procédures spécifiées dans ce guide sur un ordinateur client exécutant Windows Vista qui est lié à un domaine utilisant le service d'annuaire Active Directory®. De plus, l'utilisateur qui exécute les procédures doit disposer des privilèges d'administrateur de domaine. Si vous utilisez les systèmes d'exploitation Microsoft Windows® XP ou Windows Server® 2003, les paramètres de sécurité propres à Windows Vista ne seront pas visibles dans la GPMC. Pour implémenter la conception de sécurité, il y a trois tâches à effectuer :

  1. créer l'environnement SSFL ;
  2. utiliser la console GPMC pour lier la stratégie de domaine SSLF VSG (GSV SSFL) au domaine :
  3. utiliser la console GPMC pour vérifier vos résultats.
Cette section du chapitre décrit ces tâches et ces procédures ainsi que la fonctionnalité du script GPOAccelerator.wsf, qui crée automatiquement les objets GPO prescrits.

Le script GPOAccelerator.wsf

Le script GPOAccelerator.wsf qui accompagne ce guide créera tous les objets GPO dont vous avez besoin. Vous n'avez plus besoin de passer votre temps à modifier manuellement les paramètres de stratégie ou à appliquer des modèles. Pour établir l'environnement SSFL, le script créé les quatre objets GPO suivants :

Stratégie de domaine SSLF VSG (GSV SSFL) pour le domaine.
Stratégie Utilisateurs SSLF VSG (GSV SSFL) pour les utilisateurs.
Stratégie de domaine SSLF VSG (GSV SSFL) pour le domaine.
Stratégie Portable SSLF VSG (GSV SSFL) pour les ordinateurs portables.
Important   Pour implémenter avec succès le concept de sécurité de ce guide pour l'environnement SSFL, testez-le soigneusement avant de le déployer dans votre environnement de production. Utilisez le script GPOAccelerator.wsf pour :

Tester le concept dans un environnement de laboratoire. Dans votre environnement de test, utilisez le script GPOAccelerator.wsf pour créer une structure d'UO, créez les objets GPO, puis liez automatiquement les objets GPO aux UO. Après avoir effectué la phase de test de l'implémentation, vous pouvez utiliser le script dans votre environnement de production.
Déployer le concept dans un environnement de production. Lorsque vous commencez à implémenter la solution dans votre environnement de production, vous devez d'abord créer une structure d'UO adaptée ou modifier un ensemble d'UO existant. Vous pouvez ensuite utiliser le script GPOAccelerator.wsf pour créer les objets GPO, puis lier les objets GPO nouvellement créés aux UO appropriées dans votre environnement.

Tester le concept dans un environnement de laboratoire

Les objets GPO fournis dans ce guide ont été testés de manière approfondie. Cependant, il est important d'effectuer vos propres tests dans votre propre environnement. Pour gagner du temps, vous pouvez utiliser le script GPOAccelerator.wsf pour créer les objets GPO et la structure d'UO prescrits, puis lier automatiquement les objets GPO aux UO. Le script GPOAccelerator.wsf est situé dans le dossier Windows Vista Security Guide\GPOAccelerator créé par le fichier Microsoft Windows Installer (.msi). Remarque Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme indiqué dans la procédure suivante. Pour créer les objets GPO et les lier aux UO appropriées dans un environnement de laboratoire

  1. Ouvrez une session en tant qu'administrateur de domaine sur un ordinateur exécutant Windows Vista et qui est lié au domaine utilisant Active Directory dans lequel vous créerez les objets GPO.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec l'ensemble des privilèges d'administrateur de domaine.

    Remarque   S'il vous est demandé d'indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.
  5. À l'invite de commande, tapez cscript GPOAccelerator.wsf /SSLF /LAB, puis appuyez sur ENTRÉE.
  6. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Remarque   Cette étape peut prendre plusieurs minutes.
  7. Dans la boîte de message SSLF Lab Environment is created (L'environnement de laboratoire SSFL est créé), cliquez sur OK.
  8. Dans la boîte de message Make sure to link the SSLF Domain GPO to your domain (Assurez-vous de lier l'objet GPO de domaine à votre domaine), cliquez sur OK, puis effectuez la tâche suivante pour lier la stratégie de domaine SSFL VSG (GSV SSFL).

    Remarque   La stratégie de groupe au niveau du domaine comporte des paramètres qui s'appliquent à tous les ordinateurs et à tous les utilisateurs dans le domaine. Il est important de savoir à quel moment lier l'objet GPO de domaine puisque ce dernier s'applique à l'ensemble des utilisateurs et des ordinateurs. C'est pourquoi le script GPOAccelerator.wsf ne lie pas l'objet GPO de domaine au domaine.
Vous êtes maintenant prêt à lier l'objet GPO de domaine au domaine. Les instructions suivantes indiquent comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour lier la stratégie de domaine SSLF VSG (GSV SSFL) au domaine. Pour lier la stratégie de domaine SSLF VSG (GSV SSFL)

  1. Cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Accessoires, Exécuter. (Ou appuyez sur la touche Windows + R.)
  2. Dans la zone de texte Ouvrir, tapez gpmc.msc, puis cliquez sur OK.
  3. Dans l'arborescence des domaines, cliquez avec le bouton droit de la souris sur le domaine, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  4. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO Stratégie de domaine SSLF VSG (GSV SSFL), puis cliquez sur Oui.
  5. Dans le volet d'informations, sélectionnez la Stratégie de domaine SSLF VSG (GSV SSFL) et cliquez sur le bouton Placer le lien en premier.
Important   Assurez-vous que l'Ordre des liens de la Stratégie de domaine SSLF VSG (GSV SSFL) a pour valeur 1. A défaut, ceci entraînera un écrasement des paramètres du Guide de sécurité Vista de Windows par les autres objets GPO liés au domaine comme l'Objet GPO de la stratégie de domaine par défaut. Vous pouvez utiliser la console GPMC pour vérifier les résultats du script. La procédure suivante indique comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour vérifier les objets GPO créés pour vous par le script GPOAccelerator.wsf. Pour vérifier les résultats du script GPOAccelerator.wsf

  1. Cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes, cliquez sur Accessoires, puis cliquez sur Exécuter.
  2. Dans la zone de texte Ouvrir, tapez gpmc.msc, puis cliquez sur OK.
  3. Cliquez sur la forêt appropriée, cliquez sur Domaines, puis cliquez sur votre domaine.
  4. Cliquez et développez Vista Security Guide SSLF Client OU (UO client SSFL du guide de sécurité Vista), puis cliquez sur chacune des cinq unités d'organisation au-dessous pour les ouvrir.
  5. Vérifiez que votre structure d'UO et que les liens de l'objet GPO correspondent à ceux de la figure suivante.

    Figure 5.1 Vue de la console GPMC de la structure d'UO et des liens de l'objet GPO créés par le script GPOAccelerator.wsf

    Figure 5.1 Vue de la console GPMC de la structure d'UO et des liens de l'objet GPO créés par le script GPOAccelerator.wsf
Tous les objets GPO créés par le script GPOAccelerator.wsf sont complétés par les paramètres de ce guide. Vous pouvez maintenant utiliser l'outil Utilisateurs et ordinateurs Active Directory pour tester la solution en déplaçant les utilisateurs et les ordinateurs vers leurs UO respectives. Pour plus de détails sur les paramètres contenus dans chaque objet GPO, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité  ».

Déployer la solution dans un environnement de production

Pour gagner du temps, vous pouvez utiliser le script GPOAccelerator.wsf afin de créer les objets GPO pour l'environnement SSFL. Vous pouvez ensuite lier les objets GPO aux UO appropriées dans votre structure existante. Dans des domaines plus étendus comportant un grand nombre d'UO, vous devrez réfléchir à la manière d'utiliser la structure de votre UO pour déployer les objets GPO. Dans des domaines plus étendus comportant un grand nombre d'UO, vous devrez réfléchir à la manière d'utiliser la structure de votre UO pour déployer les objets GPO. Si possible, vous devez maintenir séparées les UO ordinateurs et les UO utilisateurs. Les ordinateurs portables et les ordinateurs de bureau doivent également être organisés dans leurs UO respectives. Si une telle structure est impossible à mettre en place dans votre environnement, vous devrez peut-être modifier les objets GPO. Vous pouvez utiliser la référence des paramètres dans l'annexe A, « Paramètres de stratégie de groupe de sécurité », pour vous aider à déterminer quelles seraient les modifications nécessaires. Remarque   Comme indiqué dans la section précédente, vous pouvez utiliser le script GPOAccelerator.wsf avec
l'option /LAB dans un environnement de test pour créer la structure d'UO prise en exemple. Cependant, les environnements qui ont une structure d'UO flexible peuvent aussi utiliser l'option dans un environnement de production pour créer une structure d'UO de base et lier automatiquement les objets GPO. Vous pouvez alors modifier manuellement la structure d'UO pour répondre aux besoins de votre environnement. Vous créez les objets GPO SSFL décrits dans ce guide à l'aide du script GPOAccelerator.wsf Le script GPOAccelerator.wsf est situé dans le dossier Windows Vista Security Guide\GPOAccelerator Tool que le fichier Microsoft Windows Installer (.msi) crée. Remarque   Vous pouvez aussi tout simplement copier le répertoire GPOAccelerator Tool d'un ordinateur dans lequel le répertoire est installé vers un autre ordinateur sur lequel souhaitez exécuter le script. Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme décrit dans la procédure suivante. Pour créer les objets GPO dans un environnement de production

  1. Ouvrez une session en tant qu'administrateur de domaine sur un ordinateur exécutant Windows Vista et qui est ajouté, à l'aide d'Active Directory, au domaine dans lequel vous créerez les objets GPO.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit de la souris sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec des privilèges d'administrateur de domaine complets.

    Remarque   S'il vous est demandé d'indiquer vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.
  5. Basculez sur le dossier GPOAccelerator Tool\Security Group Policy Objects.
  6. À l'invite de commande, tapez cscript GPOAccelerator.wsf /SSLF, puis appuyez sur ENTRÉE.
  7. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Remarque   Cette étape peut prendre plusieurs minutes.
  8. Dans la boîte de message The SSLF GPOs are created (Les objets GPO SSFL sont créés), cliquez sur OK.
  9. Dans la boîte de message Make sure to link the SSLF GPOs to the appropriate OUs (Assurez-vous de lier les objets GPO SSFL aux UO appropriées), cliquez sur OK.
Vous pouvez utiliser la console GPMC pour vous assurer que le script a bien créé tous les objets GPO. La procédure suivante indique comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour vérifier les objets GPO que le script GPOAccelerator.wsf a créés pour vous. Pour vérifier les résultats du script GPOAccelerator.wsf

  1. Cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes, cliquez sur Accessoires, puis cliquez sur Exécuter.
  2. Dans la zone de texte Ouvrir, entrez gpmc.msc, puis cliquez sur OK.
  3. Cliquez sur la forêt appropriée, cliquez sur Domaines, puis cliquez sur votre domaine.
  4. Cliquez sur Objets de stratégie de groupe et développez-les, puis vérifiez que les quatre objets GPO GSV SSFL correspondent aux éléments de la figure suivante.

    Figure 5.2 Vue de la console GPMC de la structure d'UO et des liens de l'objet GPOs créés par le script GPOAccelerator.wsf

    Figure 5.2 Vue de la console GPMC des objets GPO SSFL que le script GPOAccelerator.wsf crée
Désormais, vous pouvez utiliser la console GPMC pour lier chaque objet GPO à l'UO appropriée. La tâche finale de ce processus indique comment faire. La procédure suivante indique comment utiliser la console GPMC sur un ordinateur client qui exécute Windows Vista pour réaliser cette tâche. Pour lier les objets GPO dans un environnement de production

  1. Cliquez sur le bouton Démarrer de Windows Vista, cliquez sur Tous les programmes, cliquez sur Accessoires, puis cliquez sur Exécuter.
  2. Dans la zone de texte Ouvrir, tapez gpmc.msc, puis cliquez sur OK.
  3. Dans l'arborescence des domaines, cliquez sur le domaine avec le bouton droit, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  4. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO Stratégie de domaine SSLF VSG (GSV SSFL), puis cliquez sur Oui.
  5. Dans le volet d'informations, sélectionnez la Stratégie de domaine SSLF VSG (GSV SSFL) et cliquez sur le bouton Placer le lien en premier.

    Important   Assurez-vous que l'Ordre des liens de la Stratégie de domaine SSLF VSG (GSV SSFL) a pour valeur 1. A défaut, ceci entraînera un écrasement des paramètres du Guide de sécurité Vista de Windows par les autres objets GPO liés au domaine comme l'Objet GPO de la stratégie de domaine par défaut.
  6. Cliquez avec le bouton droit sur le nœud UO Utilisateurs Windows Vista, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  7. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO Stratégie de domaine SSLF VSG (GSV SSFL), puis cliquez sur Oui.
  8. Cliquez avec le bouton droit sur le nœud UO Utilisateurs Windows Vista, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  9. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO Stratégie de domaine SSLF VSG, puis cliquez sur Oui.
  10. Cliquez avec le bouton droit sur le nœud UO Utilisateurs Windows Vista, puis cliquez sur Link an existing GPO (Lier un objet GPO existant).
  11. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet GPO Stratégie Portable SSLF VSG (GSV SSFL), puis cliquez sur OK.
  12. Recommencez ces opérations pour toute UO ordinateur ou utilisateur supplémentaire que vous avez créée pour lier ces UO supplémentaires aux objets GPO appropriés.
Remarque   Vous pouvez également faire glisser un objet GPO du nœud Objets de stratégie de groupe vers une UO. Cependant, vous ne pouvez réaliser cette opération de glisser-déplacer qu'au sein du même domaine. Pour confirmer les liens d'objets GPO à l'aide de la console GPMC

Développez le nœud Objets de stratégie de groupe, sélectionnez l'objet GPO, puis dans le volet d'informations, cliquez sur l'onglet Étendue et entrez les informations dans les colonnes Lien activé et Chemin d'accès.
– ou –

Sélectionnez l'unité d'organisation, puis dans le volet d'informations, cliquez sur l'onglet Objets de stratégie de groupe liés et entrez les informations dans les colonnes Lien activé et Objet GPO.
Remarque   Vous pouvez utiliser la console GPMC pour supprimer la liaison entre les objets GPO et éventuellement supprimer les objets eux-mêmes. Utilisez ensuite la console GPMC ou la console Utilisateurs et Ordinateurs Active Directory pour supprimer toute UO dont vous n'avez plus besoin. Pour annuler toutes les modifications Active Directory faites par le script GPOAccelerator.wsf, vous devez supprimer manuellement le fichier SSLF-VSGAuditPolicy.cmd, le fichier SSLF-ApplyAuditPolicy.cmd et le fichier SSLF-AuditPolicy.txt du partage Accès réseau de l'un de vos contrôleurs de domaine. Pour plus de détails sur ces fichiers, reportez-vous à la section « Stratégie d'audit » dans l'Annexe A, « Paramètres de stratégie de groupe de sécurité ». Tous les objets GPO créés par le script GPOAccelerator.wsf sont complétés par les paramètres que ce guide prescrit. Désormais, vous pouvez utiliser l'outil Utilisateurs et ordinateurs Active Directory pour tester la solution en déplaçant les utilisateurs et les ordinateurs vers leurs UO respectives. Pour plus de détails sur les paramètres contenus dans chaque objet GPO, reportez-vous à l'Annexe A, « Paramètres de stratégie de groupe de sécurité  ».

Migration des objets GPO vers un domaine différent (facultatif)

Si vous avez modifié les objets GPO dans cette solution ou si vous avez créé vos propres objets GPO et que vous souhaitez les utiliser dans plus d'un domaine, vous devrez faire migrer les objets GPO. La migration d'un objet GPO qui fonctionne dans un domaine vers un autre domaine requiert une certaine organisation, mais la procédure de base est plutôt simple. Deux aspects importants au niveau des objets GPO doivent être pris en compte lors du processus de planification :

Données complexes. Les données qui composent un objet GPO sont complexes et elles sont stockées à divers emplacements. L'utilisation de la console GPMC pour faire migrer un objet GPO permet de s'assurer que toutes les données pertinentes ont correctement migré.
Données spécifiques à un domaine. Certaines données dans l'objet GPO peuvent être spécifiques au domaine et ne pas être valides si vous les copiez directement vers un autre domaine. Pour résoudre ce problème, la console GPMC utilise des tables de migration qui vous permettent de mettre à jour les valeurs des données spécifiques à un domaine dans un objet GPO, dans le cadre du processus de migration. Vous ne devez effectuer cette opération que si l'objet GPO contient un identifiant de sécurité (SID) ou des chemins de convention d'affectation des noms (UNC) spécifiques à un domaine.
Des informations supplémentaires sur la migration des objets GPO sont disponibles dans l'Aide de la console GPMC. Le livre blanc relatif à la migration inter-domaines des objets GPO à l'aide de la console GPMC (Migrating GPOs Across Domains with GPMC, disponible en anglais) donne des informations supplémentaires sur la migration d'objets GPO entre domaines.

L'outil GPOAccelerator Tool

Les outils et les modèles qui accompagnent ce guide comprennent des scripts et des Modèles de sécurité. Cette section fournit des informations générales sur ces ressources. GPOAccelerator.wsf est l'outil essentiel exécutant le script de base de ces instructions de sécurité, et se situe dans le dossier Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Cette section contient des informations sur la manière de modifier la console GPMC pour visualiser les paramètres d'objet GPO, la structure de sous-répertoires ainsi que les types de fichiers qui accompagnent ce guide. Le fichier Windows Vista Security Guide Settings.xls qui accompagne ce guide constitue une autre ressource que vous pouvez utiliser pour comparer les valeurs des paramètres.

GPMC et extensions ECS

La solution présentée dans ce guide utilise des paramètres d'objets GPO qui ne s'affichent pas dans l'interface utilisateur (IU) standard de la console GPMC dans Windows Vista ou de l'outil Éditeur de configuration de sécurité (ECS). Ces paramètres, qui comportent tous le préfixe MSS:, ont été développés par le groupe Microsoft Solutions for Security pour des instructions de sécurité antérieures. Important   Les extensions ECS et le script GPOAccelerator.wsf sont conçus pour être exécutés à partir d'un ordinateur Windows Vista. Ces outils ne fonctionneront pas correctement si vous essayez de les exécuter à partir d'un ordinateur qui utilise Windows XP ou Windows Server 2003. C'est pourquoi vous devez étendre ces outils afin de pouvoir visualiser les paramètres de sécurité et les modifier selon vos besoins. Pour ce faire, le script GPOAccelerator.wsf met à jour votre ordinateur automatiquement tandis qu'il crée les objets GPO. Si vous souhaitez gérer les objets GPO du Guide de sécurité Vista de Windows à partir d'un autre ordinateur exécutant Windows Vista, utilisez la procédure suivante pour mettre à jour les ECS sur cet ordinateur. Pour modifier les ECS afin d'afficher les paramètres MSS

  1. Assurez-vous de remplir les conditions suivantes :

    		 L'ordinateur que vous utilisez est lié au domaine à l'aide d'Active Directory là où les objets GPO ont été créés.
    		Le répertoire GPOAccelerator Tool du Guide de sécurité Vista de Windows est installé.
    Remarque   Vous pouvez aussi tout simplement copier le répertoire GPOAccelerator Tool d'un ordinateur dans lequel le répertoire est installé vers un autre ordinateur sur lequel vous souhaitez exécuter le script. Le dossier GPOAccelerator Tool et ses sous-dossiers doivent être présents sur l'ordinateur local pour que le script s'exécute comme décrit dans cette procédure.
  2. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
  3. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  4. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  5. Cliquez avec le bouton droit sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec l'ensemble des privilèges d'administrateur.

    Remarque   Si vous êtes invité à donner vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur, votre mot de passe, puis appuyez sur ENTRÉE.
  6. À l'invite de commande, tapez cscript GPOAccelerator.wsf /Enterprise, puis appuyez sur ENTRÉE.
  7. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.
  8. Dans la boîte de message The Security Configuration Editor is updated (L'éditeur de configuration de sécurité est mis à jour), cliquez sur OK.
Important   Ce script modifie uniquement les ECS pour afficher les paramètres MSS ; il ne crée pas d'objets GPO ou d'UO. La procédure suivante supprime les paramètres de sécurité MSS supplémentaires, puis elle rétablit les paramètres par défaut de l'outil ECS dans Windows Vista. Pour rétablir les paramètres par défaut de l'outil ECS dans Windows Vista

  1. Ouvrez une session sur l'ordinateur en tant qu'administrateur.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec l'ensemble des privilèges d'administrateur.

    Remarque   Si vous êtes invité à donner vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.
  5. À l'invite de commande, tapez cscript GPOAccelerator.wsf /ResetSCE, puis appuyez sur ENTRÉE.
  6. Dans la boîte de message Click Yes to continue,or No to exit the script (Cliquer sur Oui pour continuer ou sur Non pour quitter le script), cliquez sur Oui.

    Remarque   Le fait de suivre cette procédure Windows Vista restaure les paramètres de l'Éditeur de configuration de sécurité sur votre ordinateur aux valeurs par défaut dans Windows Vista Tout paramètre ajouté à l'Éditeur de configuration de sécurité par défaut sera supprimé. Ceci affectera seulement la capacité à visualiser les paramètres avec l'Éditeur de configuration de sécurité. Les paramètres de stratégie de groupe configurs demeurent en place.
  7. Dans la boîte de message The Security Configuration Editor is updated (L'éditeur de configuration de sécurité est mis à jour), cliquez sur OK.

Paramètres de sécurité précédents

Des modèles de sécurité sont fournis de sorte que, si vous souhaitez construire vos propres stratégies au lieu d'utiliser ou de modifier les stratégies proposées dans ce guide, vous pouvez importer les paramètres de sécurité correspondants. Les modèles de sécurité sont des fichiers texte qui contiennent des valeurs de paramètres de sécurité. Ce sont des sous-composants des objets GPO. Vous pouvez modifier les paramètres de stratégie contenus dans les modèles de sécurité dans le composant logiciel additionnel Éditeur d'objets de stratégie de groupe de la console MMC. Contrairement aux versions antérieures du système d'exploitation Windows, les modèles de sécurité de Windows Vista ne sont pas prédéfinis, bien que vous puissiez toujours utiliser les modèles de sécurité existants selon vos besoins. Les modèles de sécurité sont inclus dans le fichier Windows Installer (.msi) qui accompagne ce guide. Les modèles suivants pour l'environnement CE sont situés dans le dossier GPOAccelerator Tool\Security Templates :

VSG SSLF Desktop.inf
VSG SSLF Domain.inf
VSG SSLF Laptop.inf
Important   Vous n'avez pas besoin d'utiliser les modèles de sécurité pour déployer la solution décrite dans ce guide. Les modèles offrent une alternative à la solution basée sur la console GPMC et ne couvrent que les paramètres de sécurité de l'ordinateur qui apparaissent sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité. Par exemple, vous ne pouvez pas gérer les paramètres Internet Explorer ou ceux du Pare-feu Windows dans les objets GPO à l'aide d'un modèle de sécurité, et les paramètres utilisateur ne sont pas inclus.

Utilisation des modèles de sécurité

Si vous souhaitez utiliser les modèles de sécurité vous devez d'abord étendre les ECS de sorte que les paramètres de sécurité MSS personnalisés s'affichent dans l'IU. Pour plus de détails, reportez-vous à la procédure « GPMC et extensions ECS  » dans la section précédente de ce chapitre. Dès que vous pouvez visualiser les modèles, vous pouvez utiliser la procédure suivante pour les importer dans les objets GPO que vous avez créés en fonction de vos besoins. Pour importer un modèle de sécurité dans un objet GPO

  1. Ouvrez l'Éditeur d'objets de stratégie de groupe pour l'objet GPO que vous souhaitez modifier ; pour effectuer cette opération dans la console GPMC, cliquez avec le bouton droit sur l'objet GPO, puis cliquez sur Modifier.
  2. Dans l'Éditeur d'objets de stratégie de groupe, recherchez rapidement le dossier Paramètres Windows.
  3. Développez le dossier Paramètres Windows, puis sélectionnez Paramètres de sécurité.
  4. Cliquez avec le bouton droit sur le dossier Paramètres de sécurité, puis cliquez sur Importer la stratégie.
  5. Sélectionnez le dossier Modèles de sécurité dans le dossier Guide de sécurité Windows Vista.
  6. Sélectionnez le modèle de sécurité que vous souhaitez importer, puis cliquez sur Ouvrir.

    La dernière étape de cette procédure permet d'importer les paramètres du fichier dans l'objet GPO.
Vous pouvez également utiliser les modèles de sécurité fournis avec ce guide pour modifier la stratégie de sécurité locale sur des ordinateurs clients autonomes qui exécutent Windows Vista. Le script GPOAccelerator.wsf simplifie le processus pour appliquer les modèles. Pour appliquer les modèles de sécurité afin de créer une stratégie de groupe locale sur un ordinateur client autonome qui exécute Windows Vista

  1. Ouvrez une session en tant qu'administrateur sur un ordinateur qui exécute Windows Vista.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Guide de sécurité Windows Vista.
  3. Ouvrez le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. Cliquez avec le bouton droit sur le fichier Command-line Here.cmd, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commande avec l'ensemble des privilèges d’administrateur.

    Remarque   Si vous êtes invité à donner vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.
  5. À l'invite de commande, tapez cscript GPOAccelerator.wsf /SSLF /Desktop ou cscript GPOAccelerator.wsf /SSLF /Laptop puis appuyez sur ENTRÉE.

    Cette procédure modifie les paramètres de stratégie de sécurité locale à l'aide des valeurs du modèle de sécurité pour l'environnement CE.
Pour restaurer les paramètres par défaut de la stratégie de groupe locale dans Windows Vista

  1. Ouvrez une session en tant qu'administrateur sur un ordinateur qui exécute Windows Vista.
  2. Sur le Bureau, cliquez sur le bouton Démarrer de Windows Vista, puis sélectionnez Tous les programmes, Accessoires. Cliquez ensuite avec le bouton droit sur Invite de Commande, puis cliquez sur Exécuter en tant qu'administrateur.

    Remarque   Si vous êtes invité à donner vos informations d’identification d’ouverture de session, entrez votre nom d'utilisateur et votre mot de passe, puis appuyez sur ENTRÉE.
  3. Basculez sur le dossier GPOAccelerator Tool\Security Group Policy Objects.
  4. À l'invite de commande, tapez cscript GPOAccelerator.wsf /Restore puis appuyez sur ENTRÉE.

    Suivre cette procédure restaure les paramètres par défaut de stratégie de sécurité locale dans Windows Vista.

Plus d'informations

Les liens suivants fournissent des informations supplémentaires sur les questions de sécurité dans Windows Vista.

Gestion de la stratégie de groupe avec la console GPMC sur Microsoft.com (cette page peut être en anglais).
Gestion d'entreprise avec la console de gestion des stratégies de groupe sur Microsoft.com (cette page peut être en anglais).
Migration inter-domaines des objets GPO à l'aide de la console GPMC sur Microsoft.com (cette page peut-être en anglais).
Guide pas à pas de l'ensemble des fonctionnalités de stratégie de groupe sur Microsoft TechNet®.
Guide pas à pas pour utiliser l'Assistant Délégation de contrôle sur TechNet.
Résumé des paramètres de stratégie de groupe, nouveaux ou étendus, sur TechNet.
Aide et support Windows Vista sur Microsoft.com (cette page peut être en anglais).
Le livre blanc Améliorations de la sécurité de Windows Vista et la vidéo à la demande relative à ces informations sur Microsoft.com (cette page peut être en anglais).

Dans cet article