Administrer les paramètres de stratégie de sécurité
S'applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Cette rubrique destinée aux professionnels de l'informatique décrit différentes méthodes pour administrer les paramètres de stratégie de sécurité sur l'ordinateur local ou dans une organisation informatique de petites ou moyennes à l'aide deWindows Server 2012etWindows 8.
Introduction
Les paramètres de stratégie de sécurité doivent servir dans le cadre de votre implémentation de la sécurité globale à l'aide des contrôleurs de domaine sécurisé, les serveurs, les ordinateurs clients et les autres ressources dans votre organisation.
Stratégies de paramètres de sécurité sont des règles que vous pouvez configurer sur un ordinateur ou plusieurs ordinateurs, afin de protéger les ressources sur un ordinateur ou un réseau. L'extension des paramètres de sécurité du composant logiciel enfichable Éditeur de stratégie de groupe locale (Gpedit.msc) vous permet de définir des configurations de sécurité dans le cadre d'un objet de stratégie de groupe (GPO). Les objets de stratégie de groupe sont liés à des conteneurs Active Directory tels que des sites, des domaines et des unités d'organisation, et ils permettent aux administrateurs de gérer les paramètres de sécurité pour plusieurs ordinateurs à partir de n'importe quel ordinateur joint au domaine.
Les paramètres de sécurité permettent de contrôler :
l’authentification utilisateur sur un réseau ou un ordinateur,
les ressources auxquelles l’utilisateur peut accéder,
si les actions d’un utilisateur ou d’un groupe doivent être consignées dans le journal des événements,
l’appartenance à un groupe.
Pour plus d'informations sur chaque paramètre, y compris les descriptions, les paramètres par défaut et la gestion et les considérations de sécurité, consultez leréférence des paramètres de stratégie de sécuritédans du Microsoft Download Center.
Pour plus d'informations sur le fonctionnement de la sécurité paramètres enfichables, consultez lePrésentation technique de paramètres de stratégie sécurité.
Pour gérer les configurations de sécurité pour plusieurs ordinateurs, vous pouvez utiliser une des options suivantes :
Modifier les paramètres de sécurité spécifiques dans un objet de stratégie de groupe.
Permet de créer un modèle de sécurité qui contient les stratégies de sécurité que vous souhaitez appliquer le composant logiciel enfichable modèles de sécurité, puis importez le modèle de sécurité dans un objet de stratégie de groupe. Un modèle de sécurité est un fichier qui représente une configuration de sécurité, et il peut être importé vers un objet de stratégie de groupe ou appliqué à un ordinateur local, ou il peut être utilisé pour analyser la sécurité.
Nouveautés de la façon dont les paramètres sont administrés ?
Au fil du temps, nouvelles façons de gérer les paramètres de sécurité ont été introduites, incluant les nouvelles fonctionnalités du système d'exploitation et l'ajout de nouveaux paramètres. Le tableau suivant répertorie les différents moyens par lequel la sécurité des paramètres de stratégie peuvent être administrés.
Outil ou fonctionnalité |
Description et utilisation |
|---|---|
À l'aide du composant logiciel enfichable Stratégie de sécurité locale |
Secpol.msc Le composant logiciel enfichable MMC conçu pour gérer uniquement les paramètres de stratégie de sécurité. |
À l'aide de l'outil de ligne de commande Secedit |
Secedit.exe Configure et analyse la sécurité du système en comparant la configuration actuelle aux modèles de sécurité spécifié. |
À l'aide de Security Compliance Manager |
Télécharger l'outil Un accélérateur de Solution qui vous aide à planifier, déployer, exploiter et gérer vos bases de sécurité pour le client Windows et les systèmes d'exploitation serveur et les applications Microsoft. |
À l'aide de l'Assistant de Configuration de sécurité |
SCW.exe L'Assistant est un outil basé sur les rôles disponible sur les serveurs uniquement : Vous pouvez l'utiliser pour créer une stratégie qui active des services, les règles de pare-feu et les paramètres requis pour un serveur sélectionné à des rôles spécifiques. |
Utilisation du Gestionnaire de Configuration de sécurité |
Cet ensemble d'outils vous permet de créer, appliquer et modifier la sécurité de votre ordinateur local, une unité d'organisation ou un domaine. |
Utilisation des outils de stratégie de groupe |
GPMC.msc et Gpedit.msc La Console de gestion de stratégie de groupe utilise l'éditeur d'objets de stratégie de groupe pour exposer les options de sécurité locales, qui peuvent ensuite être intégrées dans les objets de stratégie de groupe pour la distribution de l'ensemble du domaine. L'éditeur de stratégie de groupe locale exécute des fonctions similaires sur l'ordinateur local. |
Stratégies de restriction logicielle ConsultezAdministrer les stratégies de Restriction logicielledans la bibliothèque TechNet. |
Gpedit.msc Stratégies de Restriction logicielle (SRP) est une fonctionnalité de stratégie de groupe qui identifie les programmes logiciels s'exécutant sur des ordinateurs dans un domaine et qu'il contrôle la capacité de ces programmes à exécuter. |
AppLocker ConsultezAdministrer AppLockerdans la bibliothèque TechNet. |
Gpedit.msc Empêche les logiciels malveillants (malware) et des applications non prises en charge d'affecter les ordinateurs dans votre environnement, et il empêche les utilisateurs de votre organisation à partir de l'installation et l'utilisation d'applications non autorisées. |
À l'aide du composant logiciel enfichable Stratégie de sécurité locale
Le composant logiciel enfichable Stratégie de sécurité locale (Secpol.msc) restreint l'affichage des objets de stratégie locale pour les fonctionnalités et les stratégies suivantes :
Stratégies de compte
Stratégies locales
Pare-feu Windows avec fonctions avancées de sécurité
Stratégies du gestionnaire de listes de réseaux
Stratégies de clé publique
Stratégies de restriction logicielle
Stratégies de contrôle de l’application
Stratégies de sécurité IP sur ordinateur Local
Configuration avancée de la stratégie d’audit
Les stratégies définies localement peuvent être remplacées si l'ordinateur est joint au domaine.
Le composant logiciel enfichable Stratégie de sécurité locale fait partie de l'ensemble d'outils Gestionnaire de Configuration de sécurité. Pour plus d'informations sur les autres outils dans cet ensemble d'outils, consultezUtilisation du Gestionnaire de Configuration de sécuritédans cette rubrique.
À l'aide de l'outil de ligne de commande Secedit
L'outil de ligne de commande Secedit fonctionne avec les modèles de sécurité et fournit les six fonctions principales :
LeConfigureparamètre vous permet de résoudre les différences de sécurité entre les serveurs en appliquant le modèle de sécurité approprié au serveur disséminé.
LeAnalyzeparamètre compare la configuration de la sécurité du serveur avec le modèle sélectionné.
LeImportparamètre vous permet de créer une base de données à partir d'un modèle existant. L'outil de Configuration de la sécurité et l'analyse effectue cette opération également.
LeExportparamètre vous permet d'exporter les paramètres à partir d'une base de données dans un modèle de paramètres de sécurité.
LeValidateparamètre vous permet de valider la syntaxe de chaque ou de plusieurs lignes de texte que vous avez créé ou ajouté à un modèle de sécurité. Cela garantit que si le modèle ne peut pas appliquer de syntaxe, le modèle sera pas le problème.
LeGenerate Rollbackparamètre enregistre les paramètres de sécurité actuels du serveur dans un modèle de sécurité afin qu'il puisse être utilisé pour restaurer la plupart des paramètres de sécurité du serveur à un état connu. Les exceptions sont qui, lorsque appliqué, le modèle de restauration ne changera pas entrées sur des fichiers ou des entrées de Registre qui ont été modifiées par le plus récemment appliqué le modèle.
Pour plus d'informations sur l'outil Secedit.exe, consultezSecedit [LH].
À l'aide de Security Compliance Manager
Security Compliance Manager est un outil téléchargeable qui vous aide à planifier, déployer, exploiter et gérer vos bases de sécurité pour les systèmes d'exploitation client et serveur Windows et pour les applications Microsoft. Il contient une base de données complète des paramètres de sécurité recommandés, méthodes pour personnaliser vos configurations de référence et la possibilité d'implémenter ces paramètres dans plusieurs formats, notamment XLS, stratégie de groupe, les packs de gestion de Configuration souhaitée (DCM) ou Security Content Automation Protocol (SCAP). Security Compliance Manager est utilisé pour exporter les lignes de base à votre environnement pour automatiser le processus de vérification sécurité base déploiement et la conformité.
Administrer les stratégies de sécurité à l'aide de Security Compliance Manager
Télécharger la version la plus récente de laSecurity Compliance Managerdans du Microsoft Download Center.
Lisez la documentation de planification appropriées est incluse dans cet outil.
Téléchargez et importez les lignes de base de sécurité appropriées. Le processus d'installation vous guide tout au long de la sélection de ligne de base.
Ouvrir l'aide et suivez les instructions comment personnaliser, de comparer ou de fusionner vos bases de sécurité avant de déployer ces lignes de base.
À l'aide de l'Assistant de Configuration de sécurité
L’Assistant Configuration de la sécurité (SCW, Security Configuration Wizard) vous guide à travers les étapes de création, de modification, d’application et d’annulation d’une stratégie de sécurité. Une stratégie de sécurité que vous créez avec l'Assistant est un fichier .xml qui, lorsqu'il est appliqué, configure des services, la sécurité du réseau, les valeurs de Registre spécifiques et audit stratégie. L'Assistant est un outil basé sur les rôles : Vous pouvez l'utiliser pour créer une stratégie qui active des services, les règles de pare-feu et les paramètres requis pour un serveur sélectionné à des rôles spécifiques. Par exemple, un serveur peut être un serveur de fichiers, un serveur d'impression ou un contrôleur de domaine.
Voici quelques éléments à prendre en compte pour utiliser l’Assistant Configuration de la sécurité :
L'Assistant désactive les services inutiles et fournit le pare-feu Windows avec prise en charge des fonctions avancées de sécurité.
Les stratégies de sécurité créées à l’aide de l’Assistant se distinguent des modèles de sécurité, qui sont des fichiers portant l’extension .inf. Les modèles de sécurité contiennent des paramètres de sécurité supplémentaires par rapport à ceux qui peuvent être définis à l’aide de l’Assistant. Toutefois, il est possible d’inclure un modèle de sécurité dans un fichier de stratégie de sécurité de l’Assistant.
Vous pouvez déployer des stratégies de sécurité que vous créez avec l'Assistant en utilisant une stratégie de groupe.
L'Assistant ne pas installer ou désinstaller les fonctionnalités nécessaires au serveur pour un rôle. Vous pouvez installer des fonctionnalités spécifiques au rôle via le Gestionnaire de serveur.
L’Assistant détecte les dépendances de rôle. Si vous sélectionnez un rôle, il sélectionne automatiquement les rôles dépendants.
Toutes les applications qui utilisent le protocole IP et les ports doivent être en cours d'exécution sur le serveur lorsque vous exécutez l'Assistant.
Dans certains cas, vous devez être connecté à Internet pour utiliser les liens de l'aide de l'Assistant.
Notes
Le SCW est disponible uniquement sur Windows Server et applicable uniquement aux installations de serveur.
Le SCW est accessible via le Gestionnaire de serveur ou en exécutant Scw.exe. L'Assistant vous guide tout au long de configuration de sécurité de serveur :
Créer une stratégie de sécurité qui peut être appliquée à n'importe quel serveur sur votre réseau.
Modifier une stratégie de sécurité existante.
Appliquer une stratégie de sécurité existante.
Restaurer la dernière stratégie de sécurité appliquée.
L'Assistant Stratégie de sécurité configure les services et la sécurité de réseau basée sur le rôle du serveur, ainsi que des configure les paramètres d'audit et du Registre.
Pour plus d'informations sur l'Assistant, y compris les procédures, consultez leAssistant Configuration de sécurité.
Utilisation du Gestionnaire de Configuration de sécurité
Le jeu d'outils Security Configuration Manager permet de créer, appliquer et modifier la sécurité de votre ordinateur local, une unité d'organisation ou un domaine.
Pour les procédures à suivre utiliser le Gestionnaire de Configuration de sécurité, consultezSecurity Configuration Manager.
Le tableau suivant répertorie les fonctionnalités du Gestionnaire de Configuration de sécurité.
Outils du Gestionnaire de Configuration de sécurité |
Description |
|---|---|
Analyse et Configuration de la sécurité |
Définit une stratégie de sécurité dans un modèle. Ces modèles peuvent être appliqués à la stratégie de groupe ou sur votre ordinateur local. |
Modèles de sécurité |
Définit une stratégie de sécurité dans un modèle. Ces modèles peuvent être appliqués à la stratégie de groupe ou sur votre ordinateur local. |
Paramètres de sécurité de stratégie de groupe |
Modifie les paramètres de sécurité individuels sur un domaine, un site ou une unité d'organisation. |
Stratégie de sécurité locale |
Modifie les paramètres de sécurité individuels sur votre ordinateur local. |
Automatise les tâches de configuration de sécurité à l'invite de commande. |
Analyse et Configuration de la sécurité
Configuration de la sécurité et d'analyse est un composant logiciel enfichable MMC pour l'analyse et la configuration de la sécurité du système local.
Analyse de la sécurité
L'état du système d'exploitation et des applications sur un ordinateur est dynamique. Par exemple, vous devrez peut-être modifier temporairement les niveaux de sécurité afin que vous pouvez résoudre immédiatement un problème de réseau ou de l'administration. Toutefois, cette modification peut être irrévocables. Cela signifie qu'un ordinateur peut ne plus remplir les conditions requises pour la sécurité d'entreprise.
Analyse régulière permet à un administrateur de suivre et de garantir un niveau de sécurité sur chaque ordinateur dans le cadre d'un programme de gestion des risques enterprise. Un administrateur peut paramétrer les niveaux de sécurité et, surtout, détecter les failles de sécurité qui peuvent se produire dans le système au fil du temps.
Configuration de la sécurité et l'analyse vous permet de vérifier rapidement les résultats de l'analyse. Il présente des recommandations, ainsi que des paramètres système actuels et utilise des indicateurs visuels pour mettre en évidence les zones où les paramètres actuels ne correspondent pas au niveau de sécurité proposé. Configuration de la sécurité et l'analyse offre également la possibilité de résoudre les incohérences révélées par l'analyse.
Configuration de la sécurité
Configuration de la sécurité et l'analyse peuvent également servir à configurer directement la sécurité du système local. Grâce à l'utilisation de bases de données personnelles, vous pouvez importer des modèles de sécurité qui ont été créés avec des modèles de sécurité et appliquent ces modèles à l'ordinateur local. Cela configure immédiatement la sécurité du système avec les niveaux spécifiés dans le modèle.
Modèles de sécurité
Avec le composant logiciel enfichable modèles de sécurité pour Microsoft Management Console, vous pouvez créer une stratégie de sécurité pour votre ordinateur ou votre réseau. Il est un point d'entrée unique où la gamme complète de la sécurité du système peut être prise en compte. Le composant logiciel enfichable modèles de sécurité n'apporte pas de nouveaux paramètres de sécurité, il permet simplement d'organiser tous les attributs de sécurité existants dans un seul endroit afin de faciliter l'administration de la sécurité.
Importation d'un modèle de sécurité à un objet de stratégie de groupe facilite l'administration de domaine en configurant la sécurité pour un domaine ou une unité d'organisation à la fois.
Pour appliquer un modèle de sécurité sur votre ordinateur local, vous pouvez utiliser la Configuration de la sécurité et analyse ou l'outil de ligne de commande Secedit.
Modèles de sécurité peuvent être utilisés pour définir :
Stratégies de compte
stratégie de mot de passe
Stratégie de verrouillage de compte
Stratégie Kerberos
Stratégies locales
Stratégie d’audit
Attribution des droits utilisateur
Options de sécurité
Journal des événements : Paramètres du journal des événements application, système et sécurité
Groupes restreints : Appartenance aux groupes de sécurité sensibles
Services système : Démarrage et autorisations pour les services système
Registre : Autorisations pour les clés de Registre
Système de fichiers : Autorisations pour les fichiers et dossiers
Chaque modèle est enregistré dans un fichier texte .inf. Cela vous permet de copier, coller, importer ou exporter tout ou partie des attributs du modèle. À l'exception de sécurité du protocole Internet et les stratégies de clé publique, tous les attributs de sécurité peuvent être contenus dans un modèle de sécurité.
Paramètres de sécurité de stratégie de groupe
Sites, domaines et unités d'organisation sont liés aux objets de stratégie de groupe. L'outil de paramètres de sécurité permet de que modifier la configuration de sécurité de l'objet de stratégie de groupe, à son tour, être appliqué à plusieurs ordinateurs. Paramètres de sécurité, vous pouvez modifier les paramètres de sécurité de plusieurs ordinateurs, en fonction de l'objet de stratégie de groupe modifié, à partir d'un ordinateur joint à un domaine.
Paramètres de sécurité ou les stratégies de sécurité sont des règles qui sont configurées sur un ou plusieurs ordinateurs pour protéger les ressources sur un ordinateur ou un réseau. Les paramètres de sécurité permettent de contrôler :
Comment les utilisateurs sont authentifiés à un ordinateur ou un réseau.
Les ressources auxquelles les utilisateurs sont autorisés à utiliser.
Si un utilisateur ou un de groupe actions sont enregistrées dans le journal des événements.
Appartenance au groupe.
Vous pouvez modifier la configuration de sécurité sur plusieurs ordinateurs de deux manières :
Créer une stratégie de sécurité à l'aide d'un modèle de sécurité avec les modèles de sécurité, puis importez le modèle dans les paramètres de sécurité à un objet de stratégie de groupe.
Modifier des paramètres avec les paramètres de sécurité.
Stratégie de sécurité locale
Une stratégie de sécurité est une combinaison de paramètres de sécurité qui affectent la sécurité sur un ordinateur. Vous pouvez utiliser votre stratégie de sécurité locale pour modifier les stratégies de compte et stratégies locales sur votre ordinateur local.
Avec la stratégie de sécurité locale, vous pouvez contrôler :
Qui accède à votre ordinateur.
Les ressources auxquelles les utilisateurs sont autorisés à utiliser sur votre ordinateur.
Si un utilisateur ou un de groupe actions sont enregistrées dans le journal des événements.
Si votre ordinateur local est joint à un domaine, vous êtes soumis à l'obtention d'une stratégie de sécurité à partir de la stratégie du domaine ou de la stratégie de toute unité d'organisation que vous êtes membre. Si vous obtenez une stratégie à partir de plusieurs sources, les conflits sont résolus dans l'ordre de priorité suivant.
Stratégie de l'unité d'organisation
Stratégie de domaine
Stratégie de site
Stratégie d'ordinateur local
Si vous modifiez les paramètres de sécurité sur votre ordinateur local à l'aide de la stratégie de sécurité locale, puis vous modifiez directement les paramètres sur votre ordinateur. Par conséquent, les paramètres prennent effet immédiatement, mais cela peut uniquement être temporaire. Les paramètres resteront en vigueur sur votre ordinateur local jusqu'à la prochaine actualisation des paramètres de sécurité de stratégie de groupe, lorsque les paramètres de sécurité qui sont reçus à partir de la stratégie de groupe remplacent vos paramètres locaux partout où il existe des conflits.
À l'aide du Gestionnaire de Configuration de sécurité
Pour les procédures à suivre utiliser le Gestionnaire de Configuration de sécurité, consultezSecurity Configuration Manager comment. Cette section contient des informations dans cette rubrique sur :
Application des paramètres de sécurité
Importation et exportation de modèles de sécurité
Analyse de la sécurité et l'affichage des résultats
Résolution des écarts de sécurité
L'automatisation des tâches de configuration de sécurité
Application des paramètres de sécurité
Une fois que vous avez modifié les paramètres de sécurité, les paramètres sont actualisés sur les ordinateurs de l'unité d'organisation liée à votre objet de stratégie de groupe :
Lorsqu'un ordinateur est redémarré, les paramètres de cet ordinateur seront actualisées.
Pour forcer un ordinateur à actualiser ses paramètres de sécurité, ainsi que tous les paramètres de stratégie de groupe, consultez leGpupdate [LH]outil de ligne de commande.
Priorité d'une stratégie lorsque plus d'une stratégie est appliquée à un ordinateur
Pour les paramètres de sécurité qui sont définis par plusieurs stratégies, l'ordre de priorité suivant est observé :
Stratégie de l'unité d'organisation
Stratégie de domaine
Stratégie de site
Stratégie de l'ordinateur local
Par exemple, une station de travail est joint à un domaine aura remplacée par la stratégie de domaine partout où il existe un conflit de paramètres de sécurité locaux. De même, si la station de travail est membre d'une unité d'organisation, les paramètres appliqués à partir de la stratégie de l'unité d'organisation remplacent les paramètres locaux et domaine. Si la station de travail est membre de plusieurs unités d'organisation, l'unité d'organisation qui contient la station de travail possède l'ordre de priorité la plus élevée.
Notes
Utilisez leGpresult [LH]outil de ligne de commande pour connaître les stratégies sont appliquées à un ordinateur et dans quel ordre.
Pour les comptes de domaine, il peut y avoir seulement une stratégie de compte qui inclut les stratégies de mot de passe, des stratégies de verrouillage de compte et stratégies Kerberos.
Persistance des paramètres de sécurité de
Paramètres de sécurité peuvent persister même si un paramètre n'est plus défini dans la stratégie appliquée à l'origine.
Persistance dans les paramètres de sécurité se produit lorsque :
Le paramètre n'a pas été préalablement défini pour l'ordinateur.
Le paramètre est un objet du Registre.
Le paramètre est un objet de système de fichiers.
Tous les paramètres appliqués via la stratégie locale ou d'un objet de stratégie de groupe sont stockés dans une base de données locale sur votre ordinateur. Chaque fois qu'un paramètre de sécurité est modifié, l'ordinateur enregistre la valeur de paramètre de sécurité dans la base de données conserve un historique de tous les paramètres qui ont été appliqués à l'ordinateur local. Si une stratégie définit tout d'abord un paramètre de sécurité et n'est plus définit ensuite ce paramètre, le paramètre prend la valeur précédente dans la base de données. Si une valeur précédente n'existe pas dans la base de données, le paramètre ne reprend pas et il reste appliqué tel quel. Ce comportement est parfois appelé « marquage ».
Les paramètres de Registre et aux fichiers conservera les valeurs appliquées via la stratégie jusqu'à ce que ce paramètre est défini à d'autres valeurs.
Filtrage selon l'appartenance au groupe de paramètres de sécurité
Vous pouvez également décider de ce que les utilisateurs ou groupes seront ou n'aura pas un objet de stratégie de groupe appliqués quel que soit l'ordinateur auquel ils ont ouvert une session en leur refusant l'autorisation Appliquer la stratégie de groupe ou de lecture sur l'objet de stratégie de groupe. Ces deux autorisations sont nécessaires pour appliquer la stratégie de groupe.
Importation et exportation de modèles de sécurité
Configuration de la sécurité et l'analyse offre la possibilité d'importer et exporter des modèles de sécurité dans ou à partir d'une base de données.
Si vous avez apporté des modifications à la base de données d'analyse, vous pouvez enregistrer ces paramètres en les exportant dans un modèle. La fonctionnalité d'exportation permet d'enregistrer les paramètres de base de données de l'analyse dans un nouveau fichier de modèle. Ce fichier de modèle peut ensuite être utilisé pour analyser ou configurer un système, ou il peut être importé dans un objet de stratégie de groupe.
Analyse de la sécurité et l'affichage des résultats
Configuration de la sécurité et l'analyse effectue une analyse sécurité en comparant l'état actuel de la sécurité du système par rapport à unebase de données analysis. Lors de la création, la base de données d'analyse utilise au moins un modèle de sécurité. Si vous choisissez d'importer plus d'un modèle de sécurité, la base de données sera fusionne les différents modèles et créer un seul modèle composite. Il résout les conflits dans l'ordre d'importation ; le dernier modèle importé est prioritaire.
Configuration de la sécurité et l'analyse affiche les résultats d'analyse par zone de sécurité à l'aide des indicateurs visuels pour indiquer des problèmes. Il affiche les paramètres de configuration système et de la base actuelles pour chaque attribut de sécurité dans les zones de sécurité. Pour modifier les paramètres de base de données d'analyse, cliquez sur l'entrée, puis cliquez surpropriétés.
Indicateur visuel |
Signification |
|---|---|
Croix rouge |
L'entrée est définie dans la base de données d'analyse et sur le système, mais les valeurs de paramètre de sécurité ne correspondent pas. |
Coche verte |
L'entrée est définie dans la base de données d'analyse et sur le système et les valeurs de paramètre correspondent. |
Point d'interrogation |
L'entrée n'est pas définie dans la base de données analysis et, par conséquent, n'a pas analysée. Si une entrée n'est pas analysée, il peut être qu'il n'était pas défini dans la base de données d'analyse ou que l'utilisateur qui exécute l'analyse n'aient pas des autorisations suffisantes pour effectuer une analyse sur un objet spécifique ou un domaine. |
Point d'exclamation |
Cet élément est défini dans la base de données d'analyse, mais il n'existe pas sur le système. Par exemple, il peut être un groupe restreint qui est défini dans la base de données d'analyse mais n'existe pas sur le système analysé. |
Aucune mise en surbrillance |
L'élément n'est pas défini dans la base de données d'analyse ou sur le système. |
Si vous choisissez d'accepter les paramètres actuels, la valeur correspondante dans la configuration de base est modifiée pour les mettre en correspondance. Si vous modifiez le paramètre correspondant à la configuration de base système, la modification est répercutée lorsque vous configurez le système avec la Configuration de la sécurité et l'analyse.
Pour éviter un marquage permanent de paramètres que vous avez examinés et raisonnable, vous pouvez modifier la configuration de base. Les modifications sont apportées à une copie du modèle.
Résolution des écarts de sécurité
Vous pouvez résoudre les différences entre l'analyse de base de données et les paramètres système :
Vous pouvez accepter ou modifier certaines ou toutes les valeurs qui sont marquées ou non inclus dans la configuration, si vous déterminez que les niveaux de sécurité système local sont valides en raison du contexte (ou rôle) de cet ordinateur. Ces valeurs d'attribut sont ensuite mis à jour dans la base de données et appliquées au système lorsque vous cliquez surconfigurer l'ordinateur maintenant.
Configuration du système pour les valeurs de base de données d'analyse, si vous déterminez le système n'est pas en conformité avec les niveaux de sécurité valide.
L'importation d'un modèle plus approprié pour le rôle de l'ordinateur dans la base de données en tant que nouvelle configuration de base et l'appliquer au système.
La base de données d'analyse sont apportées au modèle stocké dans la base de données, pas le fichier de modèle de sécurité. Le fichier de modèle de sécurité sera modifié uniquement si vous revenez aux modèles de sécurité et de modifiez le modèle ou exportez la configuration stockée dans le même fichier de modèle.
Vous devez utiliserconfigurer l'ordinateur maintenantuniquement pour modifier des zones de sécuritépasaffectées par les paramètres de stratégie de groupe, telles que la sécurité sur les fichiers locaux et les dossiers, les clés de Registre et les services système. Dans le cas contraire, lorsque les paramètres de stratégie de groupe sont appliquées, il aura priorité sur les paramètres locaux, tels que les stratégies de compte. En général, n'utilisez pasconfigurer l'ordinateur maintenantlorsque vous analysez la sécurité pour les clients basés sur un domaine, puisque vous devez configurer chaque client individuellement. Dans ce cas, vous devez revenir aux modèles de sécurité, modifier le modèle et appliquez-le à l'objet de stratégie de groupe approprié.
L'automatisation des tâches de configuration de sécurité
En appelant l'outil Secedit.exe à une invite de commandes à partir d'un fichier de commandes ou du Planificateur de tâches automatique, vous pouvez utiliser pour automatiquement créer et appliquer des modèles et analyser la sécurité du système. Vous pouvez également l'exécuter de façon dynamique à partir d'une invite de commandes.
Secedit.exe est utile lorsque vous avez plusieurs ordinateurs sur lesquels sécurité doit être analysée ou configurée, et vous devez effectuer ces tâches pendant les heures creuses.
Utilisation des outils de stratégie de groupe
La stratégie de groupe est une infrastructure qui vous permet de spécifier des configurations gérées pour des utilisateurs et des ordinateurs par le biais de paramètres de stratégie de groupe et de préférences de stratégie de groupe. Pour les paramètres de stratégie de groupe qui affectent seulement un utilisateur ou un ordinateur local, vous pouvez utiliser l’Éditeur d’objets de stratégie de groupe. Vous pouvez gérer les paramètres de stratégie de groupe et les préférences de stratégie de groupe dans un environnement des services de domaine Active Directory (AD DS) par le biais de la Console de gestion des stratégies de groupe (GPMC). Des outils de gestion des stratégies de groupe sont également inclus dans le pack Outils d’administration de serveur distant pour vous permettre d’administrer les paramètres de stratégie de groupe à partir de votre Bureau.
Pour commencer à gérer les paramètres de sécurité avec la stratégie de groupe, consultezVue d’ensemble de la stratégie de groupe.
Pour commencer à utiliser la Console de gestion des stratégies de groupe, consultez l'aide de laGroup Policy Management Consoledans la bibliothèque TechNet.
Pour commencer à l'aide de l'éditeur de stratégie de groupe, consultez l'aide de laéditeur de stratégie de groupe locale.