Conseils en matière de sécurité des TI

Transcription

1 Conseils en matière de sécurité des TI Sécurité de base recommandée pour Windows Server 2003 mars 2004 ITSG-20

2 Page laissée intentionnellement en blanc. Mars 2004

3 Avant-propos Le document Sécurité de base recommandée pour Windows Server 2003 est non classifié, et il est publié avec l autorisation du chef, Centre de la sécurité des télécommunications (CST). Le CST s est basé sur les documents Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP de Microsoft, comme ouvrages de référence. Toute proposition ou modification peut être acheminée par la voie ministérielle habituelle au Chef, Centre de contact avec la clièntele au CST. Pour obtenir des copies supplémentaires ou faire modifier la liste de distribution, veuillez vous adresser au au représentant des Services à la clientèle, CST, affecté à votre ministère. Centre de contact avec la clièntele cryptosvc@cse-cst.gc.ca (tel) Diane Keller Directrice/I, Architecture et ingénierie 2004 Gouvernement du Canada, Centre de la sécurité des télécommunications Il est permis de faire des extraits de cette publication, pourvu que ces extraits servent à l usage des ministères du gouvernement du Canada. Pour utiliser ces extraits pour tout usage commercial, on doit obtenir au préalable la permission écrite du CST. Avant-propos Mars 2004 i

4 ii Mars 2004 Avant-propos

5 Page laissée intentionnellement en blanc. Avant-propos Mars 2004 iii

6

7 Déni de responsabilité Cet examen de produit a été préparé par le CST à l intention du gouvernement fédéral. Cet examen est officieux et de portée limitée. Il ne s agit pas d une évaluation exhaustive, et ne constitue pas une homologation du produit par le CST. Son contenu reflète le meilleur jugement du CST, compte tenu de l information au moment de la préparation du rapport. Toute utilisation de ce rapport par une tierce partie ou toute référence ou décision basée sur celui-ci est la seule responsabilité de ladite partie. Le CST se dégage de toute responsabilité à l égard des dommages encourus par toute tierce partie à la suite de décisions ou d actions prises sur la base du présent rapport Gouvernement du Canada, Centre de la sécurité des télécommunications (CST) C.P. 9703, Terminus, Ottawa (Ontario), Canada, K1G 3Z4 Cette publication peut être reproduite telle quelle, dans son intégralité et sans frais, à des fins éducatives et individuelles uniquement. Toutefois, pour utiliser le contenu du document sous forme modifiée ou d extrait ou pour tout usage commercial, on doit obtenir au préalable la permission écrite du CST. Déni de responsabilité Mars 2004 v

8 Page laissée intentionnellement en blanc. vi Mars 2004 Déni de responsabilité

9 Registre des modificatifs Modificatif n o Date Inséré par Registre des modificatifs Mars 2004 vii

10 Page laissée intentionnellement en blanc. viii Mars 2004 Registre des modificatifs

11 Résumé Ce guide décrit comment renforcer la sécurité d un serveur Windows Le déploiement de serveurs à sécurité renforcée est essentiel pour protéger les technologies de l information (TI) contre les diverses attaques possibles. Grâce à l information présentée dans ce guide, les administrateurs de système peuvent installer des modules permettant le déploiement de serveurs à sécurité renforcée dans leurs environnements. L objet de ce guide est de présenter une configuration de base hautement sécurisée. Les administrateurs de système peuvent ajouter des fonctionnalités, le cas échéant. Pour aider les administrateurs de système à justement ajouter des fonctionnalités, nous présentons deux configurations : un serveur d impression et un serveur de fichiers. Ce guide est basé sur l ouvrage de référence Microsoft Windows Server 2003 Security Guide (référence 1). Le guide de Microsoft a été analysé et testé au CST. Il en est résulté des instructions détaillées sur les sujets suivants : Logiciels nécessaires Clés du Registre Paramètres de sécurité Sécurité du protocole Internet (IPSec) Résumé Mars 2004 ix

12 Page laissée intentionnellement en blanc. x Mars 2004 Résumé

13 Table des matières Avant-propos... i Déni de responsabilité... v Registre des modificatifs... vii Résumé... ix Table des matières... xi Liste des tableaux... xv Liste des figures... xvii Liste des abréviations et des acronymes... xix 1 Introduction Contexte Objectif Portée Approche Tests fonctionnels et tests de sécurité Hypothèses Documents connexes Structure du document Conventions typographiques Documents de référence Aperçu : Conseils en matière de sécurité des TI pour Windows Server Comment utiliser ce document Installation Configuration Surveillance et application Hypothèses et restrictions Installation Stratégie Surveillance et application de la stratégie Installation automatisée Lancement de l installation automatisée Fichier de configuration et d installation d un serveur de domaine Winnt.sif (Domaine) Fichier de configuration et d installation du serveur du groupe de travail Winnt.sif (Groupe de travail) Fichiers de stratégie pour les serveurs Application des fichiers de stratégie Application de la stratégie dans un domaine Application des stratégies à un groupe de travail Table des matières Mars 2004 xi

14 4.2 Détails sur les fichiers de stratégie de base pour les serveurs Stratégies des comptes Stratégie des mots de passe Stratégie de verrouillage des comptes Stratégie Kerberos Stratégies locales Stratégie d audit Attribution des droits utilisateur Options de sécurité Journaux des événements Taille des journaux Accès des invités Méthode de conservation Services du système Services explicitement couverts par le guide Microsoft Services non expressément couverts dans le guide Microsoft Paramètres de sécurité additionnels Paramètres de sécurité pour contrer les attaques réseau Paramètres AFD.SYS Autres paramètres touchant la sécurité Activités manuelles Contrôles d accès Écarts par rapport aux directives Microsoft Stratégies de serveurs basées sur les rôles Stratégie IPSec basée sur les rôles Chargement de la stratégie IPSec Activation de la stratégie IPSec Stratégie de sécurité pour les serveurs de fichiers de domaine Écarts par rapport au guide Hardening File Servers de Microsoft [Service General Setting] Stratégie IPSec pour le serveur de fichiers de domaine Stratégie pour les serveurs d impression de domaine Écarts par rapport au guide Hardening Print Servers de Microsoft [Registry Values] [Service General Setting] Stratégie IPSec pour le serveur d impression de domaine Stratégie pour les serveurs de fichiers de groupe de travail Écarts par rapport aux directives Microsoft [Registry Values] [Service General Setting] Stratégie IPSec pour le serveur de fichiers du groupe de travail Stratégie pour les serveurs d impression de groupe de travail Écarts par rapport aux directives Microsoft [Registry Values] xii Mars 2004 Table des matières

15 5.5.3 [Service General Setting] Stratégie IPSec pour les serveurs d impression de groupe de travail Conformité avec la stratégie des serveurs : Inspection et application Configuration de la console MMC Chargement d un fichier de stratégie et configuration de l ordinateur Comparaison de la stratégie résultante et des paramètres de l ordinateur Bibliographie Annexe A Table des matières Mars 2004 xiii

16 Page laissée intentionnellement en blanc. xiv Mars 2004 Table des matières

17 Liste des tableaux Tableau 1 Contrôles généraux d accès aux fichiers Tableau 2 Contrôles d accès généraux au Registre Tableau 3 Écarts avec les paramètres de base pour un serveur membre Microsoft Tableau 4 Écarts par rapport à la stratégie locale des hôtes Bastion de Microsoft Liste des tableaux Mars 2004 xv

18 Page laissée intentionnellement en blanc. xvi Mars 2004 Liste des tableaux

19 Liste des figures Figure 1 Exemple de structure d Active Directory... 9 Liste des figures Mars 2004 xvii

20 Page laissée intentionnellement en blanc. xviii July 2004 Liste des figures

21 Liste des abréviations et des acronymes.net AD ADSI API ASCII ASP COM DDE FTP Go GUI HTTP HTTPS IAS ICF ICMP ICS IIS IMAPI IP IPSec IPX ISAPI Ko LAN LM Mo MMC MQDSS MSMQ MSN NNTP NTLM Outils Microsoft pour l environnement de développement Annuaire Active Directory Interface ADSI (Active Directory Service Interface) Interface de programmation d application (Application Program Interface) American Standard Code for Information Interchange Fonction ASP (Active Server Pages) Module COM (Component Object Module) Échange dynamique de données (Dynamic Data Exchange) Protocole de transferts de fichiers (File Transfer Protocol) Giga-octet Interface utilisateur graphique (Graphical User Interface) Protocole de transfert hypertexte (HyperText Transfer Protocol) Protocole de transfert hypertexte sécurisé (Secure HyperText Transfer Protocol) Service d authentification Internet (Internet Authentication Service) Pare-feu de connexion Internet (Internet Connection Firewall) Protocole ICMP (Internet Control Message Protocol) Partage de connexion Internet (Internet Connection Sharing) Serveur d information Internet (Internet Information Server) Interface IMAPI (Image Mastering Application Programming Interface) Protocole Internet (Internet Protocol) Sécurité du Protocole Internet (Internet Protocol Security) Protocole IPX (Internetwork Packet Exchange) API pour serveurs Internet (Internet Server API) Kilo-octet Réseau local (Local Area Network) Gestionnaire de réseau local (LAN Manager) Méga-octet Console de gestion Microsoft (Microsoft Management Console) Soutien du service des annuaires de file d attente de messages (Message Queue Directory Service Support) File d attente des messages Microsoft (Microsoft Message Queue) Réseau Microsoft (Microsoft Network) Protocole de distribution des nouvelles Usenet (Network News Transfer Protocol) Fournisseur de service de sécurité (Security Service Provider) Liste des abréviations et des acronymes Mars 2004 xix

22 OSPF Ouverture du chemin d accès le plus court en priorité (Open Shortest Path First) POP3 Protocole POP3 (Post Office Protocol 3) RAD Développement accéléré d application (Rapid Application Development) RADIUS Service d authentification des utilisateurs d accès à distance (Remote Authentication Dial-In Service) RPC Appel de procédure à distance (Remote Procedure Call) SAM Gestionnaire des comptes de sécurité (Security Accounts Manager) SID Identificateur de sécurité (Security Identifier) SMB Bloc de message serveur (Server Message Block) SMTP Protocole SMTP (Simple Mail Transfer Protocol) SNMP Protocole SNMP (Simple Network Management Protocol) SYN-ACK Accusé de réception de synchronisation (Synchronization Acknowledgement) SYN-ATTACK L attaquant envoie des demandes SYN à un objectif (victime). L objectif envoie un SYN ACK en réponse et attend le retour d un accusé de réception (ACK) pour terminer l établissement de la session. TCP Protocole TCP (Transmission Control Protocol) UI Interface utilisateur (User Interface) RPV Réseau privé virtuel WHQL Laboratoire de qualité du matériel Windows (Windows Hardware Quality Lab) WMI Interface de gestion Windows (Windows Management Interface) WMPOCM Lecteur Windows Media (Windows Media Player) WPAD Autodécouverte des proxy Web (Web Proxy Autodiscovery) WWW World Wide Web xx Mars 2004 Liste des abréviations et des acronymes

23 1 Introduction 1.1 Contexte Les agents de menace exploitent les vulnérabilités d un système informatique soit pour en obtenir la maîtrise, soit pour en perturber le fonctionnement. Les experts diffèrent d avis quant à la cause première des vulnérabilités informatiques. Certains estiment que les deux causes principales sont l exploitation des failles dans les logiciels et l absence de configurations sécurisées. Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous diverses formes. Ces correctifs visent à régler les erreurs logicielles pour un système d exploitation ou une application en particulier. S ils règlent des problèmes ponctuels, ces correctifs peuvent néanmoins en créer d autres. Outre les correctifs, les listes de contrôle constituent des guides de configuration sécurisée et testée pour les utilisateurs d ordinateur. Par le passé, les organismes gouvernementaux 1 ont produit et diffusé des listes de contrôle pour sécuriser les systèmes informatiques. Toutefois, la façon dont ces listes sont produites a changé. Les fournisseurs constatent maintenant qu ils ont avantage à produire des listes de contrôle et de configuration pour leurs propres produits. Par conséquent, les organismes publics et privés économisent temps et argent en profitant de ce travail complexe déjà réalisé par les fournisseurs. 1.2 Objectif L ITSG-20 offre un ensemble pratique de paramètres de sécurité pour Microsoft Windows Server 2003 (version anglaise). L objectif est d établir et de maintenir un environnement haute sécurité pour Windows Server Cette plate-forme est offerte en deux variantes : le serveur de domaine et le serveur de groupe de travail. Nous couvrons également deux applications : le serveur d impression et le serveur de fichiers. En d autres mots, nous offrons quatre configurations, soit une pour chaque application fonctionnant sur chaque plate-forme, comme suit : 1) Serveur de fichiers de domaine 2) Serveur d impression de domaine 3) Serveur de fichier de groupe de travail 4) Serveur d impression de groupe de travail Les présentes directives constituent une configuration de base qui s applique à tous les serveurs d un type donné, qu il s agisse d un serveur de domaine ou d un serveur de groupe de travail. Comme la configuration de base assure la sécurité avant les fonctionnalités, on devrait l utiliser comme point de départ. Les stratégies des applications (serveur de fichiers et serveur d impression) se superposent à la configuration de base. Ainsi, nous offrons un modèle pour créer des rôles additionnels de serveur basés sur la configuration de base du CST. Les stratégies 1 Notamment le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le Center for Internet Security (CIS) et la SANS (SysAdmin, Audit, Network, Security). Introduction Mars

24 des applications, superposées à la configuration de base, permettent au serveur de fonctionner de la manière prévue. 1.3 Portée L ITSG-20 présente des directives pour bâtir des serveurs de domaine haute sécurité et des serveurs de groupe de travail haute sécurité. Des stratégies additionnelles peuvent être appliquées afin de prendre en charge divers rôles au sein de votre organismes. Nous offrons deux stratégies additionnelles de ce type : des directives pour le rôle «serveur de fichiers» et des directives pour le rôle «serveur d impression». 1.4 Approche Nous nous sommes abondamment basés sur deux documents de référence : Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP. Nous avons testé ces documents et y avons ajouté nos propres critères dans un laboratoire du CST pour produire l ITSG-20, que vous avez actuellement entre les mains. Dans la mesure du possible, une approche automatisée est utilisée dans tout ce document. 1.5 Tests fonctionnels et tests de sécurité Nous avons vérifié la connectivité en accédant aux services offerts par les systèmes à sécurité renforcée (partages d impression de fichiers). Une fois la convivialité des systèmes établie, nous avons soumis ces derniers à des tests de vulnérabilité et de pénétration. Les résultats de ces tests ont influé sur la préparation du présent document. 1.6 Hypothèses Nous supposons que le lecteur a une connaissance approfondie des fonctions de sécurité de Windows Server L ITSG-20 est un guide détaillé s adressant aux administrateurs de système. Nous recommandons aux lecteurs de consulter les documents de référence indiqués à la section Ils seront ainsi en mesure de mieux comprendre l ITSG Documents connexes Veuillez consulter la section 1.10, en plus de la bibliographie en fin de document. 1.8 Structure du document Le document est structuré comme suit : 1. Introduction Cette section explique le document et son contenu. 2 Mars 2004 Introduction

25 2. Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003 Cette section résume l approche utilisée dans ce document. Nous expliquons la méthode employée pour «démarrer en toute sécurité et préserver la sécurité», comme suit : a) installation; b) configuration et contrôle; c) application. Cette section décrit également en détail les hypothèses et les restrictions utilisées pour les étapes ci-dessus. Elle comporte une liste de documents de référence, ainsi qu une description des tests réalisés à l égard de l environnement informatique. 3. Installation automatisée Cette section contient les paramètres permettant d effectuer une installation sans surveillance d un serveur de domaine ou d un serveur de groupe de travail. Une telle installation automatisée assure l uniformité des systèmes, avec un minimum de prologiciels. 4. Fichiers de stratégie pour les serveurs Cette section indique les valeurs des paramètres pour les fichiers de stratégie, permettant de créer un serveur sécurisé dans un environnement de domaine ou un environnement de groupe de travail. 5. Stratégies pour les serveurs basées sur les rôles Cette section contient les entrées des fichiers de stratégie utilisées pour modifier la configuration de base. Ces entrées permettent à un serveur d exécuter des activités désignées de type gestion fichier ou impression, y compris la sécurité du protocole Internet (IPSec). 6. Conformité aux stratégies des serveurs : Inspection et application Cette section décrit en détail une méthode permettant de surveiller et appliquer les stratégies décrites dans le présent guide. Cette approche utilise les capacités inhérentes du système d exploitation Windows Server Annexe A : Détails sur les fichiers de stratégie pour les serveurs Cette section contient les fichiers de stratégie, avec commentaires et explications. Dans cette section, nous expliquons les paramètres plus en détail. Nous indiquons également les différences avec les recommandations de Microsoft. 1.9 Conventions typographiques Les conventions typographiques suivantes sont utilisées dans le présent document : 1. Les caractères gras et italiques sont utilisés pour indiquer les paramètres et leurs valeurs. EXEMPLE : JoinDomain= cse.local 2. [Les crochets droits indiquent les en-têtes des sections de fichier]. EXEMPLE : [Identification] Introduction Mars

26 3. Les valeurs entre guillemets anglais doivent être entrées dans le fichier avec les guillemets. EXEMPLE : JoinDomain= cse.local 1.10 Documents de référence [référence 1] Windows Server 2003 Security Guide [référence 2] Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP 4 Mars 2004 Introduction

27 2 Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003 Le présent guide contient des instructions détaillées pour établir une configuration de base sécurisée pour Windows Server Des directives sont fournies pour les serveurs de groupe de travail et les serveurs de domaine. Vous devriez utiliser la présente configuration de base comme point de départ pour configurer d autres services. Afin de vous faciliter la tâche, nous présentons également les stratégies pour les services d impression et de fichiers. 2.1 Comment utiliser ce document Le déploiement d un serveur sécurisé peut se faire en trois étapes : installation du système d exploitation (SE), application de la stratégie de sécurité, puis modifications additionnelles le cas échéant. Le guide débute d abord par la configuration de base pour les serveurs de groupe de travail et de domaine. L information est présentée de manière similaire à ce qu on retrouve dans le document Windows Security Guide for 2003 Server, ce qui facilitera la consultation de ce guide. Les points additionnels, qui sont en sus des recommandations de Microsoft, figurent dans une section séparée. Les stratégies pour les serveurs d impression et de fichiers sont également présentées dans une section distincte. Ces stratégies s appliquent à la configuration de base du SE installé. Toutes les modifications additionnelles sont contenues dans les sections traitant de la stratégie pour les serveurs d impression et de fichiers. Les administrateurs de système peuvent remplacer les variables par leurs propres valeurs. Ces paramètres permettent de personnaliser le module d installation pour créer un serveur d impression ou de fichiers. Pour appliquer la configuration de base et les stratégies propres à un rôle dans un domaine, on doit créer les unités d organisation de l Active Directory. Dans un environnement de groupe de travail, les stratégies doivent être appliquées immédiatement au démarrage du système. Selon la stratégie, le compte d administrateur intégré est désactivé par défaut. Assurez-vous de créer un compte d administrateur propre à votre installation avant d appliquer la stratégie. Outre ces directives sur le déploiement des serveurs sécurisés, le guide contient une section de maintenance à l aide de la console MMC de Microsoft Installation L installation est automatisée grâce à l utilisation d un fichier réponse (voir l annexe A). Ce fichier réponse dirige le processus d installation. On peut employer plusieurs approches pour l installation. Nous utilisons le fichier Winnt.sif. Le processus d installation de Windows lit les fichiers réponses à partir d une disquette. L information locale (nom du système, paramètres TCP/IP, domaine/groupe de travail) est fournie en fonction des exigences. Il est donc possible d installer le serveur sans surveillance et sans interaction avec l opérateur. Aperçu Mars

28 2.1.2 Configuration L ITSG-20 s appuie sur une approche en couches pour appliquer la stratégie de sécurité. La première couche est la configuration de base du système d exploitation. Cette couche vise à assurer un profil de sécurité offrant une exposition minimale. Les exigences additionnelles en matière de stratégie de sécurité sont déterminées d après les rôles. Chaque fichier de stratégie active des éléments spécifiques qui permettent au serveur d exécuter une fonction unique (p. ex., partage de fichiers, partage d imprimantes, etc.). Pour construire des serveurs multifonctions, il faut procéder à une analyse et à des tests additionnels. L environnement de domaine permet une approche en couches. À cette fin, les stratégies sont appliquées au niveau du domaine et également au niveau de l unité d organisation (UO). Une granularité plus fine peut être obtenue au sein d un niveau, permettant ainsi de créer une matrice des stratégies pour les serveurs et les environnements. Dans l environnement de groupe de travail, la stratégie est appliquée dans un ordre prescrit par l intermédiaire des fichiers de stratégie. Cette méthode assure un profil de sécurité uniforme et cohérent pour les serveurs dans un tel environnement. Comme les «fichiers de stratégie» ne sont en fait que des fichiers texte, vous pouvez les éditer avec votre éditeur de texte favori. Vous pouvez également copier-coller les exemples de fichiers de stratégie qui se trouvent à la fin du document Surveillance et application Nous décrivons une méthode manuelle qui permet de vérifier la conformité de base. Cette approche manuelle limite l extensibilité de la solution. Dans un environnement de grande taille, nous vous recommandons d utiliser une méthode automatisée. 2.2 Hypothèses et restrictions Installation Pour installer le SE, veuillez vous assurer que : a. le lecteur de CD-ROM est lu avant l unité de disquette, au démarrage de l ordinateur; b. il n y a pas de version précédente de Windows (sinon, l installation fera une pause); c. la première partition de disque disponible est réservée au système d exploitation. Nous faisons les hypothèses suivantes : a. le serveur à installer n est pas membre d un cluster; b. le domaine dispose d une unité d organisation pour les serveurs; c. le domaine dispose d une unité d organisation pour les serveurs d impression, sous Servers; d. le domaine dispose d une unité d organisation pour les serveurs de fichiers, sous Servers; e. l installation est limitée au contenu de la distribution Microsoft Server Stratégie L application de la stratégie a les effets suivants : a. le compte d invité local (Local Guest) est renommé et désactivé; b. le compte d administrateur local (Local Administrator) est renommé et désactivé; 6 Mars 2004 Aperçu

29 c. tous les systèmes sont de génération Windows 2000 ou ultérieure; d. le système s arrêtera s il est incapable de journaliser les événements de sécurité; e. on ne peut accéder de façon anonyme à aucun partage ni à aucun canal nommé; f. on ne peut accéder à distance à aucune donnée du Registre; g. aucun compte n a le droit de soumettre des travaux par lots; h. les comptes d administrateur ne peuvent pas lancer des services (on doit utiliser un compte SERVICE approprié); i. la fonctionnalité Plug and Play est désactivée par défaut et activée au besoin; j. le protocole SNMP est désactivé Surveillance et application de la stratégie Aucune autre hypothèse additionnelle n est requise pour la surveillance et l application de la stratégie. Aperçu Mars

30 Page laissée intentionnellement en blanc. 8 Mars 2004 Aperçu

31 3 Installation automatisée Cette section décrit en détail le contenu des fichiers Winnt.sif. Ces fichiers servent à installer Windows Server 2003 dans un environnement de domaine ou de groupe de travail. Dans les deux cas, utilisez les valeurs opérationnelles locales. Les fichiers bruts (c est-à-dire sans les commentaires) figurent à l annexe A. REMARQUE : Vous devez installer dans votre système les plus récents service packs et les correctifs logiciels (hot fix). De la sorte, la sécurité de votre système sera actualisée. 3.1 Lancement de l installation automatisée L installation automatisée se fait avec CD-ROM et disquette, et un fichier Winnt.sif. Pendant le processus de démarrage, le système détermine si la disquette contient un fichier Winnt.sif. Si ce fichier est présent, le processus utilisera les paramètres du fichier pour configurer le système. 3.2 Fichier de configuration et d installation d un serveur de domaine Dans l arbre Active Directory, la version domaine requiert qu une unité d organisation (UO) «serveurs d impression» et «serveurs de fichiers» fasse partie de l UO «serveurs publics» (voir ci-dessous). Ces trois unités d organisation sont des espaces réservés pour les stratégies qui s appliquent au niveau UO, dans l arbre d information de l annuaire. Nom de domaine domaine.local Unité d organisation Systèmes utilisateur Serveurs publics Unité d organisation Serveurs de fichiers Serveurs d impression Serveurs Serveur de fichiers 1 Serveur de fichiers 2 Figure 1 Exemple de structure d Active Directory Installation automatisée Mars

32 Non classifié ITSG pour Windows Server Winnt.sif (Domaine) [Data] AutoPartition=1 Le paramètre AutoPartition indique l emplacement où le système d exploitation Windows est installé. Avec la valeur «1», le système d exploitation est installé dans la première partition disponible qui a suffisamment d espace. Si un système d exploitation est déjà installé, la procédure d installation cessera et attendra d autres instructions. MsDosInitiated=0 Le paramètre MsDosInitiated doit être présent et être fixé à «zéro», sinon l installation automatisée échouera. UnattendedInstall=Yes Avec la valeur «YES», la valeur UnattendedInstall permet la préinstallation de Windows à l aide de la méthode de démarrage par CD-ROM [GuiUnattended] AdminPassword="A_Str0ng_p@SSw0rd" Le paramètre AdminPassword définit le mot de passe de l administrateur local pour le système en cours d installation. REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des administrateurs. EncryptedAdminPassword=No Le paramètre EncryptedAdminPassword détermine si la procédure d installation chiffre le mot de passe de l administrateur. Avec la valeur «Non», le mot de passe n est pas chiffré. Vous pouvez activer cette fonction à l aide de l outil setupmgr.exe fourni sur le support de distribution Windows. OEMSkipWelcome=1 Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur «1», cette page n est pas affichée. 10 Mars 2004 Installation automatisée

33 OEMSkipRegional=1 Le paramètre OEMSkipRegional détermine si la procédure d installation affichera la page des paramètres régionaux. Avec la valeur «1», cette page n est pas affichée. TimeZone=035 Le paramètre TimeZone règle l horloge du système selon le fuseau horaire local. 004 Heure normale du Pacifique 010 Heure normale des Rocheuses 020 Heure normale des Prairies 025 Heure normale du Centre (Saskatchewan) 035 Heure normale de l Est 050 Heure normal de l Atlantique 060 Heure normale de Terre-Neuve et du Labrador AutoLogon=No Le paramètre Autologon détermine si le compte de l administrateur ouvrira automatiquement une session, jusqu à ce que le système soit redémarré. Le paramètre «No» désactive la fonction AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon [Identification] DomainAdmin=administrator Le paramètre DomainAdmin lance l installation avec un compte de domaine privilégié. L administrateur de domaine (DomainAdmin) peut ajouter le système au domaine. DomainAdminPassword=" A_Str0ng_p@SSW0RD " Le paramètre DomainAdminPassword est le mot de passe requis pour le compte DomainAdmin. REMARQUE : Entrez une valeur locale. JoinDomain="Department_Name.local" Le paramètre JoinDomain est le nom du domaine auquel le système se joindra. REMARQUE : Le nom du domaine local est requis. Installation automatisée Mars