Conseils en matière de sécurité des TI Sécurité de base recommandée pour Windows Server 2003 mars 2004 ITSG-20
Page laissée intentionnellement en blanc. Mars 2004
Avant-propos Le document Sécurité de base recommandée pour Windows Server 2003 est non classifié, et il est publié avec l autorisation du chef, Centre de la sécurité des télécommunications (CST). Le CST s est basé sur les documents Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP de Microsoft, comme ouvrages de référence. Toute proposition ou modification peut être acheminée par la voie ministérielle habituelle au Chef, Centre de contact avec la clièntele au CST. Pour obtenir des copies supplémentaires ou faire modifier la liste de distribution, veuillez vous adresser au au représentant des Services à la clientèle, CST, affecté à votre ministère. Centre de contact avec la clièntele cryptosvc@cse-cst.gc.ca 613-991-8495 (tel) Diane Keller Directrice/I, Architecture et ingénierie 2004 Gouvernement du Canada, Centre de la sécurité des télécommunications Il est permis de faire des extraits de cette publication, pourvu que ces extraits servent à l usage des ministères du gouvernement du Canada. Pour utiliser ces extraits pour tout usage commercial, on doit obtenir au préalable la permission écrite du CST. Avant-propos Mars 2004 i
ii Mars 2004 Avant-propos
Page laissée intentionnellement en blanc. Avant-propos Mars 2004 iii
Déni de responsabilité Cet examen de produit a été préparé par le CST à l intention du gouvernement fédéral. Cet examen est officieux et de portée limitée. Il ne s agit pas d une évaluation exhaustive, et ne constitue pas une homologation du produit par le CST. Son contenu reflète le meilleur jugement du CST, compte tenu de l information au moment de la préparation du rapport. Toute utilisation de ce rapport par une tierce partie ou toute référence ou décision basée sur celui-ci est la seule responsabilité de ladite partie. Le CST se dégage de toute responsabilité à l égard des dommages encourus par toute tierce partie à la suite de décisions ou d actions prises sur la base du présent rapport. 2004 Gouvernement du Canada, Centre de la sécurité des télécommunications (CST) C.P. 9703, Terminus, Ottawa (Ontario), Canada, K1G 3Z4 Cette publication peut être reproduite telle quelle, dans son intégralité et sans frais, à des fins éducatives et individuelles uniquement. Toutefois, pour utiliser le contenu du document sous forme modifiée ou d extrait ou pour tout usage commercial, on doit obtenir au préalable la permission écrite du CST. Déni de responsabilité Mars 2004 v
Page laissée intentionnellement en blanc. vi Mars 2004 Déni de responsabilité
Registre des modificatifs Modificatif n o Date Inséré par Registre des modificatifs Mars 2004 vii
Page laissée intentionnellement en blanc. viii Mars 2004 Registre des modificatifs
Résumé Ce guide décrit comment renforcer la sécurité d un serveur Windows 2003. Le déploiement de serveurs à sécurité renforcée est essentiel pour protéger les technologies de l information (TI) contre les diverses attaques possibles. Grâce à l information présentée dans ce guide, les administrateurs de système peuvent installer des modules permettant le déploiement de serveurs à sécurité renforcée dans leurs environnements. L objet de ce guide est de présenter une configuration de base hautement sécurisée. Les administrateurs de système peuvent ajouter des fonctionnalités, le cas échéant. Pour aider les administrateurs de système à justement ajouter des fonctionnalités, nous présentons deux configurations : un serveur d impression et un serveur de fichiers. Ce guide est basé sur l ouvrage de référence Microsoft Windows Server 2003 Security Guide (référence 1). Le guide de Microsoft a été analysé et testé au CST. Il en est résulté des instructions détaillées sur les sujets suivants : Logiciels nécessaires Clés du Registre Paramètres de sécurité Sécurité du protocole Internet (IPSec) Résumé Mars 2004 ix
Page laissée intentionnellement en blanc. x Mars 2004 Résumé
Table des matières Avant-propos... i Déni de responsabilité... v Registre des modificatifs... vii Résumé... ix Table des matières... xi Liste des tableaux... xv Liste des figures... xvii Liste des abréviations et des acronymes... xix 1 Introduction... 1 1.1 Contexte... 1 1.2 Objectif... 1 1.3 Portée... 2 1.4 Approche... 2 1.5 Tests fonctionnels et tests de sécurité... 2 1.6 Hypothèses... 2 1.7 Documents connexes... 2 1.8 Structure du document... 2 1.9 Conventions typographiques... 3 1.10 Documents de référence... 4 2 Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003... 5 2.1 Comment utiliser ce document... 5 2.1.1 Installation... 5 2.1.2 Configuration... 6 2.1.3 Surveillance et application... 6 2.2 Hypothèses et restrictions... 6 2.2.1 Installation... 6 2.2.2 Stratégie... 6 2.2.3 Surveillance et application de la stratégie... 7 3 Installation automatisée... 9 3.1 Lancement de l installation automatisée... 9 3.2 Fichier de configuration et d installation d un serveur de domaine... 9 3.2.1 Winnt.sif (Domaine)... 10 3.3 Fichier de configuration et d installation du serveur du groupe de travail 27 3.3.1 Winnt.sif (Groupe de travail)... 27 4 Fichiers de stratégie pour les serveurs... 47 4.1 Application des fichiers de stratégie... 47 4.1.1 Application de la stratégie dans un domaine... 47 4.1.2 Application des stratégies à un groupe de travail... 48 Table des matières Mars 2004 xi
4.2 Détails sur les fichiers de stratégie de base pour les serveurs... 49 4.3 Stratégies des comptes... 49 4.3.1 Stratégie des mots de passe... 49 4.3.2 Stratégie de verrouillage des comptes... 51 4.3.3 Stratégie Kerberos... 51 4.4 Stratégies locales... 52 4.4.1 Stratégie d audit... 52 4.4.2 Attribution des droits utilisateur... 54 4.4.3 Options de sécurité... 62 4.5 Journaux des événements... 76 4.5.1 Taille des journaux... 77 4.5.2 Accès des invités... 77 4.5.3 Méthode de conservation... 78 4.6 Services du système... 78 4.6.1 Services explicitement couverts par le guide Microsoft... 78 4.6.2 Services non expressément couverts dans le guide Microsoft... 104 4.7 Paramètres de sécurité additionnels... 105 4.7.1 Paramètres de sécurité pour contrer les attaques réseau... 105 4.7.2 Paramètres AFD.SYS... 108 4.7.3 Autres paramètres touchant la sécurité... 109 4.7.4 Activités manuelles... 111 4.7.5 Contrôles d accès... 113 4.7.6 Écarts par rapport aux directives Microsoft... 119 5 Stratégies de serveurs basées sur les rôles... 129 5.1 Stratégie IPSec basée sur les rôles... 129 5.1.1 Chargement de la stratégie IPSec... 129 5.1.2 Activation de la stratégie IPSec... 129 5.2 Stratégie de sécurité pour les serveurs de fichiers de domaine... 130 5.2.1 Écarts par rapport au guide Hardening File Servers de Microsoft... 130 5.2.2 [Service General Setting]... 131 5.2.3 Stratégie IPSec pour le serveur de fichiers de domaine... 131 5.3 Stratégie pour les serveurs d impression de domaine... 133 5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft... 133 5.3.2 [Registry Values]... 134 5.3.3 [Service General Setting]... 134 5.3.4 Stratégie IPSec pour le serveur d impression de domaine... 134 5.4 Stratégie pour les serveurs de fichiers de groupe de travail... 136 5.4.1 Écarts par rapport aux directives Microsoft... 136 5.4.2 [Registry Values]... 136 5.4.3 [Service General Setting]... 137 5.4.4 Stratégie IPSec pour le serveur de fichiers du groupe de travail 137 5.5 Stratégie pour les serveurs d impression de groupe de travail... 139 5.5.1 Écarts par rapport aux directives Microsoft... 139 5.5.2 [Registry Values]... 139 xii Mars 2004 Table des matières
5.5.3 [Service General Setting]... 139 5.5.4 Stratégie IPSec pour les serveurs d impression de groupe de travail... 139 6 Conformité avec la stratégie des serveurs : Inspection et application... 143 6.1 Configuration de la console MMC... 143 6.2 Chargement d un fichier de stratégie et configuration de l ordinateur... 143 6.3 Comparaison de la stratégie résultante et des paramètres de l ordinateur... 144 Bibliographie... 147 Annexe A... 149 Table des matières Mars 2004 xiii
Page laissée intentionnellement en blanc. xiv Mars 2004 Table des matières
Liste des tableaux Tableau 1 Contrôles généraux d accès aux fichiers... 114 Tableau 2 Contrôles d accès généraux au Registre... 117 Tableau 3 Écarts avec les paramètres de base pour un serveur membre Microsoft... 119 Tableau 4 Écarts par rapport à la stratégie locale des hôtes Bastion de Microsoft... 124 Liste des tableaux Mars 2004 xv
Page laissée intentionnellement en blanc. xvi Mars 2004 Liste des tableaux
Liste des figures Figure 1 Exemple de structure d Active Directory... 9 Liste des figures Mars 2004 xvii
Page laissée intentionnellement en blanc. xviii July 2004 Liste des figures
Liste des abréviations et des acronymes.net AD ADSI API ASCII ASP COM DDE FTP Go GUI HTTP HTTPS IAS ICF ICMP ICS IIS IMAPI IP IPSec IPX ISAPI Ko LAN LM Mo MMC MQDSS MSMQ MSN NNTP NTLM Outils Microsoft pour l environnement de développement Annuaire Active Directory Interface ADSI (Active Directory Service Interface) Interface de programmation d application (Application Program Interface) American Standard Code for Information Interchange Fonction ASP (Active Server Pages) Module COM (Component Object Module) Échange dynamique de données (Dynamic Data Exchange) Protocole de transferts de fichiers (File Transfer Protocol) Giga-octet Interface utilisateur graphique (Graphical User Interface) Protocole de transfert hypertexte (HyperText Transfer Protocol) Protocole de transfert hypertexte sécurisé (Secure HyperText Transfer Protocol) Service d authentification Internet (Internet Authentication Service) Pare-feu de connexion Internet (Internet Connection Firewall) Protocole ICMP (Internet Control Message Protocol) Partage de connexion Internet (Internet Connection Sharing) Serveur d information Internet (Internet Information Server) Interface IMAPI (Image Mastering Application Programming Interface) Protocole Internet (Internet Protocol) Sécurité du Protocole Internet (Internet Protocol Security) Protocole IPX (Internetwork Packet Exchange) API pour serveurs Internet (Internet Server API) Kilo-octet Réseau local (Local Area Network) Gestionnaire de réseau local (LAN Manager) Méga-octet Console de gestion Microsoft (Microsoft Management Console) Soutien du service des annuaires de file d attente de messages (Message Queue Directory Service Support) File d attente des messages Microsoft (Microsoft Message Queue) Réseau Microsoft (Microsoft Network) Protocole de distribution des nouvelles Usenet (Network News Transfer Protocol) Fournisseur de service de sécurité (Security Service Provider) Liste des abréviations et des acronymes Mars 2004 xix
OSPF Ouverture du chemin d accès le plus court en priorité (Open Shortest Path First) POP3 Protocole POP3 (Post Office Protocol 3) RAD Développement accéléré d application (Rapid Application Development) RADIUS Service d authentification des utilisateurs d accès à distance (Remote Authentication Dial-In Service) RPC Appel de procédure à distance (Remote Procedure Call) SAM Gestionnaire des comptes de sécurité (Security Accounts Manager) SID Identificateur de sécurité (Security Identifier) SMB Bloc de message serveur (Server Message Block) SMTP Protocole SMTP (Simple Mail Transfer Protocol) SNMP Protocole SNMP (Simple Network Management Protocol) SYN-ACK Accusé de réception de synchronisation (Synchronization Acknowledgement) SYN-ATTACK L attaquant envoie des demandes SYN à un objectif (victime). L objectif envoie un SYN ACK en réponse et attend le retour d un accusé de réception (ACK) pour terminer l établissement de la session. TCP Protocole TCP (Transmission Control Protocol) UI Interface utilisateur (User Interface) RPV Réseau privé virtuel WHQL Laboratoire de qualité du matériel Windows (Windows Hardware Quality Lab) WMI Interface de gestion Windows (Windows Management Interface) WMPOCM Lecteur Windows Media (Windows Media Player) WPAD Autodécouverte des proxy Web (Web Proxy Autodiscovery) WWW World Wide Web xx Mars 2004 Liste des abréviations et des acronymes
1 Introduction 1.1 Contexte Les agents de menace exploitent les vulnérabilités d un système informatique soit pour en obtenir la maîtrise, soit pour en perturber le fonctionnement. Les experts diffèrent d avis quant à la cause première des vulnérabilités informatiques. Certains estiment que les deux causes principales sont l exploitation des failles dans les logiciels et l absence de configurations sécurisées. Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous diverses formes. Ces correctifs visent à régler les erreurs logicielles pour un système d exploitation ou une application en particulier. S ils règlent des problèmes ponctuels, ces correctifs peuvent néanmoins en créer d autres. Outre les correctifs, les listes de contrôle constituent des guides de configuration sécurisée et testée pour les utilisateurs d ordinateur. Par le passé, les organismes gouvernementaux 1 ont produit et diffusé des listes de contrôle pour sécuriser les systèmes informatiques. Toutefois, la façon dont ces listes sont produites a changé. Les fournisseurs constatent maintenant qu ils ont avantage à produire des listes de contrôle et de configuration pour leurs propres produits. Par conséquent, les organismes publics et privés économisent temps et argent en profitant de ce travail complexe déjà réalisé par les fournisseurs. 1.2 Objectif L ITSG-20 offre un ensemble pratique de paramètres de sécurité pour Microsoft Windows Server 2003 (version anglaise). L objectif est d établir et de maintenir un environnement haute sécurité pour Windows Server 2003. Cette plate-forme est offerte en deux variantes : le serveur de domaine et le serveur de groupe de travail. Nous couvrons également deux applications : le serveur d impression et le serveur de fichiers. En d autres mots, nous offrons quatre configurations, soit une pour chaque application fonctionnant sur chaque plate-forme, comme suit : 1) Serveur de fichiers de domaine 2) Serveur d impression de domaine 3) Serveur de fichier de groupe de travail 4) Serveur d impression de groupe de travail Les présentes directives constituent une configuration de base qui s applique à tous les serveurs d un type donné, qu il s agisse d un serveur de domaine ou d un serveur de groupe de travail. Comme la configuration de base assure la sécurité avant les fonctionnalités, on devrait l utiliser comme point de départ. Les stratégies des applications (serveur de fichiers et serveur d impression) se superposent à la configuration de base. Ainsi, nous offrons un modèle pour créer des rôles additionnels de serveur basés sur la configuration de base du CST. Les stratégies 1 Notamment le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le Center for Internet Security (CIS) et la SANS (SysAdmin, Audit, Network, Security). Introduction Mars 2004 1
des applications, superposées à la configuration de base, permettent au serveur de fonctionner de la manière prévue. 1.3 Portée L ITSG-20 présente des directives pour bâtir des serveurs de domaine haute sécurité et des serveurs de groupe de travail haute sécurité. Des stratégies additionnelles peuvent être appliquées afin de prendre en charge divers rôles au sein de votre organismes. Nous offrons deux stratégies additionnelles de ce type : des directives pour le rôle «serveur de fichiers» et des directives pour le rôle «serveur d impression». 1.4 Approche Nous nous sommes abondamment basés sur deux documents de référence : Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP. Nous avons testé ces documents et y avons ajouté nos propres critères dans un laboratoire du CST pour produire l ITSG-20, que vous avez actuellement entre les mains. Dans la mesure du possible, une approche automatisée est utilisée dans tout ce document. 1.5 Tests fonctionnels et tests de sécurité Nous avons vérifié la connectivité en accédant aux services offerts par les systèmes à sécurité renforcée (partages d impression de fichiers). Une fois la convivialité des systèmes établie, nous avons soumis ces derniers à des tests de vulnérabilité et de pénétration. Les résultats de ces tests ont influé sur la préparation du présent document. 1.6 Hypothèses Nous supposons que le lecteur a une connaissance approfondie des fonctions de sécurité de Windows Server 2003. L ITSG-20 est un guide détaillé s adressant aux administrateurs de système. Nous recommandons aux lecteurs de consulter les documents de référence indiqués à la section 1.10. Ils seront ainsi en mesure de mieux comprendre l ITSG-20. 1.7 Documents connexes Veuillez consulter la section 1.10, en plus de la bibliographie en fin de document. 1.8 Structure du document Le document est structuré comme suit : 1. Introduction Cette section explique le document et son contenu. 2 Mars 2004 Introduction
2. Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003 Cette section résume l approche utilisée dans ce document. Nous expliquons la méthode employée pour «démarrer en toute sécurité et préserver la sécurité», comme suit : a) installation; b) configuration et contrôle; c) application. Cette section décrit également en détail les hypothèses et les restrictions utilisées pour les étapes ci-dessus. Elle comporte une liste de documents de référence, ainsi qu une description des tests réalisés à l égard de l environnement informatique. 3. Installation automatisée Cette section contient les paramètres permettant d effectuer une installation sans surveillance d un serveur de domaine ou d un serveur de groupe de travail. Une telle installation automatisée assure l uniformité des systèmes, avec un minimum de prologiciels. 4. Fichiers de stratégie pour les serveurs Cette section indique les valeurs des paramètres pour les fichiers de stratégie, permettant de créer un serveur sécurisé dans un environnement de domaine ou un environnement de groupe de travail. 5. Stratégies pour les serveurs basées sur les rôles Cette section contient les entrées des fichiers de stratégie utilisées pour modifier la configuration de base. Ces entrées permettent à un serveur d exécuter des activités désignées de type gestion fichier ou impression, y compris la sécurité du protocole Internet (IPSec). 6. Conformité aux stratégies des serveurs : Inspection et application Cette section décrit en détail une méthode permettant de surveiller et appliquer les stratégies décrites dans le présent guide. Cette approche utilise les capacités inhérentes du système d exploitation Windows Server 20003. 7. Annexe A : Détails sur les fichiers de stratégie pour les serveurs Cette section contient les fichiers de stratégie, avec commentaires et explications. Dans cette section, nous expliquons les paramètres plus en détail. Nous indiquons également les différences avec les recommandations de Microsoft. 1.9 Conventions typographiques Les conventions typographiques suivantes sont utilisées dans le présent document : 1. Les caractères gras et italiques sont utilisés pour indiquer les paramètres et leurs valeurs. EXEMPLE : JoinDomain= cse.local 2. [Les crochets droits indiquent les en-têtes des sections de fichier]. EXEMPLE : [Identification] Introduction Mars 2004 3
3. Les valeurs entre guillemets anglais doivent être entrées dans le fichier avec les guillemets. EXEMPLE : JoinDomain= cse.local 1.10 Documents de référence [référence 1] Windows Server 2003 Security Guide [référence 2] Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP 4 Mars 2004 Introduction
2 Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003 Le présent guide contient des instructions détaillées pour établir une configuration de base sécurisée pour Windows Server 2003. Des directives sont fournies pour les serveurs de groupe de travail et les serveurs de domaine. Vous devriez utiliser la présente configuration de base comme point de départ pour configurer d autres services. Afin de vous faciliter la tâche, nous présentons également les stratégies pour les services d impression et de fichiers. 2.1 Comment utiliser ce document Le déploiement d un serveur sécurisé peut se faire en trois étapes : installation du système d exploitation (SE), application de la stratégie de sécurité, puis modifications additionnelles le cas échéant. Le guide débute d abord par la configuration de base pour les serveurs de groupe de travail et de domaine. L information est présentée de manière similaire à ce qu on retrouve dans le document Windows Security Guide for 2003 Server, ce qui facilitera la consultation de ce guide. Les points additionnels, qui sont en sus des recommandations de Microsoft, figurent dans une section séparée. Les stratégies pour les serveurs d impression et de fichiers sont également présentées dans une section distincte. Ces stratégies s appliquent à la configuration de base du SE installé. Toutes les modifications additionnelles sont contenues dans les sections traitant de la stratégie pour les serveurs d impression et de fichiers. Les administrateurs de système peuvent remplacer les variables par leurs propres valeurs. Ces paramètres permettent de personnaliser le module d installation pour créer un serveur d impression ou de fichiers. Pour appliquer la configuration de base et les stratégies propres à un rôle dans un domaine, on doit créer les unités d organisation de l Active Directory. Dans un environnement de groupe de travail, les stratégies doivent être appliquées immédiatement au démarrage du système. Selon la stratégie, le compte d administrateur intégré est désactivé par défaut. Assurez-vous de créer un compte d administrateur propre à votre installation avant d appliquer la stratégie. Outre ces directives sur le déploiement des serveurs sécurisés, le guide contient une section de maintenance à l aide de la console MMC de Microsoft. 2.1.1 Installation L installation est automatisée grâce à l utilisation d un fichier réponse (voir l annexe A). Ce fichier réponse dirige le processus d installation. On peut employer plusieurs approches pour l installation. Nous utilisons le fichier Winnt.sif. Le processus d installation de Windows lit les fichiers réponses à partir d une disquette. L information locale (nom du système, paramètres TCP/IP, domaine/groupe de travail) est fournie en fonction des exigences. Il est donc possible d installer le serveur sans surveillance et sans interaction avec l opérateur. Aperçu Mars 2004 5
2.1.2 Configuration L ITSG-20 s appuie sur une approche en couches pour appliquer la stratégie de sécurité. La première couche est la configuration de base du système d exploitation. Cette couche vise à assurer un profil de sécurité offrant une exposition minimale. Les exigences additionnelles en matière de stratégie de sécurité sont déterminées d après les rôles. Chaque fichier de stratégie active des éléments spécifiques qui permettent au serveur d exécuter une fonction unique (p. ex., partage de fichiers, partage d imprimantes, etc.). Pour construire des serveurs multifonctions, il faut procéder à une analyse et à des tests additionnels. L environnement de domaine permet une approche en couches. À cette fin, les stratégies sont appliquées au niveau du domaine et également au niveau de l unité d organisation (UO). Une granularité plus fine peut être obtenue au sein d un niveau, permettant ainsi de créer une matrice des stratégies pour les serveurs et les environnements. Dans l environnement de groupe de travail, la stratégie est appliquée dans un ordre prescrit par l intermédiaire des fichiers de stratégie. Cette méthode assure un profil de sécurité uniforme et cohérent pour les serveurs dans un tel environnement. Comme les «fichiers de stratégie» ne sont en fait que des fichiers texte, vous pouvez les éditer avec votre éditeur de texte favori. Vous pouvez également copier-coller les exemples de fichiers de stratégie qui se trouvent à la fin du document. 2.1.3 Surveillance et application Nous décrivons une méthode manuelle qui permet de vérifier la conformité de base. Cette approche manuelle limite l extensibilité de la solution. Dans un environnement de grande taille, nous vous recommandons d utiliser une méthode automatisée. 2.2 Hypothèses et restrictions 2.2.1 Installation Pour installer le SE, veuillez vous assurer que : a. le lecteur de CD-ROM est lu avant l unité de disquette, au démarrage de l ordinateur; b. il n y a pas de version précédente de Windows (sinon, l installation fera une pause); c. la première partition de disque disponible est réservée au système d exploitation. Nous faisons les hypothèses suivantes : a. le serveur à installer n est pas membre d un cluster; b. le domaine dispose d une unité d organisation pour les serveurs; c. le domaine dispose d une unité d organisation pour les serveurs d impression, sous Servers; d. le domaine dispose d une unité d organisation pour les serveurs de fichiers, sous Servers; e. l installation est limitée au contenu de la distribution Microsoft Server 2003. 2.2.2 Stratégie L application de la stratégie a les effets suivants : a. le compte d invité local (Local Guest) est renommé et désactivé; b. le compte d administrateur local (Local Administrator) est renommé et désactivé; 6 Mars 2004 Aperçu
c. tous les systèmes sont de génération Windows 2000 ou ultérieure; d. le système s arrêtera s il est incapable de journaliser les événements de sécurité; e. on ne peut accéder de façon anonyme à aucun partage ni à aucun canal nommé; f. on ne peut accéder à distance à aucune donnée du Registre; g. aucun compte n a le droit de soumettre des travaux par lots; h. les comptes d administrateur ne peuvent pas lancer des services (on doit utiliser un compte SERVICE approprié); i. la fonctionnalité Plug and Play est désactivée par défaut et activée au besoin; j. le protocole SNMP est désactivé. 2.2.3 Surveillance et application de la stratégie Aucune autre hypothèse additionnelle n est requise pour la surveillance et l application de la stratégie. Aperçu Mars 2004 7
Page laissée intentionnellement en blanc. 8 Mars 2004 Aperçu
3 Installation automatisée Cette section décrit en détail le contenu des fichiers Winnt.sif. Ces fichiers servent à installer Windows Server 2003 dans un environnement de domaine ou de groupe de travail. Dans les deux cas, utilisez les valeurs opérationnelles locales. Les fichiers bruts (c est-à-dire sans les commentaires) figurent à l annexe A. REMARQUE : Vous devez installer dans votre système les plus récents service packs et les correctifs logiciels (hot fix). De la sorte, la sécurité de votre système sera actualisée. 3.1 Lancement de l installation automatisée L installation automatisée se fait avec CD-ROM et disquette, et un fichier Winnt.sif. Pendant le processus de démarrage, le système détermine si la disquette contient un fichier Winnt.sif. Si ce fichier est présent, le processus utilisera les paramètres du fichier pour configurer le système. 3.2 Fichier de configuration et d installation d un serveur de domaine Dans l arbre Active Directory, la version domaine requiert qu une unité d organisation (UO) «serveurs d impression» et «serveurs de fichiers» fasse partie de l UO «serveurs publics» (voir ci-dessous). Ces trois unités d organisation sont des espaces réservés pour les stratégies qui s appliquent au niveau UO, dans l arbre d information de l annuaire. Nom de domaine domaine.local Unité d organisation Systèmes utilisateur Serveurs publics Unité d organisation Serveurs de fichiers Serveurs d impression Serveurs Serveur de fichiers 1 Serveur de fichiers 2 Figure 1 Exemple de structure d Active Directory Installation automatisée Mars 2004 9
Non classifié ITSG pour Windows Server 2003 3.2.1 Winnt.sif (Domaine) 3.2.1.1 [Data] AutoPartition=1 Le paramètre AutoPartition indique l emplacement où le système d exploitation Windows est installé. Avec la valeur «1», le système d exploitation est installé dans la première partition disponible qui a suffisamment d espace. Si un système d exploitation est déjà installé, la procédure d installation cessera et attendra d autres instructions. MsDosInitiated=0 Le paramètre MsDosInitiated doit être présent et être fixé à «zéro», sinon l installation automatisée échouera. UnattendedInstall=Yes Avec la valeur «YES», la valeur UnattendedInstall permet la préinstallation de Windows à l aide de la méthode de démarrage par CD-ROM. 3.2.1.2 [GuiUnattended] AdminPassword="A_Str0ng_p@SSw0rd" Le paramètre AdminPassword définit le mot de passe de l administrateur local pour le système en cours d installation. REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des administrateurs. EncryptedAdminPassword=No Le paramètre EncryptedAdminPassword détermine si la procédure d installation chiffre le mot de passe de l administrateur. Avec la valeur «Non», le mot de passe n est pas chiffré. Vous pouvez activer cette fonction à l aide de l outil setupmgr.exe fourni sur le support de distribution Windows. OEMSkipWelcome=1 Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur «1», cette page n est pas affichée. 10 Mars 2004 Installation automatisée
OEMSkipRegional=1 Le paramètre OEMSkipRegional détermine si la procédure d installation affichera la page des paramètres régionaux. Avec la valeur «1», cette page n est pas affichée. TimeZone=035 Le paramètre TimeZone règle l horloge du système selon le fuseau horaire local. 004 Heure normale du Pacifique 010 Heure normale des Rocheuses 020 Heure normale des Prairies 025 Heure normale du Centre (Saskatchewan) 035 Heure normale de l Est 050 Heure normal de l Atlantique 060 Heure normale de Terre-Neuve et du Labrador AutoLogon=No Le paramètre Autologon détermine si le compte de l administrateur ouvrira automatiquement une session, jusqu à ce que le système soit redémarré. Le paramètre «No» désactive la fonction AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon. 3.2.1.3 [Identification] DomainAdmin=administrator Le paramètre DomainAdmin lance l installation avec un compte de domaine privilégié. L administrateur de domaine (DomainAdmin) peut ajouter le système au domaine. DomainAdminPassword=" A_Str0ng_p@SSW0RD " Le paramètre DomainAdminPassword est le mot de passe requis pour le compte DomainAdmin. REMARQUE : Entrez une valeur locale. JoinDomain="Department_Name.local" Le paramètre JoinDomain est le nom du domaine auquel le système se joindra. REMARQUE : Le nom du domaine local est requis. Installation automatisée Mars 2004 11
Non classifié ITSG pour Windows Server 2003 MachineObjectOU="OU=File Servers, OU=Public Servers, DC=Department_Name, DC=local" Le paramètre MachineObjectOU définit l unité d organisation du système dans le domaine. REMARQUE : Entrez des valeurs de domaine locales. 3.2.1.4 [LicenseFilePrintData] AutoMode=PerServer Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer. REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour AutoUsers. AutoUsers=5 Le paramètre AutoUsers détermine le nombre d utilisateurs concurrents pris en charge par la licence du type PerServer. REMARQUE : Vous devez entrer une valeur locale qui reflète la licence achetée pour le système. 3.2.1.5 [Unattended] OemPreinstall=No Le paramètre OEMPreinstall détermine s il y a des fichiers OEM à installer. La valeur «No» indique que tous les fichiers se trouvent dans la distribution Windows. UattendedSwitch=Yes Le paramètre UnattendedSwitch indique si le module d installation omet la page de bienvenue Windows. Avec la valeur «Yes», la page de bienvenue Windows est omise. Repartition=No Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier lecteur. Avec la valeur «No», toutes les partitions sont conservées sur le premier lecteur. TargetPath=Windows 12 Mars 2004 Installation automatisée
Le paramètre TargetPath définit l emplacement du système d exploitation. Avec la valeur «Windows», les fichiers du système d exploitation sont placés dans un dossier Windows. UnattendedMode=FullUnattended Le paramètre UnattendedMode détermine le niveau d interaction humaine avec la procédure d installation. Avec la valeur «FullUnattended», il n y a pas d interaction humaine. WaitForReboot=No Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une possibilité d interaction humaine. Avec la valeur «No», le système redémarre immédiatement. OemSkipEula=Yes Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est présenté pendant l installation. Avec la valeur «Yes», le CLUF n est pas affiché. FileSystem=ConvertNTFS Le paramètre FileSystem détermine le type du système de fichiers pour l installation. Avec la valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS. 3.2.1.6 [UserData] ComputerName=FileServer01 Le paramètre ComputerName fixe la valeur ComputerName dans le Registre. REMARQUE : Entrez une valeur locale. FullName="System_Admin" Le paramètre FullName fixe la valeur RegisteredOwner dans le Registre. REMARQUE : Entrez une valeur locale. OrgName="Department_Name" Le paramètre OrgName fixe la valeur RegisteredOrganisation dans le Registre. REMARQUE : Entrez une valeur locale. Installation automatisée Mars 2004 13
Non classifié ITSG pour Windows Server 2003 ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server 2003 qui sera installée. REMARQUE : Entrez une valeur locale. 3.2.1.7 [params.ms_tcpip.adapter01] SpecificTo=Adapter01 Le paramètre SpecificTo indique l adaptateur réseau qui sera configuré. Le paramètre «Adapter01» s applique au premier adaptateur réseau identifié. DisableDynamicUpdate=No Le paramètre DisableDynamicUpdate détermine si le système enregistrera dynamiquement les enregistrements «A» et «PTR». Avec la valeur «No», les enregistrements «A» et «PTR» sont dynamiquement enregistrés avec le DNS. EnableAdapterDomainNameregistration=No Le paramètre EnableAdapterDomainNameregistration détermine si les enregistrements DNS propres à une connexion seront enregistrés. Avec la valeur «No», les enregistrements DNS propres à une connexion ne sont pas enregistrés. DefaultGateway=xxx.xxx.xxx.xxx Le paramètre DefaultGateway fixe la valeur de la passerelle par défaut TCP/IP pour l adaptateur. REMARQUE : Entrez une valeur locale. DHCP=Yes Le paramètre DHCP détermine si l adaptateur demandera une adresse TCP/IP, à l aide du protocole DHCP. Avec la valeur «Yes», une adresse TCP/IP sera demandée. DNSDomain=Department_Name.local Le paramètre DNSDomain indique le nom du domaine sous lequel le système est entré. REMARQUE : Entrez une valeur locale. 14 Mars 2004 Installation automatisée
NetBIOSOptions=1 Le paramètre NetBIOSOptions détermine le paramètre NetBIOS sur TCP/IP. Le paramètre «1» active le NetBIOS sur TCP/IP. Subnetmask=xxx.xxx.xxx.xxx Le paramètre Subnetmask indique l adresse du masque du sous-réseau. REMARQUE : Entrez une valeur locale. 3.2.1.8 [NetOptionalComponents] DHCPServer=0 Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur «0», le serveur DHCP n est pas installé. DNS=0 Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur «0», le serveur DNS n est pas installé. IAS=0 Le paramètre IAS détermine si le système installera le service d authentification d Internet (IAS pour Internet Authentication Service). Avec la valeur «0», le service d authentification Internet n est pas installé. ILS=0 Le paramètre ILS détermine si le programme d installation installera les services qui prennent en charge les fonctions de téléphonie (identification de l appelant, conférences téléphoniques, vidéoconférences, télécopie, etc.). Avec la valeur «0», le service ILS (Internet Locator Service) n est pas installé. LDPSVC=0 Le paramètre LPDSVC détermine si le système installera les services d impression UNIX. Avec la valeur «0», les services d impression UNIX ne sont pas installés. Installation automatisée Mars 2004 15
Non classifié ITSG pour Windows Server 2003 MacPrint=0 Le paramètre MacPrint détermine si le système installera les services d impression Macintosh. Avec la valeur «0», les services d impression Macintosh ne sont pas installés. MacSrv=0 Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec la valeur «0», les services de fichiers Macintosh ne sont pas installés. Netcm=0 Le paramètre Netcm détermine si le système installera le Kit d administration du Microsoft Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur «0», ce service n est pas installé. NetMonTools=0 Le paramètre NetMon Tools détermine si le système installera les outils de surveillance réseau. Avec la valeur «0», les outils de surveillance réseau ne sont pas installés. SimpTcp=0 Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP simples. Avec la valeur «0», ces suites de protocoles ne sont pas installées. SNMP=0 Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur «0», ce protocole n est pas installé. WINS=0 Le paramètre WINS détermine si le système installera le service de nom Internet Windows (WINS). Avec la valeur «0», le service WINS n est pas installé. 3.2.1.9 [Components] AccessOpt=On Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur «On», l assistant d accessibilité sera installé. 16 Mars 2004 Installation automatisée
appsrv_console=off Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur «Off», la console de serveur d applications (Application Server Console) n est pas installée. aspnet=off Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur «Off», la plate-forme de développement ASP.NET n est pas installée. AutoUpdate=Off Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur «Off», le service AutoUpdate (mise à jour automatique) n est pas installé. BitsServerExtensionsISAPI=Off Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur «Off», l interface ISAPI pour les extensions de serveur BITS n est pas installée. BitsServerExtensionManager=Off Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur «Off», le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installés. Calc=On Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur «Off», la fonction de calculatrice n est pas installée. certsrv=on Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur «On», les composantes Certificate Services (Services de certificats) sont installées. certsrv_client=off Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur «Off», les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut qu une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le Installation automatisée Mars 2004 17
Non classifié ITSG pour Windows Server 2003 système informatique qui héberge l autorité de certification soit défini avec le paramètre CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web. certsrv_server=off Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur «Off», les services de serveur de certificat ne sont pas installés. Cette valeur doit être activée seulement pour les systèmes que l on entend utiliser pour offrir un service d autorité de certification. charmap=on Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur «On», la fonction Character Map (mappage de caractères) est installée. chat=off Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur «Off», le programme de clavardage (Chat) n est pas installé. Clipbook=Off Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur «Off», l album Clipbook n est pas installé. cluster=off Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur «Off», le logiciel de cluster n est pas installé. complusnetwork=on Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur «On», l accès Com+ réseau est activé. deskpaper=off Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur «Off», une image de fond n est pas installée sur le poste de travail. 18 Mars 2004 Installation automatisée
dialer=off Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur «Off», le composeur téléphonique n est pas installé. dtcnetwork=off Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur «Off», l accès réseau DTC n est pas activé. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribuées). fax=off Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur «Off», la fonctionnalité de télécopie n est pas installée. fp_extensions=off Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur «Off», les extensions du serveur FrontPage ne sont pas installées. fp_vdir_deploy=off Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur «Off», le soutien de déploiement à distance RAD Visual InterDev n est pas installé. freecell=off Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur «Off», le jeu Freecell n est pas installé. hearts=off Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur «Off», le jeu Hearts n est pas installé. hypertrm=off Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur «Off», la fonction Hyperterminal n est pas installée. Installation automatisée Mars 2004 19
Non classifié ITSG pour Windows Server 2003 IEAccess=Off Le paramètre IEAccess détermine si les points d accès d Internet Explorer sont visibles. Avec la valeur «Off», ces points ne sont pas visibles. iis_asp=off Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur «Off», la fonctionnalité Active Server Pages (pages de serveur actif) n est pas installée. iis_common=off Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur «Off», l ensemble commun de fichiers requis par l IIS n est pas installé. iis_ftp=off Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur «Off», le service FTP n est pas installé. iis_inetmgr=off Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur «Off», les outils d administration basés sur la console MMC pour IIS ne sont pas installés. iis_internetdataconnector=off Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur «Off», la fonction Internet Data Connector (connecteur de données Internet) n est pas installée. iis_nntp=off Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur «Off», le service NNTP n est pas installé. iis_serversidesincludes=off Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur «Off», la fonction Server Side Includes (fichiers inclus côté serveur) n est pas installée. 20 Mars 2004 Installation automatisée
iis_smpt=off Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur «Off», le service SMTP n est pas installé. iis_webadmin=off Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur «Off», l interface utilisateur Web pour l administration des serveurs Web (Remote Administration Tools) n est pas installée. iis_webdav=off Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur «Off», la fonction de publication WebDAV n est pas installée. iis_www=off Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur «Off», le service WWW n est pas installé. iis_www_vdir_scripts=off Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur «Off», le répertoire de scripts facultatif n est pas créé sur le site Web par défaut. indexsrv_system=off Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur «Off», le service d indexation (Indexing Service) n est pas installé. inetprint=off Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur «Off», la fonction d impression Internet n est pas installée. licenseserver=off Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur «Off», la licence Terminal Service n est pas activée. Installation automatisée Mars 2004 21
Non classifié ITSG pour Windows Server 2003 media_clips=off Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur «Off», les échantillons de son ne sont pas installés. media_utopia=off Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur «Off», le schéma de son Utopia n est pas installé. minesweeper=off Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur «Off», le jeu Minesweeper n est pas installé. mousepoint=on Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur «On», tous les pointeurs de souris disponibles sont installés. msmq_adintegrated=off Le paramètre msmq_adintegrated fixe la valeur msmq_adintegrated dans le Registre. Avec la valeur «Off», le MSMQ n est pas intégré avec l Active Directory. msmq_core=off Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur «Off», les composantes Message Queuing ne sont pas installées. msmq_httpsupport=off Le paramètre msmq_httpsupport fixe la valeur msmq_httpsupport dans le Registre. Avec la valeur «Off», l émission et la réception des messages utilisant le protocole HTTP sont désactivées. msmq_localstorage=off Le paramètre msmq_localstorage fixe la valeur msmq_localstorage dans le Registre. Avec la valeur «Off», les messages ne sont pas enregistrés localement. msmq_mqdssservice=off 22 Mars 2004 Installation automatisée
Le paramètre msmq_mqdssservice fixe la valeur msmq_mqdssservice dans le Registre. Avec la valeur «Off», l accès à l Active Directory et la reconnaissance du site sont restreints pour les clients en aval. msmq_routingsupport=off Le paramètre msmq_routingsupport fixe la valeur msmq_routingsupport dans le Registre. Avec la valeur «Off», le système n assure pas de routage efficient. msmq_triggerservice=off Le paramètre msmq_triggerservice fixe la valeur msmq_triggerservice dans le Registre. Avec la valeur «Off», l arrivée des messages entrants dans une file d attente est dissociée de la fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour un programme exécutable autonome. msnexplr=off Le paramètre msnexplr fixe la valeur msnexpire dans le Registre. Avec la valeur «Off», l Explorateur MSN n est pas installé. mswordpad=on Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur «On», la fonction mswordpad est installée. netcis=off Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur «Off», les services Internet COM Microsoft ne sont pas installés. netoc=off Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur «Off», les composantes réseau facultatives ne sont pas installées. objectpkg=off Le paramètre objectpkg détermine si le programme Object Packager est installé. Avec la valeur «Off», le programme Object Packager n est pas installé. Installation automatisée Mars 2004 23
Non classifié ITSG pour Windows Server 2003 OEAccess=Off Le paramètre OEAccess détermine si les points d entrée visibles pour Outlook Express sont installés. Avec la valeur «Off», les points d entrée visibles pour Outlook Express ne sont pas installés. paint=off Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur «Off», Microsoft Paint n est pas installé. pinball=off Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur «Off», le jeu Pinball n est pas installé. Pop3Admin=Off Le paramètre Pop3Admin indique si l interface utilisateur Web facultative pour les outils d administration à distance est installée. Avec la valeur «Off», cette interface facultative n est pas installée. Pop3Service=Off Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur «Off», le service POP3 principal n est pas installé. Pop3Srv=Off Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur «Off», cette composante n est pas installée. rec=off Le paramètre rec détermine si l enregistreur de son est installé. Avec la valeur «Off», l enregistreur de son n est pas installé. reminst=off Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur «Off», le service d installation à distance n est pas installé. 24 Mars 2004 Installation automatisée
rootautoupdate=off Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur «Off», les certificats racines de mise à jour OMC sont désactivés. Si l utilisateur se voit présenter un certificat émis par une autorité racine non fiable, les actions qui requièrent l authentification sont interdites. rstorage=off Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur «Off», la fonction de stockage à distance n est pas installée. solitaire=off Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur «Off», le jeu Solitaire n est pas installé. spider=off Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur «Off», le jeu Spider n est pas installé. templates=off Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur «Off», les modèles de documents ne sont pas installés. TerminalServer=On Le paramètre TerminalServer détermine si le serveur de terminal est installé. Avec la valeur «On», ce service est installé. TSWebClient=Off Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du client Terminal Services sur le Web est installé. Avec la valeur «Off», le contrôle ActiveX n est pas installé. vol=off Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur «Off», le contrôle de volume n est pas installé. Installation automatisée Mars 2004 25
Non classifié ITSG pour Windows Server 2003 WBEMSNMP=Off Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur «Off», le fournisseur SNMP WMI n est pas installé. WMAccess=Off Le paramètre WMAccess détermine si les points d entrée visibles pour Windows Manager sont installés. Avec la valeur «Off», les points d entrée visibles pour Windows Manager ne sont pas installés. WMPOCM=Off Le paramètre WMPOCM détermine si les points d entrée visibles pour le lecteur Windows Media sont installés. Avec la valeur «Off», les points d entrée visibles pour le lecteur Windows Media ne sont pas installés. wms=off Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur «Off», les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installées. wms_admin_asp=off Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur «Off», les composantes administratives basées sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installées. wms_admin_mmc=off Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur «Off», les composantes administratives basées sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installées. wms_isapi=off Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur «Off», les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installées. 26 Mars 2004 Installation automatisée
wms_server=off Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur «Off», les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installées. zonegames=off Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur «Off», les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installés. 3.3 Fichier de configuration et d installation du serveur du groupe de travail L installation du serveur de groupe de travail peut créer un nouveau groupe de travail ou se joindre à un groupe existant. L installation présuppose qu on n utilise pas le protocole DHSP, ni le service DNS. Par conséquent, l administrateur doit entrer les valeurs TCP/IP dans le fichier Winnt.sif pour activer le réseautage. 3.3.1 Winnt.sif (Groupe de travail) 3.3.1.1 [Data] AutoPartition=1 Le paramètre AutoPartition indique l emplacement où le système d exploitation Windows est installé. Le paramètre «1» installe le système d exploitation dans la première partition disponible qui a suffisamment d espace. Si un système d exploitation est déjà installé, la procédure d installation cessera et attendra d autres instructions. MsDosInitiated=0 Le paramètre MsDosInitiated doit être présent et être fixé à «0», sinon l installation automatisée échouera. UnattendedInstall=Yes Avec la valeur «YES», la valeur UnattendedInstall permet la préinstallation de Windows à l aide de la méthode de démarrage par CD-ROM. Installation automatisée Mars 2004 27
Non classifié ITSG pour Windows Server 2003 3.3.1.2 [GuiUnattended] AdminPassword="A_Str0ng_p@SSw0rd" Le paramètre AdminPassword définit le mot de passe de l administrateur local pour le système en cours d installation. REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des administrateurs. EncryptedAdminPassword=No Le paramètre EncryptedAdminPassword détermine si la procédure d installation chiffre le mot de passe de l administrateur. Avec la valeur «No», le mot de passe n est pas chiffré. Vous pouvez activer cette fonction à l aide de l outil setupmgr.exe fourni sur le support de distribution Windows. OEMSkipWelcome=1 Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur «1», la page de bienvenue n est pas affichée. OEMSkipRegional=1 Le paramètre OEMSkipRegional détermine si la procédure d installation affichera la page des paramètres régionaux. Avec la valeur «1», la page des paramètres régionaux n est pas affichée. TimeZone=035 Le paramètre TimeZone règle l horloge du système selon le fuseau horaire local. 004 Heure normale du Pacifique 010 Heure normale des Rocheuses 020 Heure normale des Prairies 025 Heure normale du Canada central (Saskatchewan) 035 Heure normale de l Est 050 Heure normal de l Atlantique 060 Heure normale de Terre-Neuve et du Labrador AutoLogon=No Le paramètre Autologon détermine si le compte de l administrateur ouvrira automatiquement une session, jusqu à ce que le système soit redémarré. La valeur «No» désactive la fonction 28 Mars 2004 Installation automatisée
AutoLogon (ouverture de session automatique). Le paramètre AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon. 3.3.1.3 [Identification] JoinWorkgroup=Department_Name Le paramètre JoinWorkgroup détermine à quel groupe de travail le serveur se joindra. REMARQUE : Cette valeur doit être remplacée par une valeur locale. 3.3.1.4 [LicenseFilePrintData] AutoMode=PerServer Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer. REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour le paramètre AutoUsers. AutoUsers=5 Le paramètre AutoUsers détermine le nombre d utilisateurs concurrents pris en charge par la licence du type PerServer. REMARQUE : Entrez une valeur locale. 3.3.1.5 [Unattended] OemPreinstall=No Le paramètre OEMPreinstall détermine s il y a des fichiers OEM à installer. La valeur «No» indique que tous les fichiers snécessaires e trouvent dans la distribution Windows. UattendedSwitch=Yes Le paramètre UnattendedSwitch indique si le module d installation omet la page de bienvenue Windows. Avec la valeur «Yes», la page de bienvenue Windows est omise. Repartition=No Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier lecteur. Avec la valeur «No», toutes les partitions sont conservées sur le premier lecteur. Installation automatisée Mars 2004 29
Non classifié ITSG pour Windows Server 2003 TargetPath=Windows Le paramètre TargetPath définit l emplacement du système d exploitation. Avec la valeur «Windows», les fichiers du système d exploitation sont placés dans un dossier Windows. UnattendedMode=FullUnattended Le paramètre UnattendedMode détermine le niveau d interaction humaine avec la procédure d installation. Avec la valeur «FullUnattended», il n y a pas d interaction humaine. WaitForReboot=No Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une possibilité d interaction humaine. Avec la valeur «No», le système redémarre immédiatement. OemSkipEula=Yes Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est présenté pendant l installation. Avec la valeur «Yes», le CLUF n est pas affiché. FileSystem=ConvertNTFS Le paramètre FileSystem détermine le type du système de fichiers pour l installation. Avec la valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS. 3.3.1.6 [UserData] ComputerName=File_Server_1 Le paramètre ComputerName fixe la valeur ComputerName (nom de l ordinateur) dans le Registre. REMARQUE : Entrez une valeur locale. FullName="System_Admin" Le paramètre FullName fixe la valeur RegisteredOwner (propriétaire inscrit) dans le Registre. REMARQUE : Entrez une valeur locale. 30 Mars 2004 Installation automatisée
OrgName="Department_Name" Le paramètre OrgName fixe la valeur RegisteredOrganisation (Organisme inscrit) dans le Registre. REMARQUE : Entrez une valeur locale. ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server 2003 qui sera installée. REMARQUE : Entrez une valeur locale. 3.3.1.7 [Networking] Cette section définit le réseau pour le système. Dans un environnement de groupe de travail, des moyens statiques sont utilisés pour l établissement du réseau. Cela comprend les adresses IP statiques, ainsi qu un fichier Hosts pour la résolution des noms. Par conséquent, la définition de réseau automatisé est désactivée. Toutes les valeurs sont fournies par l intermédiaire de paramètres dans ce fichier d installation. InstallDefaultComponents=No Le paramètre InstallDefaultComponents indique si la configuration du réseau utilisera le protocole DHCP et le service DNS. Avec la valeur «No», le réseau utilisera les valeurs fournies au lieu de DHCP et DNS. 3.3.1.8 [NetAdapters] Adapter1=params.Adapter1 Le paramètre Adapter1 définit les interfaces réseau à installer avec les noms logiques associés. Cela assure que les commandes destinées aux adaptateurs sont acheminées correctement. 3.3.1.9 [params.adapter1] InfID=* Le paramètre InfID identifie un adaptateur réseau avec une valeur qui est identique à celle de l identificateur Plug and Play. S il y a plus d un adaptateur, le paramètre indiquerait l identificateur Plug and Play. Installation automatisée Mars 2004 31
Non classifié ITSG pour Windows Server 2003 3.3.1.10 [NetClients] MS_MSClient=params.MS_MSClient Le paramètre MS_MSClient indique la section où le client pour le réseau Microsoft est défini. La valeur «params.ms_msclient» est le titre de la section qui contient la définition du client réseau. 3.3.1.11 [NetServices] MS_SERVER=params.MS_SERVER Le paramètre MS_SERVER indique la section où des entrées sont fournies pour définir un service réseau. Aucun service réseau n est défini dans ce fichier d installation. Par conséquent, la section «params.ms_server» n est pas requise. 3.3.1.12 [NetProtocols] MS_TCPIP=params.MS_TCPIP Le paramètre MS_TCPIP définit la section qui contient les entrées pour ce protocole. 3.3.1.13 [params.ms_tcpip] DNS=No Le paramètre DNS indique si le serveur utilisera un serveur DNS. Le paramètre «No» indique que le serveur n utilisera pas le DNS pour la résolution des noms. UseDomainNameDevolution=No Le paramètre UseDomainNameDevolution détermine si le système tentera de se connecter quand le nom DNS fourni n est pas entièrement qualifié. Le paramètre «No» empêche le système de faire cette tentative. EnableLMHosts=Yes Le paramètre EnableLMHosts détermine si le serveur utilisera le fichier Hosts pour résoudre le nom de réseau afin de traiter les traductions. Le paramètre «Yes» indique que le fichier Hosts sera utilisé pour la résolution des noms. AdapterSections=params.MS_TCPIP.Adapter1 32 Mars 2004 Installation automatisée
Le paramètre AdapterSections définit l emplacement dans ce fichier qui contient la définition de l adaptateur. 3.3.1.14 [params.ms_tcpip.adapter1] SpecificTo=Adapter1 Le paramètre SpecificTo indique l adaptateur réseau qui sera configuré. Le paramètre «Adapter01» s applique au premier adaptateur réseau identifié. DHCP=No Le paramètre DHCP indique si le système utilise le protocole DHCP. Le paramètre «No» indique que le système n obtiendra pas une adresse TCP/IP d un serveur DHCP. IPAddress=xxx.xxx.xxx.xxx Le paramètre IPAddress définit l adresse IP de l adaptateur. SubnetMask=xxx.xxx.xxx.xxx Le paramètre Subnetmask fournit les adresses des masques de sous-réseau. DefaultGateway=xxx.xxx.xxx.xxx Le paramètre DefaultGateway définit l adresse pour les paquets destinés à l extérieur du masque. La passerelle sert de premier arrêt, sur l itinéraire menant au système cible. WINS=No Le paramètre WINS détermine si le système utilisera le service de noms Windows (Windows Internet Name Service). Le paramètre «No» désactive le service WINS sur l adaptateur indiqué. NetBIOSOptions=0 Le paramètre NetBIOSOptions détermine si le système active le NetBIOS sur le TCP/IP. Le paramètre «0» désactive le NetBIOS sur le TCP/IP. 3.3.1.15 [NetOptionalComponents] DHCPServer=0 Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur «0», le serveur DHCP n est pas installé. Installation automatisée Mars 2004 33
Non classifié ITSG pour Windows Server 2003 DNS=0 Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur «0», le serveur DNS n est pas installé. IAS=0 Le paramètre IAS détermine si le système installera le service d authentification d Internet (IAS pour Internet Authentication Service). Avec la valeur «0», le service d authentification Internet n est pas installé. ILS=0 Le paramètre ILS détermine si le programme d installation installera les services qui prennent en charge les fonctions de téléphonie (identification de l appelant, conférences téléphoniques, vidéoconférences, télécopie, etc.). Avec la valeur «0», le service ILS (Internet Locator Service) n est pas installé. LDPSVC=0 Le paramètre LPDSVC détermine si le système installera les services d impression UNIX. Avec la valeur «0», les services d impression UNIX ne sont pas installés. MacPrint=0 Le paramètre MacPrint détermine si le système installera les services d impression Macintosh. Avec la valeur «0», les services d impression Macintosh ne sont pas installés. MacSrv=0 Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec la valeur «0», les services de fichiers Macintosh ne sont pas installés. Netcm=0 Le paramètre Netcm détermine si le système installera le Kit d administration du Microsoft Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur «0», ces services ne sont pas installés. NetMonTools=0 Le paramètre NetMonTools détermine si le système installera les outils de surveillance réseau. Avec la valeur «0», les outils de surveillance réseau ne sont pas installés. 34 Mars 2004 Installation automatisée
SimpTcp=0 Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP simples. Avec la valeur «0», ces suites de protocoles ne sont pas installées. SNMP=0 Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur «0», ce protocole n est pas installé. WINS=0 Le paramètre WINS détermine si le système installera le service de noms Internet Windows (WINS). Avec la valeur «0», le service WINS n est pas installé. 3.3.1.16 [Components] AccessOpt=On Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur «On», l assistant d accessibilité sera installé. appsrv_console=off Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur «Off», la console de serveur d applications (Application Server Console) n est pas installée. aspnet=off Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur «Off», la plate-forme de développement ASP.NET n est pas installée. AutoUpdate=Off Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur «Off», le service AutoUpdate (mise à jour automatique) n est pas installé. BitsServerExtensionsISAPI=Off Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur «Off», l interface ISAPI pour les extensions de serveur BITS n est pas installée. Installation automatisée Mars 2004 35
Non classifié ITSG pour Windows Server 2003 BitsServerExtensionManager=Off Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur «Off», le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installés. Calc=On Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur «Off», la fonction de calculatrice n est pas installée. certsrv=on Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur «On», les composantes Certificate Services (Services de certificats) sont installées. certsrv_client=off Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur «Off», les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut qu une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le système informatique qui héberge l autorité de certification soit défini avec le paramètre CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web. certsrv_server=off Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur «Off», le serveur de certificat n est pas installé. charmap=on Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur «On», la fonction Character Map (mappage de caractères) est installée. chat=off Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur «Off», le programme de clavardage (Chat) n est pas installé. Clipbook=Off Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur «Off», l album Clipbook n est pas installé. 36 Mars 2004 Installation automatisée
cluster=off Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur «Off», le logiciel de cluster n est pas installé. complusnetwork=on Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur «On», l accès Com+ réseau est activé. deskpaper=off Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur «Off», une image de fond n est pas installée sur le poste de travail. dialer=off Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur «Off», le composeur téléphonique n est pas installé. dtcnetwork=off Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur «Off», l accès réseau DTC n est pas activé. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribuées). fax=off Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur «Off», la fonctionnalité de télécopie n est pas installée. fp_extensions=off Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur «Off», les extensions du serveur FrontPage ne sont pas installées. fp_vdir_deploy=off Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur «Off», le soutien de déploiement à distance RAD Visual InterDev n est pas installé. Installation automatisée Mars 2004 37
Non classifié ITSG pour Windows Server 2003 freecell=off Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur «Off», le jeu Freecell n est pas installé. hearts=off Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur «Off», le jeu Hearts n est pas installé. hypertrm=off Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur «Off», la fonction Hyperterminal n est pas installée. IEAccess=Off Le paramètre IEAccess détermine si les points d accès d Internet Explorer sont visibles. Avec la valeur «Off», ces points ne sont pas visibles. iis_asp=off Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur «Off», la fonctionnalité Active Server Pages (pages de serveur actif) n est pas installée. iis_common=off Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur «Off», l ensemble commun de fichiers requis par l IIS n est pas installé. iis_ftp=off Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur «Off», le service FTP n est pas installé. iis_inetmgr=off Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur «Off», les outils d administration basés sur la console MMC pour IIS ne sont pas installés. 38 Mars 2004 Installation automatisée
iis_internetdataconnector=off Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur «Off», la fonction Internet Data Connector (connecteur de données Internet) n est pas installée. iis_nntp=off Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur «Off», le service NNTP n est pas installé. iis_serversidesincludes=off Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur «Off», la fonction Server Side Includes (fichiers inclus coté serveur) n est pas installée. iis_smpt=off Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur «Off», le service SMTP n est pas installé. iis_webadmin=off Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur «Off», l interface utilisateur Web pour l administration des serveurs Web (Outils d administration à distance Remote Administration Tools) n est pas installée. iis_webdav=off Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur «Off», la fonction de publication WebDAV n est pas installée. iis_www=off Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur «Off», le service WWW n est pas installé. iis_www_vdir_scripts=off Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur «Off», le répertoire des scripts facultatif n est pas créé sur le site Web par défaut. Installation automatisée Mars 2004 39
Non classifié ITSG pour Windows Server 2003 indexsrv_system=off Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur «Off», le service d indexation n est pas installé. inetprint=off Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur «Off», la fonction d impression Internet n est pas installée. licenseserver=off Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur «Off», la licence Terminal Servers n est pas activée. media_clips=off Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur «Off», les échantillons de son ne sont pas installés. media_utopia=off Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur «Off», le schéma de son Utopia n est pas installé. minesweeper=off Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur «Off», le jeu Minesweeper n est pas installé. mousepoint=on Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur «On», tous les pointeurs de souris disponibles sont installés. msmq_adintegrated=off Le paramètre msmq_adintegrated fixe la valeur msmq_adintegrated dans le Registre. Avec la valeur «Off», le MSMQ n est pas intégré à l Active Directory. 40 Mars 2004 Installation automatisée
msmq_core=off Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur «Off», les composantes Message Queuing ne sont pas installées. msmq_httpsupport=off Le paramètre msmq_httpsupport fixe la valeur msmq_httpsupport dans le Registre. Avec la valeur «Off», l émission et la réception des messages utilisant le protocole HTTP sont désactivées. msmq_localstorage=off Le paramètre msmq_localstorage fixe la valeur msmq_localstorage dans le Registre. Avec la valeur «Off», les messages ne sont pas enregistrés localement. msmq_mqdssservice=off Le paramètre msmq_mqdssservice fixe la valeur msmq_mqdssservice dans le Registre. Avec la valeur «Off», l accès à l Active Directory et la reconnaissance du site sont restreints pour les clients en aval. msmq_routingsupport=off Le paramètre msmq_routingsupport fixe la valeur msmq_routingsupport dans le Registre. Avec la valeur «Off», le système n assure pas de routage efficient. msmq_triggerservice=off Le paramètre msmq_triggerservice fixe la valeur msmq_triggerservice dans le Registre. Avec la valeur «Off», l arrivée des messages entrants dans une file d attente est dissociée de la fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour un programme exécutable autonome. msnexplr=off Le paramètre msnexplr fixe la valeur msnexplr dans le Registre. Avec la valeur «Off», l Explorateur MSN n est pas installé. mswordpad=on Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur «On», la fonction mswordpad est installée. Installation automatisée Mars 2004 41
Non classifié ITSG pour Windows Server 2003 netcis=off Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur «Off», les services Internet COM Microsoft ne sont pas installés. netoc=off Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur «Off», les composantes réseau facultatives ne sont pas installées. objectpkg=off Le paramètre objectpkg détermine si l Object Packager est installé. Avec la valeur «Off», l Object Packager n est pas installé. OEAccess=Off Le paramètre OEAccess détermine si les points d entrée visibles pour Outlook Express sont installés. Avec la valeur «Off», les points d entrée visibles pour Outlook Express ne sont pas installés. paint=off Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur «Off», Microsoft Paint n est pas installé. pinball=off Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur «Off», le jeu Pinball n est pas installé. Pop3Admin=Off Le paramètre Pop3Admin indique si l interface utilisateur Web facultative pour les outils d administration à distance est installée. Avec la valeur «Off», cette interface facultative n est pas installée. Pop3Service=Off Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur «Off», le service POP3 principal n est pas installé. 42 Mars 2004 Installation automatisée
Pop3Srv=Off Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur «Off», cette composante n est pas installée. rec=off Le paramètre rec détermine si l enregistreur de son est installé. Avec la valeur «Off», l enregistreur de son n est pas installé. reminst=off Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur «Off», le service d installation à distance n est pas installé. rootautoupdate=off Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur «Off», les certificats racines de mise à jour OMC sont désactivés. Si l utilisateur se voit présenter un certificat émis par une autorité racine qui n est pas directement jugée fiable et si la composante mise à jour des certificats racines (Update Root Certificates) n est pas installée sur l ordinateur de l utilisateur, celui-ci ne pourra terminer les actions qui ont nécessité l authentification. rstorage=off Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur «Off», la fonction de stockage à distance n est pas installée. solitaire=off Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur «Off», le jeu Solitaire n est pas installé. spider=off Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur «Off», le jeu Spider n est pas installé. Installation automatisée Mars 2004 43
Non classifié ITSG pour Windows Server 2003 templates=off Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur «Off», les modèles de documents ne sont pas installés. TerminalServer=Off Le paramètre TerminalServer détermine si les services Terminal est installé. Avec la valeur «Off», ces services ne sont pas installés. TSWebClient=Off Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du client Terminal Services sur le Web est installé. Avec la valeur «Off», le contrôle ActiveX n est pas installé. vol=off Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur «Off», le contrôle de volume n est pas installé. WBEMSNMP=Off Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur «Off», le fournisseur SNMP WMI n est pas installé. WMAccess=Off Le paramètre WMAccess détermine si les points d entrée visibles pour le Gestionnaire Windows sont installés. Avec la valeur «Off», les points d entrée visibles pour le Gestionnaire Windows ne sont pas installés. WMPOCM=Off Le paramètre WMPOCM détermine si les points d entrée visibles pour le lecteur Windows Media sont installés. Avec la valeur «Off», les points d entrée visibles pour le lecteur Windows Media ne sont pas installés. wms=off Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur «Off», les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installées. 44 Mars 2004 Installation automatisée
wms_admin_asp=off Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur «Off», les composantes administratives basées sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installées. wms_admin_mmc=off Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur «Off», les composantes administratives basées sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installées. wms_isapi=off Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur «Off», les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installées. wms_server=off Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur «Off», les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installées. zonegames=off Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur «Off», les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installés. Installation automatisée Mars 2004 45
Non classifié ITSG pour Windows Server 2003 Page laissée intentionnellement en blanc. 46 Mars 2004 Installation automatisée
4 Fichiers de stratégie pour les serveurs 4.1 Application des fichiers de stratégie On doit appliquer les stratégies dictées par l environnement (domaine ou groupe de travail). 4.1.1 Application de la stratégie dans un domaine Les fichiers de stratégie sont appliqués à des unités d organisation dans l Active Directory. La structure de l annuaire dictera les noms exacts et les emplacements des unités d organisation. La structure déployée dans le laboratoire du CST possède une unité d organisation pour les «Serveurs publics» auxquels la configuration de base a été appliquée. Les unités d organisation «Serveurs d impression» et «Serveurs de fichiers» sont incorporées dans l unité d organisation «Serveurs publics». Les stratégies appropriées sont appliquées à l unité d organisation spécifique. Cette procédure s applique à toute unité d organisation et à tout fichier de stratégie. Il s agit de substituer les paramètres «UO» et «nom du fichier de stratégie», au besoin. 1. Appelez l interface Active Directory. 2. Développer l annuaire en cliquant sur les signes «+» pour afficher les UO désirées. 3. Cliquez à droite sur l UO désirée et sélectionnez Properties dans le menu. a. La boîte de dialogue Organizational Unit Properties s ouvre. 4. Sélectionnez l onglet Group Policy. 5. Cliquez sur le bouton New. 6. Le New Group Policy Object est créé. 7. Renommez le New Group Policy Object selon la valeur voulue. 8. Cliquez sur le bouton Edit. b. La boîte de dialogue Group Policy Object Editor s ouvre. 9. Cliquez sur «+» à côté de Windows Settings. 10. Cliquez à droite sur Security Settings. 11. Sélectionnez Import Policy dans le menu. 12. Naviguez jusqu au fichier de staratégie voulu et sélectionnez-le. 13. Activez l option Clear this database before importing. 14. Cliquez sur Open (la stratégie est importée). 15. Cliquez sur File, puis sur Exit. 16. Cliquez sur Apply. Fichiers de stratégie pour les serveurs Mars 2004 47
Non classifié ITSG pour Windows Server 2003 17. Cliquez sur Exit. Répétez cette procédure jusqu à ce que tous les fichiers de stratégie requis soient appliqués à toutes les UO (serveurs publics, serveurs d impression et serveurs de fichiers). 4.1.2 Application des stratégies à un groupe de travail Les stratégies pour un serveur de groupe de travail doivent être appliquées dans l ordre approprié pour que chacune d elles soit correctement appliquée. Appliquez d abord la configuration de base, puis les stratégies additionnelles afin d activer le rôle désigné du serveur. Pour entrer un fichier de stratégie avec le Group Policy Editor (Éditeur de stratégie de groupe), procédez comme suit: 1. Ouvrez une fenêtre de commande. 2. Tapez MMC, puis Return. a. La boîte de dialogue Console 1 s ouvre. 3. Cliquez sur File. 4. Sélectionnez Add/Remove Snap-in. 5. La boîte de dialogue Add/Remove Snap-in s affiche. 6. Cliquez sur Add. 7. La boîte de dialogue Add Standalone Snap-in s affiche. 8. Naviguez dans le fichier et sélectionnez Group Policy Editor. 9. Cliquez sur Add. 10. La boîte de dialogue Select Group Policy Object s affiche. 11. Acceptez les valeurs par défaut et cliquez sur Finish. 12. Cliquez sur Close. 13. Cliquez sur OK. a. La fenêtre Root Console Window s affiche. 14. Cliquez sur «+» à côté de Local Computer Policy. 15. Cliquez sur «+» à côté de Windows Settings. 16. Cliquez à droite sur Security Settings. 17. Sélectionnez Import Policy. 18. Naviguez jusqu au fichier de startégie désiré et sélectionnez-le. a. Importez d abord la stratégie de configuration de base, puis ensuite les stratégies basées sur les rôles. 19. Cliquez sur Open. 48 Mars 2004 Fichiers de stratégie pour les serveurs
20. Cliquez sur File. 21. Cliquez sur Exit. 22. La boîte de dialogue Microsoft Management Console s affiche. 23. Sélectionnez Yes si vous voulez enregistrer les paramètres. a. Sinon, sélectionnez No. 4.2 Détails sur les fichiers de stratégie de base pour les serveurs La section suivante décrit les services et paramètres additionnels qui peuvent être gérés à l aide des fichiers de stratégie. Les fichiers de configuration de base pour les domaines et les groupes de travail sont en grande partie identiques. La section suivante décrit en détail les paramètres de sécurité. Pour les options qui ne sont pas identiques pour les domaines et les groupes de travail, les deux types de paramètres seront décrits. 4.3 Stratégies des comptes Les stratégies de comptes déterminent les règles pour les utilisateurs à l égard des mots de passe et de Kerberos. 4.3.1 Stratégie des mots de passe 4.3.1.1 Conserver l historique des mots de passe PasswordHistorySize = 24 Le paramètre «PasswordHistorySize» détermine le nombre de mots de passe conservés par le système. Cette valeur est comparée avec les entrées utilisateur pendant les changements de mots de passe. La valeur «24» signifie que l utilisateur doit choisir 24 mots de passe différents avant de pouvoir réutiliser le premier mot de passe. Avec une valeur de 2 pour le paramètre «MinimumPasswordAge», l utilisateur devrait changer son mot de passe tous les deux jours 24 fois de suite avant pouvoir de revenir à son mot de passe original. 4.3.1.2 Durée de vie maximale du mot de passe MaximumPasswordAge = 42 Le paramètre «MaximumPasswordAge» détermine le nombre maximal de jours pendant lesquels l utilisateur peut conserver le même mot de passe. Avec une valeur de 42, l utilisateur doit modifier son mot de passe tous les 42 jours. Conjointement avec les paramètres «PasswordComplexity» et «PasswordLength», ce paramètre assure un mot de passe robuste et résistant aux attaques. Fichiers de stratégie pour les serveurs Mars 2004 49
Non classifié ITSG pour Windows Server 2003 4.3.1.3 Durée de vie minimale du mot de passe MinimumPasswordAge = 2 Le paramètre «MinimumPasswordAge» détermine combien de jours l utilisateur doit attendre avant de changer un mot de passe. Avec la valeur «2», l utilisateur doit attendre deux jours avant de changer son mot de passe. 4.3.1.4 Longueur minimale du mot de passe MinimumPasswordLength = 8 Le paramètre «MinimumPasswordLength» détermine le nombre minimal de caractères acceptable dans un mot de passe. Avec la valeur «8», l utilisateur doit entrer un mot de passe d au moins 8 caractères. Conjointement avec les paramètres «PasswordComplexity» et «MaximumPasswordAge», ce paramètre assure un mot de passe robuste et résistant aux attaques. 4.3.1.5 Le mot de passe doit respecter les exigences de complexité PasswordComplexity = 1 Le paramètre «PasswordComplexity» détermine les exigences de complexité du mot de passe. Avec la valeur «1», l utilisateur doit entrer un mot de passe qui répond aux critères ci-dessous. Le mot de passe doit contenir des caractères dans trois des quatre catégories suivantes : Lettres en majuscule (A-Z) Lettres en minuscule (a-z) Chiffres en base 10 (0-9) Caractères non alphanumériques (! @ # $ % ^ &) Ce paramètre permet de contrer les attaques par la force brute. 4.3.1.6 Enregistrer les mots de passe en utilisant un cryptage réversible ClearTextPassword = 0 Le mot clé «ClearTextPassword» détermine si le système enregistre le mot de passe avec une technique cryptographique réversible. Avec la valeur «0», la cryptographie réversible est désactivée. REMARQUE : On ne doit jamais activer cette option, à moins que les considérations opérationnelles ne l emportent sur la nécessité de protéger l information sur le mot de passe. 50 Mars 2004 Fichiers de stratégie pour les serveurs
4.3.2 Stratégie de verrouillage des comptes 4.3.2.1 Durée de verrouillage des comptes LockoutDuration = 15 Le paramètre «LockoutDuration» détermine la durée (en minutes) pendant laquelle un compte est désactivé après le verrouillage. Avec la valeur «15», le compte de l utilisateur est désactivé pendant 15 minutes. Cette valeur doit être synchronisée avec le paramètre «ResetLockoutCounter», de sorte que l utilisateur puisse ouvrir une session quand la durée indiquée pour le paramètre «LockoutDuration» a expiré. 4.3.2.2 Seuil de verrouillage du compte LockoutBadCount = 10 Le paramètre «LockoutBadCount» détermine le nombre de tentatives infructueuses d ouverture de session, avant que le compte ne soit verrouillé. Avec la valeur «10», le compte de l utilisateur sera verrouillé après 10 tentatives infructueuses consécutives d ouverture de session. Ce paramètre permet de contrer les tentatives prolongées de craquage de mots de passe. 4.3.2.3 Réinitialiser le compteur de verrouillages du compte après ResetLockoutCount = 15 Le paramètre «ResetLockoutCount» détermine la durée (en minutes) avant la réinitialisation du compte. Avec la valeur «15», le compteur du verrouillage est ramené à zéro après 15 minutes. Cette valeur doit être synchronisée avec le paramètre «LockoutDuration», afin que l utilisateur puisse ouvrir une session quand la durée indiquée par le paramètre «LockoutDuration» a expiré. 4.3.3 Stratégie Kerberos Il n y a pas de paramètres Kerberos dans la configuration de base pour groupe de travail. 4.3.3.1 Appliquer les restrictions pour l ouverture de session TicketValidateClient = 1 Le paramètre «TicketValidateClient» détermine si l authentification par le Centre de distribution des clés V5 Kerberos est requise. Avec la valeur «1», l utilisation de l authentification Kerberos est requise. Fichiers de stratégie pour les serveurs Mars 2004 51
Non classifié ITSG pour Windows Server 2003 4.3.3.2 Durée de vie maximale pour le ticket de service MaxServiceAge = 600 Le paramètre «MaxServiceAge» détermine le nombre de minutes pendant lequel un ticket de service est valide. Avec la valeur «600», le ticket peut être utilisé pendant 10 heures. 4.3.3.3 Durée de vie maximale du ticket utilisateur MaxTicketAge = 10 Le paramètre «MaxTicketAge» détermine le nombre maximal d heures pendant lequel un ticket utilisateur (TGT pour Ticket Granting Ticket) peut être renouvelé. Avec la valeur «10», le ticket utilisateur doit être remplacé ou renouvelé après 10 heures. 4.3.3.4 Durée de vie maximale pour le renouvellement du ticket utilisateur MaxRenewAge = 7 Le paramètre «MaxRenewAge» détermine le nombre maximal de jours pendant lequel le ticket utilisateur peut être renouvelé. Avec la valeur «7», le ticket utilisateur peut être renouvelé pour sept jours. 4.3.3.5 Tolérance maximale pour la synchronisation de l horloge de l ordinateur MaxClockSkew = 5 Le paramètre «MaxClockSkew» détermine la différence de temps maximale que Kerberos tolérera entre l horloge du système et l horloge du contrôleur de domaine. Avec la valeur «5», les systèmes qui présentent un décalage d horloge de plus de cinq minutes par rapport à l horloge du contrôleur de domaine se verront refuser l accès. 4.4 Stratégies locales 4.4.1 Stratégie d audit 4.4.1.1 Auditer les événements de connexion aux comptes AuditAccountLogon = 3 Le paramètre «AuditAccountLogon» détermine les types d ouvertures de session à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Les «opérations réussies» peuvent déterminer qui a accédé au système pendant un incident. Les événements «échecs» permettent de mieux comprendre les tentatives de craquage de mots de passe. 52 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.1.2 Auditer la gestion des comptes AuditAccountManage = 3 Le paramètre «AuditAccountManage» détermine les types d événements d ouverture de session à auditer. Avec la valeur «3», le système audite les «opérations réussies» et les «échecs». Les «opérations réussies» peuvent servir aux enquêtes, à la surveillance des comptes au moment de l incident. Les «échecs» permettent de déterminer si les utilisateurs tentent de sonder le système pour en déceler les vulnérabilités. 4.4.1.3 Auditer l accès au service d annuaire AuditDSAAccess = 3 Le paramètre «AuditDSAccess» détermine le type d ouvertures de session à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Le service d annuaire (Directory Service) contient des renseignements essentiels au sujet du domaine. En sachant qui a accédé au service pendant un incident, on peut obtenir de l information précieuse au sujet des objets de l Active Directory auxquels on a accédé pendant une attaque. 4.4.1.4 Auditer les événement de connexion AuditLogonEvents = 3 Le paramètre «AuditLogonEvents» détermine les types d ouvertures de session à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Les «opérations réussies» permettent de déterminer qui a accédé au système pendant l incident. Les «échecs» permettent de déterminer si le système fait l objet d une tentative de craquage de mots de passe. 4.4.1.5 Auditer l accès aux objets AuditObjectAccess = 2 Le paramètre «AuditObjectAccess» détermine le type d ouverture de session à auditer. Avec la valeur «2», les échecs sont audités. Les tentatives peuvent être surveillées afin de déterminer si des utilisateurs tentent de sonder le système pour en déceler les vulnérabilités. 4.4.1.6 Auditer les modifications de stratégie AuditPolicyChange = 3 Le paramètre «AuditPolicyChange» détermine le type d ouverture de session à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Les «opérations réussies» sont utilisées dans les enquêtes visant à déterminer l accès au système et aux stratégies utilisées au moment de l incident. Les «échecs» permettent de déterminer si des utilisateurs tentent de sonder le système pour en déceler les vulnérabilités. Fichiers de stratégie pour les serveurs Mars 2004 53
Non classifié ITSG pour Windows Server 2003 4.4.1.7 Auditer l utilisation des privilèges AuditPrivilegeUse = 3 Le paramètre «AuditPrivilegeUse» détermine les types d ouvertures de session à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Les «opérations réussies» servent à déterminer qui a accédé au système au moment de l incident. Les «échecs» permettent de déterminer si des utilisateurs tentent de sonder le système pour en déceler les vulnérabilités. 4.4.1.8 Auditer le suivi des processus AuditProcessTracking = 0 Le paramètre «AuditProcessTracking» détermine les types d ouvertures de session à auditer. Avec la valeur «0», aucun événement n est audité. La valeur de cette information est pondérée par rapport au volume de données recueilli. En raison de la grande quantité de données, ce paramètre est normalement désactivé. Toutefois, pendant un incident, cette information peut s avérer précieuse. Si on soupçonne une attaque, nous recommandons d activer ce paramètre. 4.4.1.9 Auditer les événements système AuditSystemEvents = 3 Le paramètre «AuditSystemEvents» détermine les événements à auditer. Avec la valeur «3», les «opérations réussies» et les «échecs» sont audités. Ces événements reflètent les arrêts et les redémarrages du système, les événements touchant la sécurité système et les événement touchant le journal de sécurité. 4.4.2 Attribution des droits utilisateur 4.4.2.1 Accéder à cet ordinateur à partir du réseau senetworklogonright = *S-1-5-11,*S-1-5-32-544 Le paramètre «senetworklogonright» permet l accès au système par protocole réseau (SMB, NetBIOS, CIFS, HTTP et COM+). La présente stratégie accorde des privilèges aux administrateurs et aux utilisateurs authentifiés. La possibilité d accéder au système à partir d un réseau présente un plus grand risque d exposition aux attaques. En réduisant l accès, on réduit les risques d exposition. 4.4.2.2 Agir en tant que partie du système d exploitation setcbprivilege = Le paramètre «setcbprivilege» permet au compte d agir en tant que partie du système d exploitation. Selon Microsoft, il n y a aucune raison pour qu un compte ait besoin de ce privilège. 54 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.2.3 Ajouter des stations de travail au domaine semachineaccountprivilege = Le paramètre «semachineaccountprivilege» octroie le droit d ajouter des postes de travail à un domaine. Cette stratégie n octroie aucun droit. Restreindre ce privilège aide à maintenir l intégrité du domaine. 4.4.2.4 Ajuster les quotas de mémoire pour un processus seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 Le paramètre «seincreasequotaprivilege» donne la possibilité d ajuster les quotas de mémoire pour un processus. La présente stratégie octroie des privilèges aux comptes Administrateurs, LOCAL SERVICE et NETWORK SERVICE. Si ce paramètre est mal utilisé, des attaques par déni de service sont possibles. 4.4.2.5 Permettre l ouverture d une session locale seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 Le paramètre «seinteractivelogonright» octroie des privilèges d ouverture de session sur la console locale. Ces privilèges sont donnés aux administrateurs et aux opérateurs de sauvegarde. L accès local est restreint aux comptes qui ont une raison légitime d accéder à la console. En restreignant ce privilège, on réduit l exposition du système. 4.4.2.6 Autoriser l ouverture de session par les services Terminal Server seremoteinteractivelogonright = *S-1-5-32-544 Le paramètre «seremoteinteractivelogonright» octroie le droit d ouvrir une session à distance par l intermédiaire des services Terminal Server. La présente stratégie donne ce droit aux administrateurs. Rien n exige que l on accorde aux utilisateurs cette forme d accès. 4.4.2.7 Sauvegarder des fichiers ou des répertoires sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544 Le paramètre «sebackupprivilege» octroie le droit de sauvegarder des fichiers et des répertoires. Les droits sont donnés aux administrateurs et aux opérateurs de sauvegarde. Si votre stratégie ne permet pas aux administrateurs de sauvegarder les fichiers et les répertoires, omettez alors le groupe Administrateurs. L attribution de ce privilège doit être contrôlée de près. 4.4.2.8 Outrepasser le contrôle de traversée sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544 Le paramètre «sechangenotifyprivilege» octroie le droit de contourner le contrôle de traversée dans les systèmes de fichier NTFS et dans le Registre. La présente stratégie octroie des droits aux utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs authentifiés. Fichiers de stratégie pour les serveurs Mars 2004 55
Non classifié ITSG pour Windows Server 2003 4.4.2.9 Modifier l heure système sesystemtimeprivilege = *S-1-5-32-544 Le paramètre «sesystemtimeprivilege» octroie le droit de modifier l heure système. La présente stratégie octroie les droits aux administrateurs. L heure système est essentielle dans les enquêtes sur les incidents. Sans un temps uniforme, il est difficile de synchroniser les événements sur des systèmes multiples. 4.4.2.10 Créer un fichier d échange secreatepagefileprivilege = *S-1-5-32-544 Le paramètre «secreatepagefileprivilege» octroie le droit de créer un fichier d échange. La présente stratégie octroie les droits aux administrateurs. Un fichier d échange trop grand peut entraver la performance d un système. En restreignant ce droit aux administrateurs, l exposition du système est réduite aux seules personnes jugées fiables. 4.4.2.11 Créer un objet-jeton secreatetokenprivilege = Le paramètre «secreatetokenprivilege» octroie le droit de créer des objets-jetons de sécurité locale. Ce privilège donne la possibilité de créer ou de modifier des jetons d accès. Cette stratégie n octroie aucun droit à personne. Ce paramètre peut empêcher les attaques par escalade de privilèges et les conditions de déni de services. 4.4.2.12 Créer des objets globaux secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544 Le paramètre «secreateglobalprivilege» octroie le droit de créer des objets disponibles dans toutes les sessions. La présente stratégie octroie les droits aux administrateurs et au compte SERVICE. On peut l utiliser pour affecter d autres processus d utilisateurs. 4.4.2.13 Créer des objets partagés permanents) secreatepermanentprivilege = Le paramètre «secreatepermanentprivilege» octroie le droit de créer des objets partagés (dossiers, imprimantes). Les utilisateurs ayant ce privilège pourraient exposer des données sensibles sur les réseaux en créant un objet partagé. Seuls les membres du groupe des administrateurs peuvent créer des objets partagés permanents. 56 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.2.14 Déboguer les programmes sedebugprivilege = Le paramètre «sedebugprivilege» octroie le droit de déboguer tout processus du noyau. Le déboguage des programmes ne devrait jamais être effectué dans un environnement opérationnel. Le cas échéant, on doit octroyer ces droits pour une brève période de temps. 4.4.2.15 Interdire l accès à cet ordinateur à partir du réseau sedenynetworklogonright = *S-1-5-32-546, *S-1-5-7 Le paramètre «sedenynetworklogonright» empêche l accès pour divers protocoles réseau. La stratégie applique ce paramètre aux invités et à l ouverture de session par compte ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux «Guest», «Support_388945a0», et «Built-in Administrator». REMARQUE : S il n y a aucune raison pour accorder à un groupe ou à un utilisateur l accès réseau au systèmem, celui-ci devrait être refusé. 4.4.2.16 Interdire l ouverture de session en tant que tâche sedenybatchlogonright = *S-1-5-32-546, *S-1-5-7 Le paramètre «sedenybatchlogonright» empêche la possibilité de créer des tâches par lots. Cette stratégie applique ce paramètre aux invités et au compte ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux «Guest» et «Support_388945a0». La fonction de tâche par lots pourrait être utilisée pour planifier des tâches qui résulteraient en une attaque par déni de service. REMARQUE : S il n y a aucune raison pour accorder à un groupe ou à un utilisateur l accès par ouverture de session en tant que tâche, celui-ci devrait être refusé. 4.4.2.17 Interdire l ouverture de session en tant que service sedenyservicelogonright = *S-1-5-32-546,*S-1-5-32-544, *S-1-5-7 Le paramètre «sedenyservicelogonright» empêche l accès à divers protocoles réseau. La présente stratégie applique ce paramètre aux comptes Guests, ANONYMOUS LOGON, et Administrateurs. Les administrateurs doivent ajouter des comptes locaux «Guest», «Support_388945a0» et «Built-in Administrator». 4.4.2.18 Interdire l ouverture d une session locale sedenyinteractivelogonright = *S-1-5-32-546, *S-1-5-7 Le paramètre «sedenyinteractivelogonright» empêche l accès local au système. La présente stratégie applique ce paramètre aux comptes Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux «Guest» et «Support_388945a0». Fichiers de stratégie pour les serveurs Mars 2004 57
Non classifié ITSG pour Windows Server 2003 REMARQUE : S il n y a aucune raison accorder à un groupe l accès de manière interactive au système, celui-ci devrait être refusé. 4.4.2.19 Interdire l ouverture de session par les services Terminal Server sedenyremoteinteractivelogonright = *S-1-5-32-546, *S-1-5-7 Le paramètre «sedenyremoteinteractivelogonright» empêche l ouverture de session par l intermédiaire des services de terminal. La présente stratégie applique ce paramètre aux comptes Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux «Guest», «Support_388945a0» et «Built-in Administrator». REMARQUE : S il n y a aucune raison pour accorder à un groupe l accès par les services de terminal, celui-ci devrait être refusé. 4.4.2.20 Autoriser que l on fasse confiance aux comptes ordinateur et utilisateur pour la délégation seenabledelegationprivilege = Le paramètre «seenabledelegationprivilege» octroie le droit de modifier le paramètre «trusted for delegation» pour des objets de l Active Directory. La présente stratégie n octroie pas de privilège à quiconque. La mauvaise utilisation de ce privilège pourrait donner lieu à l usurpation de l identité des utilisateurs dans un domaine. 4.4.2.21 Forcer l arrêt à partir d un système distant seremoteshutdownprivilege = Le paramètre «seremoteshutdownprivilege» octroie le droit de forcer l arrêt à partir d un système distant. La présente stratégie n octroie aucun droit à quiconque. Pour fermer les serveurs dans une zone haute sécurité, il faut y accéder physiquement. 4.4.2.22 Générer des audits de sécurité seauditprivilege = *S-1-5-19,*S-1-5-20 Le paramètre «seauditprivilege» octroie le droit de générer des enregistrements dans les journaux de sécurité. La présente stratégie octroie les droits aux comptes NETWORK SERVICE et LOCAL SERVICE. En limitant les droits aux comptes non interactifs, on peut éviter les conditions de déni de service par inondation des journaux. 4.4.2.23 Usurper l identité d un client après authentification seimpersonateprivilege = *S-1-5-19,*S-1-5-20 Le paramètre «seimpersonateprivilege» octroie aux applications le droit d assumer l identité de ce client. La présente stratégie octroie les droits aux services Local Service et Network Service. Pour une sécurité accrue, les privilèges sont limités aux comptes non interactifs. 58 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.2.24 Augmenter la priorité de planification seincreasebasepriorityprivilege = *S-1-5-32-544 Le paramètre «seincreasebasepriorityprivilege» octroie le droit d accroître la priorité des processus. La présente stratégie octroie les privilèges aux administrateurs. Si ce paramètre est mal utilisé, une condition de déni de service pourrait accaparer les ressources de l unité centrale. 4.4.2.25 Charger et décharger des pilotes de périphériques seloaddriverprivilege = *S-1-5-32-544 Le paramètre «seloaddriverprivilege» octroie le droit de charger et de décharger des pilotes de périphériques. La présente stratégie octroie les privilèges aux administrateurs. Le code du pilote est exécuté avec des privilèges accrus. En restreignant les privilèges aux administrateurs, le risque d exposition s en trouve réduit. 4.4.2.26 Verrouiller des pages en mémoire selockmemoryprivilege = Le paramètre «selockmemoryprivilege» octroie le droit de conserver les données en mémoire physique. La présente stratégie n octroie aucun privilège à quiconque. L utilisation abusive des privilèges peut accaparer les ressources mémoire et causer une situation de déni de service. En restreignant ce privilège, on réduit le risque d exposition à cette menace. 4.4.2.27 Ouvrir une session en tant que tâche sebatchlogonright = Le paramètre «sebatchlogonright» octroie le droit de soumettre des tâches par lots (c.-à-d. ouvrir une session en tant que tâche). La présente stratégie n octroie aucun droit à quiconque. Le Planificateur de tâches pourrait provoquer un déni de service. En limitant ce privilège, on réduit la menace. 4.4.2.28 Ouvrir une session en tant que service seservicelogonright = *S-1-5-20,*S-1-5-19 Le paramètre «seservicelogonright» octroie le droit d ouvrir une session en tant que service. La présente stratégie octroie les droits aux services Local Service et Network Service. Les comptes interactifs sont expressément exclus. Fichiers de stratégie pour les serveurs Mars 2004 59
Non classifié ITSG pour Windows Server 2003 4.4.2.29 Gérer le journal d audit et de sécurité sesecurityprivilege = *S-1-5-32-544 Le paramètre «sesecurityprivilege» octroie le droit de spécifier les options d audit et d accès à des objets spécifiques. La présente stratégie octroie les droits aux administrateurs. Seuls les administrateurs peuvent déterminer le niveau d audit approprié. On s assure ainsi que les utilisateurs du système ne peuvent pas réduire les niveaux d audit et ainsi éliminer les traces de leurs activités. 4.4.2.30 Modifier les valeurs de l environnement de microprogrammation sesystemenvironmentprivilege = *S-1-5-32-544 Le paramètre «sesystemenvironmentprivilege» octroie le droit de modifier les valeurs de l environnement de microprogrammation. La présente stratégie octroie ces droits aux administrateurs seulement. Il faut contrôler la possibilité de modifier les configurations système. 4.4.2.31 Effectuer des tâches de gestion des volumes semanagevolumeprivilege = *S-1-5-32-544 Le paramètre «semanagevolumeprivilege» octroie le droit de gérer les volumes ou les disques. La présente stratégie octroie les droits aux administrateurs seulement. La fonction administrative de gestion des volumes et des disques peut endommager les données utilisateur sur un disque. En restreignant ce privilège, on réduit la menace. 4.4.2.32 Profil de processus unique seprofilesingleprocessprivilege = *S-1-5-32-544 Le paramètre «seprofilesingleprocessprivilege» octroie le droit de surveiller la performance des processus non-système. La présente stratégie octroie ces droits aux administrateurs. Le «profilage» d un processus peut fournir de l information qui pourrait être utilisée comme base d attaque. En limitant ces privilèges aux administrateurs, on réduit cette menace. 4.4.2.33 Profil de performance système sesystemprofileprivilege = *S-1-5-32-544 Le paramètre «sesystemprofileprivilege» octroie le droit de surveiller la performance d un processus système. La présente stratégie octroie ces droits aux administrateurs seulement. Le «profilage» d un système permet d obtenir de l information utile pour une attaque. En limitant ces privilèges aux administrateurs, on réduit cette menace. 60 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.2.34 Retirer l ordinateur de la station d accueil seundockprivilege = *S-1-5-32-544 Le paramètre «seundockprivilege» octroie le droit de retirer l ordinateur du serveur. La présente stratégie octroie ces privilèges aux administrateurs seulement. À titre de mesure préventive, ces privilèges sont restreints. 4.4.2.35 Remplacer un jeton de niveau processus seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 Le paramètre «seassignprimarytokenprivilege» octroie le droit de remplacer un jeton de sécurité de processus, pour un sous-processus. Ces droits sont octroyés aux services Local Service et Network Service. On peut se servir de ce paramètre pour lancer des processus en tant qu «autre utilisateur», et ainsi masquer des activités non autorisées sur un système. 4.4.2.36 Restaurer des fichiers et des répertoires serestoreprivilege = *S-1-5-32-544 Le paramètre «serestoreprivilege» octroie le droit de contourner les permissions pour ce qui est de restaurer les objets. La présente stratégie octroie les privilèges aux administrateurs seulement. En raison de la nature du processus de restauration, les droits sont restreints aux comptes qui ont besoin de l utiliser. 4.4.2.37 Arrêter le système seshutdownprivilege = *S-1-5-32-544 Le paramètre «seshutdownprivilege» octroie le droit d arrêter le système localement. La présente stratégie octroie ce droit aux administrateurs seulement. En restreignant ce privilège, on réduit les risques d arrêt accidentel ou malveillant. 4.4.2.38 Synchroniser les données de l annuaire Active Directory sesyncagentprivilege = Le paramètre «sesyncagentprivilege» octroie le droit de lire tous les objets et toutes les propriétés dans l annuaire. La présente stratégie révoque tous les privilèges. L information tirée de l Active Directory pourrait être utilisée pour forger une attaque contre le système. 4.4.2.39 Prendre possession des fichiers ou d autres objets setakeownershipprivilege = *S-1-5-32-544 Le paramètre «setakeownershipprivilege» octroie le droit de prendre possession de tout objet pouvant être sécurisé dans le système. La modification de prise de possession sera consignée dans les journaux. La présente stratégie octroie les privilèges aux administrateurs seulement. Fichiers de stratégie pour les serveurs Mars 2004 61
Non classifié ITSG pour Windows Server 2003 4.4.3 Options de sécurité Cette section indique les valeurs pour toutes les entrées dans la section Security Options (Options de sécurité) de l interface GUI de la stratégie. Elle comprend les entrées de la section Security Options de la stratégie de domaine, ainsi que la configuration de base des serveurs membres. Veuillez noter que toutes les valeurs sont explicitement définies. Ainsi, la sécurité ne dépend pas de valeurs par défaut. 4.4.3.1 Comptes : État de compte d administrateur EnableAdminAccount = 0 Le paramètre «EnableAdminAccount» détermine si le compte de l administrateur local est activé. Avec la valeur «0», le compte de l administrateur local est désactivé. Cela empêche l utilisation généralisée du compte et le soustrait aux attaques potentielles. 4.4.3.2 Comptes : État de compte d invité EnableGuestAccount = 0 Le paramètre «EnableGuestAccount» détermine si le compte d invité local est activé. Avec la valeur «0», le compte est désactivé. Cela empêche l utilisation généralisée du compte et le soustrait aux attaques potentielles. 4.4.3.3 Comptes : Restreindre l utilisation des mots de passe vierges par le compte local à l ouverture de session console machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4, 1 La valeur de Registre «limitblankpassworduse» détermine si on peut utiliser des comptes locaux avec des mots de passe vierges pour ouvrir une session à distance. Avec la valeur «1», ce type d ouverture de session est interdit. Ainsi, l accès à distance requiert un nom et un mot de passe. 4.4.3.4 Comptes : Renommer le compte administrateur NewAdministratorName = "jeanuntel" Le mot clé «NewAdministratorName» indique le nom du compte de l administrateur local. La valeur «jeanuntel» renomme le compte d un administrateur local, avec le nom jeanuntel. En renommant le compte de l administrateur local, il est difficile pour un attaquant de l utiliser à mauvais escient. REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le compte Administrateur sur chaque système. Si ce n est pas le cas, on doit à tout le moins changer «jeanuntel» pour une valeur locale. 62 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.5 Comptes : Renommer le compte invité NewGuestName = "jeanneuntel" Le mot clé «NewGuestName» indique le nom de compte d invité local. Le paramètre «jeanneuntel» renomme le compte d un invité local, avec le nom jeanneuntel. En renommant le compte de l administrateur local, il est difficile pour un attaquant de l utiliser à mauvais escient. REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le compte Invité sur chaque système. Si ce n est pas le cas, on doit à tout le moins changer «jeanneuntel» pour une valeur locale. 4.4.3.6 Audit : auditer l accès des objets système globaux machine\system\currentcontrolset\control\lsa\auditbaseobjects=4, 0 Le paramètre «auditbaseobjects» du Registre détermine si l accès aux objets système globaux est audité. Avec la valeur «0», cet audit est désactivé. 4.4.3.7 Audit : auditer l utilisation des privilèges de sauvegarde et de restauration machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3, 0 Le paramètre «fullprivilegeauditing» détermine si le système auditera les privilèges de sauvegarde et de restauration. Avec la valeur «0», ce privilège est désactivé. 4.4.3.8 Audit : arrêter immédiatement le système s il n est pas possible de se connecter aux audits de sécurité machine\system\currentcontrolset\control\lsa\crashonauditfail=4, 1 Le paramètre «crashonauditfail» détermine le comportement du système quand il ne peut pas journaliser des événements de sécurité. Avec la valeur «1», le système s arrête quand il ne peut pas journaliser. Le gouvernement exige que des données journalisées exhaustives soient conservées avec soin. Par conséquent, si les fichiers journaux sont pleins, le système ne doit plus traiter d autres transactions. 4.4.3.9 Périphériques : autoriser le retrait sans ouverture de session au préalable machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4, 0 Le paramètre «undockwithoutlogon» détermine si on peut retirer un portable de sa station d accueil sans ouvrir de session. Avec la valeur «0», ce retrait sans ouverture de session préalable n est pas autorisé. Fichiers de stratégie pour les serveurs Mars 2004 63
Non classifié ITSG pour Windows Server 2003 4.4.3.10 Périphériques : permettre le formatage et l éjection des supports amovibles machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" Le paramètre «allocatedasd» détermine qui peut formater et éjecter le support amovible. Avec la valeur «0», les administrateurs peuvent formater et éjecter le support amovible. La capacité de stocker de grandes quantités de données (p. ex., des bases de données entières) devrait être restreinte aux seules personnes jugées fiables. 4.4.3.11 Périphériques : empêcher les utilisateurs d installer des pilotes d imprimante services\servers\addprinterdrivers=4, 1 Le paramètre «addprinterdrivers» détermine si les utilisateurs peuvent ajouter des pilotes d imprimante. Avec la valeur «1», les utilisateurs ne peuvent pas le faire. Cela permet de d empêcher que des utilisateurs n exécutent du code malveillant dans un état privilégié. 4.4.3.12 Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" Le paramètre «allocatecdroms» détermine si le CD-ROM est pareillement accessible aux utilisateurs locaux et à distance. Avec la valeur «1», l accès à distance au CD-ROM est restreint quand il est utilisé par un utilisateur local. REMARQUE : Ce paramètre permet aux utilisateurs autorisés distants d accéder au CD-ROM s il n est pas déjà employé par un utilisateur local. 4.4.3.13 Périphériques : ne permettre l accès aux disquettes qu aux utilisateurs connectés localement machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" Le paramètre «allocatefloppies» détermine si l unité de disquette est simultanément accessible aux utilisateurs locaux et distants. Avec la valeur «1», l accès à distance est restreint quand l unité est employée par un utilisateur local. REMARQUE : Ce paramètre permet l accès à distance à l unité de disquette si personne n est connecté comme utilisateur local. 4.4.3.14 Périphériques : comportement d installation d un pilote non signé machine\software\microsoft\driver signing\policy=3, 1 Le paramètre «policy» définit le comportement d installation d un pilote non signé. Avec la valeur «1», l utilisateur reçoit un avertissement avant l installation du pilote. Si cette option est appliquée, seuls les pilotes approuvés par les laboratoires WHQL ( Windows Hardware Quality 64 Mars 2004 Fichiers de stratégie pour les serveurs
Lab) sont admissibles. La décision d installer des pilotes qui ne se trouvent pas dans la liste WHQL est laissée à l administrateur. 4.4.3.15 Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches machine\system\currentcontrolset\control\lsa\submitcontrol=4, 0 Le paramètre «submitcontrol» détermine si les opérateurs du système peuvent planifier des tâches. Avec la valeur «0», les opérateurs système ne peuvent faire cette planification. Un nombre élevé de tâches peut créer une condition de déni de service. 4.4.3.16 Contrôleur de domaine : conditions requises pour la signature de serveur LDAP machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4, 2 Le paramètre «ldapserverintegrity» détermine si le serveur LDAP requiert une signature pour négocier avec les clients LDAP. Avec la valeur «2», la signature du client est requise. Les données non signées peuvent être utilisées pour des attaques de l intercepteur. Ce paramètre aide également à prévenir les détournements de session. 4.4.3.17 Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4, 0 Le paramètre «refusepasswordchange» détermine si le contrôleur de domaine accepte les modifications apportées aux mots de passe du compte ordinateur. Avec la valeur «0», ces modifications sont autorisées. La modification régulière des mots de passe réduit la menace des attaques par la force brute. 4.4.3.18 Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours) machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4, 1 Le paramètre «requiresignorseal» détermine si le membre de domaine chiffrera ou signera toujours les données des canaux sécurisés. Avec la valeur «1», les données des canaux sécurisés sont chiffrées ou signées. Ce paramètre empêche les anciens systèmes (pré-windows 2000) de se joindre à un domaine. 4.4.3.19 Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4, 1 Le paramètre «sealsecurechannel» détermine si un membre de domaine demande le chiffrement de toutes les données des canaux sécurisés. Avec la valeur «1», toutes les données des canaux sécurisés sont chiffrées. En chiffrant les données des canaux sécurisés, ce système empêche Fichiers de stratégie pour les serveurs Mars 2004 65
Non classifié ITSG pour Windows Server 2003 l information sensible d être transmise en clair. Cela limite la capacité d un attaquant d obtenir de l information en vue d une attaque. 4.4.3.20 Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4, 1 Le paramètre «signsecurechannel» détermine si un système signera les données des canaux sécurisés, quand cela est possible. Avec la valeur «1», les données des canaux sécurisés sont signées lorsque cela est possible. Les données non signées peuvent être utilisées pour une attaque de l intercepteur. Ce paramètre protège le client contre les détournements de session. 4.4.3.21 Membre de domaine : désactive les modifications de mots de passe du compte ordinateur machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4, 0 Le paramètre «disablepasswordchange» détermine si un contrôleur de domaine acceptera les modifications apportées aux mots de passe du compte ordinateur. Avec la valeur «0», ces modifications sont autorisées. Si ces modifications ne sont pas autorisées, les systèmes ne pourront pas modifier leurs mots de passe du compte ordinateur. Cela les rendrait susceptibles aux tentatives de craquage de mots de passe. 4.4.3.22 Membre de domaine : âge maximal du mot de passe du compte ordinateur machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4, 42 Le paramètre «maximumpasswordage» détermine le nombre maximal de jours entre les modifications de mot de passe. Avec la valeur «42», le mot de passe doit être modifié au moins tous les 42 jours. Cela assure que le mot de passe est modifié souvent, ce qui contre les tentatives de craquage de mots de passe. 4.4.3.23 Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4, 1 Le paramètre «requirestrongkey» détermine si un membre de domaine qui établit des communications sur un canal sécurisé doit utiliser le chiffrement à 128 bits. Avec la valeur «1», le chiffrement 128 bits doit être utilisé sur un canal sécurisé. Si ce chiffrement est désactivé, le client doit négocier la robustesse de la clé avec le contrôleur de domaine. Ce paramètre assure le niveau de protection le plus élevé pour les données transmises sur les canaux sécurisés. 66 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.24 Ouverture de session interactive : ne pas afficher le dernier nom d utilisateur machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername =4, 1 Le paramètre «dontdisplaylastusername» détermine si le système affiche un écran d ouverture de session sur lequel figure le nom du dernier utilisateur qui a ouvert une session. Avec la valeur «1», ce dernier nom d utilisateur n est pas affiché. Ce paramètre préserve l information vitale afin de prévenir les attaques. 4.4.3.25 Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr machine\software\microsoft\windows\currentversion\policies\system\disablecad=4, 0 Le paramètre «disablecad» détermine si la combinaison de touches CTRL+ALT+DEL (Ctrl+Alt+Suppr) est requise avant d ouvrir une session utilisateur. Avec la valeur «0», cette combinaison de touches est requise pour lancer une ouverture de session. La sécurité de l architecture Windows dépend de cette combinaison de touches pour lancer l authentification de l utilisateur. Cela permet une séquence d ouverture inattaquable et de contrer les codes malveillants comme les chevaux de Troie. 4.4.3.26 Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7, «LE TEXTE DU MINISTÈRE POUR L OUVERTURE DE SESSION UTILISATEUR DOIT ÊTRE FOURNI» Le paramètre «legalnoticetext» est présentée à l utilisateur avant qu il n entre son nom d utilisateur et son mot de passe. La valeur indiquée est le texte présenté. Cela peut être utile pour un organissme en cas de procédures légales. 4.4.3.27 Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1 «LE TEXTE DU MINISTÈRE POUR L OUVERTURE DE SESSION UTILISATEUR DOIT ÊTRE FOURNI» Le paramètre «legalnoticecaption» est présentée à l utilisateur, comme titre de la fenêtre qui contient le titre «legalnoticetext». La valeur indiquée est le texte présenté. Cela peut être utile pour un organisme en cas de procédures légales. Fichiers de stratégie pour les serveurs Mars 2004 67
Non classifié ITSG pour Windows Server 2003 4.4.3.28 Ouverture de session interactive : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsque aucun contrôleur de domaine n'est disponible)) machine\software\microsoft\windowsnt\currentversion\winlogon\cachedlogonscount=1,"0" Le paramètre «cachedlogonscount» détermine le nombre d utilisateurs uniques dont l information d ouverture de session est mise dans le cache local. Avec la valeur «0», aucune information d ouverture de session n est mise dans le cache local. Cela assure que l utilisateur établit un jeton de sécurité courant avec le contrôleur de domaine. De plus, cela empêche que les utilisateurs désactivés n aient accès au système à l aide de leur information d identification d ouverture de session mise en cache. 4.4.3.29 Ouverture de session interactive : prévenir l utilisateur qu il doit changer son mot de passe avant qu il n expire machine\software\microsoft\windowsnt\currentversion\winlogon\passwordexpirywarning=4, 14 Le paramètre «passwordexpirywarning» détermine combien de jours à l avance l utilisateur est avisé de l expiration de son mot de passe. Avec la valeur ci-dessus, l utilisateur est avisé 14 jours avant l expiration de son mot de passe. L utilisateur continuera d être avisé jusqu à la date d expiration du mot de passe. 4.4.3.30 Ouverture de session interactive : nécessite l authentification par le contrôleur de domaine pour le déverrouillage de la station de travail) machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4, 1 Le paramètre «forceunlocklogon» détermine si un contrôleur de domaine doit être contacté pour déverrouiller un ordinateur. Avec la valeur «1», il faut communiquer avec le contrôleur de domaine. Cela assure que l utilisateur établit un jeton de sécurité courant avec un contrôleur de domaine. De plus, cela empêche également les utilisateurs désactivés d accéder au système par l intermédiaire de l information d identification d ouverture de session mise en cache. 4.4.3.31 Ouverture de session interactive : carte à puce nécessaire machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4, 0 Le paramètre «scforceoption» détermine si l utilisation d une carte à puce est requise pour ouvrir la session. Avec la valeur «0», une carte à puce n est pas requise. La majorité des serveurs ne nécessitent pas une authentification à deux facteurs. Si toutefois cette capacité est requise, elle devrait être activée pendant l application d une stratégie spécifique à un rôle. 68 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.32 Ouverture de session interactive : comportement lorsque la carte à puce est retirée machine\software\microsoft\windowsnt\currentversion\winlogon\scremoveoption=1,"1" Le paramètre «scremoveoption» détermine le comportement du système lorsqu une carte à puce est retirée. Avec la valeur «1», le poste de travail est verrouillé lorsque la carte est retirée. Cela assure la comptabilité des transactions qui requièrent l authentification par carte à puce. 4.4.3.33 Client réseau Microsoft : communications signées numériquement (toujours) machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1 Le paramètre «requiresecuritysignature» détermine si le client SMB requiert la signature des paquets. Avec la valeur «1», la signature des paquets est requise. Ce paramètre permet l authentification mutuelle. Ce paramètre peut également empêcher les attaques de l intercepteur et éliminer les détournements de session. Les anciens systèmes ne prennent pas en charge cette exigence. 4.4.3.34 Client réseau Microsoft : communications signées numériquement (lorsque le serveur l accepte) machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysign ature=4, 1 Le paramètre «enablesecuritysignature» détermine si un client SMB tente de négocier la signature de paquets SMB (si le serveur l accepte). Avec la valeur «1», le client négocie la signature SMB. Ce paramètre permet l authentification mutuelle. Cela peut empêcher les attaques de l intercepteur et éliminer les détournements de session. Les anciens systèmes (c est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.35 Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpas sword=4, 0 Le paramètre «enableplaintextpassword» détermine si un client SMB envoie des mots de passe en clair à des serveurs SMB non Microsoft. La valeur «0» désactive l utilisation des mots de passe en clair. L utilisation de serveurs SMB non Microsoft qui n acceptent pas les mots de passe chiffrés est désactivée dans un environnement haute sécurité. La sécurité des mots de passe doit toujours être appliquée. Fichiers de stratégie pour les serveurs Mars 2004 69
Non classifié ITSG pour Windows Server 2003 4.4.3.36 Serveur réseau Microsoft : durée d inactivité avant la suspension d une session machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4, 15 Le paramètre «autodisconnect» détermine la durée d inactivité en minutes avant qu une session SMB ne soit suspendue. Avec la valeur «15», la session SMB est suspendue après 15 minutes d inactivité. Une session inactive consomme des ressources. Les attaquants peuvent établir des sessions qui consomment des ressources pour lancer une attaque par déni de service. De plus, les sessions inactives peuvent ralentir, voire rendre inopérants les services SMB. 4.4.3.37 Serveur réseau Microsoft : communications signées numériquement (toujours) machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1 Le paramètre «requiresecuritysignature» détermine si le serveur signera toujours les communications SMB. Avec la valeur «1», les communications SMB sont toujours numériquement signées. Ce paramètre assure l authentification mutuelle pour toutes les communications. L authentification mutuelle peut prévenir les attaques de l intercepteur et éliminer les détournements de session. Les systèmes anciens (c est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.38 Serveur réseau Microsoft : communications signées numériquement (lorsque le client l accepte) machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature= 4, 1 Le paramètre «enablesecuritysignature» signe les communications SMB, si le client l accepte. Avec la valeur «1», les communications SMB sont signées. Ce paramètre assure l authentification mutuelle pour toutes les communications. L authentification mutuelle peut prévenir les attaques de l intercepteur et éliminer les détournements de session. Les systèmes anciens (c est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.39 Serveur réseau Microsoft : déconnecter les clients à l expiration du délai de la durée de la session machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4, 1 Le paramètre «enableforcedlogoff» détermine si un utilisateur connecté au réseau est déconnecté en dehors des heures de travail. Avec la valeur «1», l utilisateur est déconnecté en dehors des heures de travail. 70 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.40 Accès réseau : permet la traduction de noms/sid anonymes LSAAnonymousNameLookup = 0 Le paramètre «LSAAnonymousNameLookup» détermine si le système permet la traduction des noms/sid anonymes. Avec la valeur «0», le système n effectue aucune traduction noms/sid anonymes. Si ce paramètre est activé, l utilisateur pourrait employer un SID de compte bien connu pour obtenir les noms d utilisateurs dans le compte. Cette information pourrait ensuite servir pour craquer les mots de passe. 4.4.3.41 Accès réseau : ne pas autoriser l énumération anonyme des comptes SAM machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4, 1 Le paramètre «restrictanonymoussam» détermine si l énumération anonyme des comptes SAM est permise. La valeur «1» interdit l énumération anonyme des comptes SAM. L énumération mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposés. Une fois identifiés, ils peuvent faire l objet de tentatives de craquage de mots de passe. 4.4.3.42 Accès réseau : ne pas autoriser l énumération anonyme des comptes et partage SAM machine\system\currentcontrolset\control\lsa\restrictanonymous=4, 1 Le paramètre «restrictanonymous» détermine si l énumération anonyme des comptes et des partages SAM est autorisée. La valeur «1» interdit l énumération anonyme des comptes et des partages SAM. L énumération mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposés. Une fois identifiés, ils peuvent faire l objet de tentatives de craquage de mots de passe. 4.4.3.43 Accès réseau : Ne pas autoriser le stockage d informations d identification ou des passeports.net pour l authentification du réseau machine\system\currentcontrolset\control\lsa\disabledomaincreds=4, 1 Le paramètre «disabledomaincreds» détermine si les mots de passe, les informations d identification ou les passeports Microsoft.NET sont enregistrés après leur authentification de domaine initiale. Avec la valeur «1», ces données ne sont pas enregistrées. Fichiers de stratégie pour les serveurs Mars 2004 71
Non classifié ITSG pour Windows Server 2003 4.4.3.44 Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4, 0 Le paramètre «everyoneincludesanonymous» détermine quelles autorisations additionnelles sont accordées aux connexions anonymes à un ordinateur. Avec la valeur «0», aucune autorisation additionnelle n est accordée aux utilisateurs anonymes. Ainsi, les utilisateurs non authentifiés n héritent pas des droits du groupe Tout le monde (Everyone). 4.4.3.45 Accès réseau : canaux nommés qui sont accessibles de manière anonyme machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, Le paramètre «nullsessionpipes» détermine l accès anonyme aux canaux nommés. Une valeur nulle interdit l accès anonyme aux canaux nommés. De la sorte, l accès à tous les systèmes est autorisé. 4.4.3.46 Accès réseau : chemins de Registre accessibles à distance machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machi ne=7, Le paramètre «allowedexactpaths\machine» détermine quels chemins du Registre sont accessibles à distance, sur le réseau. La présente configuration de base n a aucune exigence pour ce qui est de l information accessible à distance. 4.4.3.47 Accès réseau : chemins et sous-chemins de Registre accessibles à distance machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, Le paramètre «allowedpaths\machine» détermine les chemins et sous-chemins du Registre qui peuvent être accessibles sur le réseau. La présente configuration de base ne présente aucune exigence pour ce qui est de l information du Registre accessible à distance. 4.4.3.48 Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4, 1 Le paramètre «restrictnullsessaccess» détermine si l accès anonyme aux canaux nommés et aux partages est autorisé. Le paramètre «1» interdit l accès anonyme aux canaux nommés et aux partages. L accès aux ressources dépend des autorisations pour ces ressources. Si l accès anonyme est accordé, il n y aura aucune possibilité d identifier qui accède aux objets. 72 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.49 Accès réseau : les partages qui sont accessibles de manière anonyme machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, Le paramètre «nullsessionshares» détermine quels partages sont accessibles de façon anonyme sur le réseau. Un paramètre vide interdit l accès anonyme à tout partage. Tous les accès au système devraient être autorisés. L accès anonyme empêche l autorisation nette des partages. 4.4.3.50 Accès réseau : modèle de partage et de sécurité pour les comptes locaux machine\system\currentcontrolset\control\lsa\forceguest=4, 0 Le paramètre «forceguest» détermine le modèle de partage et de sécurité pour les comptes locaux. Avec la valeur «0», l utilisateur doit être authentifié pour accéder au réseau. Cela permet l audit des accès individuels. 4.4.3.51 Sécurité réseau : ne pas stocker les valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe machine\system\currentcontrolset\control\lsa\nolmhash=4, 1 Le paramètre «nolmhash» détermine si la valeur de hachage du LAN Manager est enregistrée à la prochaine modification d un mot de passe. Avec la valeur «1», la valeur de hachage du LAN Manager n est pas enregistrée. Cela empêche le stockage local du mot de passe, qui pourrait être vulnérable aux attaques. REMARQUE : Dès que ce paramètre devient opérationnel, tous les mots de passe doivent être changés. 4.4.3.52 Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent ForceLogoffWhenHourExpire = 1 Le mot clé «ForceLogoffWhenHourExpire» détermine si les utilisateurs connectés localement sont déconnectés quand ils travaillent en dehors des heures définies. Avec la valeur «1», les utilisateurs sont déconnectés en dehors des heures définies. Les heures sont définies à l aide des paramètres «Computer Management», puis «Local Users and Groups». On devrait créer le compte avec des heures d accès restreintes. Nous recommandons que cette stratégie soit appliquée par la déconnexion en dehors des heures définies. 4.4.3.53 Sécurité réseau : niveau d authentification LAN Manager machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4, 5 Le paramètre «lmcompatibilitylevel» détermine le niveau d authentification du LAN Manager. Avec la valeur «5», seules les réponses NTLMv2 sont envoyées tandis que les réponses LM et NTLM sont refusées. Ce paramètre fait en sorte que seul le mécanisme d authentification le plus sûr est permis. Fichiers de stratégie pour les serveurs Mars 2004 73
Non classifié ITSG pour Windows Server 2003 4.4.3.54 Sécurité réseau : conditions requises pour la signature de clients LDAP machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4, 1 Le paramètre «ldapclientintegrity» détermine si le client LDAP négocie la signature pour communiquer avec les serveurs LDAP. Avec la valeur «2», la négociation de signature est requise. Cela réduit la menace d une attaque de l intercepteur. 4.4.3.55 Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4, 537395248 Le paramètre «ntlmminclientsec» détermine la sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé). La valeur «537395248» active toutes les options, comme cela est recommandé, ce qui requiert l intégrité des messages, la confidentialité, la sécurité de session NTLMv2 et le chiffrement 128 bits pour l ouverture de session. 4.4.3.56 Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4, 537395248 Le paramètre «ntlmminserversec» détermine la sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé). La valeur «537395248» active toutes les options, comme cela est recommandé, ce qui requiert l intégrité des messages, la confidentialité, la sécurité de session NTLMv2 et le chiffrement 128 bits pour l ouverture de session. 4.4.3.57 Console de récupération : autoriser l ouverture de session d administration automatique machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\securitylevel=4, 0 Le paramètre «securitylevel» détermine si la console de récupération requiert un mot de passe d administrateur pour ouvrir une session. Avec la valeur «0», un tel mot de passe est requis. Il n est pas recommandé d activer ce paramètre pour permettre à quiconque d arrêter un serveur. 4.4.3.58 Console de récupération : autoriser la copie de disquettes et l accès à tous les lecteurs et dossiers machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\setcommand=4, 0 Le paramètre «setcommand» détermine si la commande «SET» dans la console de récupération est disponible. La valeur «4» désactive la commande «SET» (p. ex., la copie sur des supports amovibles est désactivée). 74 Mars 2004 Fichiers de stratégie pour les serveurs
4.4.3.59 Arrêt : permettre au système d être arrêté sans avoir à se connecter machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4, 0 Le paramètre «shutdownwithoutlogon» détermine si le système peut être arrêté sans que l utilisateur n ait à se connecter. Avec la valeur «0», l utilisateur doit ouvrir une session, c est-à-dire se connecter. De la sorte, seuls les utilisateurs autorisés peuvent arrêter le système. 4.4.3.60 Arrêt : effacer le fichier d échange de mémoire virtuelle machine\system\currentcontrolset\control\sessionmanager\memory\management\clearpagefile atshutdown=4, 1 Le paramètre «clearpagefileatshutdown» détermine si le contenu du fichier d échange est écrasé quand l arrêt se fait sans problème. Avec la valeur «1», le fichier d échange est effacé quand l arrêt se fait normalement. De l information sensible sur le système et les utilisateurs peut être contenue dans le fichier d échange. En s assurant qu il est effacé, le risque que cette information tombe entre les mains d un attaquant est réduit. 4.4.3.61 Cryptographie système : forcer une protection forte des clés utilisateur enregistrées sur l'ordinateur machine\software\policies\microsoft\cryptography\forcekeyprotection=4, 2 Le paramètre «forcekeyprotection» détermine si les clés d utilisateur (p. ex., SMIME) requièrent un mot de passe chaque fois qu elles doivent être utilisées. Avec la valeur «2», il faut entrer un mot de passe chaque fois qu une clé privée est utilisée. Ainsi, une session qui requiert du matériel de chiffrement est utilisée avec le consentement du propriétaire. 4.4.3.62 Cryptographie système : utiliser des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4, 1 Le paramètre «fipsalgorithmpolicy» détermine si le fournisseur de sécurité TLS/SSL (Transport Layer Security / Secure Socket Layer) prend en charge seulement la série de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Avec la valeur «1», l utilisation de cette suite est requise. Au gouvernement fédéral, ce paramètre est requis pour tous les serveurs afin d assurer la conformité aux politiques en matière de cryptographie. 4.4.3.63 Objets système : propriétaire par défaut pour les objets créés par les membres du groupe Administrateurs machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4, 1 Le paramètre «nodefaultadminowner» détermine si les objets créés par les membres du groupe Administrateurs appartiennent au groupe ou au créateur de l objet. Avec la valeur «1», les objets appartiennent au créateur. Ainsi, les actions des administrateurs individuels peuvent être isolées et auditées. Fichiers de stratégie pour les serveurs Mars 2004 75
Non classifié ITSG pour Windows Server 2003 4.4.3.64 Objets système : les différences entre les majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4, 1 Le paramètre «obcaseinsensitive» détermine si la différence entre majuscules et minuscules est requise pour les sous-systèmes autres que Windows. Avec la valeur «1», la différence entre majuscules et minuscules n est pas prise en compte pour les sous-systèmes autres que Windows. Cela désactive la capacité des systèmes non Windows de créer des fichiers qui sont inaccessibles sur le système Windows. De plus, ce paramètre désactive la capacité de bloquer l accès à d autres fichiers portant un même nom, mais en majuscules. 4.4.3.65 Objets système : renforcer les autorisation par défaut des objets système internes (comme les liens de symboles) machine\system\currentcontrolset\control\session manager\protectionmode=4, 1 Le paramètre «protectionmode» détermine si les autorisations pour les objets système internes (p. ex., les liens de symbole) sont renforcées. La valeur «1» renforce la protection des objets système internes. Il permet aux utilisateurs autres que les administrateurs de voir les objets partagés qu ils n ont pas créés, mais non de les modifier. 4.4.3.66 Paramètres système : sous-systèmes optionnels machine\system\currentcontrolset\control\session manager\subsystems\optional=7, Le paramètre «optional» détermine quels sous-systèmes sont utilisés pour soutenir les applications. Un paramètre vide interdit tout système facultatif. L utilisation des sous-systèmes pourrait être justifiée selon les exigences opérationnelles. Aucun sous-système ne devrait être validé, sauf si on en a besoin. 4.4.3.67 Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4, 0 Le paramètre «authenticodeenabled» détermine l utilisation des règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle. Avec la valeur «0», aucune règle de certificat n est utilisée à l égard des exécutables Windows pour les stratégies de restriction logicielle. 4.5 Journaux des événements Le guide Microsoft indique que la taille totale de tous les journaux d événements ne devrait pas dépasser 300 Mo. Si cette valeur est dépassée, le système pourrait être incapable de journaliser les événements, ou encore il pourrait y avoir défaillance des journaux. Bien que l interface puisse permettre une taille des journaux atteignant 4 Go, on court le risque de perdre des entrées de journal si on dépasse les 300 Mo. La stratégie suivante utilise l espace disponible complet à affecter entre les différents journaux d événements. 76 Mars 2004 Fichiers de stratégie pour les serveurs
4.5.1 Taille des journaux 4.5.1.1 Taille maximale du journal des applications MaximumLogSize = 76800 (in [Application Log] section) Le paramètre «MaximumLogSize» détermine la taille du journal des événements Application. La valeur «76800» crée un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par événement, ce journal peu consigner plus de 153 000 événements. Cela permettra au système de fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversité des événements, nous recommandons de surveiller les fichiers journaux pendant la période opérationnelle initiale. 4.5.1.2 Taille maximale du journal de sécurité MaximumLogSize = 153600 (in [Security Log] section) Le paramètre «MaximumLogSize» détermine la taille du journal des événements Sécurité. La valeur «153600» crée un fichier journal de 153 600 Ko. Avec une moyenne de 500 octets par événement, ce journal peu consigner plus de 307 200 événements. Cela permettra au système de fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversité des événements, nous recommandons de surveiller les fichiers journaux pendant la période opérationnelle initiale. 4.5.1.3 Taille maximale du journal système MaximumLogSize = 76800 (in [System Log] section Le paramètre «MaximumLogSize» détermine la taille du journal des événements Système. La valeur «76800» crée un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par événement, ce journal peu consigner plus de 153 000 événements. Cela permettra au système de fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversité des événements, nous recommandons de surveiller les fichiers journaux pendant la période opérationnelle initiale. 4.5.2 Accès des invités 4.5.2.1 Empêcher les groupes d invités locaux d accéder aux journaux Application, Sécurité et Système RestrictGuestAccess = 1(in [Application Log] or [Security Log] or [System Log] section) Le paramètre «RestrictGuestAccess» détermine si les comptes ayant un accès de type «invité» peuvent accéder aux journaux. La vakeur «1» interdit aux invités d accéder aux journaux. L accès à l information contenue dans les journaux fournit à un attaquant potentiel de l information précieuse qui pourrait servir à monter une attaque contre le système ou les utilisateurs. Par conséquent, seuls les utilisateurs authentifiés ont accès aux journaux fichiers. Fichiers de stratégie pour les serveurs Mars 2004 77
Non classifié ITSG pour Windows Server 2003 4.5.3 Méthode de conservation 4.5.3.1 Méthode de conservation du journal des applications AuditLogRetentionPeriod = 2(in [Application Log] or [Security Log] or [System Log] section) Le paramètre «AuditLogRetentionPeriod» détermine le comportement du système quand le journal est plein. Avec la valeur «2», le système s arrête s il est impossible d écrire les événements dans le journal. L utilisation de ce paramètre devrait être conforme à la politique ministérielle sur la conservation des fichiers journaux. 4.6 Services du système Dans le présent guide, nous présentons de nombreux services qui sont désactivés. Nous justifions notre recommandation pour chaque service désactivé. Dans certains cas, une approche plus souple peut être requise. Il est important de noter qu un service désactivé peut n être requis qu à l occasion. Par exemple, le service Performance Logs and Alerts (Journaux et alertes de performance) est désactivé. Toutefois, pour un besoin temporaire, l administrateur pourrait activer ce service, régler un problème puis le désactiver à nouveau, c est-à-dire revenir à la configuration originale. 4.6.1 Services explicitement couverts par le guide Microsoft 4.6.1.1 Avertissement "alerter", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service avise les utilisateurs et les ordinateurs sélectionnés des avertissements administratifs. La présente stratégie désactive ce service. 4.6.1.2 Service de la passerelle de la couche Application "alg", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service est une sous-composante du service Internet Connection Sharing (ICS) / Internet Connection Firewall (ICF) (Partage de connexion Internet (ICS) / Pare-feu de connexion Internet (ICS)). La présente stratégie désactive ce service. 78 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.3 Gestion d applications "appmgmt", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service fournit des services d installation de logiciels. La présente stratégie désactive ce service. 4.6.1.4 Service d état ASP de.net "aspnet_state", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service prend en charge les états de session hors processus ASP de.net. La présente stratégie désactive ce service. 4.6.1.5 Mises à jour automatiques "wuauserv", 4, R Ce service active le téléchargement et l installation automatique des mises à jour logicielles. La présente stratégie désactive ce service. 4.6.1.6 Service de transfert intelligent en arrière-plan "bits", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service sert à transférer les fichiers en mode asynchrone entre un client et un serveur http. La présente stratégie désactive ce service. 4.6.1.7 Services de certificat "certsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service exécute les fonctions de base pour une autorité de certification. La présente stratégie désactive ce service. Fichiers de stratégie pour les serveurs Mars 2004 79
Non classifié ITSG pour Windows Server 2003 4.6.1.8 Fournisseur de clichés instantanés des logiciels MS "swprv", 3, R Ce service prend en charge la création de clichés instantanés de fichiers, servant aux sauvegardes système. Dans la présente stratégie, le démarrage est en mode manuel pour ce service. 4.6.1.9 Service client pour Netware "nwcworkstation", 4, R Ce service assure l accès aux fichiers et imprimantes sur les réseaux NetWare. La présente stratégie désactive ce service. 4.6.1.10 Gestionnaire de l Album "clipsrv", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service crée et partage des «pages» de données qui peuvent être affichées par des utilisateurs distants. La présente stratégie désactive ce service. 4.6.1.11 Service de cluster "clussvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service prend en charge les regroupements de membres dans un environnement grande disponibilité (cluster). Ce service est désactivé. 4.6.1.12 Système d événements de COM+ "eventsystem", 3, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service élargit le modèle de programmation COM+. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 80 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.13 Application système COM+ "comsysapp", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service gère la configuration et le suivi des composants de base COM+. Ce service est désactivé. 4.6.1.14 Explorateur d ordinateurs Ce service tient à jour une liste des ordinateurs présents sur votre réseau. 4.6.1.14.1 Base de membres du domaine "browser", 2, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.14.2 Base de membres du groupe de travail "browser", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.15 Services de cryptographie "cryptsvc", 2, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure la gestion des clés pour l ordinateur. Dans la présente stratégie, ce service démarre automatiquement au démarrage. 4.6.1.16 Client DHCP Ce service inscrit et met à jour les adresses des serveurs DHCP et DNS dans le domaine. 4.6.1.16.1 Base de membres du domaine "dhcp", 2, Fichiers de stratégie pour les serveurs Mars 2004 81
Non classifié ITSG pour Windows Server 2003 RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, ce service démarre automatiquement au démarrage. 4.6.1.16.2 Base de membres du groupe de travail "dhcp", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.17 Serveur DHCP "dhcpserver", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service alloue les adresses IP. Ce service est désactivé. 4.6.1.18 Système de fichiers distribués "dfs", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD) Ce service gère les volumes locaux sur les réseaux locaux ou étendus. Ce service est désactivé. 4.6.1.19 Client de suivi de lien distribué "trkwks", 4, R Ce service fait en sorte que les raccourcis (entre autres objets) fonctionnent après que la cible a été retirée. Ce service est désactivé. 4.6.1.20 Serveur de suivi de lien distribué "trksvr", 4, R Ce service enregistre de l information de sorte que les fichiers transférés entre des volumes puissent être suivis. Ce service est désactivé. 82 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.21 Coordinateur de transactions distribuées) "msdtc", 4, R Ce service coordonne les transactions qui seront distribuées sur plusieurs systèmes informatiques ou gestionnaires de ressources. Ce service est désactivé. 4.6.1.22 Client DNS Ce service résout et met en cache les noms DNS. 4.6.1.22.1 Serveur de membres de domaine "dnscache", 2, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.22.2 Serveur de membres d un groupe de travail "dnscache", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.23 Serveur DNS "dns", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service répond aux demandes de renseignements au sujet des noms DNS. Ce service est désactivé. 4.6.1.24 Error Reporting Service (Service de rapports d erreurs) "ersvc", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service recueille, enregistre et active les rapports d erreurs pour les fermetures d applications imprévues dans Microsoft. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 83
Non classifié ITSG pour Windows Server 2003 4.6.1.25 Journal des événements "eventlog", 2, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service active les messages d événements devant être affichés. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.26 Service de télécopie "fax", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service offre des fonctionnalités de télécopie. Ce service est désactivé. 4.6.1.27 Réplication de fichiers "ntfrs", 4, R Ce service copie et maintient automatiquement les fichiers sur les serveurs multiples. Ce service est désactivé. 4.6.1.28 Serveur de fichiers pour Macintosh "macfile", 4, R Ce service assure l accès aux fichiers sur le réseau pour les ordinateurs Macintosh. Ce service est désactivé. 4.6.1.29 Service de publication FTP "msftpsvc", 4, R Ce service assure la connectivité et l administration par l intermédiaire du jeu d outils intégrables IIS. Ce service est désactivé. 84 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.30 Aide et support "helpsvc", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet à l application Aide et support de fonctionner sur l ordinateur. Ce service est désactivé. 4.6.1.31 HTTP SSL "httpfilter", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure des fonctions SSL au service IIS. Ce service est désactivé. 4.6.1.32 Accès du périphérique d interface utilisateur "hidserv", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet l utilisation de boutons actifs prédéfinis sur le clavier. Ce service est désactivé. 4.6.1.33 Accès à la base de données IAS Jet "iasjet", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service utilise le service RADIUS pour assurer des services d authentification, d autorisation et de comptabilité. Ce service est désactivé. 4.6.1.34 Service d administration IIS "iisadmin", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet l administration des composantes IIS. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 85
Non classifié ITSG pour Windows Server 2003 4.6.1.35 Service COM de gravage de CD IMAPI "imapiservice", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service gère le gravage des CD-ROM. Ce service est désactivé. 4.6.1.36 Service d indexation "cisvc", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service indexe le contenu et les propriétés des fichiers. Ce service est désactivé. 4.6.1.37 Moniteur infrarouge "irmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service active le partage de fichiers et d images par l intermédiaire de dispositifs infrarouges. Ce service est désactivé. 4.6.1.38 Service d authentification Internet "ias", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service gère les fonctions d authentification, d autorisation et de comptabilité réseau. Ce service est désactivé. 4.6.1.39 Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS) "sharedaccess", 4, R Ce service fournit les services Internet pour des petits réseaux locaux. Ce service est désactivé. 86 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.40 Messagerie inter-sites "ismserv", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service sert aux fonctionnalités de réplication basées sur la messagerie électronique. Ce service est désactivé. 4.6.1.41 Service d aide IP Version 6 "6to4", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service offre la connectivité IPV6 sur un réseau IPV4. Ce service est désactivé. 4.6.1.42 Agent de stratégie IPSEC (Service IPSec) "policyagent", 2, R Ce service assure des services de chiffrement à tous les clients et serveurs sur le réseau. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.43 Centre de distribution de clés Kerberos "kdc", 4, R Ce service permet l ouverture de session utilisateur à l aide du protocole d authentification Kerberos v5. Ce service est désactivé. 4.6.1.44 Service d enregistrement de licences "licenseservice", 4, R Ce service enregistre l information sur les licences d accès des clients. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 87
Non classifié ITSG pour Windows Server 2003 4.6.1.45 Gestionnaire de disque logique "dmserver", 3, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service détecte tous les nouveaux disques durs et transmet l information sur les volumes de disque au service d administration du Gestionnaire de disque logique. Dans la présente stratégie, le démarrage de ce service se fait manuellement. 4.6.1.46 Service d administration du Gestionnaire de disque logique "dmadmin", 3, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service traite les demandes de gestion de disque. Dans la présente stratégie, le démarrage de ce service se fait manuellement. 4.6.1.47 Message Queuing "msmq", 4, R Ce service offre une infrastructure et les outils de développement pour créer des applications de messagerie distribuée. Ce service est désactivé. 4.6.1.48 Clients Message Queuing de niveau inférieur "mqds", 4, R Ce service fournit un accès à l Active Directory, pour les clients Message Queuing. Ce service est désactivé. 4.6.1.49 Déclencheurs Message Queuing "mqtgsvc", 4, R Ce service assure l analyse, basée sur des règles, des messages qui arrivent dans la file d attente des messages. Ce service est désactivé. 88 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.50 Affichage des messages "messenger", 4, R Ce service transmet les messages du service Avertissement entre les clients et les serveurs. Ce service est désactivé. 4.6.1.51 Service POP3 Microsoft "pop3svc", 4, R Ce service assure le transfert et la récupération des courriels. Ce service est désactivé. 4.6.1.52 MSSQL$UDDI "mssql$uddi", 4, R Ce service publie et trouve l information au sujet des services Web. Ce service est désactivé. 4.6.1.53 MSSQLServerADHelper "mssqlserver", 4, R Ce service assure les fonctionnalités SQL à un serveur. Ce service est désactivé. 4.6.1.54.NET Framework Support Service (Service de soutien de.net Framework) "corrtsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service avise un client abonné quand un processus spécifique initialise le service Client Runtime (Exécution cliente). Ce service est désactivé. 4.6.1.55 Netlogon Ce service authentifie les utilisateurs et les services. Fichiers de stratégie pour les serveurs Mars 2004 89
Non classifié ITSG pour Windows Server 2003 4.6.1.56 Serveur de membres de domaine "netlogon", 2, R Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.57 Serveur de membres de groupe de travail "netlogon", 4, R Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.58 Partage de bureau à distance NetMeeting "mnmsrvc", 4, R Ce service permet l accès à un système à l aide de NetMeeting. Ce service est désactivé. 4.6.1.59 Connexions réseau "netman", 3, R Ce service gère les objets dans le dossier Network Connections (Connexions réseau). Dans la présente stratégie, le démarrage de ce service se fait manuellement. Ce service démarrera automatiquement quand l interface Network Connections est appelée. 4.6.1.60 DDE réseau "netdde", 4, R Ce service assure le transport réseau et la sécurité pour le service DDE. Ce service est désactivé. 4.6.1.61 DSDM DDE réseau "netddedsdm", 4, R Ce service gère les partages de réseau DDE. Ce service est désactivé. 90 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.62 NLA (Network Location Awareness) "nla", 4, R Ce service recueille et stocke de l information sur le réseau. Ce service est désactivé. 4.6.1.63 Protocole NNTP "nntpsvc", 4, R Ce service fournit des fonctionnalités de serveur de nouvelles. Ce service est désactivé. 4.6.1.64 Fournisseur de la prise en charge de sécurité LM NT "ntlmssp", 4, R Ce service assure la sécurité aux programmes RPC. Cela permet aux utilisateurs d ouvrir une session en utilisant l authentification NT LM au lieu de Kerberos. Ce service est désactivé. 4.6.1.65 Journaux et alertes de performance "sysmonlog", 4, R Ce service recueille des données sur la performance. Ce service est désactivé. 4.6.1.66 Plug and Play "plugplay", 4, R Ce service permet à l ordinateur d adapter les modifications de configuration de matériel avec une intervention minimale de l utilisateur. Ce service est désactivé. 4.6.1.67 Portable Media Serial Number (Numéro de série de périphérique portable) "wmdmpmsn", 4, R Ce service récupère les numéros de série pour tous lecteurs de musique portables connectés au système. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 91
Non classifié ITSG pour Windows Server 2003 4.6.1.68 Serveur d impression pour Macintosh "macprint", 4, R Ce service assure l accès d impression réseau aux ordinateurs Macintosh. Ce service est désactivé. 4.6.1.69 Spouleur d impression "spooler", 4, R Ce service gère les files d attente d impression locales et réseau et contrôle tous les travaux d impression. Ce service est désactivé. 4.6.1.70 Emplacement protégé "protectedstorage", 2, R Ce service fournit un stockage protégé, afin d empêcher l accès par des services, des processus ou des utilisateurs non autorisés. Dans la présente stratégie, ce service démarre automatiquement au démarrage. 4.6.1.71 Gestionnaire de connexion automatique d accès distant "rasauto", 4, R Ce service détecte les tentatives infructueuses de connexion à un ordinateur ou un réseau distant. Il constitue une méthode de remplacement pour la connexion. Ce service est désactivé. 4.6.1.72 Remote Access Connection Manager (Gestionnaire de connexion d accès distant) "rasman", 4, R Ce service gère les connexions commutées et RPV avec un serveur. Ce service est désactivé. 92 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.73 Service d administration à distance "srvcsurg", 4, R Ce service assure une interface aux outils d administration de serveurs à distance. Ce service est désactivé. 4.6.1.74 Gestionnaire de session d aide sur le Bureau à distance "rdsessmgr", 4, R Ce service contrôle la fonction d aide à distance dans l application Help and Support Center (Centre d aide et de support). Ce service est désactivé. 4.6.1.75 Installation à distance "binlsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service est une fonction de déploiement Windows. Ce service est désactivé. 4.6.1.76 Appel de procédure distante (RPC) "rpcss", 2, R Ce service est un mécanisme de communication interprocessus sécurisé. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.77 Localisateur d appels de procédure distante (RPC) "rpclocator", 4, R Ce service permet aux clients RPC de localiser les serveurs RPC. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 93
Non classifié ITSG pour Windows Server 2003 4.6.1.78 Service d accès à distance au Registre "remoteregistry", 4, R Ce service permet aux utilisateurs distants de modifier les paramètres du Registre sur le système. Ce service est désactivé. 4.6.1.79 Gestionnaire de serveur à distance "appmgr", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service fonctionne comme fournisseur d instances WMI (Windows Management Instrumentation) pour les Objets d avertissement d administration à distance (Remote Administration Alert Objects). Il agit également comme fournisseur de méthode WMI pour les tâches d administration à distance. Ce service est désactivé. 4.6.1.80 Remote Server Monitor (Moniteur de serveur à distance) "appmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service assure des fonctionnalités de surveillance des ressources sur les systèmes gérés à distance. Ce service est désactivé. 4.6.1.81 Service de notification de stockage étendu "remote_storage_user_link", 4, R Ce service avise un utilisateur quand il accède à des données sur des unités de stockage secondaires. Ce service est désactivé. 4.6.1.82 Serveur de stockage étendu "remote_storage_server", 4, R Le serveur Remote Storage Server contient les fichiers peu utilisés dans des unités de stockage secondaires. Ce service est désactivé. 94 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.83 Stockage amovible "ntmssvc", 4, R Ce service maintient un catalogue d information au sujet des supports amovibles utilisés par le système. Ce service est désactivé. 4.6.1.84 Fournisseur d un jeu de stratégies résultant "rsopprov", 4, R Ce service simule la stratégie de sécurité afin d en déterminer les effets. Ce service est désactivé. 4.6.1.85 Routage et accès distant "remoteaccess", 4, R Ce service assure des services de routage multiprotocoles LAN-LAN, LAN-WAN et NAT. Ce service est désactivé. 4.6.1.86 Agent SAP "nwsapagent", 4, R Ce service annonce les services sur un réseau IPX. Ce service est désactivé. 4.6.1.87 Ouverture de session secondaire "seclogon", 4, R Ce service permet aux utilisateurs de créer des processus dans des contextes de sécurité différents. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 95
Non classifié ITSG pour Windows Server 2003 4.6.1.88 Gestionnaire de comptes de sécurité "samss", 2, R Ce service gère des informations de sécurité pour les comptes utilisateur et les groupes. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.89 Serveur "lanmanserver", 4, R Ce service assure divers soutiens sur le réseau (RPC, fichier, impression et canaux nommés). Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.90 Détection matériel noyau "shellhwdetection", 4, R Ce service surveille et offre des modifications pour les événements matériel de lecture automatique. Ce service est désactivé. 4.6.1.91 Protocole SMTP "smtpsvc", 4, R Ce service transporte le courrier électronique sur le réseau. Ce service est désactivé. 4.6.1.92 Services TCP/IP simplifiés "simptcp", 4, R Ces services offrent divers protocoles. Ce service est désactivé. Les services configurés sont les suivants : Echo Port 7 Discard Port 9 Character Generator Port 19 Daytime Port 13 Quote of the day Port 17 96 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.93 Agent stockage d instance unique "groveler", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service soutient le service d installation à distance. Ce service est désactivé. 4.6.1.94 Carte à puce "scardsvr", 4, R Ce service gère l accès aux lecteurs de carte à puce. Ce service est désactivé. 4.6.1.95 Service SNMP "snmp", 4, R Ce service permet aux demandes SNMP entrantes d être traitées par le système. Ce service est désactivé. 4.6.1.96 Service d interruption SNMP "snmptrap", 4, R Ce service reçoit les messages d interruption générés par les agents SNMP. Ce service est désactivé. 4.6.1.97 Application d assistance de la Console d administration spéciale "sacsvr", 4, R Ce service exécute des tâches de gestion à distance. Ce service est désactivé. 4.6.1.98 SQLAgent$* (*UDDI ou WebDB) "sqlagent$webdb", 4, R Ce service surveille et ordonnance les travaux. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 97
Non classifié ITSG pour Windows Server 2003 4.6.1.99 Notification d événements système "sens", 2, R Ce service assure des services de surveillance et de suivi des événements système. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.100 Planificateur de tâches "schedule", 4, R Ce service permet de configurer et de planifier les tâches automatisées sur le système. Ce service est désactivé. 4.6.1.101 Service d assistance TCP/IP NetBIOS Ce service offre un soutien pour le NetBIOS sur les protocoles TCP/IP. Ce service est requis pour les membres d un domaine. 4.6.1.101.1 Serveur de membres de domaine "lmhosts", 2, R Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.101.2 Serveur de membres de groupe de travail "lmhosts", 4, R Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.102 Serveur d impression TCP/IP "lpdsvc", 4, R Ce service active l impression à partir de TCP/IP. Ce service est désactivé. 98 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.103 Téléphonie "tapisrv", 4, R Ce service offre un soutien pour les programmes qui contrôlent la téléphonie et les dispositifs voix basés sur le protocole IP. Ce service est désactivé. 4.6.1.104 Telnet "tlntsvr", 4, R Ce service assure des sessions de terminal ASCII aux clients telnet. Ce service est désactivé. 4.6.1.105 Services Terminal Server "termservice", 4, R Ces services permettent aux utilisateurs d accéder à une session sur poste de travail Windows virtuel. Ce service est désactivé. 4.6.1.106 Gestionnaire de licences Terminal Server "termservlicensing", 4, R Ce service fournit des licences de clients enregistrés quand ceux-ci se connectent à un serveur Terminal Server. Ce service est désactivé. 4.6.1.107 Répertoire des sessions Terminal Server "tssdis", 4, R Ce service offre un environnement multisession qui permet l accès à un poste de travail Windows virtuel. Ce service est désactivé. Fichiers de stratégie pour les serveurs Mars 2004 99
Non classifié ITSG pour Windows Server 2003 4.6.1.108 Thèmes "themes", 4, R Ce service gère les thèmes. Ce service est désactivé. 4.6.1.109 Service Trivial FTP "tftpd", 4, R Ce service est un protocole de transfert de fichiers qui ne requiert pas d authentification. Ce service est désactivé. 4.6.1.110 Onduleur (UPS) "ups", 4, R Ce service gère un bloc d alimentation sans coupure. Ce service est désactivé. 4.6.1.111 Gestionnaire de téléchargement "uploadmgr", 4, R Ce service gère les transferts de fichiers entre les clients et les serveurs. Les données du pilote sont téléchargées, en mode anonyme, d un ordinateur client à Microsoft. Ce service est désactivé. 4.6.1.112 Service de disque virtuel "vds", 4, R Ce service assure une interface unique pour gérer la visualisation du stockage en bloc. Ce service est désactivé. 100 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.113 Cliché instantané de volume "vss", 3, R Ce service gère et applique les clichés instantanés de volume utilisés pour les sauvegardes. Dans la présente stratégie, le démarrage de ce service se fait manuellement. 4.6.1.114 WebClient "webclient", 4, R Ce service permet aux applications Win32 d accéder aux documents sur Internet. Ce service est désactivé. 4.6.1.115 Gestionnaire d élément Web "elementmgr", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service offre des éléments d interface utilisateur Web pour le site Web d administration sur le port 8098. Ce service est désactivé. 4.6.1.116 Service Audio Windows "audiosrv", 4, RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure les fonctionnalités de soutien pour le son. Ce service est désactivé. 4.6.1.117 Acquisition d images Windows (WIA) "stisvc", 4, R Ce service prend en charge les numériseurs et les caméras. Ce service est désactivé. 4.6.1.118 Windows Installer Ce service gère l installation et la suppression des applications. Fichiers de stratégie pour les serveurs Mars 2004 101
Non classifié ITSG pour Windows Server 2003 4.6.1.118.1 Serveur de membres de domaine "msiserver", 2, R Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.118.2 Serveur de membres de groupe "msiserver", 4, R Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.119 Service WINS "wins", 4, R Ce service permet de résoudre les noms NetBIOS. Ce service est désactivé. 4.6.1.120 Infrastructure de gestion Windows "winmgmt", 2, R Ce service offre une interface commune pour accéder à l information de gestion. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.121 Extensions du pilote WMI "wmi", 4, R Ce service surveille tous les pilotes et les fournisseurs de traces d événements qui publient des données WMI ou de l information sur les traces d événements. Ce service est désactivé. 4.6.1.122 Services Windows Media "wmserver", 4, R Ces services assurent la transmission multimédia en continu sur les réseaux IP. Ce service est désactivé. 102 Mars 2004 Fichiers de stratégie pour les serveurs
4.6.1.123 Gestionnaire de ressources système Windows "windowssystemresourcemanager", 4, R Ce service est un outil qui aide les clients à déployer leurs applications. Ce service est désactivé. 4.6.1.124 Service de temps Windows "w32time", 2, R Ce service assure la synchronisation des dates et des heures. Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.125 Service de découverte automatique de Proxy Web pour les services HTTP Windows "winhttpautoproxysvc", 4, R Ce service met en place le protocole WPAD (découverte automatique de Proxy Web). Ce protocole WPAD est un service client HTTP qui localise les serveurs proxy. Ce service est désactivé. 4.6.1.126 Configuration sans fil "wzcsvc", 4, R Ce service assure la configuration automatique des adaptateurs sans fil IEEE 802.11. Ce service est désactivé. 4.6.1.127 Carte de performance WMI "wmiapsrv", 4, R Ce service fournit de l information sur les bibliothèques de performance. Ce service est désactivé. 4.6.1.128 Station de travail Ce service crée et maintient les connexions avec les réseaux clients. Fichiers de stratégie pour les serveurs Mars 2004 103
Non classifié ITSG pour Windows Server 2003 4.6.1.128.1 Serveur de membres de domaine "lanmanworkstation", 2, R Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows. 4.6.1.128.2 Serveur de membres de groupe "lanmanworkstation", 4, R Dans la présente stratégie, le démarrage de ce service est désactivé. 4.6.1.129 Service de publication World Wide Web "w3svc", 4, R Ce service assure la connectivité et l administration Web par l intermédiaire du module IIS. Ce service est désactivé. 4.6.2 Services non expressément couverts dans le guide Microsoft Les entrées de service suivantes dans le fichier de stratégie ne sont pas représentées dans l interface GUI. "fastuserswitchingcompatibility", 4, R Le service «fastuserswitchingcompatibility» n est pas une exigence de base d un serveur Windows 2003. Ce service est désactivé. "mssql$webdb", 4, R Le service MSSQL$webdb est utilisé pour publier et localiser l information au sujet des services Web. Ce service est désactivé. "mssqlserveradhelper", 4, R Le service MSSQLServerADHelper permet à un serveur SQL et aux SQL Server Analysis Services de publier de l information dans l Active Directory. Ce service est désactivé. 104 Mars 2004 Fichiers de stratégie pour les serveurs
"saldm", 4, R Le service «saldm» n est pas une exigence de base pour un serveur Windows 2003. Ce service est désactivé. "sptimer", 4, R Le service «sptimer» n est pas une exigence de base pour un serveur Windows 2003. Ce service est désactivé. "sqlserveragent", 4, R Le service «sqlserveragent» n est pas une exigence de base pour un serveur Windows 2003. Ce service est désactivé. "winsip", 4, R Ce service n est pas une exigence de base pour un serveur de haute sécurité. Ce service est désactivé. 4.7 Paramètres de sécurité additionnels Les paramètres suivants figurent dans le fichier de stratégie et sont organisés de la même manière que dans le guide de sécurité de Windows Server 2003. Bien que ces paramètres influent sur le contenu du Registre, ils ne figurent pas dans la section Registry de l interface GUI des stratégies. 4.7.1 Paramètres de sécurité pour contrer les attaques réseau 4.7.1.1 EnableICMPRedirect machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4, 0 Avec le paramètre «enableicmpredirect», le protocole TCP recherche les routes des hôtes. Cette valeur outrepasse les routes générées par OSPF. La valeur «0» désactive cette fonctionnalité. Si celle-ci est activée, un délai d inactivité de 10 minutes rend le système non disponible pour le réseau. Avec la désactivation, le système emploie le routage OSPF. Fichiers de stratégie pour les serveurs Mars 2004 105
Non classifié ITSG pour Windows Server 2003 4.7.1.2 SynAttackProtect machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4, 1 Le paramètre «synattackprotect» ajuste la retransmission des messages SYN-ACK. Avec la valeur «1», la connexion se termine plus rapidement si une attaque SYN-ATTACK est détectée. Cette vur réduit les efforts alloués à des connexions sans réponse. 4.7.1.3 EnableDeadGWDetect machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4, 0 Le paramètre «enabledeadgwdetect» permet la redirection par le TCP vers une passerelle d appoint. La valeur «0» désactive cette capacité. Si un système détecte les difficultés sur un réseau, il passera automatiquement à une passerelle différente. Cela peut causer le cheminement non souhaité de paquets sur des réseaux jugés non fiables. 4.7.1.4 EnablePMTUDiscovery machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4, 0 Le paramètre «enablepmtudiscovery» détermine si le protocole TCP recherche automatiquement l unité de transmission maximale (MTU maximum transmission unit) ou la taille de paquets la plus grande vers un hôte distant. Avec la valeur «0», une taille fixe de paquets sera utilisée pour toutes les connexions avec les hôtes distants. Si ce paramètre est activé, un attaquant pourrait forcer la transmission de paquets de très petite taille. Cela pourrait accroître grandement la charge du réseau. Cela pourrait également créer une condition de déni de service. 4.7.1.5 KeepAliveTime machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4, 300000 Le paramètre «keepalivetime» détermine combien de fois le protocole TCP vérifie si une connexion inutile est intacte. La valeur «300,000» (5 minutes) est suffisamment brève pour assurer une certaine défense contre les conditions de déni de service. Ce paramètre offre la possibilité de récupérer des ressources à partir de connexions sans réponse. 4.7.1.6 DisableIPSourceRouting machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4, 2 Le paramètre «disableipsourcerouting» détermine si l expéditeur d un paquet TCP peut dicter la route. La valeur «2» désactive cette possibilité. En choisissant les routes des paquets, un attaquant peut masquer l endroit où il se trouve sur le réseau. 106 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.1.7 TcpMaxConnectResponseRetransmissions machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmi ssions=4, 2 Le paramètre «tcpmaxconnectresponseretransmissions» détermine le nombre de tentatives de retransmission, par le protocole TCP, d un paquet SYN, avant qu il abandonne. La valeur «2» limite la possibilité d une attaque par déni de service, sans perturber les utilisateurs normaux. Cette valeur réduit les efforts alloués aux connexions sans réponse. 4.7.1.8 TcpMaxDataRetransmissions machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4, 3 Le paramètre «tcpmaxdataretransmissions» détermine le nombre de fois que les données sans accusé de réception sont retransmises avant la déconnexion. La valeur «3» réduit le succès d une attaque par déni de service, parce que l on réduit les efforts alloués aux connexions sans réponse. 4.7.1.9 PerformRouterDiscovery machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4, 0 Le paramètre «performrouterdiscovery» contrôle l utilisation du protocole Internet Router Discovery. La valeur «0» désactive la fonction de découverte et force l utilisation de routeurs connus. Si le système utilise la fonction de découverte des routeurs, un attaquant pourrait rediriger les paquets vers une autre destination. 4.7.1.10 TCPMaxPortsExhausted machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4, 5 Le paramètre «tcpmaxportsexhausted» contrôle le point à partir duquel la protection SYN-ATTACK débute. Avec la valeur «5», la protection débute après cinq échecs. C est la norme Microsoft pour les protocoles TCP/IP. Cette valeur offre un compromis entre performance et sécurité. 4.7.1.11 TCPMaxHalfOpen machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 Le paramètre «tcpmaxhalfopen» détermine le nombre de connexions dans la table d état SYN, avant que la protection contre les attaques SYN ne débute4. Avec la valeur «100», la protection contre les attaques SYN débute quand la table d état atteint 100 connexions. Fichiers de stratégie pour les serveurs Mars 2004 107
Non classifié ITSG pour Windows Server 2003 4.7.1.12 TCPMaxHalfOpenRetired machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 Le paramètre «tcpmaxhalfopenretired» détermine combien de connexions le serveur peut maintenir dans l état semi-ouvert. Avec la valeur «80», la protection contre les attaques SYN débute quand la table d état atteint 80 connexions. 4.7.1.13 NoNameReleaseOnDemand (TCP/IP) machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 Le paramètre «nonamereleaseondemand» détermine si le système transmettra son nom NetBIOS à un autre ordinateur, sur demande. La valeur «1» empêche la divulgation de l information NetBIOS. 4.7.2 Paramètres AFD.SYS 4.7.2.1 DynamicBacklogGrowthDelta machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4, 10 Le paramètre «dynamicbackloggrowthdelta» détermine le nombre de connexions libres pouvant être créées, lorsque cela est jugé nécessaire. Avec la valeur «10», 10 connexions libres additionnelles peuvent être créées. Cette valeur 1assure que les ressources additionnelles ne sont pas appliquées trop rapidement, évitant ainsi une condition potentielle de déni de service. 4.7.2.2 EnableDynamicBacklog machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4, 1 Le paramètre «enabledynamicbacklog» active les arriérés dynamiques. La valeur «1» active les arriérés. De la sorte, le système gère les ressources des ports d une manière qui atténue les attaques par déni de service. 4.7.2.3 MinimumDynamicBacklog machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4, 20 Le paramètre «minimumdynamicbacklog» contrôle le nombre minimal de ports libres sur un point terminal d écoute. Avec la valeur «20», le système peut créer plus de ports s il y en a moins que 20 disponibles. Ce paramètre vise à assurer que les ressources sont disponibles et limite la menace d une condition de déni de services. 108 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.2.4 MaximumDynamicBacklog machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4, 20000 Le paramètre «maximumdynamicbacklog» contrôle le nombre de connexions «quasi libres» autorisées sur un point terminal d écoute. La valeur «20,000» est recommandée pour atténuer les attaques par déni de service. Cette valeur réduit les ressources allouées aux connexions incomplètes. Si le nombre de ports libres additionnels créés dépasse la valeur, le système ne pourrait maintenir les sessions additionnelles. 4.7.3 Autres paramètres touchant la sécurité 4.7.3.1 NoNameReleaseOnDemand (NetBIOS) machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4, 1 Le paramètre «nonamereleaseondemand» détermine si un système fournit son nom NetBIOS sur demande de nom. La valeur «1» empêche qu un système ne divulgue son nom NetBIOS, autres qu aux serveurs WINS. Cela réduit l information que le système pourrait fournir à un utilisateur non autorisé. 4.7.3.2 Désactiver la génération de noms de fichier au format 8.3 machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4, 1 Le paramètre «ntfsdisable8dot3namecreation» détermine si le système générera des noms de fichier au format 8.3. La valeur «1» empêche les noms de fichier dans le format 8.3. La production de noms de fichier au format 8.3 facilite la tâche d un attaquant qui opère par recherche de noms. En désactivant ce paramètre, on s assure que seul le nom complet d un fichier est utilisé pour y accéder. 4.7.3.3 NoDriveTypeAutoRun machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,2 55 Le paramètre «nodrivetypeautorun» détermine si l exécution automatique est activée pour les lecteurs connectés. La valeur «255» désactive l exécution automatique pour tous les lecteurs sur le système. Cela permet de s assurer que les utilisateurs privilégiés n exécutent pas de logiciels non approuvés. Sans cette restriction, des logiciels non approuvés pourraient s exécuter de manière inopinée. Fichiers de stratégie pour les serveurs Mars 2004 109
Non classifié ITSG pour Windows Server 2003 4.7.3.4 Durée en secondes avant que la période de grâce de l écran de veille n expire (0 recommandée) machine\system\software\microsoft\windowsnt\currentversion\winlogon\screensavergraceperi od=4, 0 Le paramètre «screensavergraceperiod» détermine la durée (en secondes) avant d appliquer le mot de passe de l écran de veille. La valeur «0» applique le verrouillage du mot de passe sans délai. Cela assure un verrouillage immédiat quand le seuil d inactivité est atteint. 4.7.3.5 Niveau d avertissement machine\system\currentcontrolset\services\eventlog\security\warninglevel=4, 90 Le paramètre «warninglevel» détermine le nombre maximal de journalisations de sécurité avant qu un événement de type avertissement ne soit déclenché. Avec la valeur «90», un avertissement est déclenché quand le journal Sécurité atteint 90 % de sa capacité. Cela donne suffisamment de temps pour remettre à zéro le journal et déterminer les causes de l avertissement. 4.7.3.6 Activer le mode de recherche DLL sûr (recommandé) machine\system\currentcontrolset\control\session manager\safedllsearchmode=4, 1 Le paramètre «safedllsearchmode» détermine l ordre de recherche des fichiers DLL. Avec la valeur «1», le système recherche d abord dans le PATH, puis dans le dossier courant. Avec cet ordre, les fichiers dans le dossier courant ne s exécutent pas à la place des fichiers dans le PATH de l utilisateur. 4.7.3.7 Désactiver l exécution automatique des CD-ROM machine\system\currentcontrolset\control\services\cdrom\autorun=4, 1 Le paramètre «Disable Autorun on CD-Rom» empêche l exécution automatique des programmes dès l insertion du CD-ROM. La valeur «1» désactive la fonction d exécution automatique. Cela permet de réduire la menace d une infection par codes malveillant par l intermédiaire du CD-ROM. 4.7.3.8 Désactiver les partages administratifs machine\system\currentcontrolset\control\services\lanmanserver\parameters\autoshareserv er=4, 0 Le paramètre «AutoShareServer» détermine si les disques ont des partages administratifs. La valeur «0» désactive les partages administratifs. 110 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.3.9 Désactiver DCOM machine\software\microsoft\ole\enabledcom=4, 0 Le paramètre «EnableDCOM» détermine si le DCOM est actif. La valeur «0» désactive la fonctionnalité DCOM. 4.7.4 Activités manuelles Les éléments suivants ne peuvent pas être automatisés. Ils doivent être configurés manuellement. REMARQUE : Pour les éléments 4.7.4.1 à 4.7.4.3, utilisez la procédure suivante pour atteindre le niveau «Computer Configuration», soit dans la console MMC (pour le serveur de groupe de travail), soit dans l Active Directory (pour le serveur de domaine). Pour un serveur de Domaine, procédez comme suit : 1. Ouvrez Active Directory. 2. Cliquez à droite sur l unité d organisation Public Server et sélectionnez Properties. 3. Sélectionnez l onglet Group Policy. 4. Sélectionnez CSE High Security Baseline Policy. 5. Cliquez sur Edit. L entrée Computer Configuration est maintenant affichée à l écran. Pour un système de groupe de travail, procédez comme suit : 1. Ouvrez une fenêtre de commande. 2. Tapez MMC, puis appuyez sur Enter. 3. La boîte de dialogue Console 1 s ouvre. 4. Cliquez sur File. 5. Sélectionnez Add/Remove Snap-in. 6. La boîte de dialogue Add/Remove Snap-in s affiche. 7. Cliquez sur Add. 8. La boîte de dialogue Add Standalone Snap-in s affiche. 9. Naviguez jusqu à IP Security Policy Management et sélectionnez cette option. 10. Cliquez sur Add. 11. La boîte de dialogue Select Computer or Domain s affiche. 12. Acceptez les valeurs par défaut et cliquez sur Finish. 13. Cliquez sur Close. 14. Cliquez sur OK. Fichiers de stratégie pour les serveurs Mars 2004 111
Non classifié ITSG pour Windows Server 2003 15. Allez à root Console Window. 16. Sélectionnez Group Policy Object Editor. 17. Cliquez sur Add. 18. La fenêtre Select Group Policy Object s affiche. 19. Cliquez sur Finish pour accepter les valeurs par défaut. 20. Cliquez sur Close. 21. Cliquez sur OK. 22. Cliquez sur «+» à côté de Local Computer Policy. L entrée Computer Configuration s affiche maintenant à l écran. 4.7.4.1 Définir le niveau de cryptage de la connexion client Computer configuration\administrative Templates\Windows Components\Terminal Services\Encryption and Security\Set client connection encryption level=high Le paramètre «Set client encryption level» utilise le chiffrement à 128 bits pour protéger les sessions Terminal Service. Dans la présente stratégie, ce paramètre a la valeur High. 4.7.4.2 Toujours demander au client le mot de passe à la connexion Computer configuration\administrative Templates\Windows Components\Terminal Services\Encryption and Security \Always prompt client for password upon connection\=enabled Le paramètre «Always prompt client for password upon connection\=enabled» oblige l utilisateur à ouvrir une session sur le service local. Cette stratégie valide la demande de mot de passe dès la connexion. 4.7.4.3 Erreurs de rapport Computer configuration\administrative Templates\System\Error Reporting\=Disabled Le paramètre «Error Reporting\=Disabled» empêche le système de signaler les conditions d erreur à Microsoft. 4.7.4.4 Enlever la clé de Registre pour le sous-système POSIX machine\system\currentcontrolset\control\session manager\subsystems\posix Le paramètre «posix» détermine si le sous-système POSIX est pris en charge. La présente stratégie supprime la clé. Cela empêche l utilisation accidentelle du système. 112 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.4.5 Définir le mot de passe BIOS Le système BIOS devrait être protégé par mot de passe. Cette stratégie correspond à des procédures spécifiques du fournisseur qui ne sont pas décrites dans le présent document. 4.7.4.6 Désactiver l image mémoire Control Panel/System Properties/Advanced/Startup and Recovery-SettingsWrite Debugging Information=None La possibilité de vider la mémoire en cas de défectuosité de programme devrait être désactivée. Il est peu probable qu une image mémoire soit requise. Toutefois, vous pouvez temporairement activer cette fonction si vous en avez de besoin. 4.7.4.7 Démarrer immédiatement Windows My Computer/Properties/Advanced/Startup and Recovery-Settings/Time to display list of operating systems=0 Le paramètre «Time to display list of operating systems» détermine le nombre de secondes avant que le système n affiche les options des systèmes d exploitation au moment du démarrage. La valeur «0» empêche les démarrages des autres systèmes d exploitation pendant le fonctionnement normal. 4.7.4.8 Dissocier les fichiers.reg de l Éditeur de registre 1. Start/Settings/Control Panel/Folder Options 2. Sélectionnez l extension «REG». 3. Cliquez sur «Delete» et sur «Yes» dans la fenêtre de confirmation. 4. Cliquez sur «Close». En dissociant l extension.reg de l éditeur de registre, on empêche les modifications accidentelles du Registre. 4.7.4.9 Éliminer les programmes superflus Start->Control Panel=>Add Remove Programs=>Add/Remove Window Components Éliminez CHAT. 4.7.5 Contrôles d accès Les fichiers importants et les valeurs du Registre sur le système devraient être protégés. Une bonne façon d y parvenir consiste à utiliser des contrôles d accès. La section suivante décrit les paramètres suggérés pour les contrôles d accès. REMARQUE : Chaque installation doit s assurer que les paramètres qui suivent conviennent à leur propre environnement. Fichiers de stratégie pour les serveurs Mars 2004 113
Non classifié ITSG pour Windows Server 2003 4.7.5.1 Contrôles généraux d accès aux fichiers Tableau 1 Contrôles généraux d accès aux fichiers Nom du fichier/dossier Audit Administrateurs et système Utilisateurs authentifiés Valeur trouvée C:\ Contrôle intégral Lecture C:\*.* Contrôle intégral Contrôle intégral C:\boot.ini S/É Contrôle intégral s.o. C:\ntdetect.com S/É Contrôle intégral s.o. C:\ntldr S/É Contrôle intégral s.o. C:\ntbootdd.sys S/É Contrôle intégral s.o. C:\autoexec.bat S/É Contrôle intégral Lecture C:\config.sys S/É Contrôle intégral Lecture C:\Program Files Échecs Contrôle intégral Lecture et exécution C:\IO.sys S/É Contrôle intégral Modification C:\MSDOS.sys S/É Contrôle intégral Modification C:\Documents and Settings\All Users Échecs Contrôle intégral Modification C:\Documents and Settings\All Users\Documents Échecs Contrôle intégral Lecture C:\Documents and Settings\All Users\Application Data Échecs Contrôle intégral Lecture et création C:\temp\*.* et sous-répertoires Contrôle intégral Traversée, ajout C:\Users et sous-répertoires Échecs Admin:rwxd Contrôle intégral C:\Users\Default et sous-répertoires Échecs System: Contrôle intégral Liste Lecture, écriture, exécution C:\WIN32APP et sous-répertoires S/É Contrôle intégral Lecture %windir% et sous-répertoires Échecs Contrôle intégral Modification %windir%\*.* Échecs Contrôle intégral Lecture %windir%\*.ini Échecs Contrôle intégral Modification %windir%\localmon.dll Contrôle intégral Lecture %windir%\printman.hlp Contrôle intégral Lecture %windir%\config\*.* S/É Contrôle intégral Liste %windir%\help\*.* Contrôle intégral Lecture et exécution %windir%\repair\*.* et sous-répertoires S/É Administrateur s.o. 114 Mars 2004 Fichiers de stratégie pour les serveurs
Nom du fichier/dossier Audit Administrateurs et système Utilisateurs authentifiés Valeur trouvée %windir%\security S/É Contrôle intégral Lecture et exécution %windir%\system\*.* S/É Contrôle intégral Lecture %windir%\system32 Échecs Contrôle intégral Lecture %windir%\system32\ autoexec.nt cmos.ram config.nt midimap.cfg S/É Contrôle intégral Modification %windir%\system32\passport.mid S/É Contrôle intégral Contrôle intégral %windir%\system32\catroot S/É Contrôle intégral s.o. %windir%\system32\config S/É Contrôle intégral Liste %windir%\system32\config\*.* S/É Contrôle intégral Liste %windir%\system32\config\userdef S/É Contrôle intégral Système : Modification Lecture %windir%\system32\dhcp et sous-répertoires Contrôle intégral Lecture %windir%\system32\dllcache S/É Contrôle intégral s.o. %windir%\system32\drivers S/É Contrôle intégral Lecture %windir%\system32\ias S/É Contrôle intégral Lecture et exécution %windir%\system32\inetserv\metabase.bin S/É Contrôle intégral Lecture et exécution %windir%\system32\inetserv\metaback S/É Contrôle intégral s.o. %windir%\system32\mui S/É Contrôle intégral s.o. %windir%\system32\os2\dll\oso001.009 Contrôle intégral Lecture %windir%\system32\os2\dll\doscalls.dll Contrôle intégral Lecture %windir%\system32\os2\dll\netapi.dll Contrôle intégral Contrôle intégral %windir%\system32\ras\ S/É Contrôle intégral Lecture %windir%\system32\ras\*.* S/É Contrôle intégral Lecture %windir%\system32\repl\export Contrôle intégral Modification %windir%\system32\repl\export\scripts Contrôle intégral Lecture %windir%\system32\repl\ export\scripts\*.* Contrôle intégral Lecture %windir%\system32\repl\import Contrôle intégral Modification Fichiers de stratégie pour les serveurs Mars 2004 115
Non classifié ITSG pour Windows Server 2003 Nom du fichier/dossier Audit Administrateurs et système Utilisateurs authentifiés Valeur trouvée %windir%\system32\repl\import\*.* Contrôle intégral Modification %windir%\system32\repl\import\scripts\ Contrôle intégral Lecture %windir%\system32\repl\import\scripts\*.* Contrôle intégral Lecture %windir%\system32\shellext S/É Contrôle intégral s.o. %windir%\system32\spool et sous-répertoires Échecs Contrôle intégral Lecture %windir%\system32\spool\drivers\w32x86\1 Contrôle intégral Contrôle intégral %windir%\system32\spool\drivers\w32x86\winprint.dll Contrôle intégral Lecture %windir%\system32\viewers\*.* Échecs Contrôle intégral s.o. %windir%\system32\wbem Échecs Contrôle intégral Lecture et exécution %windir%\system32\wbem\mof S/É Contrôle intégral Lecture et exécution %windir%\system32\wins et sous-répertoires Échecs Contrôle intégral Contrôle intégral %windir%\twain_32 Contrôle intégral Fichier, ajout de sous-répertoires %windir%\web Contrôle intégral Lecture et exécution %userprofile% Échecs Contrôle intégral s.o. 116 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.5.2 Contrôle d accès généraux au Registre Tableau 2 Contrôles d accès généraux au Registre Nom de l arborescence/clé Audit Administrateur et système Utilisateurs authentifiés HKLM\Software S/É Contrôle intégral Lecture HKLM\Software\Classes\helpfile Échecs Contrôle intégral Lecture HKLM\Software\Classes\.hlp Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\Command Processor S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Cryptography S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Driver Signing S/É Contrôle intégral Lecture HKLM\Software\Microsoft\EnterpriseCertificates S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Non-DriverSigning S/É Contrôle intégral Lecture HKLM\Software\Microsoft\NetDDE S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Ole Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\Rpc S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Secure S/É Contrôle intégral Lecture HKLM\Software\Microsoft\SystemCertificates S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Windows\CurrentVersion\Run S/É Contrôle intégral Lecture HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Aedebug S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AsrCommands S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Classes Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Console Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\DiskQuota Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Drivers32 S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Font Drivers Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\FontMapper Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\IniFileMapping S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PerfLib S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SecEdit S/É Contrôle intégral Lecture Fichiers de stratégie pour les serveurs Mars 2004 117
Non classifié ITSG pour Windows Server 2003 Nom de l arborescence/clé Audit Administrateur et système Utilisateurs authentifiés HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Time Zones S/É Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows Échecs Contrôle intégral Lecture HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon S/É Contrôle intégral Lecture HKLM\Software\Policies S/É Contrôle intégral Lecture HKLM\System S/É Contrôle intégral Lecture HKLM\System\CurrentControlSet\Services S/É Contrôle intégral Lecture HKLM\SYSTEM\CurrentControlSet\Services\Schedule S/É Contrôle intégral Aucun HKLM\System\CurrentControlSet\Control\SecurePipeServiers\Winreg S/É s.o. Tout le monde = Aucun HKLM\System\CurrentControlSet\Control\Session Manager\Executive S/É Contrôle intégral Lecture HKLM\System\CurrentControlSet\Control\TimeZoneInformation S/É Contrôle intégral Lecture HKLM\System\CurrentControlSet\Control\WMI\Security S/É Contrôle intégral Aucun HKLM\Hardware S/É Contrôle intégral Tout le monde : Lecture HKLM\SAM S/É Contrôle intégral Tout le monde : Lecture HKLM\Security S/É Contrôle intégral s.o. Hkey_Users (HKU) S/É Contrôle intégral s.o. HKU\.Default S/É Contrôle intégral Lecture HKU\.Default\Software\Microsoft\NetDDE S/É Contrôle intégral s.o. 118 Mars 2004 Fichiers de stratégie pour les serveurs
4.7.6 Écarts par rapport aux directives Microsoft Le tableau suivant indique les paramètres qui diffèrent entre les directives du CST et celles de Microsoft. Les paramètres du CST et de Microsoft sont indiqués. Tableau 3 Écarts avec les paramètres de base pour un serveur membre Microsoft N o Paramètre Valeur CST Valeur Microsoft 1 Minimum Password Length (Longueur minimale du mot de passe) 8 12 2 Audit Policy Change (Auditer les modifications de stratégie) 3 Audit System Events (Auditer les événements système) 4 Add Workstations to Domain (Ajouter des stations de travail au domaine) 5 Backup Files and Directories (Sauvegarder des fichiers ou des répertoires) 6 Bypass Traverse Checking (Outrepasser le contrôle de traversée) 7 Create a Pagefile (Créer un fichier d échange) 8 Create a Token Object (Créer un objet jeton) 9 Create Global Objects (Créer des objets globaux) 10 Create Permanent Shared Objects (Créer des objets partagés permanents) 11 Deny Logon as a Service (Refuser l ouverture de session en tant que service) 12 Deny Logon Locally (Interdire l ouverture d une session locale) 13 Force shutdown from remote system (Forcer l arrêt à partir d un système distant) Succès/Échec Succès/Échec Aucun Administrateurs et opérateurs de sauvegarde Utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs Administrateurs Aucun Service et Administrateurs Aucun Invités, sessions anonymes, administrateurs, administrateur intégré, Support_388945a0 et Invité Invités, sessions anonymes, administrateur intégré, Support_388945a0 et Invité Aucun Succès Succès Administrateurs Par défaut Par défaut Par défaut Par défaut Par défaut Par défaut Par défaut Par défaut Administrateurs Fichiers de stratégie pour les serveurs Mars 2004 119
Non classifié ITSG pour Windows Server 2003 N o Paramètre Valeur CST Valeur Microsoft 14 Lock Pages in Memory (Verrouiller des pages en mémoire) 15 Logon as a Service (Ouvrir une session en tant que service) 16 Administrator Account Status (État du compte de l administrateur) 17 Interactive logon: Message text for users attempting to logon (Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter) 18 Interactive logon: Message title for users attempting to log on (Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter) 19 Interactive Logon: Require Smart Card (Ouverture de session interactive : carte à puce nécessaire) Aucun Service réseau et service local Désactivé Entrée requise du ministère Entrée requise du ministère Ne requiert pas de carte à puce Administrateurs Par défaut Activé This system is restricted. («Ce système est restreint») IT IS AN OFFENSE. («IL EST INTERDIT PAR LA LOI») Par défaut 20 Network Access: Allow Anonymous SID/Name Translation (Accès réseau : permettre la traduction des noms/sid anonymes) Désactivé # 21 Network Access: Remotely accessible Registry paths (Accès réseau : les chemins du Registre accessibles à distance) Aucun System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version 120 Mars 2004 Fichiers de stratégie pour les serveurs
N o Paramètre Valeur CST Valeur Microsoft 22 Network Access: Remotely accessible registry paths and subpaths (Accès réseau : chemins et sous-chemins du Registre accessibles à distance) 23 Network Security: Force logoff when logon hours expire (Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent) 24 System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie système : utiliser des algorithmes conforme à FIPS pour le chiffrement, le hachage et la signature) 25 Use Certificate Rules on Windows Executables for Software Restriction Policies (Utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle) 26 Retention method for Application log (Méthode de conservation du journal des applications) Aucun Activé Activé Désactivé Ne pas écraser System\CurrentControlSet\Control\Pr int\printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentindex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\Par défautuserconfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonlog Par défaut Désactivé Par défaut Au besoin Fichiers de stratégie pour les serveurs Mars 2004 121
Non classifié ITSG pour Windows Server 2003 N o Paramètre Valeur CST Valeur Microsoft 27 Retention method for Security log (Méthode de conservation du journal Sécurité) 28 Retention method for System log (Méthode de conservation du journal Système) 29 Automatic Updates Service (Mises à jour automatiques) 30 Background Intelligent Transfer Service (Service de transfert intelligent en arrière plan) 31 Network Location Awareness (Service NLA) 32 NTLM Security Support Provider (Fournisseur de la prise en charge de sécurité LM NT) 33 Performance Logs and Alerts (Journaux et alertes de performance) Ne pas écraser Ne pas écraser Désactivé Désactivé Désactivé Désactivé Désactivé Au besoin Au besoin Automatique Manuel Manuel Automatique Manuel 34 Plug and Play Désactivé Automatique 35 Remote Administration Service (Service d administration à distance) 36 Remote Registry Service (Service d accès à distance au Registre) 37 Server Service (Service de serveurs) 38 Terminal Services (Services Terminal Server) 39 Windows Management Instrumentation Driver Extensions (Extensions du pilote WMI) 40 WMI Performance Adapter (Carte de performance WMI) Désactivé Désactivé Désactivé Désactivé Désactivé Désactivé Manuel Automatique Automatique Automatique Manuel Manuel 41 TCPMaxHalfOpen 100 Pas de recommandation 42 TCPMaxHalfOpenRetired 80 Pas de recommandation 43 NoNameReleaseOnDemand (TCP/IP) i) Activé Pas de recommandation 44 Remove POSIX Subsystem Registry Key (Enlever la clé de Registre pour le sous système POSIX) Recommandé Pas de recommandation 122 Mars 2004 Fichiers de stratégie pour les serveurs
N o Paramètre Valeur CST Valeur Microsoft 45 Set BIOS Password (Définir le mot de passe BIOS) 46 Disable Memory Dump (Désactiver l image mémoire) 47 Boot Immediately to Windows (Démarrer immédiatement Windows) 48 Disassociate.reg files from registry editor (Dissocier les fichiers.reg de l Éditeur de registre) Recommandé Recommandé Recommandé Recommandé Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation Fichiers de stratégie pour les serveurs Mars 2004 123
Non classifié ITSG pour Windows Server 2003 Tableau 4 Écarts par rapport à la stratégie locale des hôtes Bastion de Microsoft N o Paramètre Valeur du CST Valeur de Microsoft 1 Minimum Password Length (Longueur minimale du mot de passe) 8 12 2 Audit Policy Change (Auditer les modifications de stratégie) 3 Audit System Events (Auditer les événements système) 4 Add Workstations to Domain (Ajouter des stations de travail au domaine) 5 Allow log on locally (Autoriser l ouverture de session locale) 6 Backup Files and Directories (Sauvegarder des fichiers ou des répertoires) 7 Bypass Traverse Checking (Outrepasser le contrôle de traversée) 8 Create a Pagefile (Créer un fichier d échange) 9 Create a Token Object (Créer un objet jeton) 10 Create Global Objects (Créer des objets globaux) 11 Create Permanent Shared Objects (Créer des objets partagés permanents) 12 Deny Logon as a Service (Refuser l ouverture de session en tant que service) 13 Deny Logon Locally (Interdire l ouverture d une session locale) 14 Force shutdown from remote system (Forcer l arrêt à partir d un système distant) 15 Lock Pages in Memory (Verrouiller des pages en mémoire) Succès/Échec Succès/Échec Aucun Administrateurs et opérateurs de sauvegarde Administrateurs et opérateurs de sauvegarde Utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs Administrateurs Aucun Service et administrateurs Aucun Invités, sessions anonymes, administrateurs, administrateur intégré, Support_388945a0 et Invité Invités, sessions anonymes, administrateur intégré, Support_388945a0 et Invité Aucun Aucun Succès Succès Administrateurs Administrateurs Défaut Par défaut Par défaut Par défaut Par défaut Par défaut Par défaut Par défaut Administrateurs Administrateurs 124 Mars 2004 Fichiers de stratégie pour les serveurs
N o Paramètre Valeur du CST Valeur de Microsoft 16 Logon as a Service (Ouvrir une session en tant que service) 17 Administrator Account Status (État du compte de l administrateur) 18 Interactive logon: Message text for users attempting to logon (Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter) 19 Interactive logon: Message title for users attempting to log on (Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter) 20 Interactive Logon: Require Smart Card (Ouverture de session interactive : requiert une carte à puce) 21 Network Access: Allow Anonymous SID/Name Translation (Accès réseau : permettre la traduction des noms/sid anonymes) 22 Network Access: Remotely accessible Registry paths (Accès réseau : les chemins du Registre accessibles à distance) Service réseau et service local Désactivé Entrée requise du ministère Entrée requise du ministère Ne requiert pas de carte à puce Désactivé Aucun Par défaut Activé This system is restricted. («Ce système est restreint») IT IS AN OFFENSE. («IL EST INTERDIT PAR LA LOI») Par défaut Par défaut System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version Fichiers de stratégie pour les serveurs Mars 2004 125
Non classifié ITSG pour Windows Server 2003 N o Paramètre Valeur du CST Valeur de Microsoft 23 Network Access: Remotely accessible registry paths and subpaths (Accès réseau : chemins et sous-chemins du Registre accessibles à distance) 24 Network Security: Force logoff when logon hours expire (Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent) Aucun Activé System\CurrentControlSet\Control\Pr int\printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentindex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\DefaultUserCOnfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonlog Par défaut 25 System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie système : utiliser des algorithmes conforme à FIPS pour le chiffrement, le hachage et la signature) 26 Use Certificate Rules on Windows Executables for Software Restriction Policies (Utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle) 27 Retention method for Application log (Méthode de conservation du journal des applications) Activé Désactivé Ne pas écraser Désactivé Par défaut Au besoin 126 Mars 2004 Fichiers de stratégie pour les serveurs
N o Paramètre Valeur du CST Valeur de Microsoft 28 Retention method for Security log (Méthode de conservation du journal Sécurité) 29 Retention method for System log (Méthode de conservation du journal Système) Ne pas écraser Ne pas écraser Au besoin Au besoin 30 DNS Client (client DNS) Désactivé Activé 31 Plug and Play Service Désactivé Automatique 32 TCPMaxHalfOpen 100 Pas de recommandation 33 TCPMaxHalfOpenRetired 80 Pas de recommandation 34 NoNameReleaseOnDemand (TCP/IP) 35 Remove POSIX Subsystem Registry Key (Enlever la clé de Registre pour le sous système POSIX) 36 Set BIOS Password (Définir le mot de passe BIOS) 37 Disable Memory Dump (Désactiver l image mémoire) 38 Boot Immediately to Windows (Démarrer immédiatement Windows) 39 Disassociate.reg files from registry editor (Dissocier les fichiers.reg de l Éditeur de registre) Activé Recommandé Recommandé Recommandé Recommandé Recommandé Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation Fichiers de stratégie pour les serveurs Mars 2004 127
Non classifié ITSG pour Windows Server 2003 Page laissée intentionnellement en blanc. 128 Mars 2004 Fichiers de stratégie pour les serveurs
5 Stratégies de serveurs basées sur les rôles Les fichiers de stratégie suivants appliquent des paramètres spécifiques au rôle assumé. Ils ne contiennent pas chaque paramètre requis pour le serveur. Par conséquent, on doit appliquer ces paramètres après la configuration de base. 5.1 Stratégie IPSec basée sur les rôles La stratégie de sécurité IP basée sur les rôles est appliquée en deux étapes. La première étape consiste à changer la stratégie dans l Éditeur de stratégie. La deuxième consiste à activer la stratégie. À cette fin, on utilise le Group Policy Editor (Éditeur de stratégie de groupe). 5.1.1 Chargement de la stratégie IPSec Activer Windows Explorer. Naviguez jusqu à l emplacement où se trouve le fichier de stratégie IPSec voulu (le fichier doit avoir une extension.cmd). Cliquez à droite sur le fichier de commande de stratégie et sélectionnez Open. o La fenêtre de commande s ouvre, exécute le fichier de commande de stratégie et se ferme. 5.1.2 Activation de la stratégie IPSec Ouvrez une fenêtre de commande. Tapez MMC, puis appuyez sur Enter. o La boîte de dialogue Console 1 s ouvre. Cliquez sur File. Sélectionnez Add/Remove Snap-in. o La boîte de dialogue Add/Remove Snap-in s ouvre. Cliquez sur Add. o La boîte de dialogue Add Standalone Snap-in s ouvre. Naviguez jusqu à IP Security Policy Management et sélectionnez cette option. Cliquez sur Add. o La boîte de dialogue Select Computer or Domain s affiche. Acceptez les valeurs par défaut et cliquez sur Finish. Cliquez sur Close. Cliquez sur OK. Dans la fenêtre Root Console Window, cliquez sur l option IP Security Policies on Local Computer. Stratégies de serveurs basées sur les rôles Mars 2004 129
Non classifié ITSG pour Windows Server 2003 Dans le cadre droit, cliquez à droite sur la stratégie de sécurité IP voulue et sélectionnez Assign. Cliquez à droite sur la stratégie active et sélectionnez Properties. Sélectionnez l onglet General. Cliquez sur le bouton Settings. o La boîte de dialogue Key Exchange Settings s affiche. Cliquez sur le bouton Methods. o La boîte de dialogue Key Exchange Methods s affiche. Annulez tous les paramètres sauf les suivants (assurez-vous qu ils soient dans l ordre ci-dessous) : IKE 3DES SHA1 High (1024) IKE 3DES SHA1 Med (2) Cliquez sur OK. Cliquez sur OK. Cliquez sur File. Cliquez sur Exit. o La boîte de dialogue Microsoft Management Console s affiche. Sélectionnez Yes si vous voulez enregistrer les paramètres (sinon, sélectionnez No). 5.2 Stratégie de sécurité pour les serveurs de fichiers de domaine Le serveur des fichiers basés sur le domaine permet aux utilisateurs authentifiés d accéder aux fichiers partagés dans le domaine. Ces fichiers partagés peuvent utiliser la fonctionnalité de protection de fichiers pour contrôler les accès. Les tentatives d accès depuis l extérieur d un domaine peuvent être authentifiées à l aide d informations d identification basées sur le domaine. Une fois l utilisateur authentifié, l accès lui est accordé d après la stratégie relative au domaine. Pour activer les services de fichiers, on n a pas à modifier les paramètres de la configuration de base. 5.2.1 Écarts par rapport au guide Hardening File Servers de Microsoft Dans la stratégie de Microsoft de renforcement de la sécurité pour les serveurs de fichiers de domaine, les services Distributed Files System et File Replication sont désactivés. Dans la configuration de base du CST, ces mêmes services sont désactivés. Par conséquent, on n a pas à les désactiver dans la stratégie des serveurs de fichiers. Les autres différences découlent des écarts entre la configuration de base du CST et celle de Microsoft. 130 Mars 2004 Stratégies de serveurs basées sur les rôles
Il y a lieu de noter que les stratégies basées sur les rôles ne peuvent être considérées isolément de la configuration de base. 5.2.2 [Service General Setting] "lanmanserver", 2, R "browser", 2, R 5.2.3 Stratégie IPSec pour le serveur de fichiers de domaine Le fichier suivant fait partie du guide de sécurité Windows Server 2003 de Microsoft. Le fichier doit être modifié pour tenir compte des bonnes adresses de contrôleurs de domaine. Une fois modifiée, la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, est utilisée pour appliquer cette stratégie. REM (c) Microsoft Corporation 1997-2003 REM Packet Filters for Server Hardening REM REM Name: PacketFilter-File.CMD REM Version: 1.0 REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file. REM Revision History REM 0000 - Original February 05, 2003 REM 0000 - Original April 03, 2003 :IPSec Policy Definition netsh ipsec static add policy name="packet Filters - File" description="server Hardening Policy" assign=no :IPSec Filter List Definitions netsh ipsec static add filterlist name="cifs/smb Server" description="server Hardening" Stratégies de serveurs basées sur les rôles Mars 2004 131
Non classifié ITSG pour Windows Server 2003 netsh ipsec static add filterlist name="netbios Server" description="server Hardening" netsh ipsec static add filterlist name="terminal Server" description="server Hardening" netsh ipsec static add filterlist name="domain Member" description="server Hardening" netsh ipsec static add filterlist name="monitoring" description="server Hardening" netsh ipsec static add filterlist name="block Domain Access" description="server Hardening" netsh ipsec static add filterlist name="all Inbound Traffic" description="server Hardening" :IPSec Filter Action Definitions netsh ipsec static add filteraction name=secpermit description="allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=block description="blocks Traffic" action=block :IPSec Filter Definitions netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=tcp srcport=0 dstport=445 netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=udp srcport=0 dstport=445 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=138 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=139 netsh ipsec static add filter filterlist="terminal Server" srcaddr=any dstaddr=me description="terminal Server Traffic" protocol=tcp srcport=0 dstport=3389 netsh ipsec static add filter filterlist="block Domain Access" srcaddr=me dstaddr=any description="block Domain Access" protocol=tcp srcport=any dstport=1097 netsh ipsec static add filter filterlist="all Inbound Traffic" srcaddr=any dstaddr=me description="all Inbound Traffic" protocol=any srcport=0 dstport=0 REM REMARQUE : IP Address or server names of Domain Controllers must be hardcode into the dstaddr of the Domain Member filters defined below netsh ipsec static add filter filterlist="domain Member" srcaddr=me dstaddr=192.168.0.1 description="traffic to Domain Controller" protocol=any srcport=0 dstport=0 REM netsh ipsec static add filter filterlist="domain Member" srcaddr=me dstaddr=<insert DC #2> description="traffic to Domain Controller" protocol=any srcport=0 dstport=0 132 Mars 2004 Stratégies de serveurs basées sur les rôles
REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below REM netsh ipsec static add filter filterlist="monitoring" srcaddr=me dstaddr=<insert MOM Server> description="monitoring Traffic" protocol=any srcport=0 dstport=0 :IPSec Rule Definitions netsh ipsec static add rule name="cifs/smb Server" policy="packet Filters - File" filterlist="cifs/smb Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="netbios Server Rule" policy="packet Filters - File" filterlist="netbios Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="terminal Server Rule" policy="packet Filters - File" filterlist="terminal Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="domain Member Rule" policy="packet Filters - File" filterlist="domain Member" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="block Domain Access Rule" policy="packet Filters - File" filterlist="block Domain Access" kerberos=yes filteraction=block REM netsh ipsec static add rule name="monitoring Rule" policy="packet Filters - File" filterlist="monitoring" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="all Inbound Traffic Rule" policy="packet Filters - File" filterlist="all Inbound Traffic" kerberos=yes filteraction=block 5.3 Stratégie pour les serveurs d impression de domaine Le serveur d impression de domaine permet aux utilisateurs authentifiés d accéder aux imprimantes partagées. Ces imprimantes partagées utilisent des contrôles d accès. Les utilisateurs à l extérieur du domaine peuvent être authentifiés à l aide d informations d identification basées sur le domaine. Quand ils sont authentifiés, l accès est octroyé d après la stratégie du domaine. Pour activer ces services, aucune modification n est requise aux paramètres de configuration de base. 5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft La stratégie basée sur les rôles de Microsoft pour les serveurs d impression comporte deux activités : 1) Démarrer le spouleur d impression et 2) Désactiver le paramètre «Serveur réseau Microsoft : communications signées numériquement (toujours)». La stratégie du CST comporte également le lancement du spouleur d impression, mais diffère dans le traitement des signatures. La section Micosoft Security Options recommande de désactiver le paramètre «Serveur réseau Microsoft : communications signées numériquement (toujours)». Microsoft recommande ce choix, car les utilisateurs pourraient être dans l impossibilité de visualiser l état de leurs travaux d impression. Nous n avons pas observé cette limitation dans notre laboratoire. Par conséquent, l option de signer numériquement les communications est activée. Les différences restantes découlent des écarts entre la configuration de base du CST et celle de Microsoft. Stratégies de serveurs basées sur les rôles Mars 2004 133
Non classifié ITSG pour Windows Server 2003 Il est important de noter que les stratégies basées sur les rôles ne peuvent être considérées isolément de la configuration de base. 5.3.2 [Registry Values] machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,sof tware\microsoft\windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers 5.3.3 [Service General Setting] "lanmanserver", 2, "browser", 2, "spooler", 2, 5.3.4 Stratégie IPSec pour le serveur d impression de domaine Le fichier suivant est fourni avec les directives de sécurité pour Windows Server 2003 de Microsoft. Le fichier doit être modifié pour tenir compte des adresses des contrôleurs de domaine. Une fois modifiée, utilisez la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, pour appliquer la stratégie. REM (c) Microsoft Corporation 1997-2003 REM Packet Filters for Server Hardening REM REM Name: PacketFilter-File.CMD REM Version: 1.0 REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file. REM Revision History REM 0000 - Original February 05, 2003 REM 0000 - Original April 03, 2003 134 Mars 2004 Stratégies de serveurs basées sur les rôles
:IPSec Policy Definition netsh ipsec static add policy name="packet Filters - File" description="server Hardening Policy" assign=no :IPSec Filter List Definitions netsh ipsec static add filterlist name="cifs/smb Server" description="server Hardening" netsh ipsec static add filterlist name="netbios Server" description="server Hardening" netsh ipsec static add filterlist name="terminal Server" description="server Hardening" netsh ipsec static add filterlist name="domain Member" description="server Hardening" netsh ipsec static add filterlist name="monitoring" description="server Hardening" netsh ipsec static add filterlist name="block Domain Access" description="server Hardening" netsh ipsec static add filterlist name="all Inbound Traffic" description="server Hardening" :IPSec Filter Action Definitions netsh ipsec static add filteraction name=secpermit description="allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=block description="blocks Traffic" action=block :IPSec Filter Definitions netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=tcp srcport=0 dstport=445 netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=udp srcport=0 dstport=445 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=138 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=139 netsh ipsec static add filter filterlist="terminal Server" srcaddr=any dstaddr=me description="terminal Server Traffic" protocol=tcp srcport=0 dstport=3389 netsh ipsec static add filter filterlist="block Domain Access" srcaddr=me dstaddr=any description="block Domain Access" protocol=tcp srcport=any dstport=1097 netsh ipsec static add filter filterlist="all Inbound Traffic" srcaddr=any dstaddr=me description="all Inbound Traffic" protocol=any srcport=0 dstport=0 Stratégies de serveurs basées sur les rôles Mars 2004 135
Non classifié ITSG pour Windows Server 2003 REM REMARQUE : IP Address or server names of Domain Controllers must be hard coded into the dstaddr of the Domain Member filters defined below netsh ipsec static add filter filterlist="domain Member" srcaddr=me dstaddr=192.168.0.1 description="traffic to Domain Controller" protocol=any srcport=0 dstport=0 REM netsh ipsec static add filter filterlist="domain Member" srcaddr=me dstaddr=<insert DC #2> description="traffic to Domain Controller" protocol=any srcport=0 dstport=0 REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below REM netsh ipsec static add filter filterlist="monitoring" srcaddr=me dstaddr=<insert MOM Server> description="monitoring Traffic" protocol=any srcport=0 dstport=0 :IPSec Rule Definitions netsh ipsec static add rule name="cifs/smb Server" policy="packet Filters - File" filterlist="cifs/smb Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="netbios Server Rule" policy="packet Filters - File" filterlist="netbios Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="terminal Server Rule" policy="packet Filters - File" filterlist="terminal Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="domain Member Rule" policy="packet Filters - File" filterlist="domain Member" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="block Domain Access Rule" policy="packet Filters - File" filterlist="block Domain Access" kerberos=yes filteraction=block REM netsh ipsec static add rule name="monitoring Rule" policy="packet Filters - File" filterlist="monitoring" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="all Inbound Traffic Rule" policy="packet Filters - File" filterlist 5.4 Stratégie pour les serveurs de fichiers de groupe de travail Le serveur de fichiers d un groupe de travail permet aux utilisateurs authentifiés d accéder aux fichiers partagés d un système. Pour ces fichiers partagés, on peut utiliser la protection de fichier pour contrôler les accès. Les utilisateurs qui accèdent aux serveurs de fichiers peuvent s authentifier à l aide d informations d identification basées sur les utilisateurs. Une fois authentifié, l utilisateur se voit octroyer l accès d après la stratégie des utilisateurs. 5.4.1 Écarts par rapport aux directives Microsoft Les différences restantes découlent des écarts entre la configuration de base du CST et celle de Microsoft. 5.4.2 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 136 Mars 2004 Stratégies de serveurs basées sur les rôles
5.4.3 [Service General Setting] "lanmanworkstation", 2, "lanmanserver", 2, "browser", 2, 5.4.4 Stratégie IPSec pour le serveur de fichiers du groupe de travail Le fichier suivant a été modifié à partir de celui qui est fourni dans les directives de sécurité de Windows Server 2003 de Microsoft. Utilisez la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, pour appliquer la stratégie. REM (c) Microsoft Corporation 1997-2003 REM Packet Filters for Server Hardening REM REM Name: PacketFilter-File.CMD REM Version: 1.0 REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file. REM Revision History REM 0000 - Original February 05, 2003 REM 0000 - Original April 03, 2003 :IPSec Policy Definition netsh ipsec static add policy name="packet Filters - File" description="server Hardening Policy" assign=no :IPSec Filter List Definitions netsh ipsec static add filterlist name="cifs/smb Server" description="server Hardening" Stratégies de serveurs basées sur les rôles Mars 2004 137
Non classifié ITSG pour Windows Server 2003 netsh ipsec static add filterlist name="netbios Server" description="server Hardening" netsh ipsec static add filterlist name="terminal Server" description="server Hardening" netsh ipsec static add filterlist name="all Inbound Traffic" description="server Hardening" :IPSec Filter Action Definitions netsh ipsec static add filteraction name=secpermit description="allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=block description="blocks Traffic" action=block :IPSec Filter Definitions netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=tcp srcport=0 dstport=445 netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=udp srcport=0 dstport=445 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=138 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=139 netsh ipsec static add filter filterlist="terminal Server" srcaddr=any dstaddr=me description="terminal Server Traffic" protocol=tcp srcport=0 dstport=3389 netsh ipsec static add filter filterlist="all Inbound Traffic" srcaddr=any dstaddr=me description="all Inbound Traffic" protocol=any srcport=0 dstport=0 :IPSec Rule Definitions netsh ipsec static add rule name="cifs/smb Server" policy="packet Filters - File" filterlist="cifs/smb Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="netbios Server Rule" policy="packet Filters - File" filterlist="netbios Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="terminal Server Rule" policy="packet Filters - File" filterlist="terminal Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="all Inbound Traffic Rule" policy="packet Filters - File" filterlist="all Inbound Traffic" kerberos=yes filteraction=block 138 Mars 2004 Stratégies de serveurs basées sur les rôles
5.5 Stratégie pour les serveurs d impression de groupe de travail Le serveur d impression du groupe de travail permet aux utilisateurs authentifiés d accéder aux imprimantes partagées sur le système. L accès à ces imprimantes partagées peut être contrôlé. Les utilisateurs qui tentent d accéder aux serveurs d impression peuvent être authentifiés à l aide d informations d identification basées sur les utilisateurs. Une fois l utilisateur authentifié, l accès approprié lui est octroyé. 5.5.1 Écarts par rapport aux directives Microsoft Les différences restantes découlent des écarts entre la configuration de base du CST et celle de Microsoft. 5.5.2 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,0 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,sof tware\microsoft\windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers 5.5.3 [Service General Setting] "lanmanworkstation", 2, "lanmanserver", 2, "browser", 2, "spooler", 2, 5.5.4 Stratégie IPSec pour les serveurs d impression de groupe de travail Le fichier suivant a été modifié par rapport à celui qui se trouve dans les directives de sécurité pour Windows Server 2003 de Microsoft. La stratégie IPSec du CST ne fait pas référence aux contrôleurs de domaine. Exécutez le fichier en mode commande pour charger la stratégie. La procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, est utilisée pour appliquer la stratégie. Stratégies de serveurs basées sur les rôles Mars 2004 139
Non classifié ITSG pour Windows Server 2003 REM (c) Microsoft Corporation 1997-2003 REM Packet Filters for Server Hardening REM REM Name: PacketFilter-Print.CMD REM Version: 1.0 REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a Print Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file. REM Revision History REM 0000 - Original February 05, 2003 REM 0000 - Original April 03, 2003 :IPSec Policy Definition netsh ipsec static add policy name="packet Filters - Print" description="server Hardening Policy" assign=no :IPSec Filter List Definitions netsh ipsec static add filterlist name="cifs/smb Server" description="server Hardening" netsh ipsec static add filterlist name="netbios Server" description="server Hardening" netsh ipsec static add filterlist name="terminal Server" description="server Hardening" netsh ipsec static add filterlist name="all Inbound Traffic" description="server Hardening" :IPSec Filter Action Definitions netsh ipsec static add filteraction name=secpermit description="allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=block description="blocks Traffic" action=block :IPSec Filter Definitions netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=tcp srcport=0 dstport=445 140 Mars 2004 Stratégies de serveurs basées sur les rôles
netsh ipsec static add filter filterlist="cifs/smb Server" srcaddr=any dstaddr=me description="cifs/smb Server Traffic" protocol=udp srcport=0 dstport=445 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=137 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=udp srcport=0 dstport=138 netsh ipsec static add filter filterlist="netbios Server" srcaddr=any dstaddr=me description="netbios Server Traffic" protocol=tcp srcport=0 dstport=139 netsh ipsec static add filter filterlist="terminal Server" srcaddr=any dstaddr=me description="terminal Server Traffic" protocol=tcp srcport=0 dstport=3389 netsh ipsec static add filter filterlist="all Inbound Traffic" srcaddr=any dstaddr=me description="all Inbound Traffic" protocol=any srcport=0 dstport=0 :IPSec Rule Definitions netsh ipsec static add rule name="cifs/smb Server" policy="packet Filters - Print" filterlist="cifs/smb Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="netbios Server Rule" policy="packet Filters - Print" filterlist="netbios Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="terminal Server Rule" policy="packet Filters - Print" filterlist="terminal Server" kerberos=yes filteraction=secpermit netsh ipsec static add rule name="all Inbound Traffic Rule" policy="packet Filters - Print" filterlist="all Inbound Traffic" kerberos=yes filteraction=block Stratégies de serveurs basées sur les rôles Mars 2004 141
Non classifié ITSG pour Windows Server 2003 Page laissée intentionnellement en blanc. 142 Mars 2004 Stratégies de serveurs basées sur les rôles
6 Conformité avec la stratégie des serveurs : Inspection et application L approche manuelle pour assurer la conformité avec la stratégie est une fonctionnalité du système d exploitation de Microsoft. Cette approche utilise la console de gestion Microsoft (MLC Microsoft Management Console), avec le module «Security Configuration and Analysis». Ce processus s applique aux deux environnements : Domaine et Groupe de travail. Les configurations appropriées des serveurs cibles sont requises. Les stratégies sont chargées dans la console MMC, le système est analysé et les résultats sont affichés à l écran. Si les permissions ne correspondent pas aux paramètres de la stratégie, les éléments sont indiqués par un «X» en rouge ou par le terme «Investigate». 6.1 Configuration de la console MMC Procédez comme suit pour faire une inspection de conformité avec la console MMC. a. Ouvrez une fenêtre Command Prompt. b. Après l invite, tapez mmc et appuyez sur <Enter>. i. L interface utilisateur Console1 s ouvre. c. Sélectionnez File =>Add/Remove Snap-in. i. La fenêtre Add/Remove Snap-in s affiche. d. Cliquez sur le bouton Add. i. La fenêtre Add Stand-alone Snap-in s affiche. e. Faites défiler jusqu à l option de sécurité Security Configuration and Analysis, et sélectionnez-la. f. Cliquez sur le bouton Add. g. Cliquez sur le bouton Close. i. Le contrôle revient à la fenêtre Add/Remove Snap-in. h. Cliquez sur le bouton OK. 6.2 Chargement d un fichier de stratégie et configuration de l ordinateur On doit disposer des fichiers de stratégie en vigueur pour le système inspecté. Ces fichiers comprennent le fichier de configuration de base et un fichier de stratégie spécifique au rôle. Pour les serveurs d impression basés sur un domaine, on utilise les fichiers «CST High Security Member Server Baseline.inf» et «CST High Security Member File Server.inf». Des fichiers additionnels peuvent être requis, tout dépendant de votre Active Directory et des fichiers de stratégie dans votre structure. Conformité avec la stratégie des serveurs : Inspection et application Mars 2004 143
Non classifié ITSG pour Windows Server 2003 Pour charger un fichier de stratégie, procédez comme suit : a. Assurez-vous que la fenêtre Console1 est active. b. Cliquez à droite sur Security Configuration and Analysis. c. Sélectionnez Open Database. i. La fenêtre Open Database s ouvre. d. Entrez le nom de la base de données (p. ex., systemname-date). e. Cliquez sur le bouton Open. i. La fenêtre Import Template s ouvre. f. Naviguez jusqu à l emplacement du fichier de configuration de base et sélectionnez-le. g. Sélectionnez Clean this database before importing. h. Cliquez sur le bouton Open. i. Cliquez à droite sur Security Configuration and Analysis. j. Cliquez sur Import Template. i. La fenêtre Import Template s ouvre. k. Naviguez jusqu à l emplacement du fichier de stratégie basé sur les rôles, et sélectionnez-le. l. Cliquez sur le bouton Open. m. Cliquez à droite sur Security Configuration and Analysis. n. Sélectionnez Analyze Computer Now. i. La fenêtre Perform Analysis s ouvre. o. Cliquez sur OK pour accepter l emplacement du fichier-journal et lancer l analyse. 6.3 Comparaison de la stratégie résultante et des paramètres de l ordinateur a. Cliquez sur «+» pour développer la section Security Configuration and Analysis. b. Cliquez sur «+» pour développer la section Account Policies. c. Cliquez sur Password Policies (le cadre à la droite contient les paramètres). REMARQUE : Si un élément dans la base de données ne correspond pas au paramètre de l ordinateur, un petit «x» rouge est affiché dans la colonne Policy. 144 Mars 2004 Conformité avec la stratégie des serveurs : Inspection et application
d. Répétez la procédure ci-dessus pour tous les sous-groupes dans Account Policies, Local Policies et Event Logs. e. Cliquez sur System Services (les paramètres sont affichés dans le cadre de droite). REMARQUE : Si un élément dans la base de données ne correspond pas au paramètre de l ordinateur, un petit «x» rouge est affiché dans la colonne System Service. En outre, si les paramètres de sécurité ne correspondent pas, le mot Investigate sera affiché dans la colonne Permission. f. Pour rétablir la configuration, vous n avez qu à appliquer de nouveau la stratégie. Un serveur de domaine peut être redémarré pour forcer l application de la stratégie. g. La configuration de stratégie pour un serveur de groupe de travail doit être appliquée de nouveau manuellement. Veuillez suivre la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles. Conformité avec la stratégie des serveurs : Inspection et application Mars 2004 145
Non classifié ITSG pour Windows Server 2003 Page laissée intentionnellement en blanc. 146 Mars 2004 Conformité avec la stratégie des serveurs : Inspection et application
Bibliographie Auteur : Ben Smith et Brian Komer (avec l Équipe de sécurité Microsoft) Titre : Microsoft Windows Security Resource Kit Éditeur : Julie Miller Édition : 1 st Données de publication : Éditeur : Microsoft Press Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Kurt Dillard, Jose Maldonado et Brad Warrender Titre : Microsoft Solutions for Security: Windows Server 2003 Security Guide Éditeur : Ried Bannecker, Wendy Cleary, John Cobb, Kelly McMahon et Jon Tobey Édition : 1 st Données de publication : Éditeur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Kurt Dillard Titre : Microsoft Solutions for Security: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Éditeur : Ried Bannecker, John Cobb et Jon Tobey Édition : 1 st Données de publication : Éditeur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Microsoft Press Titre : Microsoft Windows Server 2003 Automating and Customizing Installations Éditeur : Maureen Willams Zimmerman Édition : 1 st Données de publication : Éditeur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399 Bibliographie Mars 2004 147
Non classifié ITSG pour Windows Server 2003 Page laissée intentionnellement en blanc. 148 Mars 2004 Bibliographie
Annexe A La présente annexe contient un fichier «brut», dont il est fait mention dans ce document. Modifiez le contenu à l aide d un éditeur de texte pour créer manuellement les fichiers d installation de stratégie. Sentez-vous libre de couper et coller au besoin. A.1 Fichier d installation automatisée de domaine ; ; Fichier de configuration et d installation pour un serveur membre de domaine. ; ; À utiliser avec la configuration de base des serveurs membres du CST, pour ; installer et configurer un serveur de domaine sécurisé. ; ; [Data] AutoPartition=1 MsDosInitiated=0 UnattendedInstall=Yes [GuiUnattended] AdminPassword="A_Strong_Password" OemSkipWelcome=1 OEMSkipRegional=1 TimeZone=035 AutoLogon=No [Identification] DomainAdmin=administrator DomainAdminPassword="A_Strong_Password" JoinDomain="cse-lab.local" Annexe A Mars 2004 149
Non classifié ITSG pour Windows Server 2003 MachineObjectOU="OU=File Servers, OU=Public Servers, DC=cse-lab, DC=local" [LicenseFilePrintData] AutoMode=PerServer AutoUsers=5 [Unattended] OemPreinstall=No UattendedSwitch=Yes Repartition=No TargetPath=Windows UnattendedMode=FullUnattended WaitForReboot=No OemSkipEula=Yes FileSystem=ConvertNTFS [UserData] ComputerName=DServer1 FullName="SEBT" OrgName="CST-CST" ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" [params.ms_tcpip.adapter01] SpecificTo=Adapter01 DisableDynamicUpdate=No EnabelAdapterDomainNameregistration=No DefaultGateway=192.163.0.1 DHCP=Yes DNSDomain=cse-lab.local NetBIOSOptions=1 Subnetmask=255.255.255.0 150 Mars 2004 Annexe A
[NetOptionalComponents] DHCPServer=0 DNS=0 IAS=0 ILS=0 LDPSVC=0 MacPrint=0 MacSrv=0 Netcm=0 NetMonTools=0 SimpTcp=0 SNMP=0 WINS=0 [Components] AccessOpt=On appsrv_console=off aspnet=off AutoUpdate=Off BitsServerExtensionsISAPI=Off BitsServerExtensionManager=Off Calc=On certsrv=on certsrv_client=off certsrv_server=off charmap=on chat=off Clipbook=Off cluster=off complusnetwork=on Annexe A Mars 2004 151
Non classifié ITSG pour Windows Server 2003 deskpaper=off dialer=off fax=off fp_extensions=off fp_vdir_deploy=off freecell=off hearts=off hypertrm=off IEAccess=Off iis_asp=off iis_common=off iis_ftp=off iis_inetmgr=off iis_internetdataconnector=off iis_nntp=off iis_serversidesincludes=off iis_smpt=off iis_webadmin=off iis_webdav=off iis_www=off iis_www_vdir_scripts=off indexsrv_system=off inetprint=off licenseserver=off media_clips=off media_utopia=off minesweeper=off mousepoint=on msmq_adintegrated=off msmq_core=off msmq_httpsupport=off 152 Mars 2004 Annexe A
msmq_localstorage=off msmq_mqdssservice=off msmq_routingsupport=off msmq_triggerservice=off msnexplr=off mswordpad=on netcis=off netoc=off objectpkg=off OEAccess=Off paint=off pinball=off Pop3Admin=Off Pop3Service=Off Pop3Srv=Off rec=off reminst=off rootautoupdate=off rstorage=off solitaire=off spider=off templates=off TerminalServer=Off TSWebClient=Off vol=off WBEMSNMP=Off WMAccess=Off WMPOCM=Off wms=off wms_admin_asp=off wms_admin_mmc=off Annexe A Mars 2004 153
Non classifié ITSG pour Windows Server 2003 wms_isapi=off wms_server=off zonegames=off A.2 Fichier d installation automatisée pour groupe de travail ; ; Fichier de configuration et d installation pour un serveur membre de groupe de ; travail. ; ; À utiliser avec la configuration de base des serveurs membres du CST, ; pour installer et configurer un serveur de groupe de travail sécurisé. ; ; [Data] AutoPartition=1 MsDosInitiated=0 UnattendedInstall=Yes [GuiUnattended] AdminPassword="A_Strong_Password" OemSkipWelcome=1 OEMSkipRegional=1 TimeZone=35 AutoLogon=No [Identification] JoinWorkgroup=cse-lab [LicenseFilePrintData] 154 Mars 2004 Annexe A
AutoMode=PerServer AutoUsers=5 [Unattended] OemPreinstall=No UattendedSwitch=Yes Repartition=No TargetPath=WINDOWS UnattendMode=FullUnattended WaitForReboot=No OemSkipEula=Yes FileSystem=ConvertNTFS [UserData] ComputerName=BServer1 FullName="sebt" OrgName="cse-cst" ProductKey=xxxx-xxxx-xxx-xxxx-xxxx [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.adapter1] INFID=* [NetClients] Annexe A Mars 2004 155
Non classifié ITSG pour Windows Server 2003 MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.ms_tcpip] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [params.ms_tcpip.adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.0.5 SubnetMask=255.255.255.0 DefaultGateway=192.168.0.1 WINS=No NetBIOSOptions=0 [NetOptionalComponents] DHCPServer=0 DNS=0 IAS=0 ILS=No LPDSVC=0 MacPrint=0 MacSrv=0 156 Mars 2004 Annexe A
Netcm=0 NetMonTools=0 SimpTcp=0 SNMP=0 WINS=0 [Compoents] AccessOpt=On appsrv_console=off aspnet=off AutoUpdate=Off BitsServerExtensionsISAPI=Off BitsServerExtensionManager=Off Calc=On certsrv=on certsrv_client=off certsrv_server=off charmap=on chat=off Clipbook=Off cluster=off complusnetwork=on deskpaper=off dialer=off dtcnetwork=off fax=off fp_extensions=off fp_vdir_deploy=off freecell=off hearts=off hypertrm=off Annexe A Mars 2004 157
Non classifié ITSG pour Windows Server 2003 IEAccess=Off iis_asp=off iis_common=off iis_ftp=off iis_inetmgr=off iis_internetdataconnector=off iis_nntp=off iis_serversidesincludes=off iis_smpt=off iis_webadmin=off iis_webdav=off iis_www=off iis_www_vdir_scripts=off indexsrv_system=off inetprint=off licenseserver=off media_clips=off media_utopia=off minesweeper=off mousepoint=on msmq_adintegrated=off msmq_core=off msmq_httpsupport=off msmq_localstorage=off msmq_mqdssservice=off msmq_routingsupport=off msmq_triggerservice=off msnexplr=off mswordpad=on netcis=off netoc=off 158 Mars 2004 Annexe A
objectpkg=off OEAccess=Off paint=off pinball=off Pop3Admin=Off Pop3Service=Off Pop3Srv=Off rec=off reminst=off rootautoupdate=off rstorage=off solitaire=off spider=off templates=off TerminalServer=Off TSWebClient=Off vol=off WBEMSNMP=Off WMAccess=Off WMPOCM=Off wms=off wms_admin_asp=off wms_admin_mmc=off wms_isapi=off wms_server=off zonegames=off Annexe A Mars 2004 159
Non classifié ITSG pour Windows Server 2003 A.3 Fichier «CSE High Security Member Server Baseline.inf» [Unicode] Unicode=yes [Version] signature="$chicago$" Revision=1 [Profile Description] Description= Modèle de base pour tous les serveurs membres, dans un environnement haute sécurité. [System Access] MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 10 ResetLockoutCount = 15 LockoutDuration = 15 ForceLogoffWhenHourExpire = 1 NewAdministratorName = "jeanuntel" NewGuestName = "jeanneuntel" ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableAdminAccount = 0 EnableGuestAccount = 0 [System Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 160 Mars 2004 Annexe A
[Security Log] MaximumLogSize = 81920 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Event Audit] AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 2 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 3 AuditAccountLogon = 3 [Registry Values] machine\system\software\microsoft\windows nt\currentversion\winlogon\screensavergraceperiod=4,0 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi ons=4,2 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1 machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000 machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0 Annexe A Mars 2004 161
Non classifié ITSG pour Windows Server 2003 machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2 machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2 machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1 machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0 machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30 machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0 machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1 machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu re=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur e=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo rd=4,0 machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4, 1 machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15 machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90 machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20 machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000 machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1 machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10 162 Mars 2004 Annexe A
machine\system\currentcontrolset\control\session manager\subsystems\optional=7, machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1 machine\system\currentcontrolset\control\session manager\protectionmode=4,1 machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown=4,1 machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine= 7, machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,1 machine\system\currentcontrolset\control\lsa\submitcontrol=4,0 machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1 machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1 machine\system\currentcontrolset\control\lsa\nolmhash=4,1 machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248 machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5 machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1 machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0 machine\system\currentcontrolset\control\lsa\forceguest=4,0 machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1 machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0 machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1 machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1 machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0 machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1 machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0 machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2 machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0 Annexe A Mars 2004 163
Non classifié ITSG pour Windows Server 2003 machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0 machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7, This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted. If unauthorized, terminate access now! Clicking on OK indicates your acceptance of the information in the background./ce système est restreint aux seuls utilisateurs autorisés. Les personnes qui tentent d accéder de manière non autorisée feront l objet de poursuites. Si vous n êtes pas autorisé à accéder à ce système, veuillez le quitter maintenant. En cliquant sur OK, vous indiquez votre acceptation de l information affichée en arrière-plan. machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1," IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIÉE». machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4,1 machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0 machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25 5 machine\system\currentcontrolset\control\services\cdrom\autorun=4, 1 machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14 machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1 machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0 machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0 machine\software\microsoft\driver signing\policy=3,1 machine\system\currentcontrolset\control\services\lanmanserver\parameters\autoshareserver= 4, 0 machine\software\microsoft\ole\enabledcom=4, 0 [Privilege Rights] seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 seauditprivilege = *S-1-5-19,*S-1-5-20 sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544 sebatchlogonright = 164 Mars 2004 Annexe A
sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544 secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544 secreatepagefileprivilege = *S-1-5-32-544 secreatepermanentprivilege = secreatetokenprivilege = sedebugprivilege = sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7 sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenynetworklogonright =,*S-1-5-32-546,*S-1-5-7 sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7,*S-1-5-32-544 seenabledelegationprivilege = seimpersonateprivilege = *S-1-5-19,*S-1-5-20 seincreasebasepriorityprivilege = *S-1-5-32-544 seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 seloaddriverprivilege = *S-1-5-32-544 selockmemoryprivilege = *S-1-5-32-544 semachineaccountprivilege = *S-1-5-32-544 semanagevolumeprivilege = *S-1-5-32-544 senetworklogonright = *S-1-5-9,*S-1-5-11,*S-1-5-32-544 seprofilesingleprocessprivilege = *S-1-5-32-544 seremoteinteractivelogonright = *S-1-5-32-544 seremoteshutdownprivilege = serestoreprivilege = *S-1-5-32-544 sesecurityprivilege = *S-1-5-32-544 seservicelogonright = *S-1-5-20,*S-1-5-19 seshutdownprivilege = *S-1-5-32-544 sesyncagentprivilege = sesystemenvironmentprivilege = *S-1-5-32-544 sesystemprofileprivilege = *S-1-5-32-544 Annexe A Mars 2004 165
Non classifié ITSG pour Windows Server 2003 sesystemtimeprivilege = *S-1-5-32-544 setakeownershipprivilege = *S-1-5-32-544 setcbprivilege = seundockprivilege = *S-1-5-32-544 [Service General Setting] "6to4", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "alerter", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "alg", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "appmgmt", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "appmgr", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "appmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "aspnet_state", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "audiosrv", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "binlsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "bits", 4, 166 Mars 2004 Annexe A
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "browser", 2, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "certsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "cisvc", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "clipsrv", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "clussvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "comsysapp", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "corrtsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "cryptsvc", 2, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dfs", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "dhcp", 2, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dhcpserver", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" Annexe A Mars 2004 167
Non classifié ITSG pour Windows Server 2003 "dmadmin", 3, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dmserver", 3, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dns", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "dnscache", 2, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "elementmgr", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "ersvc", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "eventlog", 2, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "eventsystem", 3, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "fastuserswitchingcompatibility", 4, "fax", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "groveler", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" 168 Mars 2004 Annexe A
"helpsvc", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "hidserv", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "httpfilter", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "ias", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "iasjet", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "iisadmin", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "imapiservice", 4, SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "irmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "ismserv", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "kdc", 4, "lanmanserver", 4, Annexe A Mars 2004 169
Non classifié ITSG pour Windows Server 2003 "lanmanworkstation", 2, "licenseservice", 4, "lmhosts", 2, "lpdsvc", 4, "macfile", 4, "macprint", 4, "messenger", 4, "mnmsrvc", 4, "mqds", 4, "mqtgsvc", 4, "msdtc", 4, "msftpsvc", 4, "msiserver", 2, 170 Mars 2004 Annexe A
"msmq", 4, "mssql$uddi", 4, "mssql$webdb", 4, "mssqlserver", 4, "mssqlserveradhelper", 4, "netdde", 4, "netddedsdm", 4, "netlogon", 2, "netman", 3, "nla", 4, "nntpsvc", 4, "ntfrs", 4, "ntlmssp", 4, Annexe A Mars 2004 171
Non classifié ITSG pour Windows Server 2003 "ntmssvc", 4, "nwcworkstation", 4, "nwsapagent", 4, "plugplay", 4, "policyagent", 2, "pop3svc", 4, "protectedstorage", 2, "rasauto", 4, "rasman", 4, "rdsessmgr", 4, "remote_storage_server", 4, "remote_storage_user_link", 4, "remoteaccess", 4, 172 Mars 2004 Annexe A
"remoteregistry", 4, "rpclocator", 4, "rpcss", 2, "rsopprov", 4, "sacsvr", 4, "saldm", 4, "samss", 2, "scardsvr", 4, "schedule", 4, "seclogon", 4, "sens", 2, "sharedaccess", 4, "shellhwdetection", 4, Annexe A Mars 2004 173
Non classifié ITSG pour Windows Server 2003 "simptcp", 4, "smtpsvc", 4, "snmp", 4, "snmptrap", 4, "spooler", 4, "sptimer", 4, "sqlagent$webdb", 4, "sqlserveragent", 4, "srvcsurg", 4, "stisvc", 4, "swprv", 3, "sysmonlog", 4, "tapisrv", 4, 174 Mars 2004 Annexe A
"termservice", 4, "termservlicensing", 4, "tftpd", 4, "themes", 4, "tlntsvr", 4, "trksvr", 4, "trkwks", 4, "tssdis", 4, "uploadmgr", 4, "ups", 4, "vds", 4, "vss", 3, "w32time", 2, Annexe A Mars 2004 175
Non classifié ITSG pour Windows Server 2003 "w3svc", 4, "webclient", 4, "windowssystemresourcemanager", 4, "winhttpautoproxysvc", 4, "winmgmt", 2, "wins", 4, "winsip", 4, "wmdmpmsn", 4, "wmi", 4, "wmiapsrv", 4, "wmserver", 4, "wuauserv", 4, "wzcsvc", 4, 176 Mars 2004 Annexe A
A.4 Fichier «CSE High Security Workgroup Server Baseline.inf» [Unicode] Unicode=yes [Version] signature="$chicago$" Revision=1 [Profile Description] Description=Modèle de base pour tous les serveurs de groupe de travail, dans un environnement haute sécurité. [System Access] MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 10 ResetLockoutCount = 15 LockoutDuration = 15 ForceLogoffWhenHourExpire = 1 NewAdministratorName = "jeanuntel" NewGuestName = "jeanneuntel" ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableAdminAccount = 0 EnableGuestAccount = 0 [System Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Security Log] Annexe A Mars 2004 177
Non classifié ITSG pour Windows Server 2003 MaximumLogSize = 81920 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Event Audit] AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 2 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 3 AuditAccountLogon = 3 [Registry Values] machine\system\software\microsoft\windows nt\currentversion\winlogon\screensavergraceperiod=4,0 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi ons=4,2 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1 machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000 machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0 178 Mars 2004 Annexe A
machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2 machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2 machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1 machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0 machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30 machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0 machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1 machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu re=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur e=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo rd=4,0 machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4, 1 machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15 machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90 machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20 machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000 machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1 machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10 machine\system\currentcontrolset\control\session manager\subsystems\optional=7, Annexe A Mars 2004 179
Non classifié ITSG pour Windows Server 2003 machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1 machine\system\currentcontrolset\control\session manager\protectionmode=4,1 machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown=4,1 machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine= 7, machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,1 machine\system\currentcontrolset\control\lsa\submitcontrol=4,0 machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1 machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1 machine\system\currentcontrolset\control\lsa\nolmhash=4,1 machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248 machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5 machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1 machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0 machine\system\currentcontrolset\control\lsa\forceguest=4,0 machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1 machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0 machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1 machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1 machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0 machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1 machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0 machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2 machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0 180 Mars 2004 Annexe A
machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7,ce système est restreint aux seuls utilisateurs autorisés. machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1,"it IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIÉE." machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4,1 machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0 machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25 5 machine\system\currentcontrolset\control\services\cdrom\autorun=4, 1 machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14 machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1 machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0 machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0 machine\software\microsoft\driver signing\policy=3,1 machine\system\currentcontrolset\control\services\lanmanserver\parameters\autoshareserver= 4, 0 machine\software\microsoft\ole\enabledcom=4, 0 [Privilege Rights] seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 seauditprivilege = *S-1-5-19,*S-1-5-20 sebackupprivilege = *S-1-5-32-544,*S-1-5-32-551 sebatchlogonright = sechangenotifyprivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-11 secreateglobalprivilege = *S-1-5-32-544,*S-1-5-6 secreatepagefileprivilege = *S-1-5-32-544 secreatepermanentprivilege = Annexe A Mars 2004 181
Non classifié ITSG pour Windows Server 2003 secreatetokenprivilege = sedebugprivilege = sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7 sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenynetworklogonright = *S-1-5-7,*S-1-5-32-546 sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7 seenabledelegationprivilege = seimpersonateprivilege = *S-1-5-19,*S-1-5-20 seincreasebasepriorityprivilege = *S-1-5-32-544 seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 seloaddriverprivilege = *S-1-5-32-544 selockmemoryprivilege = *S-1-5-32-544 semachineaccountprivilege = *S-1-5-32-544 semanagevolumeprivilege = *S-1-5-32-544 senetworklogonright = *S-1-5-32-544,*S-1-5-11 seprofilesingleprocessprivilege = *S-1-5-32-544 seremoteinteractivelogonright = *S-1-5-32-544 seremoteshutdownprivilege = serestoreprivilege = *S-1-5-32-544 sesecurityprivilege = *S-1-5-32-544 seservicelogonright = *S-1-5-20,*S-1-5-19 seshutdownprivilege = *S-1-5-32-544 sesyncagentprivilege = sesystemenvironmentprivilege = *S-1-5-32-544 sesystemprofileprivilege = *S-1-5-32-544 sesystemtimeprivilege = *S-1-5-32-544 setakeownershipprivilege = *S-1-5-32-544 setcbprivilege = seundockprivilege = *S-1-5-32-544 182 Mars 2004 Annexe A
[Service General Setting] "6to4", 4, "alerter", 4, "alg", 4, "appmgmt", 4, "appmgr", 4, "appmon", 4, "aspnet_state", 4, "audiosrv", 4, "binlsvc", 4, "bits", 4, "browser", 4, "certsvc", 4, "cisvc", 4, Annexe A Mars 2004 183
Non classifié ITSG pour Windows Server 2003 "clipsrv", 4, "clussvc", 4, "comsysapp", 4, "corrtsvc", 4, "cryptsvc", 2, "dfs", 4, "dhcp", 4, "dhcpserver", 4, "dmadmin", 3, "dmserver", 3, "dns", 4, "dnscache", 4, "elementmgr", 4, 184 Mars 2004 Annexe A
"ersvc", 4, "eventlog", 2, "eventsystem", 3, "fastuserswitchingcompatibility", 4, "fax", 4, "groveler", 4, "helpsvc", 4, "hidserv", 4, "httpfilter", 4, "ias", 4, "iasjet", 4, "iisadmin", 4, "imapiservice", 4, Annexe A Mars 2004 185
Non classifié ITSG pour Windows Server 2003 "irmon", 4, "ismserv", 4, "kdc", 4, "lanmanserver", 4, "lanmanworkstation", 4, "licenseservice", 4, "lmhosts", 4, "lpdsvc", 4, "macfile", 4, "macprint", 4, "messenger", 4, "mnmsrvc", 4, "mqds", 4, 186 Mars 2004 Annexe A
"mqtgsvc", 4, "msdtc", 4, "msftpsvc", 4, "msiserver", 4, "msmq", 4, "mssql$uddi", 4, "mssql$webdb", 4, "mssqlserver", 4, "mssqlserveradhelper", 4, "netdde", 4, "netddedsdm", 4, "netlogon", 4, "netman", 3, Annexe A Mars 2004 187
Non classifié ITSG pour Windows Server 2003 "nla", 4, "nntpsvc", 4, "ntfrs", 4, "ntlmssp", 4, "ntmssvc", 4, "nwcworkstation", 4, "nwsapagent", 4, "plugplay", 4, "policyagent", 2, "pop3svc", 4, "protectedstorage", 2, "rasauto", 4, "rasman", 4, 188 Mars 2004 Annexe A
"rdsessmgr", 4, "remote_storage_server", 4, "remote_storage_user_link", 4, "remoteaccess", 4, "remoteregistry", 4, "rpclocator", 4, "rpcss", 2, "rsopprov", 4, "sacsvr", 4, "saldm", 4, "samss", 2, "scardsvr", 4, "schedule", 4, Annexe A Mars 2004 189
Non classifié ITSG pour Windows Server 2003 "seclogon", 4, "sens", 2, "sharedaccess", 4, "shellhwdetection", 4, "simptcp", 4, "smtpsvc", 4, "snmp", 4, "snmptrap", 4, "spooler", 4, "sptimer", 4, "sqlagent$webdb", 4, "sqlserveragent", 4, "srvcsurg", 4, 190 Mars 2004 Annexe A
"stisvc", 4, "swprv", 3, "sysmonlog", 4, "tapisrv", 4, "termservice", 4, "termservlicensing", 4, "tftpd", 4, "themes", 4, "tlntsvr", 4, "trksvr", 4, "trkwks", 4, "tssdis", 4, "uploadmgr", 4, Annexe A Mars 2004 191
Non classifié ITSG pour Windows Server 2003 "ups", 4, "vds", 4, "vss", 3, "w32time", 2, "w3svc", 4, "webclient", 4, "windowssystemresourcemanager", 4, "winhttpautoproxysvc", 4, "winmgmt", 2, "wins", 4, "winsip", 4, "wmdmpmsn", 4, "wmi", 4, 192 Mars 2004 Annexe A
"wmiapsrv", 4, "wmserver", 4, "wuauserv", 4, "wzcsvc", 4, A.5 Fichier «CSE High Security Member File Server.inf» ; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: High Security - Bastion Host.inf ; Template Version: 1.0 ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 - Original April 23, 2003 [Unicode] Unicode=yes Annexe A Mars 2004 193
Non classifié ITSG pour Windows Server 2003 [Version] signature="$chicago$" Revision=1 [Service General Setting] "lanmanserver", 2, "browser", 2, A.6 Fichier «CSE High Security Member Print Server.inf» ; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: High Security - Print Server.inf ; Template Version: 1.0 ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Print Server Role settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 - Original April 23, 2003 [Profile Description] Paramètres additionnels pour un serveur d impression dans un environnement haute sécurité. 194 Mars 2004 Annexe A
[Unicode] Unicode=yes [Version] signature="$chicago$" Revision=1 [Registry Values] machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,sof tware\microsoft\windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers [Service General Setting] "lanmanserver", 2, "browser", 2, "spooler", 2, A.7 Fichier «CSE High Security Workgroup File Server.inf» ; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: High Security - Bastion Host.inf ; Template Version: 1.0 ; Annexe A Mars 2004 195
Non classifié ITSG pour Windows Server 2003 ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 - Original April 23, 2003 [Unicode] Unicode=yes [Version] signature="$chicago$" Revision=1 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 [Service General Setting] "lanmanserver", 2, "browser", 2, 196 Mars 2004 Annexe A
A.8 Fichier «CSE High Security Workgroup Print Server.inf» ; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: High Security - Bastion Host.inf ; Template Version: 1.0 ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 - Original April 23, 2003 [Unicode] Unicode=yes [Version] signature="$chicago$" Revision=1 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,sof tware\microsoft\windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers Annexe A Mars 2004 197
Non classifié ITSG pour Windows Server 2003 [Service General Setting] "lanmanserver", 2, "browser", 2, "spooler", 2, 198 Mars 2004 Annexe A