Définir une stratégie de sécurité locale grâce à la MMC
Définir une stratégie de sécurité locale grâce à la MMC
La MMC (Microsoft Management Console) permet de définir les paramètres de sécurité applicables à l'ordinateur local afin d'optimiser celle-ci. La maîtrise de cet outil est indispensable à la mise en place d'une stratégie de sécurité efficace.
1. Lancez la MMC en ouvrant le panneau de configuration, puis en double-cliquant sur "Outils d'administration" et enfin sur "Stratégie de sécurité locale". Si "Outils d'administration" n'apparaît pas, cliquez sur "Performances et maintenances" afin de l'afficher.
2. La fenêtre qui s'ouvre permet de configurer les paramètres de sécurité de Windows XP. Dans les catégories "Stratégies de compte" et "Stratégies locales", vous trouverez tous les éléments nécessaires à cet effet. De nombreux paramètres ne sont utiles que si l'ordinateur que vous configurez est partagé entre plusieurs utilisateurs.
3. Il est presque impossible de donner une configuration optimale tant celle-ci dépend de l'environnement d'utilisation de l'ordinateur. Toutefois, voici quelques pistes que je vous conseille, dans le cadre d'une utilisation multi utilisateurs à l'intérieur d'un réseau local :
Stratégies de comptes
→ Stratégie de mot passe
• Conserver l'historique des mots de passe
Ne pas tenir d'historique des mots de passe : 0 Mots de passe
• Durée de vie maximale du mot de passe
Le mot de passe expirera dans : 30 Jours
• Durée de vie minimale du mot de passe
Le mot de passe peut être modifié immédiatement : 0 Jours
• Le mot de passe doit respecter des exigences de complexité
Activé
• Longueur minimale du mot de passe
Le mot de passe doit faire au minimum : 8 Caractères
• Stocker le mot de passe en utilisant le cryptage réversible pour tous les
utilisateurs du domaine
Désactivé
→ Stratégie de verrouillage du compte
• Durée de verrouillage des comptes
Le compte est verrouillé pour : 30 Minutes
• Réinitialiser le compteur de verrouillage du compte après
Réinitialiser le compteur de verrouillage du compte après : 30 Minutes
• Seuil de verrouillage du compte
Le compte sera verrouillé après : 3 tentatives d'ouvertures de session
non valides
Stratégies locales
→ Stratégie d'audit
• Auditer la gestion des comptes
Auditer ces essais : Échec
• Auditer l'accès au service d'annuaire
Pas d'audit
• Auditer l'accès aux objets
Pas d'audit
• Auditer le suivi des processus
Pas d'audit
• Auditer les événements de connexion
Pas d'audit
• Auditer les événements de connexion aux comptes
Auditer ces essais : Échec
• Auditer les événements système
Pas d'audit
• Auditer les modifications de stratégie
Auditer ces essais : Opération réussie
• Auditer l'utilisation des privilèges
Pas d'audit
Il est important de noter que l'audit d'évènements est consommateur de ressources système, il est donc a utiliser avec modération.
→ Attribution des droits utilisateur
Ne modifiez ces valeurs que si vous savez ce que vous faites, une mauvaise manipulation peut entraîner un disfonctionnement du système. Je vous conseille de conserver les valeurs par défaut.
→ Options de sécurité• Accès réseau : les autorisations Tout le monde s'appliquent aux utilisateurs anonymes
Désactivé
• Accès Réseau : les canaux nommés qui sont accessibles de manière anonyme
-- LAISSER LA VALEUR PAR DÉFAUT --
• Accès Réseau : les chemins de Registre qui sont accessibles à distance
-- Aucun --
• Accès Réseau : les partages qui sont accessibles de manière anonyme
-- LAISSER LA VALEUR PAR DÉFAUT --
• Accès Réseau : modèle de partage et de sécurité pour les comptes locaux
Classique
• Accès Réseau : ne pas autoriser le stockage d'informations
d'identification ou des passeports .NET pour l'authentification du réseau
Activé
• Accès Réseau : ne pas autoriser l'énumération anonyme des comptes et partages SAM
Désactivé
• Accès Réseau : ne pas autoriser l'énumération anonyme des comptes SAM
Activé
• Accès Réseau : permet la traduction des noms/SID anonymes
Désactivé
• Arrêt : Effacer le fichier d'échange de mémoire virtuelle
Activé
• Arrêt : Permet au système d'être arrêté sans avoir à se connecter
Désactivé
• Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Désactivé
• Audit : auditer l'accès des objets système globaux
Désactivé
• Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration
Désactivé
• Client réseau Microsoft : Envoyer un mot de passe non crypté aux serveurs SMB tierce partie
Désactivé
• Client réseau Microsoft : Signer numériquement les communications (lorsque le serveur l'accepte)
Activé
• Client réseau Microsoft : Signer numériquement les communications (toujours)
Désactivé
• Comptes : renommer le compte Administrateur
-- Mettez ici une valeur inattendue. Ex : JohnEstLadmin --
• Comptes : renommer le compte Invité
-- Mettez ici une valeur inattendue. Évitez "Guest" --
• Comptes : Restreindre l'utilisation de mots de passe vierges par le compte local à l'ouverture de session console
Activé
• Comptes : état de compte d'administrateur
Activé
• Comptes : état de compte d'invité
Activé
• Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Désactivé
• Console de récupération : autoriser I'ouverture de session d'administration automatique
Désactivé
• Contrôleur de domaine : conditions requises pour la signature de serveur LDAP
-- Laissez la valeur par défaut --
• Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des taches
Désactivé
• Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur
Activé
• Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Désactivé
• DCOM : Restrictions d'accès ordinateur au format du langage SDDL (Security Descriptor Definition Language)
-- Laissez la valeur par défaut --
• DCOM : Restrictions de démarrage d'ordinateur au format du langage SDDL (Security Descriptor Definition Language)
-- Laissez la valeur par défaut --
• Membre de domaine : âge maximal du mot de passe du compte ordinateur
20 derniers jours
• Membre de domaine : désactive les modifications de mot de passe du compte ordinateur
Désactivé
• Membre de domaine : crypter numériquement les données des canaux sécurises (lorsque cela est possible)
Activé
• Membre de domaine : crypter ou signer numériquement les données des canaux sécurises (toujours)
Activé
• Membre de domaine : nécessite une de de session forte (Windows 2000 ou ultérieur)
Activé
• Membre de domaine : signer numériquement les données des canaux sécurises (lorsque cela est possible)
Activé
• Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Désactivé
• Objets système : propriétaire par défaut pour les objets crées par les membres du groupe Administrateurs
Créateur d'objet
• Objets système : Renforcer les autorisations par défaut des objets système internes (comme les liens de symboles)
Activé
Ouverture de session interactive : Comportement lorsque la carte a puce est retirée
Verrouiller la station de travail
-- "Aucune action" si vous n'utilisez pas de carte à puce --
• Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
-- Vous pouvez définir ici un message de bienvenue --
• Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur
Activé
• Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
Désactivé
• Ouverture de session interactive : nécessite I'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail.
Désactivé
• Ouverture de session interactive : Nombre d'ouvertures de session précédentes dans le cache (au cas ou le contrôleur de domaine ne serait pas disponible)
10 ouvertures de session
• Ouverture de session interactive : Prévenir I'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
14 derniers jours
• Ouverture de session interactive : Titre du message pour les utilisateurs essayant de se connecter
-- Vous pouvez définir ici un message de bienvenue --
• Ouverture de session interactive : Nécessite une carte a puce
Activé SAUF si vous n'utilisez pas de carte à puce
• Périphériques : autoriser le retrait sans ouverture de session préalable
Activé
• Périphériques : comportement d'installation d'un pilote non signe
Avertir mais autoriser l'installation
• Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante
Désactivé
• Périphériques : ne permettre l'accès au CD-ROM qu'aux utilisateurs connectes localement
Désactivé
• Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectes localement
Désactivé
• Périphériques : permettre le formatage et l'éjection des supports amovibles
Administrateurs
• Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent
Activé
• Sécurité réseau : Ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe
Activé
• Sécurité réseau : Niveau d'authentification Lan Manager
-- Laissez la valeur par défaut --
• Sécurité réseau : Sécurité de session minimale pour les clients bases sur NTLM SSP (y compris RPC sécurise)
Pas de minimum
• Sécurité réseau : Sécurité de session minimale pour les serveurs bases sur NTLM SSP (y compris RPC sécurise)
Pas de minimum
• Sécurité réseau : conditions requises pour la signature de client LDAP
-- Laissez la valeur par défaut --
• Serveur réseau Microsoft : Signer numériquement les communications (lorsque le client I'accepte)
Activé
• Serveur réseau Microsoft: Déconnecter les clients a l'expiration du délai de la durée de session
Activé
• Serveur réseau Microsoft: Durée d'inactivité avant la suspension d'une session
14 minutes
• Serveur réseau Microsoft: Signer numériquement les communications (toujours)
-- Laissez la valeur par défaut --
Commentaires