Академический Документы
Профессиональный Документы
Культура Документы
Page 1 sur 29
Guide scurit
Sur cette page Introduction Avant de commencer Scurisation des contrleurs de domaine Activation de services supplmentaires sur les contrleurs de domaine Scurisation du service Serveur DNS Mise jour de la scurit des contrleurs de domaine Informations complmentaires
inscription Newsletter
Tmoignages
scurisation des contrleurs de domaine avec la Straggie de groupe ; configuration de la Stratgie de groupe pour offrir d'autres fonctions de contrleur de domaine ; scurisation du service Serveur DNS ; mise jour de la scurit des contrleurs de domaine.
Remarque : La configuration de la Stratgie de groupe sur les contrleurs de domaine n'est que la premire tape d'un processus visant renforcer la scurit de vos contrleurs de domaine et de votre environnement informatique.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 2 sur 29
Ainsi, vous protgerez votre environnement informatique contre un grand nombre de menaces. Vos contrleurs de domaine n'excuteront que les services indispensables au bon fonctionnement de l'environnement. Par ailleurs, en automatisant la mise jour de vos contrleurs de domaine, vous tlchargez et installez automatiquement les dernires mises jour de scurit ds leur diffusion par Microsoft. IMPORTANT : Toutes les procdures dtailles dans ce document ont t dveloppes avec le menu Dmarrer qui apparat par dfaut lors de l'installation du systme d'exploitation. Si vous avez modifi ce menu, certaines tapes peuvent lgrement varier.
Haut de page
Avant de commencer
Pour effectuer les oprations dcrites dans ce guide, vous devez tre connect vos contrleurs de domaine comme membre du compte Admins de domaine. Gardez l'esprit que vous devez redmarrer votre contrleur de domaine. Vous devez donc excuter ces tches en dehors des heures ouvrables afin de minimiser l'impact sur les utilisateurs. Ce guide part du principe que votre environnement client regroupe des ordinateurs excutant Microsoft Windows 2000 Service Pack 2 ou ultrieur, et Windows XP Service Pack 1. Certaines tches et recommandations fournies dans ce guide ne sont pas compatibles avec les anciennes versions de Windows. Si ces services packs ne sont pas installs sur vos ordinateurs ou en cas de doute sur leur installation, visitez la page Windows Update du site Web de Microsoft http://go.microsoft.com/fwlink/?LinkID=22630 et laissez l'analyse s'effectuer. Si des service packs doivent tre tlchargs, installez-les avant d'excuter les tches dcrites dans ce document. D'autres informations sur l'utilisation de Windows Update sont fournies plus avant dans ce document.
Haut de page
Crez un objet de stratgie de groupe (GPO) et liez-le l'unit d'organisation des contrleurs de domaine. Importez les paramtres de scurit de base dans ce nouvel objet GPO l'aide du modle de scurit fourni dans ce guide. Vrifiez les nouveaux paramtres dans le journal d'application sur vos contrleurs de domaine.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Outil : Utilisateurs et ordinateurs Active Directory. Pour accder cet outil, cliquez sur Dmarrer, Paramtres et Panneau de configuration. Double-cliquez sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Fichiers : vous devez tlcharger le fichier Enterprise Client Domain Controller.inf fourni avec le Windows Server 2003 Security Guide . Une fois tlcharg, copiez-le dans le dossier racine_systme\Security\Templates du contrleur de domaine sur lequel vous effectuez ces oprations. Par exemple, dans une configuration classique, copiez
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 3 sur 29
Pour tlcharger le fichier Enterprise Client Domain Controller.inf 1. Sur le contrleur de domaine, ouvrez un navigateur Web et affichez la page Windows Server 2003 Security Guide du site Web Centre de tlchargement Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=4846. En bas de cette page, sous les fichiers de ce tlchargement, cliquez sur Windows_Server_2003_Security_Guide.exe. Dans la bote de dialogue Tlchargement de fichier, cliquez sur Enregistrer. Dans la fentre qui apparat, dveloppez la zone de liste Enregistrer dans, slectionnez Bureau et crez un dossier dans lequel enregistrer le fichier, en procdant comme suit : 1. Cliquez avec le bouton droit de la souris sur un espace vide de la bote de dialogue Enregistrer sous, pointez sur Nouveau et cliquez sur Dossier. Indiquez le nom du dossier (remplacez le texte en surbrillance Nouveau dossier par le nom que vous avez choisi), double-cliquez sur le nouveau dossier pour le slectionner dans la zone de liste Enregistrer dans, puis cliquez sur Enregistrer.
2.
3. 4.
2.
5. 6.
Une fois le tlchargement termin, cliquez sur Fermer dans la bote de dialogue Tlchargement termin. Dans le nouveau dossier du Bureau, double-cliquez sur le fichier Windows_Server_2003_Security_Guide.exe pour ouvrir l'Auto-extracteur de WinZip. Dans la bote de dialogue WinZip Self-Extractor : 1. Cliquez sur Parcourir, slectionnez le dossier de stockage du fichier tlcharg, et cliquez dessus pour l'ouvrir, puis sur OK. Dans la bote de dialogue WinZip Self-Extractor, cliquez sur Unzip. Un message de confirmation apparat, indiquant que l'opration de dcompression a abouti.
7.
2.
8.
Dans le jeu de fichiers et de dossiers extraits, double-cliquez sur le dossier Windows Server 2003 Security Guide, puis ouvrez les dossiers consacrs aux outils et aux modles, le guide de scurit et les modles de scurit. Dans le dossier Modles de scurit, cliquez avec le bouton droit de la souris sur le fichier Enterprise Client Domain Controller.inf et copiez-le dans le dossier racine_systme\Security\Templates du contrleur de domaine sur lequel vous effectuez ces oprations.
9.
Pour crer un objet GPO dans l'unit d'organisation des contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits.
2.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 4 sur 29
Remarque : Les captures d'cran fournies dans ce document correspondent un environnement test. Dans votre environnement, les noms de domaine et de serveur peuvent tre diffrents. 3. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, puis sur Nouveau pour crer un objet GPO. Entrez Stratgie de base des contrleurs de domaine comme nom, puis cliquez sur Fermer.
4.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 5 sur 29
Pour importer les paramtres de scurit de base dans la Stratgie de base des contrleurs de domaine 1. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe et slectionnez Stratgie de base contrleurs de domaine. Cliquez sur Haut pour placer le nouvel objet GPO en haut de la liste, puis cliquez sur Editer.
2.
3.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 6 sur 29
IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis slectionnez Importer la stratgie.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 7 sur 29
Dans la bote de dialogue Importer la stratgie partir de, slectionnez le fichier Enterprise Client Domain Controller.inf et cliquez sur Ouvrir.
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez vos contrleurs de domaine, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Outils : Observateur d'vnements et Services.
Vrifiez que le journal d'application de chaque contrleur de domaine contient l'ID d'vnement 1704. Pour vrifier le journal d'vnements de l'application 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Observateur d'vnements. Dans Observateur d'vnements, cliquez sur Journal applications et recherchez l'vnement le plus rcent rpondant aux critres suivants :
2.
3.
Double-cliquez sur cet vnement pour afficher une fentre Proprits de vnement similaire la fentre suivante :
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 8 sur 29
4.
Ensuite, vrifiez que les services superflus sont dsactivs sur vos contrleurs de domaine.
Pour identifier les services dsactivs 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que les services Alertes, Affichage des messages et Planificateur de tches ne sont pas actifs et que leur type de dmarrage est Dsactiv. Remarque : Les trois services mentionns l'tape 2 sont activs par dfaut sous Microsoft Windows Server 2003. Il ne s'agit pas des seuls services dsactivs par la Stratgie de base des contrleurs de domaine, mais la vrification de leur configuration constitue une bonne indication que les paramtres de la nouvelle Stratgie de groupe sont appliqus. 3. Fermez l'outil Services.
2.
Haut de page
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 9 sur 29
activation des services d'impression ; activation des services IAS ; activation des services de certificat ; activation et scurisation du service Planificateur de tches.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services DHCP dans la Stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations (volet de droite), double-cliquez sur Serveur DHCP et cliquez sur Automatique, puis sur OK.
2.
3.
5.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 10 sur 29
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez vos contrleurs de domaine, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que le service DHCP est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service DHCP est actif et configur pour s'excuter automatiquement.
2.
IMPORTANT : Vrifiez que les ordinateurs clients obtiennent les adresses IP du serveur DHCP auprs du contrleur de domaine.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer le service WINS dans la Stratgie de groupe
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 11 sur 29
Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger.
2.
3.
4.
Sous Configuration ordinateur, dveloppez le dossier des Paramtres Windows, cliquez sur Paramtres de scurit, puis sur Services systme. Dans le volet d'informations, double-cliquez sur WINS et cliquez sur Automatique, puis sur OK.
5.
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui assurent des services WINS, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que WINS est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que Windows Internet Name Service (WINS) est actif et configur pour s'excuter automatiquement.
2.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 12 sur 29
partages de fichiers sur vos contrleurs de domaine. L'activation des services de partage de fichiers ne requiert aucune modification de vos contrleurs de domaine. Toutefois, si l'un de vos contrleurs de domaine est configur comme serveur d'impression, vous devez activer le service Spouleur d'impression pour que vos contrleurs de domaine offrent des services d'impression dans votre environnement.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services d'impression sur vos contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur Spouleur d'impression et cliquez sur Automatique, puis sur OK.
2.
3.
5.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 13 sur 29
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui assurent les services d'impression, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que le service Spouleur d'impression est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service Spouleur d'impression est actif et configur pour s'excuter automatiquement.
2.
IMPORTANT : Vrifiez galement que les ordinateurs clients peuvent imprimer sur les imprimantes partages de vos contrleurs de domaine.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services IAS dans la Stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations (volet de droite), double-cliquez sur IAS et cliquez sur Automatique, puis sur OK.
2.
3.
5.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 14 sur 29
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui utilisent ISA, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que le service IAS est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service IAS est actif et configur pour s'excuter automatiquement.
2.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services de certificat dans la stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 15 sur 29
Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger.
3.
4.
Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur CertSvc et cliquez sur Automatique, puis sur OK.
5.
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez vos contrleurs de domaine, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que les services de certificat sont actifs 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service de certificat est actif et configur pour s'excuter automatiquement.
2.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 16 sur 29
configuration par dfaut du compte, vos contrleurs de domaine sont vulnrables aux attaques d'utilisateurs malveillants. Cette section dtaille les procdures suivantes :
Activation du Planificateur de tches dans la stratgie de groupe Scurisation du service Planificateur de tches en modifiant le compte de service AT
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous devez redmarrer vos contrleurs de domaine pour terminer la procdure. La rinitialisation simultane de tous vos contrleurs de domaine peut empcher temporairement les utilisateurs de se connecter au rseau ou d'accder ses ressources. Pour minimiser l'impact sur les utilisateurs, excutez cette procdure en dehors des heures ouvrables. Pour activer le Planificateur de tches sur vos contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur Planificateur de tches et cliquez sur Automatique, puis sur OK.
2.
3.
5.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 17 sur 29
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui utilisent le Planificateur de tches, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Pour vrifier que le service Planificateur de tches est actif 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service Planificateur de tches est actif et configur pour s'excuter automatiquement.
2.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 18 sur 29
Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Pour modifier la configuration du compte de service AT 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Tches planifies. Dans le menu Avanc, slectionnez Compte de service AT. Cliquez sur l'option Ce compte, entrez le nom et le mot de passe d'un compte qui n'est associ aucun droit d'administration des contrleurs de domaine, puis cliquez sur OK.
2. 3.
IMPORTANT : Vrifiez que le compte utilis n'appartient aucun groupe d'administration (par exemple, Administrateurs de l'entreprise, Admins du domaine ou Administrateurs). Il est recommand de crer un compte de service ddi cette utilisation et d'en contrler rgulirement les membres. Pour excuter une tche qui requiert des droits d'administrateur, vous devez la planifier avec l'Assistant d'ajout des tches planifies le Planificateur de tches.
Haut de page
Limitation des adresses IP surveilles par le service Serveur DNS Dsactivation de la rcurrence des serveurs DNS qui n'assurent aucun service de rsolution aux clients du rseau Configuration des indications de racine pour protger votre espace de noms DNS priv
IMPORTANT : Les paramtres par dfaut du service Serveur DNS protgent votre systme. Par exemple, les transferts de zone ne sont autoriss que vers les serveurs DNS secondaires spcifis. Avant de modifier ces paramtres par dfaut, vrifiez bien l'impact de ces modifications sur votre environnement.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 19 sur 29
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Configuration : le serveur DNS doit avoir plusieurs adresses IP. Outil : extension DNS Microsoft Management Console (MMC). Pour limiter les adresses IP surveilles par le service Serveur DNS 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur DNS.
2. 3. 4.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Dans l'onglet Interfaces, cliquez sur l'option Uniquement les adresses IP suivantes.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 20 sur 29
5. 6.
Dans Adresse IP, tapez l'adresse IP que doit utiliser ce serveur DNS, puis cliquez sur Ajouter. Le cas chant, rptez l'tape prcdente pour spcifier d'autres adresses IP pouvant tre utilises par ce serveur DNS. Pour chaque adresse IP surveille non utilise comme serveur DNS favoris par les clients DNS, cliquez sur l'adresse IP puis sur Supprimer. Cliquez sur OK.
7.
8.
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 21 sur 29
Pour dsactiver la rcurrence 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur DNS.
2. 3. 4. 5.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Avanc. Sous Options de serveur, cliquez sur Dsactiver la rcursivit (dsactiver les redirecteurs galement), puis sur OK.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 22 sur 29
Droits : vous devez tre connect en tant que membre des groupes Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC. Remarque : N'excutez cette procdure que sur les serveurs DNS qui rsolvent les noms pour une racine DNS interne. Pour configurer les indications de racine afin qu'elles protgent les informations 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Pointez sur Outils d'administration, puis cliquez sur DNS.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 23 sur 29
2. 3. 4.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Indications de racine.
5. 6.
Cliquez sur chaque serveur rpertori sous Serveurs de noms, puis sur Supprimer. Pour chaque serveur hbergeant votre racine DNS interne, cliquez sur Ajuster et indiquez le nom et l'adresse IP du serveur DNS.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 24 sur 29
Suivez la procdure ci-dessous pour vrifier que les paramtres appropris ont t appliqus votre serveur DNS. Configuration requise
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC. Pour vrifier la configuration des indications de racine 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Pointez sur Outils d'administration, puis cliquez sur DNS. Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS vrifier. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Indications de racine. Vrifiez que seuls les serveurs DNS hbergeant votre racine DNS interne sont rpertoris sous Serveurs de noms.
2. 3. 4. 5.
Haut de page
Installation des dernires mises jour de scurit Microsoft Cration d'un fichier de rserve pour restaurer le systme suite des attaques d'espace disque Dsactivation de la gnration automatique de noms 8.3 pour amliorer la protection du systme contre les virus et les attaques malveillantes Recours l'utilitaire Cl systme pour protger les contrleurs contre les logiciels de dcodage de mots de passe Dsactivation de l'accs anonyme Active Directory dans les environnements o les applications ne requirent pas de connexion anonyme
Configurer Mises jour automatiques pour tlcharger et installer automatiquement les mises jour de scurit selon la planification spcifie Tlcharger et installer les mises jour de scurit manuellement l'aide de Windows Update
IMPORTANT : Il est recommand de maintenir jour la scurit des ordinateurs du rseau en installant les dernires mises jour de scurit. La configuration de Mises jour automatiques et l'utilisation de Windows Update sur vos contrleurs de domaine n'assurent la protection que des contrleurs de domaine, mais pas des autres serveurs et des autres clients. Vrifiez que Mises jour automatiques et Windows Update sont configurs et actifs sur tous les ordinateurs excutant Windows Server 2003, Windows 2000 et Windows XP sur le rseau.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 25 sur 29
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Pour tlcharger et installer automatiquement les mises jour de scurit sur un contrleur de domaine 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Systme. Cliquez sur l'onglet Mises jour automatiques et activez la case cocher Maintenir mon ordinateur jour. Avec ce paramtre activ, il se peut que le logiciel Windows Update soit automatiquement mis jour avant l'application de toute autre mise jour. Cliquez sur Tlcharger automatiquement les mises jour, et les installer en fonction de la planification que je spcifie. Slectionnez le jour et l'heure des mises jour, puis cliquez sur OK pour fermer la fentre Proprits systme. IMPORTANT : Souvent, les mises jour de scurit impliquent le redmarrage des contrleurs de domaine. Choisissez un jour et une heure qui minimisent l'impact sur les utilisateurs.
2.
3.
4.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 26 sur 29
Droits : vous devez tre connect en tant que membre du groupe Oprateurs de serveur ou Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine.
IMPORTANT : Souvent, les mises jour de scurit requirent le redmarrage des contrleurs de domaine. Lorsque vous excutez Windows Update, prenez en considration l'impact du redmarrage des contrleurs de domaine sur vos utilisateurs.
Pour tlcharger et installer manuellement les mises jour de scurit l'aide de Windows Update 1. 2. 3. Cliquez sur Dmarrer, Tous les programmes et Windows Update. Dans Internet Explorer, cliquez sur Rechercher des mises jour et attendez que la recherche aboutisse. Windows Update slectionne automatiquement les mises jour de scurit critiques installer sur le contrleur de domaine. Si des mises jour sont disponibles, cliquez sur Examiner les mises jour et les installer, puis sur Installer maintenant, et suivez les instructions d'installation affiches l'cran. Rptez ces tapes jusqu' ce que toutes les mises jour critiques du contrleur de domaine soient installes.
4.
Cration d'un fichier de rserve pour restaurer le systme suite des attaques d'espace disque
Souvent, les pirates tentent de bloquer les ressources du systme vis. L'une des ressources systme frquemment attaques est l'espace disque. Dans ce type d'attaque, l'assaillant sature l'espace disque en ajoutant un grand nombre d'objets dans l'annuaire. Vous pouvez vous protger contre les attaques d'espace disque en crant proactivement un fichier de rserve sur le disque contenant votre base de donnes Active Directory (Ntds.dit). Un fichier de rserve est un fichier volumineux qui rserve l'espace disponible sur le disque. Si un utilisateur malveillant sature l'espace disque en ajoutant un grand nombre d'objets non autoriss, il suffit de supprimer le fichier de rserve pour librer de l'espace et rtablir un fonctionnement normal. IMPORTANT : Si l'espace disque de votre contrleur de domaine est attaqu, vous devez supprimer le fichier de rserve ainsi que les objets non autoriss qui saturent l'espace disque. Pour plus d'informations sur la suppression d'objets non autoriss suite une attaque d'espace disque, consultez le document Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? LinkId=22040. La procdure suivante rserve l'espace disque en crant un fichier sur le mme disque que la base de donnes Active Directory. Ce fichier doit avoir une taille suprieure 250 Mo ou gale 1 % du volume de disque logique sur lequel la base de donnes Active Directory est stocke. Par dfaut, le fichier de rserve rside dans le rpertoire racine_systme\Ntds. Excutez cette procdure sur chaque contrleur de domaine du rseau. Configuration requise
Droits : vous devez tre connect au contrleur de domaine en tant que membre du groupe Admins de domaine ou Administrateurs de l'entreprise. Rptez cette tape : excutez cette procdure sur chaque contrleur de domaine du rseau. Outil : Fsutil.exe. Pour crer un fichier de rserve afin de restaurer le systme suite des attaques d'espace disque 1. 2. Cliquez sur Dmarrer, puis sur Excuter. Tapez cmd, puis cliquez sur OK. l'invite, tapez la commande suivante et appuyez sur ENTRE : fsutil file createnew %racine_systme%\ntds\fichier_rserve 256000000
Cette commande cre un fichier de rserve appel fichier_rserve (250 Mo) dans le rpertoire contenant la base de donnes Active Directory sur le contrleur de domaine. Si Active Directory s'interrompt en raison d'un manque d'espace disponible, supprimez ce fichier.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 27 sur 29
Droits : vous devez tre connect au contrleur de domaine en tant que membre du groupe Admins de domaine ou Administrateurs de l'entreprise. Outil : Poste de travail. Rptez ces tapes : si vous avez plusieurs contrleurs de domaine, vrifiez la cration du fichier de rserve sur chacun d'entre eux. Pour vrifier la cration du fichier de rserve sur un contrleur de domaine 1. 2. 3. Cliquez sur Dmarrer, puis sur Poste de travail. Dans Poste de travail, naviguez jusqu'au rpertoire Ntds (gnralement, C:\Windows\Ntds). Double-cliquez sur le dossier Ntds. Vrifiez que le fichier de rserve existe et que sa taille est gale ou suprieure 250 Mo.
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Outil : Regedit.exe (l'diteur du Registre) Pour dsactiver la gnration automatique de noms au format 8.3 sur vos contrleurs de domaine 1. 2. Cliquez sur Dmarrer, puis sur Excuter. Tapez regedit, puis exe et cliquez sur OK. Dans l'diteur du Registre, naviguez jusqu' HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Slectionnez la cl de Registre NtfsDisable8dot3NameCreation. Cliquez sur Edition, puis sur Modifier. Dans la zone Donnes de la valeur, tapez 1 pour dsactiver la gnration automatique de noms 8.3 sur ce contrleur de domaine. Fermez l'diteur du Registre. Pour plus d'informations sur la dsactivation de la gnration automatique de noms 8.3, consultez le document Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22342.
3. 4. 5.
6.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 28 sur 29
Utilise une cl alatoire gnre automatiquement comme cl systme et en stocke une version chiffre sur l'ordinateur local. Cette option assure un chiffrement fiable des mots de passe dans le Registre et permet l'utilisateur de redmarrer l'ordinateur sans qu'un administrateur ait entrer un mot de passe ou insrer un disque. Utilise une cl alatoire gnre automatiquement comme cl du systme et en stocke une version chiffre sur l'ordinateur. Cette cl est galement protge par un mot de passe choisi par l'administrateur. Les utilisateurs doivent saisir ce mot de passe pendant le dmarrage de l'ordinateur. Ce mot de passe n'est pas stock sur l'ordinateur. Utilise une cl alatoire gnre automatiquement et la stocke sur une disquette. Cette disquette qui contient la cl du systme est ncessaire pour dmarrer le systme. Vous devez la saisir l'invite pendant la squence de dmarrage. Cette cl n'est pas stocke sur l'ordinateur.
Plus scuris
Mode 3 - Mot de passe gnr par le systme : enregistre la cl de dmarrage sur disquette
Scurit maximale
L'utilitaire Cl systme est activ sur tous les serveurs Windows Server 2003 en Mode 1 (cl protge). Les modes 2 (mot de passe de la console) ou 3 (stockage sur disquette du mot de passe de Cl systme) sont recommands sur les contrleurs de domaine exposs des menaces de scurit physiques. Pour plus d'informations sur la protection des contrleurs de domaine contre les redmarrages non autoriss, grce l'utilitaire Cl systme, consultez le Chapitre 4 - Hardening Domain Controllers du Windows Server 2003 Security Guide sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?LinkId=22122.
Lorsque vous crez un domaine, acceptez le paramtre d'installation par dfaut Autorisations compatibles uniquement avec les serveurs Windows 2000 ou Windows Server 2003. Dans un domaine Windows Server 2003 autorisant l'accs compatible avec les versions antrieures de Windows 2000, supprimez TOUT LE MONDE et OUVERTURE DE SESSION ANONYME du groupe de l'accs compatible avec les versions antrieures Windows 2000. Ne conservez que Utilisateurs authentifis comme membre.
Pour plus d'informations sur la suppression de Tout le monde et de l'ouverture de session anonyme du groupe Accs compatible avec les versions antrieures Windows 2000, consultez le Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? linkid=22342.
Haut de page
Informations complmentaires
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005
Page 29 sur 29
Site Web Scurit Microsoft l'adresse http://go.microsoft.com/fwlink/?linkid=7420 ; Authoritative Security Guidance for the Enterprise sur le site Web de TechNet, l'adresse http://go.microsoft.com/fwlink/?linkid=22698 ; Guide Microsoft sur la gestion des correctifs de scurit sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?LinkId=16286 ; Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22342 ; Chapitre 4 - Hardening Domain Controllers du Windows Server 2003 Security Guide sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22122.
Pour plus d'informations sur la scurisation DNS, visitez les pages suivantes :
Checklist: Securing your DNS infrastructure sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? linkid=22121 ; Securing Your DNS Infrastructure dans le document Deploying Network Services du Microsoft Windows Server 2003 Deployment Kit sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22144.
Pour plus d'informations sur Windows Server 2003, consultez les pages suivantes :
Page d'accueil de Microsoft Windows Server 2003 sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=17610 ; Stratgie de groupe sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=14232.
Haut de page
Haut de page
Grez votre profil 2005 Microsoft Corporation. Tous droits rservs. Conditions d'utilisation | Marques | Confidentialit | A propos de ce site
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005