Sécurisation Des Controleurs de Domaine W 2003

Scurisation des contrleurs de domaine Windows Server 2003
Page 1 sur 29
Guide scurit

Paru le 13 dcembre 2004
Sur cette page Introduction Avant de commencer Scurisation des contrleurs de domaine Activation de services supplmentaires sur les contrleurs de domaine Scurisation du service Serveur DNS Mise jour de la scurit des contrleurs de domaine Informations complmentaires
inscription Newsletter
Vous avez un projet

Introduction
La perte de donnes ou de chiffre d'affaires suite une attaque malveillante d'un systme informatique peut avoir des consquences dvastatrices. Pour protger les systmes informatiques et les donnes de votre entreprise contre le code utilis dans les vers, virus et autres programmes hostiles, il est primordial d'appliquer des mesures de scurit. Les contrleurs de domaine du rseau constituent l'lment pivot de votre service d'annuaire Active Directory. Ils contiennent toutes les informations sur les comptes utilisateur, qui permettent aux utilisateurs de se connecter au rseau et d'accder aux ressources dont ils ont besoin pour travailler. En raison des informations qu'ils contiennent et de leur rle crucial dans les environnements informatiques, les contrleurs de domaine reprsentent des cibles privilgies pour les attaques malveillantes. C'est pourquoi, vous devez les placer dans un emplacement le plus sr possible, les maintenir jour avec les dernires mises jour de scurit et dsactiver les services superflus. Ce guide fournit des procdures dtailles qui mettent en place des mesures de scurit visant protger la configuration des contrleurs de domaine. Ces procdures ont t dveloppes en utilisant le menu par dfaut Dmarrer de Microsoft Windows XP. Pour amliorer la scurit de votre environnement, vous allez appliquer la Stratgie de groupe, c'est--dire la technologie de gestion des configurations et des modifications fournie avec Active Directory. Ce guide passe en revue les tches suivantes :
informatique ? Nous vous guidons et vous aiguillons vers les partenaires Microsoft les plus enclins rpondre votre projet. Acheter Windows XP en ligne avec MSN Acheter Office 2003 en ligne avec MSN Tlchargements
Tmoignages
Sur le mme thme :

Sauvegarde et rcupration des donnes Sauvegarde et restauration de Windows Small Business Server 2003 Sauvegarde et restauration des donnes pour Windows 2000 Server Cration d'une Autorit de certificat racine d'entreprise dans les petites et moyennes entreprises Les autres articles
scurisation des contrleurs de domaine avec la Straggie de groupe ; configuration de la Stratgie de groupe pour offrir d'autres fonctions de contrleur de domaine ; scurisation du service Serveur DNS ; mise jour de la scurit des contrleurs de domaine.
Remarque : La configuration de la Stratgie de groupe sur les contrleurs de domaine n'est que la premire tape d'un processus visant renforcer la scurit de vos contrleurs de domaine et de votre environnement informatique.
http://www.microsoft.com/france/entrepreneur/solutions/sgc/articles/sec_win2003_ser... 27/09/2005

Effectuez les oprations dcrites dans la section Scurisation des clients Windows XP Professionnel dans un environnement serveur Windows du kit de scurit pour renforcer la scurit de vos contrleurs de domaine.
Page 2 sur 29
Ainsi, vous protgerez votre environnement informatique contre un grand nombre de menaces. Vos contrleurs de domaine n'excuteront que les services indispensables au bon fonctionnement de l'environnement. Par ailleurs, en automatisant la mise jour de vos contrleurs de domaine, vous tlchargez et installez automatiquement les dernires mises jour de scurit ds leur diffusion par Microsoft. IMPORTANT : Toutes les procdures dtailles dans ce document ont t dveloppes avec le menu Dmarrer qui apparat par dfaut lors de l'installation du systme d'exploitation. Si vous avez modifi ce menu, certaines tapes peuvent lgrement varier.
Haut de page
Avant de commencer
Pour effectuer les oprations dcrites dans ce guide, vous devez tre connect vos contrleurs de domaine comme membre du compte Admins de domaine. Gardez l'esprit que vous devez redmarrer votre contrleur de domaine. Vous devez donc excuter ces tches en dehors des heures ouvrables afin de minimiser l'impact sur les utilisateurs. Ce guide part du principe que votre environnement client regroupe des ordinateurs excutant Microsoft Windows 2000 Service Pack 2 ou ultrieur, et Windows XP Service Pack 1. Certaines tches et recommandations fournies dans ce guide ne sont pas compatibles avec les anciennes versions de Windows. Si ces services packs ne sont pas installs sur vos ordinateurs ou en cas de doute sur leur installation, visitez la page Windows Update du site Web de Microsoft http://go.microsoft.com/fwlink/?LinkID=22630 et laissez l'analyse s'effectuer. Si des service packs doivent tre tlchargs, installez-les avant d'excuter les tches dcrites dans ce document. D'autres informations sur l'utilisation de Windows Update sont fournies plus avant dans ce document.
Haut de page
Scurisation des contrleurs de domaine

La Stratgie de groupe permet d'amliorer la scurit de vos contrleurs de domaine. La procdure ci-dessous explique comment configurer la Stratgie de groupe et dsactiver les services inutiliss ou superflus qui autrement pourraient des vulnrabilits sur vos contrleurs. Pour configurer la Stratgie de groupe de vos contrleurs de domaine, procdez comme suit :
Crez un objet de stratgie de groupe (GPO) et liez-le l'unit d'organisation des contrleurs de domaine. Importez les paramtres de scurit de base dans ce nouvel objet GPO l'aide du modle de scurit fourni dans ce guide. Vrifiez les nouveaux paramtres dans le journal d'application sur vos contrleurs de domaine.
Application de la Stratgie de base des contrleurs de domaine

Les oprations suivantes doivent tre effectues une seule fois. Le niveau de scurit de vos contrleurs de domaine est mis jour instantanment. IMPORTANT : Pour que la stratgie de base des contrleurs de domaine prenne effet, vous devez redmarrer tous vos contrleurs de domaine. Effectuez cette opration en dehors des heures ouvrables pour minimiser l'impact sur vos utilisateurs. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Outil : Utilisateurs et ordinateurs Active Directory. Pour accder cet outil, cliquez sur Dmarrer, Paramtres et Panneau de configuration. Double-cliquez sur Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory. Fichiers : vous devez tlcharger le fichier Enterprise Client Domain Controller.inf fourni avec le Windows Server 2003 Security Guide . Une fois tlcharg, copiez-le dans le dossier racine_systme\Security\Templates du contrleur de domaine sur lequel vous effectuez ces oprations. Par exemple, dans une configuration classique, copiez

le fichier .inf dans le dossier C:\Windows\Security\Templates.
Page 3 sur 29
Pour tlcharger le fichier Enterprise Client Domain Controller.inf 1. Sur le contrleur de domaine, ouvrez un navigateur Web et affichez la page Windows Server 2003 Security Guide du site Web Centre de tlchargement Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=4846. En bas de cette page, sous les fichiers de ce tlchargement, cliquez sur Windows_Server_2003_Security_Guide.exe. Dans la bote de dialogue Tlchargement de fichier, cliquez sur Enregistrer. Dans la fentre qui apparat, dveloppez la zone de liste Enregistrer dans, slectionnez Bureau et crez un dossier dans lequel enregistrer le fichier, en procdant comme suit : 1. Cliquez avec le bouton droit de la souris sur un espace vide de la bote de dialogue Enregistrer sous, pointez sur Nouveau et cliquez sur Dossier. Indiquez le nom du dossier (remplacez le texte en surbrillance Nouveau dossier par le nom que vous avez choisi), double-cliquez sur le nouveau dossier pour le slectionner dans la zone de liste Enregistrer dans, puis cliquez sur Enregistrer.
2.
3. 4.
2.
5. 6.
Une fois le tlchargement termin, cliquez sur Fermer dans la bote de dialogue Tlchargement termin. Dans le nouveau dossier du Bureau, double-cliquez sur le fichier Windows_Server_2003_Security_Guide.exe pour ouvrir l'Auto-extracteur de WinZip. Dans la bote de dialogue WinZip Self-Extractor : 1. Cliquez sur Parcourir, slectionnez le dossier de stockage du fichier tlcharg, et cliquez dessus pour l'ouvrir, puis sur OK. Dans la bote de dialogue WinZip Self-Extractor, cliquez sur Unzip. Un message de confirmation apparat, indiquant que l'opration de dcompression a abouti.
7.
2.
8.
Dans le jeu de fichiers et de dossiers extraits, double-cliquez sur le dossier Windows Server 2003 Security Guide, puis ouvrez les dossiers consacrs aux outils et aux modles, le guide de scurit et les modles de scurit. Dans le dossier Modles de scurit, cliquez avec le bouton droit de la souris sur le fichier Enterprise Client Domain Controller.inf et copiez-le dans le dossier racine_systme\Security\Templates du contrleur de domaine sur lequel vous effectuez ces oprations.
9.
Pour crer un objet GPO dans l'unit d'organisation des contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits.
2.
Page 4 sur 29
Remarque : Les captures d'cran fournies dans ce document correspondent un environnement test. Dans votre environnement, les noms de domaine et de serveur peuvent tre diffrents. 3. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, puis sur Nouveau pour crer un objet GPO. Entrez Stratgie de base des contrleurs de domaine comme nom, puis cliquez sur Fermer.
4.
Page 5 sur 29
Pour importer les paramtres de scurit de base dans la Stratgie de base des contrleurs de domaine 1. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe et slectionnez Stratgie de base contrleurs de domaine. Cliquez sur Haut pour placer le nouvel objet GPO en haut de la liste, puis cliquez sur Editer.
2.
3.
Page 6 sur 29
IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis slectionnez Importer la stratgie.

5.
Page 7 sur 29
Dans la bote de dialogue Importer la stratgie partir de, slectionnez le fichier Enterprise Client Domain Controller.inf et cliquez sur Ouvrir.
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez vos contrleurs de domaine, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.
Vrification des nouveaux paramtres

Aprs avoir configur la scurit de la Stratgie de groupe, vrifiez que les paramtres sont effectivement appliqus. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Outils : Observateur d'vnements et Services.
Vrifiez que le journal d'application de chaque contrleur de domaine contient l'ID d'vnement 1704. Pour vrifier le journal d'vnements de l'application 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Observateur d'vnements. Dans Observateur d'vnements, cliquez sur Journal applications et recherchez l'vnement le plus rcent rpondant aux critres suivants :
2.

3.
Type : Informations Source : SceCli vnement : 704
Double-cliquez sur cet vnement pour afficher une fentre Proprits de vnement similaire la fentre suivante :
Page 8 sur 29
4.
Cliquez sur OK et fermez l'Observateur d'vnements.
Ensuite, vrifiez que les services superflus sont dsactivs sur vos contrleurs de domaine.
Pour identifier les services dsactivs 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que les services Alertes, Affichage des messages et Planificateur de tches ne sont pas actifs et que leur type de dmarrage est Dsactiv. Remarque : Les trois services mentionns l'tape 2 sont activs par dfaut sous Microsoft Windows Server 2003. Il ne s'agit pas des seuls services dsactivs par la Stratgie de base des contrleurs de domaine, mais la vrification de leur configuration constitue une bonne indication que les paramtres de la nouvelle Stratgie de groupe sont appliqus. 3. Fermez l'outil Services.
2.
Haut de page
Activation de services supplmentaires sur les contrleurs de domaine

La Stratgie de base contrleurs de domaine que vous avez applique dans la section prcdente dsactive plusieurs services non indispensables aux contrleurs de domaine. Si cette modification de la configuration permet d'amliorer la scurit de vos contrleurs de domaine, elle empche galement certains services (que les contrleurs de domaine assurent gnralement dans les petites et moyennes entreprises) de fonctionner correctement. La procdure suivante explique comment modifier votre Stratgie de groupe et ractiver ces services. N'effectuez ces oprations sur vos contrleurs de domaine que si votre rseau requiert les fonctionnalits complmentaires offertes par ces services :
activation des services DHCP ; activation des services WINS ;
Page 9 sur 29
activation des services d'impression ; activation des services IAS ; activation des services de certificat ; activation et scurisation du service Planificateur de tches.
Activation des services DHCP

Si l'un de vos contrleurs de domaine est configur comme serveur DHCP (Dynamic Host Configuration Protocol), vous devez modifier les paramtres de la Stratgie de groupe du contrleur de domaine et activer les services DHCPS dans votre environnement. Cette section fournit des instructions dtailles pour ractiver les services DHCP.
Activation des services DHCP dans la Stratgie de groupe

Pour ractiver le service Serveur DHCP sur vos contrleurs de domaine, vous devez modifier la Stratgie de base des contrleurs de domaine. La procdure ci-dessous active ce service sur tous les contrleurs de domaines offrant des services DHCP. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services DHCP dans la Stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations (volet de droite), double-cliquez sur Serveur DHCP et cliquez sur Automatique, puis sur OK.
2.
3.
5.
Page 10 sur 29
6.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service Serveur DHCP est actif.
Pour vrifier que le service DHCP est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service DHCP est actif et configur pour s'excuter automatiquement.
2.
IMPORTANT : Vrifiez que les ordinateurs clients obtiennent les adresses IP du serveur DHCP auprs du contrleur de domaine.
Activation des services WINS

Si votre contrleur de domaine est configur comme serveur WINS (Windows Internet Name Service), vous devez modifier les paramtres de Stratgie de groupe de votre contrleur de domaine et activer les services WINS dans votre environnement. Cette section dtaille la procdure suivre pour ractiver le service WINS.
Activation des services WINS dans la Stratgie de groupe

Pour activer le service WINS sur vos contrleurs de domaine, vous devez modifier l'objet GPO Stratgie de base contrleurs de domaine. Suivez la procdure ci-dessous pour activer le service WINS sur l'ensemble de vos contrleurs de domaine. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer le service WINS dans la Stratgie de groupe

1.
Page 11 sur 29
Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger.
2.
3.
4.
Sous Configuration ordinateur, dveloppez le dossier des Paramtres Windows, cliquez sur Paramtres de scurit, puis sur Services systme. Dans le volet d'informations, double-cliquez sur WINS et cliquez sur Automatique, puis sur OK.
5.
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui assurent des services WINS, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service Serveur WINS est actif.
Pour vrifier que WINS est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que Windows Internet Name Service (WINS) est actif et configur pour s'excuter automatiquement.
2.
Activation des services de fichiers et d'impression

La Stratgie de base des contrleurs de domaine applique dans les sections prcdentes n'a aucun effet sur l'accs aux
Page 12 sur 29
partages de fichiers sur vos contrleurs de domaine. L'activation des services de partage de fichiers ne requiert aucune modification de vos contrleurs de domaine. Toutefois, si l'un de vos contrleurs de domaine est configur comme serveur d'impression, vous devez activer le service Spouleur d'impression pour que vos contrleurs de domaine offrent des services d'impression dans votre environnement.
Activation des services d'impression dans la Stratgie de groupe

Pour activer le service Spouleur d'impression sur vos contrleurs de domaine, vous devez modifier l'objet GPO Stratgie de base des contrleurs de domaine. Suivez la procdure ci-dessous pour activer le service Spouleur d'impression sur l'ensemble de vos contrleurs de domaine. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services d'impression sur vos contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur Spouleur d'impression et cliquez sur Automatique, puis sur OK.
2.
3.
5.

6.
Page 13 sur 29
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui assurent les services d'impression, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service Spouleur d'impression est actif.
Pour vrifier que le service Spouleur d'impression est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service Spouleur d'impression est actif et configur pour s'excuter automatiquement.
2.
IMPORTANT : Vrifiez galement que les ordinateurs clients peuvent imprimer sur les imprimantes partages de vos contrleurs de domaine.
Activation des services IAS

Si l'un de vos contrleurs de domaine est configur comme serveur IAS (Internet Authentication Service), vous devez modifier les paramtres de la Stratgie de groupe du contrleur de domaine et activer les services IAS dans votre environnement. Cette section dtaille la procdure suivre pour ractiver les services IAS.
Activation des services IAS dans la Stratgie de groupe

Pour ractiver les services IAS sur vos contrleurs de domaine, vous devez modifier la Stratgie de base des contrleurs de domaine. La procdure ci-dessous active les services de certificat sur tous les contrleurs de domaine qui assurent des services IAS. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services IAS dans la Stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations (volet de droite), double-cliquez sur IAS et cliquez sur Automatique, puis sur OK.
2.
3.
5.
Page 14 sur 29
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui utilisent ISA, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service IAS est actif.
Pour vrifier que le service IAS est actif 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service IAS est actif et configur pour s'excuter automatiquement.
2.
Activation des services de certificat

Si l'un de vos contrleurs de domaine est configur comme serveur d'autorit de certification, vous devez modifier les paramtres de sa Stratgie de groupe et activer les services de certificat dans votre environnement. Cette section dtaille la procdure suivre pour ractiver les services de certificat.
Activation des services de certificat dans la Stratgie de groupe

Pour ractiver les services de certificat sur vos contrleurs de domaine, vous devez modifier la stratgie de base des contrleurs de domaine. Pour ce faire, suivez la procdure ci-dessous. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous allez devoir redmarrer vos contrleurs de domaine. Excutez cette procdure en dehors des heures ouvrables pour minimiser l'impact sur les utilisateurs. Pour activer les services de certificat dans la stratgie de groupe 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence.

2.
Page 15 sur 29
Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger.
3.
4.
Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur CertSvc et cliquez sur Automatique, puis sur OK.
5.
6.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service CertServ est actif.
Pour vrifier que les services de certificat sont actifs 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service de certificat est actif et configur pour s'excuter automatiquement.
2.
Activation et scurisation du service Planificateur de tches

Si l'un de vos contrleurs de domaine utilise des tches planifies pour excuter des scripts ou des programmes, vous devez modifier les paramtres de la Stratgie de groupe et activer le service Planificateur de tches. Pour amliorer la scurit de vos contrleurs de domaine, aprs avoir ractiv le service Planificateur de tches, empchez les tches dont l'excution est planifie avec des commandes AT d'utiliser le compte Systme local. Si vous conservez la
Page 16 sur 29
configuration par dfaut du compte, vos contrleurs de domaine sont vulnrables aux attaques d'utilisateurs malveillants. Cette section dtaille les procdures suivantes :
Activation du Planificateur de tches dans la stratgie de groupe Scurisation du service Planificateur de tches en modifiant le compte de service AT
Activation du Planificateur de tches dans la stratgie de groupe

Pour activer le service Planificateur de tches sur vos contrleurs de domaine, vous devez modifier l'objet Stratgie de base des contrleurs de domaine. La procdure ci-dessous active ce service sur tous vos contrleurs de domaine. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. valuez l'impact sur les utilisateurs : vous devez redmarrer vos contrleurs de domaine pour terminer la procdure. La rinitialisation simultane de tous vos contrleurs de domaine peut empcher temporairement les utilisateurs de se connecter au rseau ou d'accder ses ressources. Pour minimiser l'impact sur les utilisateurs, excutez cette procdure en dehors des heures ouvrables. Pour activer le Planificateur de tches sur vos contrleurs de domaine 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, sur Utilisateurs et ordinateurs Active Directory, puis sur votre domaine pour en dvelopper l'arborescence. Cliquez avec le bouton droit de la souris sur l'unit d'organisation Contrleurs de domaine, puis cliquez sur Proprits. Dans la bote de dialogue des proprits, cliquez sur l'onglet Stratgie de groupe, sur Stratgie de base des contrleurs de domaine, puis sur Editer. IMPORTANT : Vrifiez que vous modifiez la Stratgie de base des contrleurs de domaine et non la Stratgie contrleurs de domaine par dfaut. Les modifications apportes la Stratgie contrleurs de domaine par dfaut peuvent dstabiliser votre environnement et sont difficiles corriger. 4. Sous Configuration ordinateur, double-cliquez sur le dossier des Paramtres Windows, cliquez avec le bouton droit de la souris sur Paramtres de scurit, puis cliquez sur Services systme. Dans le volet d'informations, double-cliquez sur Planificateur de tches et cliquez sur Automatique, puis sur OK.
2.
3.
5.
Page 17 sur 29
6.
Fermez l'diteur d'objets de stratgie de groupe, cliquez sur OK pour fermer la bote de dialogue des proprits, puis quittez Utilisateurs et ordinateurs Active Directory. Redmarrez les contrleurs de domaine qui utilisent le Planificateur de tches, un par un. IMPORTANT : Ne redmarrez pas tous les contrleurs de domaine simultanment. Sinon, les utilisateurs risquent de rencontrer des difficults pour se connecter au rseau ou accder aux ressources.
7.

Aprs avoir modifi les paramtres de la stratgie de groupe, vrifiez que le service Planificateur de tches est actif.
Pour vrifier que le service Planificateur de tches est actif 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Services. Vrifiez que le service Planificateur de tches est actif et configur pour s'excuter automatiquement.
2.
Scurisation du Planificateur de tches en modifiant le compte de service AT

Vous pouvez galement utiliser des commandes AT pour planifier des tches dans le Planificateur de tches. Par dfaut, les tches planifies l'aide de commandes AT s'excutent sous le compte Systme local et quel que soit l'utilisateur connect l'ordinateur. La plupart du temps, ces tches s'excutent en arrire-plan et ne sont pas contrles par les administrateurs. Le compte Systme local est un compte spcial, prdfini, qui permet de dmarrer et d'excuter de nombreux services sur vos contrleurs de domaine. Il offre un accs total vos contrleurs de domaine et aux ressources du rseau. C'est pourquoi de nombreuses attaques tentent d'exploiter des services excuts par le compte Systme local. Pour amliorer la scurit de vos contrleurs de domaine, vous devez limiter la capacit d'un utilisateur malveillant excuter des programmes qui utilisent le compte Systme local. Ce guide recommande de modifier la configuration du Planificateur de tches, afin que les tches planifies l'aide de commandes AT ne s'excutent pas avec le compte Systme local. Une fois la procdure ci-dessous termine, toutes les tches planifies avec des commandes AT ne s'excutent qu'avec le compte spcifi. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine.
Page 18 sur 29
Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Pour modifier la configuration du compte de service AT 1. Cliquez sur Dmarrer, Paramtres et Panneau de configuration. Ensuite, double-cliquez sur Tches planifies. Dans le menu Avanc, slectionnez Compte de service AT. Cliquez sur l'option Ce compte, entrez le nom et le mot de passe d'un compte qui n'est associ aucun droit d'administration des contrleurs de domaine, puis cliquez sur OK.
2. 3.
IMPORTANT : Vrifiez que le compte utilis n'appartient aucun groupe d'administration (par exemple, Administrateurs de l'entreprise, Admins du domaine ou Administrateurs). Il est recommand de crer un compte de service ddi cette utilisation et d'en contrler rgulirement les membres. Pour excuter une tche qui requiert des droits d'administrateur, vous devez la planifier avec l'Assistant d'ajout des tches planifies le Planificateur de tches.
Haut de page
Scurisation du service Serveur DNS

Pour fonctionner correctement, Active Directory requiert la prsence d'un serveur DNS (Domain Name System). Sur Internet et dans les rseaux TCP/IP, la dnomination DNS permet de localiser des ordinateurs et des services l'aide de noms conviviaux. Lorsqu'un utilisateur entre un nom DNS dans une application, les services DNS convertissent ce nom en une adresse IP. Pour assurer la prise en charge d'Active Directory, utilisez un service DNS offert par un fournisseur de services ou hbergez votre propre DNS dans Windows Server 2003. Si vous hbergez votre propre service DNS, vous pouvez amliorer sa scurit grce aux options dcrites dans la section suivante :
Limitation des adresses IP surveilles par le service Serveur DNS Dsactivation de la rcurrence des serveurs DNS qui n'assurent aucun service de rsolution aux clients du rseau Configuration des indications de racine pour protger votre espace de noms DNS priv
IMPORTANT : Les paramtres par dfaut du service Serveur DNS protgent votre systme. Par exemple, les transferts de zone ne sont autoriss que vers les serveurs DNS secondaires spcifis. Avant de modifier ces paramtres par dfaut, vrifiez bien l'impact de ces modifications sur votre environnement.
Limitation des adresses IP surveilles par le service Serveur DNS

Un ordinateur multi-htes est un ordinateur quip de plusieurs cartes rseau ou dont une carte rseau utilise plusieurs adresses IP. Par dfaut, le service Serveur DNS actif sur un ordinateur multi-htes est configur pour surveiller les requtes DNS sur toutes ses adresses IP. En limitant les adresses IP surveilles par le service Serveur DNS, vous rduisez la vulnrabilit du serveur DNS aux attaques. Vous devez configurer vos serveurs DNS pour qu'ils ne surveillent que les adresses IP spcifies comme serveurs DNS favoris dans les ordinateurs de votre environnement. Pour ce faire, suivez la procdure ci-dessous. Configuration requise
Page 19 sur 29
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Configuration : le serveur DNS doit avoir plusieurs adresses IP. Outil : extension DNS Microsoft Management Console (MMC). Pour limiter les adresses IP surveilles par le service Serveur DNS 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur DNS.
2. 3. 4.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Dans l'onglet Interfaces, cliquez sur l'option Uniquement les adresses IP suivantes.
Page 20 sur 29
5. 6.
Dans Adresse IP, tapez l'adresse IP que doit utiliser ce serveur DNS, puis cliquez sur Ajouter. Le cas chant, rptez l'tape prcdente pour spcifier d'autres adresses IP pouvant tre utilises par ce serveur DNS. Pour chaque adresse IP surveille non utilise comme serveur DNS favoris par les clients DNS, cliquez sur l'adresse IP puis sur Supprimer. Cliquez sur OK.
7.
8.
Dsactivation de la rcurrence de certains serveurs DNS

Un client envoie une requte un serveur DNS lorsqu'il souhaite connatre l'adresse IP d'un ordinateur donn. Une requte rcurrente est une requte transmise un serveur DNS, dans laquelle l'metteur demande au serveur DNS de traiter compltement la requte, et non de la rediriger vers un autre serveur DNS. Le premier serveur DNS envoie plusieurs requtes itratives d'autres serveurs DNS pour le compte de l'metteur afin d'obtenir une rponse complte la requte rcurrente. Par dfaut, la rcurrence est active sur le service Serveur DNS. Bien qu'elle autorise un serveur DNS grer les requtes rcurrentes de ses clients et serveurs DNS, la rcurrence est galement utilise par les pirates pour saturer les ressources disponibles d'un serveur DNS et refuser son service des utilisateurs habilits. Si votre serveur DNS assure des services de rsolution aux clients du rseau plutt qu' d'autres serveurs DNS, vous devez maintenir la rcurrence active. Dans le cas contraire, dsactivez-la en procdant comme suit : IMPORTANT : Si vous ne savez pas si votre serveur DNS offre des services de rsolution des clients du rseau, ne modifiez pas la configuration par dfaut. Configuration requise
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC.
Page 21 sur 29
Pour dsactiver la rcurrence 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur DNS.
2. 3. 4. 5.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Avanc. Sous Options de serveur, cliquez sur Dsactiver la rcursivit (dsactiver les redirecteurs galement), puis sur OK.
Page 22 sur 29
Configuration d'indications de racine pour mieux protger les informations

Une racine DNS interne offre votre organisation un espace de noms DNS priv, qui n'est pas en accs public via Internet. Les indications de racine permettent un serveur DNS de trouver des informations sur un domaine DNS de premier niveau (par exemple, .net, .org ou .com). Si votre infrastructure DNS contient une racine DNS interne, vous devez configurer les indications de racine des serveurs DNS internes pour qu'elles pointent vers les serveurs DNS hbergeant votre domaine racine et non ceux qui hbergent le domaine racine Internet. Ainsi, vous empchez vos serveurs DNS internes d'envoyer des informations prives via Internet lorsqu'ils rsolvent des noms. Configuration requise
Droits : vous devez tre connect en tant que membre des groupes Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC. Remarque : N'excutez cette procdure que sur les serveurs DNS qui rsolvent les noms pour une racine DNS interne. Pour configurer les indications de racine afin qu'elles protgent les informations 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Pointez sur Outils d'administration, puis cliquez sur DNS.
Page 23 sur 29
2. 3. 4.
Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS configurer. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Indications de racine.
5. 6.
Cliquez sur chaque serveur rpertori sous Serveurs de noms, puis sur Supprimer. Pour chaque serveur hbergeant votre racine DNS interne, cliquez sur Ajuster et indiquez le nom et l'adresse IP du serveur DNS.

Page 24 sur 29
Suivez la procdure ci-dessous pour vrifier que les paramtres appropris ont t appliqus votre serveur DNS. Configuration requise
Droits : vous devez tre connect au serveur DNS en tant que membre des groupes Administrateurs DNS, Admins du domaine ou Administrateurs de l'entreprise. Outil : extension DNS MMC. Pour vrifier la configuration des indications de racine 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Pointez sur Outils d'administration, puis cliquez sur DNS. Dans l'arborescence de la console (volet de gauche), cliquez sur le serveur DNS vrifier. Dans le menu Action, cliquez sur Proprits. Cliquez sur l'onglet Indications de racine. Vrifiez que seuls les serveurs DNS hbergeant votre racine DNS interne sont rpertoris sous Serveurs de noms.
2. 3. 4. 5.
Haut de page
Mise jour de la scurit des contrleurs de domaine

Dans la mesure o les contrleurs de domaine contiennent des informations essentielles dont la protection est primordiale, vous devez leur appliquer des mesures de scurit appropries votre environnement. Ensuite, veillez prenniser cette protection en installant les dernires mises jour de scurit Microsoft. Cette section dtaille la procdure suivre pour maintenir la scurit des contrleurs de domaine jour :
Installation des dernires mises jour de scurit Microsoft Cration d'un fichier de rserve pour restaurer le systme suite des attaques d'espace disque Dsactivation de la gnration automatique de noms 8.3 pour amliorer la protection du systme contre les virus et les attaques malveillantes Recours l'utilitaire Cl systme pour protger les contrleurs contre les logiciels de dcodage de mots de passe Dsactivation de l'accs anonyme Active Directory dans les environnements o les applications ne requirent pas de connexion anonyme
Installation des dernires mises jour de scurit

Pour maintenir vos contrleurs de domaine jour, vous devez tlcharger et installer rgulirement les dernires mises jour de scurit Microsoft. Celles-ci permettent de rsoudre les problmes connus et de protger votre ordinateur contre les vulnrabilits identifies. Les tapes suivantes dcrivent une mthode automatique et une mthode manuelle permettant de maintenir jour la scurit de vos contrleurs de domaine. Vous allez effectuer les oprations suivantes :
Configurer Mises jour automatiques pour tlcharger et installer automatiquement les mises jour de scurit selon la planification spcifie Tlcharger et installer les mises jour de scurit manuellement l'aide de Windows Update
IMPORTANT : Il est recommand de maintenir jour la scurit des ordinateurs du rseau en installant les dernires mises jour de scurit. La configuration de Mises jour automatiques et l'utilisation de Windows Update sur vos contrleurs de domaine n'assurent la protection que des contrleurs de domaine, mais pas des autres serveurs et des autres clients. Vrifiez que Mises jour automatiques et Windows Update sont configurs et actifs sur tous les ordinateurs excutant Windows Server 2003, Windows 2000 et Windows XP sur le rseau.
Configuration de Mises jour automatiques

Vous pouvez configurer vos contrleurs de domaine Windows Server 2003 pour qu'ils tlchargent et installent automatiquement les dernires mises jour de scurit Microsoft, lorsque l'ordinateur est sous tension et connect

Internet. Configuration requise
Page 25 sur 29
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Pour tlcharger et installer automatiquement les mises jour de scurit sur un contrleur de domaine 1. Cliquez sur Dmarrer, puis sur Panneau de configuration. Ensuite, double-cliquez sur Outils d'administration, puis sur Systme. Cliquez sur l'onglet Mises jour automatiques et activez la case cocher Maintenir mon ordinateur jour. Avec ce paramtre activ, il se peut que le logiciel Windows Update soit automatiquement mis jour avant l'application de toute autre mise jour. Cliquez sur Tlcharger automatiquement les mises jour, et les installer en fonction de la planification que je spcifie. Slectionnez le jour et l'heure des mises jour, puis cliquez sur OK pour fermer la fentre Proprits systme. IMPORTANT : Souvent, les mises jour de scurit impliquent le redmarrage des contrleurs de domaine. Choisissez un jour et une heure qui minimisent l'impact sur les utilisateurs.
2.
3.
4.
Utilisation de Windows Update

Windows Update est l'extension en ligne de Windows qui maintient jour les ordinateurs connects Internet. Excutez Windows Update pour vrifier que Mises jour automatiques a install toutes les mises jour de scurit. Windows Update permet Microsoft de vous informer d'un nouveau problme de scurit et vous permet de vrifier tout moment si vos ordinateurs sont jour.

Configuration requise
Page 26 sur 29
Droits : vous devez tre connect en tant que membre du groupe Oprateurs de serveur ou Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine.
IMPORTANT : Souvent, les mises jour de scurit requirent le redmarrage des contrleurs de domaine. Lorsque vous excutez Windows Update, prenez en considration l'impact du redmarrage des contrleurs de domaine sur vos utilisateurs.
Pour tlcharger et installer manuellement les mises jour de scurit l'aide de Windows Update 1. 2. 3. Cliquez sur Dmarrer, Tous les programmes et Windows Update. Dans Internet Explorer, cliquez sur Rechercher des mises jour et attendez que la recherche aboutisse. Windows Update slectionne automatiquement les mises jour de scurit critiques installer sur le contrleur de domaine. Si des mises jour sont disponibles, cliquez sur Examiner les mises jour et les installer, puis sur Installer maintenant, et suivez les instructions d'installation affiches l'cran. Rptez ces tapes jusqu' ce que toutes les mises jour critiques du contrleur de domaine soient installes.
4.
Cration d'un fichier de rserve pour restaurer le systme suite des attaques d'espace disque
Souvent, les pirates tentent de bloquer les ressources du systme vis. L'une des ressources systme frquemment attaques est l'espace disque. Dans ce type d'attaque, l'assaillant sature l'espace disque en ajoutant un grand nombre d'objets dans l'annuaire. Vous pouvez vous protger contre les attaques d'espace disque en crant proactivement un fichier de rserve sur le disque contenant votre base de donnes Active Directory (Ntds.dit). Un fichier de rserve est un fichier volumineux qui rserve l'espace disponible sur le disque. Si un utilisateur malveillant sature l'espace disque en ajoutant un grand nombre d'objets non autoriss, il suffit de supprimer le fichier de rserve pour librer de l'espace et rtablir un fonctionnement normal. IMPORTANT : Si l'espace disque de votre contrleur de domaine est attaqu, vous devez supprimer le fichier de rserve ainsi que les objets non autoriss qui saturent l'espace disque. Pour plus d'informations sur la suppression d'objets non autoriss suite une attaque d'espace disque, consultez le document Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? LinkId=22040. La procdure suivante rserve l'espace disque en crant un fichier sur le mme disque que la base de donnes Active Directory. Ce fichier doit avoir une taille suprieure 250 Mo ou gale 1 % du volume de disque logique sur lequel la base de donnes Active Directory est stocke. Par dfaut, le fichier de rserve rside dans le rpertoire racine_systme\Ntds. Excutez cette procdure sur chaque contrleur de domaine du rseau. Configuration requise
Droits : vous devez tre connect au contrleur de domaine en tant que membre du groupe Admins de domaine ou Administrateurs de l'entreprise. Rptez cette tape : excutez cette procdure sur chaque contrleur de domaine du rseau. Outil : Fsutil.exe. Pour crer un fichier de rserve afin de restaurer le systme suite des attaques d'espace disque 1. 2. Cliquez sur Dmarrer, puis sur Excuter. Tapez cmd, puis cliquez sur OK. l'invite, tapez la commande suivante et appuyez sur ENTRE : fsutil file createnew %racine_systme%\ntds\fichier_rserve 256000000
Cette commande cre un fichier de rserve appel fichier_rserve (250 Mo) dans le rpertoire contenant la base de donnes Active Directory sur le contrleur de domaine. Si Active Directory s'interrompt en raison d'un manque d'espace disponible, supprimez ce fichier.

Suivez la procdure ci-dessous pour vrifier que le fichier de rserve a t cr sur vos contrleurs de domaine.

Configuration requise
Page 27 sur 29
Droits : vous devez tre connect au contrleur de domaine en tant que membre du groupe Admins de domaine ou Administrateurs de l'entreprise. Outil : Poste de travail. Rptez ces tapes : si vous avez plusieurs contrleurs de domaine, vrifiez la cration du fichier de rserve sur chacun d'entre eux. Pour vrifier la cration du fichier de rserve sur un contrleur de domaine 1. 2. 3. Cliquez sur Dmarrer, puis sur Poste de travail. Dans Poste de travail, naviguez jusqu'au rpertoire Ntds (gnralement, C:\Windows\Ntds). Double-cliquez sur le dossier Ntds. Vrifiez que le fichier de rserve existe et que sa taille est gale ou suprieure 250 Mo.
Dsactivation de la gnration automatique de noms 8.3

De nombreux virus et utilitaires dont se servent les utilisateurs malveillants sont des applications 16 bits qui supposent que les noms de fichier sont gnrs automatiquement au format 8.3. Les contrleurs de domaine scuriss n'excutent aucune application 16 bits en local. Par consquent, dsactiver la gnration automatique de noms au format 8.3 permet d'empcher ces virus et programmes malveillants d'infecter les contrleurs de domaine. Pour ce faire, attribuez la cl de Registre NtfsDisable8dot3NameCreation la valeur 1. Vous devez dsactiver la gnration automatique de noms 8.3 sur tous vos contrleurs de domaine. ATTENTION : Toute modification incorrecte du Registre peut endommager votre systme. Avant de modifier le Registre, sauvegardez les informations importantes sur votre ordinateur. Configuration requise
Droits : vous devez tre connect en tant que membre du groupe Admins de domaine. Rptez ces tapes : vous devez effectuer ces tapes sur chacun de vos contrleurs de domaine. Outil : Regedit.exe (l'diteur du Registre) Pour dsactiver la gnration automatique de noms au format 8.3 sur vos contrleurs de domaine 1. 2. Cliquez sur Dmarrer, puis sur Excuter. Tapez regedit, puis exe et cliquez sur OK. Dans l'diteur du Registre, naviguez jusqu' HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Slectionnez la cl de Registre NtfsDisable8dot3NameCreation. Cliquez sur Edition, puis sur Modifier. Dans la zone Donnes de la valeur, tapez 1 pour dsactiver la gnration automatique de noms 8.3 sur ce contrleur de domaine. Fermez l'diteur du Registre. Pour plus d'informations sur la dsactivation de la gnration automatique de noms 8.3, consultez le document Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22342.
3. 4. 5.
6.
Protection des contrleurs de domaine au redmarrage l'aide de Cl systme

Sur les contrleurs de domaine, les mots de passe sont stocks dans Active Directory. Les logiciels de dcodage des mots de passe prennent frquemment pour cible la base de donnes Gestionnaire de comptes de scurit (SAM) ou Active Directory pour accder aux mots de passe des comptes utilisateur. L'utilitaire Cl systme protge votre systme contre ce type de malveillance. Il applique des techniques de chiffrement qui scurisent les mots de passe stocks dans la base de donnes SAM ou dans Active Directory.

Options de Cl systme Option de Cl systme Mode 1 - Mot de passe gnr par le systme : enregistre la cl de dmarrage localement Niveau de scurit Scuris Description
Page 28 sur 29
Utilise une cl alatoire gnre automatiquement comme cl systme et en stocke une version chiffre sur l'ordinateur local. Cette option assure un chiffrement fiable des mots de passe dans le Registre et permet l'utilisateur de redmarrer l'ordinateur sans qu'un administrateur ait entrer un mot de passe ou insrer un disque. Utilise une cl alatoire gnre automatiquement comme cl du systme et en stocke une version chiffre sur l'ordinateur. Cette cl est galement protge par un mot de passe choisi par l'administrateur. Les utilisateurs doivent saisir ce mot de passe pendant le dmarrage de l'ordinateur. Ce mot de passe n'est pas stock sur l'ordinateur. Utilise une cl alatoire gnre automatiquement et la stocke sur une disquette. Cette disquette qui contient la cl du systme est ncessaire pour dmarrer le systme. Vous devez la saisir l'invite pendant la squence de dmarrage. Cette cl n'est pas stocke sur l'ordinateur.
Mode 2 - Mot de passe gnr par l'administrateur : mot de passe de dmarrage
Plus scuris
Mode 3 - Mot de passe gnr par le systme : enregistre la cl de dmarrage sur disquette
Scurit maximale
L'utilitaire Cl systme est activ sur tous les serveurs Windows Server 2003 en Mode 1 (cl protge). Les modes 2 (mot de passe de la console) ou 3 (stockage sur disquette du mot de passe de Cl systme) sont recommands sur les contrleurs de domaine exposs des menaces de scurit physiques. Pour plus d'informations sur la protection des contrleurs de domaine contre les redmarrages non autoriss, grce l'utilitaire Cl systme, consultez le Chapitre 4 - Hardening Domain Controllers du Windows Server 2003 Security Guide sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?LinkId=22122.
Dsactivation de l'accs anonyme Active Directory

Par dfaut, Active Directory n'octroie aux utilisateurs connects anonymement aucune permission d'accs aux objets situs dans l'annuaire. Toutefois, lorsque vous activez la compatibilit avec les versions antrieures de Windows 2000 sur les contrleurs de domaine qui excutent Windows Server 2003, l'ouverture de session anonyme est ajoute au groupe d'accs compatible avec les versions antrieures Windows 2000. Dans la mesure o ce groupe possde la permission Lecture sur la racine du domaine, ainsi que sur les objets Utilisateurs, Ordinateur et Groupe, les applications et les services qui utilisent l'accs anonyme peuvent lire ces objets. Dans les environnements o les applications ne requirent pas l'tablissement de connexions anonymes pour accder aux donnes d'Active Directory, il est recommand de dsactiver l'accs anonyme. Vous pouvez dsactiver l'accs anonyme si votre fort Active Directory regroupe des serveurs et des contrleurs de domaine excutant Windows Server 2003 ou Microsoft Windows 2000 Server, et des stations de travail excutant Microsoft Windows 2000 Professionnel ou Windows XP Professionnel. Pour dsactiver l'accs anonyme, procdez comme suit :
Lorsque vous crez un domaine, acceptez le paramtre d'installation par dfaut Autorisations compatibles uniquement avec les serveurs Windows 2000 ou Windows Server 2003. Dans un domaine Windows Server 2003 autorisant l'accs compatible avec les versions antrieures de Windows 2000, supprimez TOUT LE MONDE et OUVERTURE DE SESSION ANONYME du groupe de l'accs compatible avec les versions antrieures Windows 2000. Ne conservez que Utilisateurs authentifis comme membre.
Pour plus d'informations sur la suppression de Tout le monde et de l'ouverture de session anonyme du groupe Accs compatible avec les versions antrieures Windows 2000, consultez le Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? linkid=22342.
Haut de page
Informations complmentaires

Pour plus d'informations sur la scurisation de Windows Server 2003, consultez les pages suivantes :
Page 29 sur 29
Site Web Scurit Microsoft l'adresse http://go.microsoft.com/fwlink/?linkid=7420 ; Authoritative Security Guidance for the Enterprise sur le site Web de TechNet, l'adresse http://go.microsoft.com/fwlink/?linkid=22698 ; Guide Microsoft sur la gestion des correctifs de scurit sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?LinkId=16286 ; Best Practice Guide for Securing Active Directory Installations (pour Windows Server 2003) sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22342 ; Chapitre 4 - Hardening Domain Controllers du Windows Server 2003 Security Guide sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22122.
Pour plus d'informations sur la scurisation DNS, visitez les pages suivantes :
Checklist: Securing your DNS infrastructure sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/? linkid=22121 ; Securing Your DNS Infrastructure dans le document Deploying Network Services du Microsoft Windows Server 2003 Deployment Kit sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=22144.
Pour plus d'informations sur Windows Server 2003, consultez les pages suivantes :
Page d'accueil de Microsoft Windows Server 2003 sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=17610 ; Stratgie de groupe sur le site Web de Microsoft, l'adresse http://go.microsoft.com/fwlink/?linkid=14232.
Haut de page
Haut de page
Grez votre profil 2005 Microsoft Corporation. Tous droits rservs. Conditions d'utilisation | Marques | Confidentialit | A propos de ce site

Sécurisation Des Controleurs de Domaine W 2003

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Sécurisation Des Controleurs de Domaine W 2003

Загружено:

Авторское право:

Доступные форматы

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Vous avez un projet

Sur le mme thme :

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine

Application de la Stratgie de base des contrleurs de domaine

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Type : Informations Source : SceCli vnement : 704

Scurisation des contrleurs de domaine Windows Server 2003

Cliquez sur OK et fermez l'Observateur d'vnements.

Activation de services supplmentaires sur les contrleurs de domaine

activation des services DHCP ; activation des services WINS ;

Scurisation des contrleurs de domaine Windows Server 2003

Activation des services DHCP

Activation des services DHCP dans la Stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Activation des services WINS

Activation des services WINS dans la Stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Activation des services de fichiers et d'impression

Scurisation des contrleurs de domaine Windows Server 2003

Activation des services d'impression dans la Stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Activation des services IAS

Activation des services IAS dans la Stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Activation des services de certificat

Activation des services de certificat dans la Stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Activation et scurisation du service Planificateur de tches

Scurisation des contrleurs de domaine Windows Server 2003

Activation du Planificateur de tches dans la stratgie de groupe

Scurisation des contrleurs de domaine Windows Server 2003

Vrification des nouveaux paramtres

Scurisation du Planificateur de tches en modifiant le compte de service AT

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation du service Serveur DNS

Limitation des adresses IP surveilles par le service Serveur DNS

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Dsactivation de la rcurrence de certains serveurs DNS

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Configuration d'indications de racine pour mieux protger les informations

Scurisation des contrleurs de domaine Windows Server 2003

Scurisation des contrleurs de domaine Windows Server 2003

Mise jour de la scurit des contrleurs de domaine

Installation des dernires mises jour de scurit

Configuration de Mises jour automatiques

Scurisation des contrleurs de domaine Windows Server 2003

Utilisation de Windows Update

Scurisation des contrleurs de domaine Windows Server 2003