Module 14 :

Configuration de la
conformité des
serveurs en matière
de sécurité
Vue d'ensemble du module
• Sécurisation d'une infrastructure Windows

• Utilisation de modèles de sécurité pour la protection

des serveurs
• Configuration d'une stratégie d'audit

• Vue d'ensemble des services WSUS (Windows Server

Update Services)
• Gestion des services WSUS
Leçon 1 : Sécurisation d'une infrastructure Windows
• Difficultés en matière de sécurisation d'une infrastructure
Windows
• Application de la défense en profondeur pour améliorer
la sécurité
• Méthodes de sécurité de base des serveurs

• Qu'est-ce que l'Assistant Configuration de la sécurité ?

• Qu'est-ce que le Pare-feu Windows ?

• Démonstration : Utilisation de l'Assistant Configuration

de la sécurité pour sécuriser des rôles serveur
Difficultés en matière de sécurisation
d'une infrastructure Windows

Les difficultés de la sécurisation d'une infrastructure

Windows incluent les éléments suivants :

• Implémentation et gestion d'une configuration

de serveurs sécurisée
• Protection contre les menaces liées aux logiciels
malveillants et aux intrusions
• Implémentation d'un contrôle d'identification
et d'accès efficace
Application de la défense en profondeur pour
améliorer la sécurité

La défense en profondeur fournit plusieurs couches de

défense pour protéger un environnement de mise en réseau

Listes de contrôle d'accès,

Données chiffrement, EFS
Application Renforcement de la sécurité
des applications, antivirus
Hôte Renforcement du système
d'exploitation, authentification
Réseau interne Segments réseau, IPsec

Périmètre Pare-feu

Sécurité physique Protections, verrous

Stratégies, Documentation sur la sécurité,
procédures et sensibilisation sensibilisation des utilisateurs
Méthodes de sécurité de base des serveurs

Appliquer le dernier Service Pack et toutes les mises

 à jour de sécurité disponibles

Utiliser l'Assistant Configuration de la sécurité pour

 analyser et implémenter la sécurité des serveurs

Utiliser les stratégies de groupe et les modèles

 de sécurité pour renforcer les serveurs

 Restreindre l'étendue d'accès des comptes de service

Restreindre la palette des personnes pouvant ouvrir

 localement une session sur les serveurs

 Limiter l'accès physique et réseau aux serveurs

Qu'est-ce que l'Assistant Configuration de la sécurité ?

L'Assistant SCW fournit L'Assistant Configuration

une approche guidée pour de la sécurité prends
réduire la surface d'attaque en charge :
• Désactive les services et les
extensions Web IIS inutiles
• Restauration
• Utilise IPsec pour bloquer
les ports inutilisés et les ports • Analyse
sécurisés qui sont laissés • Configuration à distance
ouverts
• Ligne de commande
• Réduit l'exposition
de protocole • Intégration d'Active Directory
• Modification des stratégies
• Configure les paramètres
d'audit
Qu'est-ce que le Pare-feu Windows ?

Le Pare-feu Windows est une application basée sur l'hôte

avec état qui fournit les fonctionnalités suivantes :

• Filtre le trafic réseau entrant et sortant

• Intègre les paramètres de filtrage de pare-feu et
de protection IPsec
• Peut être géré par le biais du Panneau de configuration
ou par la console MMC plus avancée Pare-feu Windows
avec sécurité avancée
• Fournit la prise en charge des stratégies de groupe
• Activation par défaut dans les nouvelles installations
Démonstration : Utilisation de l'Assistant Configuration
de la sécurité pour sécuriser des rôles serveur

Dans cette démonstration, vous allez apprendre

à implémenter la sécurité à l'aide de l'Assistant
Configuration de la sécurité
Leçon 2 : Utilisation de modèles de sécurité
pour la protection des serveurs
• Qu'est-ce qu'une stratégie de sécurité ?

• Que sont les modèles de sécurité ?

• Démonstration : Configuration des paramètres

d'un modèle de sécurité
• Qu'est-ce que l'outil Configuration et analyse
de la sécurité ?
• Démonstration : Analyse de la stratégie de sécurité
à l'aide de l'outil Configuration et analyse de la sécurité
 Qu'est-ce qu'une stratégie de sécurité ?

Une stratégie de sécurité est une combinaison de paramètres

de sécurité à appliquer à un ordinateur

Les stratégies de sécurité Les stratégies de sécurité

locales incluent : Active Directory incluent :

• Stratégies de comptes • Journal des événements

• Stratégies locales • Groupes restreints

• Pare-feu Windows avec • Services système

fonctions avancées
de sécurité
• Stratégies de clé publique
• Stratégies de restriction
logicielle
• Stratégies de sécurité IP
sur Ordinateur local
• Registre
• Système de fichiers
• Stratégies réseau câblé
et sans fil
• Protection d'accès réseau
• Stratégies de sécurité IP dans
Active Directory
Que sont les modèles de sécurité ?

Un modèle de sécurité est une collection de paramètres

de sécurité configurés qui permet d'appliquer une stratégie
de sécurité

Modèles de sécurité :
• Création et modification à l'aide du composant logiciel enfichable
MMC Modèles de sécurité
• Modèles de sécurité par défaut stockés dans
%SystemRoot%\Security\Templates
• Les modèles de sécurité personnalisés sont stockés dans
le dossier du profil utilisateur local

Considérations relatives au déploiement :

• Créer des modèles en fonction d'un rôle serveur
• Déployer sur des ordinateurs individuels à l'aide de
la commande SECEDIT
• Déployer dans des groupes d'ordinateurs à l'aide des stratégies
de groupe
Démonstration : Configuration des paramètres
d'un modèle de sécurité
Dans cette démonstration, vous allez apprendre à :
• Ajouter le composant logiciel enfichable Modèles de
sécurité et configurer un modèle de sécurité personnalisé
pour le rôle de serveur DHCP
• Importer un modèle de sécurité dans Active Directory
Qu'est-ce que l'outil Configuration et analyse
de la sécurité ?

Paramètre qui ne correspond Paramètre actif

Paramètre du modèle
pas au modèle
Démonstration : Analyse de la stratégie de sécurité
à l'aide de l'outil Configuration et analyse de la sécurité

Dans cette démonstration, vous verrez comment

utiliser l'outil Configuration et analyse de la sécurité
pour analyser et configurer les paramètres
de stratégie de sécurité locale
Leçon 3 : Configuration d'une stratégie d'audit
• Qu'est-ce que l'audit ?

• Qu'est-ce qu'une stratégie d'audit ?

• Types d'événements à auditer

• Démonstration : Comment configurer l'audit ?

Qu'est-ce que l'audit ?

• L'audit suit les activités des utilisateurs et du système

d'exploitation et enregistre les événements sélectionnés
dans les journaux de sécurité, tels que :
• Que s'est-il passé ?
• Qui l'a fait ?
• Quand ?
• Quel est le résultat ?

• Activez l'audit pour :

• Créer une base
• Détecter les menaces et les attaques
• Déterminer les dommages
• Empêcher des dommages supplémentaires

• Auditez l'accès aux objets, la gestion des comptes et la fermeture

et l'ouverture de sessions
Qu'est-ce qu'une stratégie d'audit ?

• Une stratégie d'audit détermine les événements de sécurité

qui seront signalés à l'administrateur réseau
• Configurez une stratégie d'audit pour :
• Suivre le succès ou l'échec des événements
• Réduire l'utilisation non autorisée des ressources
• Maintenir un enregistrement de l'activité
• Les événements de sécurité sont stockés dans
les journaux de sécurité
Types d'événements à auditer

• Connexion aux comptes

• Gestion des comptes
• Accès au service d'annuaire
• Modification du service d'annuaire
• Réplication du service d'annuaire
• Réplication détaillée du service d'annuaire
• Ouverture de session
• Accès aux objets
• Modification de stratégie
• Utilisation des privilèges
• Suivi des processus
• Système
Démonstration : Comment configurer l'audit ?
Dans cette démonstration, vous allez apprendre à :
• Activer l'audit pour différents événements

• Activer l'audit sur l'accès aux objets

Leçon 4 : Vue d'ensemble des services WSUS
(Windows Server Update Services)
• Qu'est-ce que WSUS (Windows Server Update Services) ?

• Processus WSUS (Windows Server Update Services)

• Configuration requise pour un serveur WSUS

• Configuration du service Mises à jour automatiques

• Démonstration : Installation et configuration de WSUS

Qu'est-ce que WSUS (Windows Server
Update Services) ?

Site Web Microsoft Update

Mises à jour
automatiques
Serveur
exécutant
Windows Server
Clients de test Update Services

LAN

Internet
Mises à jour
automatiques
 Processus WSUS (Windows Server
Update Services)
Phase 1 : Évaluation
• Configurez un environnement de production qui prendra
en charge la gestion des mises à jour pour des scénarios
de routine et d'urgence

Évaluation

Phase 4 : Phase 2 :
Déploiement Identification
• Approuvez et Gestion des • Découvrez les
planifiez les Déploiement Identification nouvelles mises
installations des mises à jour à jour d'une façon
mises à jour
des mises à jour appropriée
• Passez en revue le • Déterminez si les
processus une fois le mises à jour sont
déploiement terminé pertinentes pour
Évaluation et
l'environnement
planification de production

Phase 3 : Évaluation et planification

• Testez les mises à jour dans un environnement distinct
mais semblable à l'environnement de production
• Déterminez les tâches nécessaires pour déployer des mises
à jour en production, planifiez les versions des mises
à jour, générez ces versions, puis menez des tests
d'acceptation de ces versions
Configuration requise pour un serveur WSUS

Configuration logicielle requise :

• Windows Server 2003 SP1 ou
Windows Server 2008
• IIS 6.0 ou version ultérieure
• Windows Installer 3.1 ou version ultérieure
• Microsoft .NET Framework 2.0
• SQL Server 2005 SP1 ou version ultérieure
(en option)
• Microsoft Report Viewer Redistributable 2005
Configuration du service Mises à jour automatiques

• Configurez le service Mises à jour automatiques

en utilisant la stratégie de groupe Configuration
de l'ordinateur/Modèles d'administration/
Composants Windows/Mise à jour Windows
• Requiert le modèle d'administration wuau.adm
mis à jour
• Requiert :
• Windows Vista
• Windows Server 2008
• Windows Server 2003
• Windows XP Professional SP2
• Windows 2000 Professionnel SP4,
Windows 2000 Server/Advanced Server SP3 ou SP4
Démonstration : Installation et configuration de WSUS
Dans cette démonstration, vous allez apprendre à :
• Installer WSUS

• Configurer les paramètres des clients Mises à jour

automatiques à l'aide d'une stratégie de groupe
Leçon 5 : Gestion des services WSUS
• Administration de WSUS

• Gestion de groupes d'ordinateurs

• Approbation des mises à jour

• Démonstration : Gestion des services WSUS

Administration de WSUS
Gestion de groupes d'ordinateurs

• Les ordinateurs sont ajoutés automatiquement

• Groupes d'ordinateurs par défaut
• Tous les ordinateurs
• Ordinateurs non attribués
• Ciblage côté client
Approbation des mises à jour

• Les options d'approbation incluent :

• Installer
• Refuser
• Désapprouver
• Supprimer
• Automatiser l'approbation est également
pris en charge
Démonstration : Gestion des services WSUS
Dans cette démonstration, vous allez apprendre à :
• Ajouter un ordinateur dans WSUS

• Approuver une mise à jour

Atelier pratique : Configuration de la conformité
des serveurs en matière de sécurité
• Exercice 1 : Configuration et analyse de la sécurité

• Exercice 2 : Analyse des modèles de sécurité

• Exercice 3 : Configuration de Windows Server Update

Services (WSUS)

Informations d'ouverture de session

NYC-DC1, NYC-
Ordinateur virtuel SVR1 et NYC-CL2
Nom d'utilisateur Administrateur
Mot de passe Pa$$w0rd

Durée approximative : 90 minutes

Révision de l'atelier pratique
• Quel recours avez-vous si vous n'obtenez pas le résultat
escompté lorsque vous appliquez des modifications
à l'infrastructure de serveur sécurisée au moyen
de l'Assistant Configuration de la sécurité ?
• Comment pouvez-vous vérifier la compatibilité avec
les paramètres existants avant d'appliquer un modèle
à un objet GPO pour le déploiement ou avant d'appliquer
le modèle à un ordinateur local ?
• Une fois le logiciel serveur WSUS installé, un Assistant
s'affiche pour vous aider à configurer les propriétés WSUS.
Comment pouvez-vous modifier des propriétés affectées
de manière incorrecte, une fois l'exécution de l'Assistant
terminée ?
Révision du module et éléments à retenir
• Questions de révision

• Méthodes conseillées
Évaluation du cours