BOURDANOVE Nicolas IUP MIC 3 LIGNIER Mallory RIVIER Sébastien

Sécuriser un Serveur Windows 2003

SOMMAIRE I] Introduction ....................................................................................4

1) Contexte......................................................................................................... 4 2) Objectif .......................................................................................................... 4 3) Approche ....................................................................................................... 5

II] Aperçu............................................................................................5 1) Installation ..................................................................................................... 5 2) Configuration................................................................................................. 5 3) Les différents protocoles d’authentification :................................................ 6 4) Sécurité des services IIS (Internet Information Services) :........................... 6 5) Authentification à deux facteurs : ................................................................. 7

a) Cartes à puce : ................................................................................................................ 7 b) Ouverture d’une session sur un domaine à l’aide d’une carte à puce :.......................... 8

6) Protection des données : ................................................................................ 8 a) Système de fichiers EFS (Encrypting File System) : ..................................................... 8 b) Signatures numériques : ............................................................................................... 12

7) Vérification Post – Installation.................................................................... 12 8) Stratégie ....................................................................................................... 14

III] Fichier d’installation d’un serveur de domaine......................16 1) Explication................................................................................................... 16 2) Fichier « Winnt.sif ».................................................................................... 17

a) [Data]............................................................................................................................ 17 b) [GuiUnattended] .......................................................................................................... 17 c) [Identification].............................................................................................................. 18 d) [LicenseFilePrintData] ................................................................................................. 19 e) [Unattended]................................................................................................................. 19 f) [UserData] .................................................................................................................... 20 g) [Networking]................................................................................................................ 21 h) [NetAdapters]............................................................................................................... 21 i) [params.Adapter1] ........................................................................................................ 21

2

j) [NetClients]................................................................................................................... 21 k) [NetServices]................................................................................................................ 22 l) [NetProtocols]............................................................................................................... 22 m) [params.MS_TCPIP]................................................................................................... 22 n) [params.MS_TCPIP.Adapter1].................................................................................... 22 o) [NetOptionalComponents]........................................................................................... 23 p) [Components]............................................................................................................... 25

IV] Mise en place de la stratégie .....................................................35 1) Application d’une stratégie dans un domaine ............................................. 35 2) Description des modèles de sécurité ........................................................... 37 3) Détail sur les fichiers de stratégie................................................................ 38

a) Stratégie des comptes................................................................................................... 38 b) Attribution des droits des utilisateurs .......................................................................... 40 c) Option de sécurité ........................................................................................................ 41

4) Implémentation d’une stratégie d’audit....................................................... 41 V] Conclusion....................................................................................43

3

I] Introduction

1) Contexte

Les agents de menace exploitent les vulnérabilités d’un système informatique soit pour en obtenir la maîtrise, soit pour en perturber le fonctionnement. Les experts diffèrent d’avis quant à la cause première des vulnérabilités informatiques. Certains estiment que les deux causes principales sont l’exploitation des failles dans les logiciels et l’absence de configurations sécurisées.

Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous diverses formes. Ces correctifs visent à régler les erreurs logicielles pour un système d’exploitation ou une application en particulier. S’ils règlent des problèmes ponctuels, ces correctifs peuvent néanmoins en créer d’autres. Outre les correctifs, les listes de contrôle constituent des guides de configuration sécurisées et testées pour les utilisateurs d’ordinateurs.

Par le passé, les organismes gouvernementaux ont produit et diffusé des listes de contrôle pour sécuriser les systèmes informatiques. Toutefois, la façon dont ces listes sont produites a changé. Les fournisseurs constatent maintenant qu’ils ont avantage à produire des listes de contrôle et de configuration pour leurs propres produits. Par conséquent, les organismes publics et privés économisent temps et argent en profitant de ce travail complexe déjà réalisé par les fournisseurs.

2) Objectif

Ce document offre un ensemble pratique de paramètres de sécurité pour Microsoft Windows Server 2003. L’objectif est d’établir et de maintenir un environnement haute sécurité pour Windows Server 2003.

Nous avons étudié le cas du serveur de domaine avec une application de serveur de fichier. Comme la configuration de base assure la sécurité avant les fonctionnalités, il faut l’utiliser comme point de départ. La stratégie d’application (serveur de fichiers) se superpose à la configuration de base. Ainsi, nous offrons un modèle pour créer des rôles additionnels de serveur basés sur la configuration de base.

4

3) Approche

Nous nous sommes abondamment basés sur deux documents de référence : Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP.

Ces documents contiennent des instructions détaillées pour établir une configuration de base sécurisée pour Windows Server 2003 ; des directives sont fournies pour le serveur de domaine enfin nous présentons également la stratégie pour le service de fichiers.

Nous allons vous présentez 3 étapes essentielles pour la mise en place d’un serveur sécurisé, tout d’abord la mise en place d’une stratégie que nous détaillerons point par point, dans un second temps l’installation d’un serveur de domaine sécurisé et enfin l’application de la stratégie pour un service de fichiers.

II] Aperçu

1) Installation

L’installation est automatisée grâce à l’utilisation d’un fichier réponse. Ce fichier réponse dirige le processus d’installation. On peut alors employer plusieurs approches en ce qui nous concerne, c’est le fichier « Winnt.sif » qui a été retenu.

Le processus d’installation de Windows lit les fichiers réponses à partir d’une disquette. L’information locale (nom du système, paramètres TCP/IP, domaine/groupe de travail) est fournie en fonction des exigences. Il est donc possible d’installer le serveur sans surveillance et sans interaction avec l’opérateur.

2) Configuration

Nous nous appuyons sur une approche en couches pour appliquer la stratégie de sécurité : La première couche est celle de la configuration de base du système d’exploitation, cette couche vise à assurer un profil de sécurité offrant une exposition minimale. Les exigences additionnelles en matière de stratégie de sécurité sont déterminées d’après les rôles. Chaque fichier de stratégie active des éléments spécifiques qui permettent au serveur d’exécuter une fonction unique (p. ex., partage de fichiers, partage d’imprimantes, etc.).

5

L’environnement de domaine permet une approche en couches et à cette fin, les stratégies sont appliquées au niveau du domaine et également au niveau de l’unité d’organisation (UO). Une granularité plus fine peut être obtenue au sein d’un niveau, permettant ainsi de créer une matrice des stratégies pour les serveurs et les environnements.

3) Les différents protocoles d’authentification :

Pour tenter d’authentifier un utilisateur, il est possible d’utiliser différents types d’authentification standard, selon divers facteurs. Les types d’authentification pris en charge par la famille Windows Server sont les suivants : Protocoles d’authentification Description

Authentification Kerberos V5

Protocole faisant appel à un mot de passe ou une carte à puce pour une ouverture de session interactive. Il s’agit également de la méthode d’authentification réseau par défaut pour les services.

Authentification SSL/TLS (Secure Sockets Layer/Transport Layer Security)

Protocole utilisé lorsqu’un utilisateur tente d’accéder à un serveur Web sécurisé.

Authentification NTLM Protocole utilisé lorsqu’un client ou un serveur utilise une version antérieure de Windows.

Authentification Digest L’authentification Digest transmet les informations d’identification via le réseau sous forme de hachage MD5 ou de message résumé.

Authentification Passport L’authentification Passport est un service d’authentification des utilisateurs qui offre un service de signature unique.

4) Sécurité des services IIS (Internet Information Services) :

Lorsque vous utilisez les services IIS (Internet Information Services), la sécurité dépend beaucoup de l’authentification.

IIS 6.0 est un serveur Web complet qui forme une base solide pour Microsoft .NET

Framework et les applications et services Web existants. Il a été optimisé pour pouvoir exécuter des applications et des services Web dans un environnement d’hébergement. Il comprend désormais de nombreuses nouvelles fonctions visant à en renforcer la sécurité, la fiabilité, la gérabilité et les performances.

6

Les services IIS vous permettent d’isoler une application Web particulière ou plusieurs sites au sein d’un processus de services Web autonome qui communique directement avec le noyau. Ces processus de services Web autonomes empêchent une application ou un site de perturber les services Web ou les autres applications Web sur le serveur. Les services IIS fournissent également des fonctions d’analyse d’état capables de détecter des défaillances au niveau des applications Web, de les résoudre et de les prévenir. Comme il est important de prendre la sécurité en compte pour un serveur Web, vous pouvez utiliser IIS pour protéger votre serveur Web des attaques menées par des pirates informatiques. Les services IIS offrent une plate-forme solide qui contient l’ensemble des outils et fonctions nécessaires pour gérer un serveur sécurisé en toute simplicité.

5) Authentification à deux facteurs :

Dans la famille Windows Server, l’authentification comprend également un processus à deux facteurs, comme les cartes à puce.

a) Cartes à puce :

Les cartes à puce constituent un mode de sécurité inviolable et portable pour les tâches telles que l’authentification de clients, l’ouverture d’une session sur un domaine de la famille Windows Server, la signature de code et la sécurisation du courrier électronique. La prise en charge des cartes à puce cryptographiques est une caractéristique essentielle de l’infrastructure de clés publiques (PKI) que Microsoft a intégrée à Windows XP et aux produits de la famille Windows Server. Les cartes à puce remplissent les rôles suivants :

• Mode de stockage inviolable pour la protection des clés privées et d’autres types d’informations personnelles.

• Isolation des opérations informatiques essentielles à la sécurité, telles que l’authentification, les signatures numériques et l’échange de clés avec d’autres parties de l’ordinateur qui n’ont pas besoin d’accéder à certaines données. Ces opérations s’effectuent au niveau de la carte à puce.

• Portabilité des informations d’identification et d’autres informations privées entre ordinateurs au bureau, à la maison ou en déplacement.

Les ouvertures de session sur un réseau à l’aide d’une carte à puce sont un mode

d’authentification très fiable, car elles font appel à une identification reposant sur l’utilisation de la cryptographie et requièrent une pièce justificative pour valider l’authentification d’un utilisateur sur un domaine.

Par exemple, si une personne malveillante obtient le mot de passe d’un utilisateur, elle peut prendre l’identité de l’utilisateur sur le réseau en utilisant simplement le mot de passe. Les utilisateurs choisissent souvent des mots de passe faciles à mémoriser, qui deviennent ainsi faciles à deviner et une proie aisée pour les attaques.

7

Dans le cas des cartes à puce, le pirate aurait à la fois besoin d’obtenir la carte à puce et le code confidentiel de l’utilisateur pour se substituer à ce dernier. Il est bien sûr beaucoup plus difficile d’attaquer ce système, car il faut posséder une couche d’informations supplémentaire pour se substituer à l’utilisateur.

Ce système présente également l’avantage de verrouiller la carte à puce lorsque le pirate tente d’entrer successivement quelques codes confidentiels erronés. Il est par conséquent extrêmement difficile de lancer une attaque contre une carte à puce en se servant d’un dictionnaire (notez que le code confidentiel ne doit pas nécessairement être un code numérique, il peut aussi contenir des caractères alphanumériques).

Les cartes à puce protègent également des attaques non détectées, car la personne malveillante doit obtenir la carte, ce qu’elle ne peut guère faire à l’insu d’un utilisateur.

b) Ouverture d’une session sur un domaine à l’aide d’une carte à puce :

Pour se connecter à un domaine à l’aide d’une carte à puce, les utilisateurs n’ont pas besoin d’appuyer sur CTRL+ALT+SUPPR. Il leur suffit d’insérer la carte à puce dans le lecteur de cartes à puce pour qu’une invite leur demandant leur code confidentiel (au lieu de leurs nom d’utilisateur et mot de passe) s’affiche.

6) Protection des données :

Vous pouvez protéger les données stockées (en ligne ou hors connexion) à l’aide du système de fichiers EFS (Encrypting File System) et de signatures numériques. La sécurité des données stockées dépend de la possibilité de stocker les données sur un disque sous forme cryptée.

a) Système de fichiers EFS (Encrypting File System) :

Le système de fichiers EFS permet de crypter les données au moment de leur stockage sur le disque. Il crypte les données NTFS locales à l’aide de clés publiques.

• Cryptage et décryptage :

Le cryptage consiste à convertir les données dans un format qu’un autre utilisateur ne peut pas lire. Une fois qu’un utilisateur a crypté un fichier, le fichier reste dans cet état tant qu’il se trouve sur le disque.

Le décryptage consiste à reconvertir les données cryptées dans leur format d’origine. Une fois qu’un utilisateur a décrypté un fichier, le fichier reste dans cet état tant qu’il se trouve sur le disque.

8

• Caractéristiques du système de fichiers EFS :

Le système de fichiers EFS se caractérise comme suit : Les utilisateurs peuvent crypter leurs fichiers lorsqu’ils les stockent sur le disque. Le processus de cryptage est très simple : il suffit d’activer une case à cocher dans la boîte de dialogue Propriétés du fichier, comme illustré à la figure 3 ci-dessous.

Cryptage de contenu pour la sécurisation des données

L’accès aux fichiers cryptés est rapide et simple. Lorsque les utilisateurs accèdent aux données depuis le disque, les données s’affichent sous forme de texte brut. Le cryptage des données s’effectue automatiquement sans que les utilisateurs n’aient besoin d’intervenir.

Les utilisateurs peuvent expressément décrypter un fichier en désactivant la case à cocher du cryptage dans la boîte de dialogue Propriétés du fichier. Les administrateurs peuvent récupérer des données cryptées par un autre utilisateur. Cette fonction garantit que les données restent accessibles si l’utilisateur responsable du cryptage n’est pas disponible ou s’il a perdu sa clé privée.

• Cryptage des données transitant par un réseau TCP/IP :

Le système de fichiers EFS crypte également les données lorsqu’elles sont stockées sur le disque. Pour crypter des données pendant qu’elles transitent sur un réseau TCP/IP, il existe deux fonctions : la sécurité du protocole Internet (IPSec) et le cryptage PPTP.

• Cryptage et décryptage des données à l’aide du système de fichiers EFS :

9

Vous pouvez utiliser le système de fichiers EFS pour effectuer les opérations suivantes :

cryptage de données ; accès à des données cryptées ; copie, déplacement ou modification du nom de données cryptées ; décryptage de données.

• Cryptage des données.

La configuration par défaut du système de fichiers EFS ne nécessite aucune administration, car les utilisateurs peuvent commencer à crypter des fichiers immédiatement. Le système de fichiers EFS génère automatiquement une paire de clés de cryptage pour un utilisateur, s’il n’en existe encore aucune.

EFS peut utiliser deux algorithmes de cryptage au choix, à savoir DESX (Expanded Data Encryption Standard) ou 3DES (Triple-DES).

Les services de cryptage sont accessibles à partir de l’Explorateur Windows. Les

utilisateurs peuvent également crypter un fichier ou un dossier à l’aide de la fonction de ligne de commande cipher. Pour plus d’informations sur la commande cipher, tapez cipher /? à l’invite de ligne de commande.

Pour crypter un fichier ou un dossier, les utilisateurs doivent définir la propriété de

cryptage des fichiers et des dossiers de la même façon qu’ils définiraient tout autre attribut (lecture seule, compressé ou masqué, par exemple). Si un utilisateur crypte un dossier, tous les fichiers et sous-dossiers créés dans le dossier crypté ou ajoutés à ce dossier sont automatiquement cryptés. Il est recommandé de définir le cryptage au niveau des dossiers.

Il est impossible de crypter des fichiers ou des dossiers compressés. Si un utilisateur

définit la propriété de cryptage sur des fichiers ou des dossiers compressés, ces derniers sont décompressés. En outre, les dossiers sur lesquels la propriété de cryptage est définie ne sont en fait pas réellement cryptés. Seuls les fichiers qu’ils contiennent, ainsi que les nouveaux fichiers qui y sont ajoutés ou transférés, le sont.

• Accès à des données cryptées.

Les utilisateurs peuvent accéder aux fichiers cryptés de la même façon qu’à tout autre fichier non crypté. Par conséquent, lorsqu’un utilisateur accède à un fichier crypté stocké sur le disque, il peut en lire le contenu normalement. Lorsque l’utilisateur stocke de nouveau le fichier sur le disque, le système de fichiers EFS crypte de nouveau le fichier de façon transparente.

• Copie, déplacement et modification du nom de données cryptées.

Lorsque vous copiez ou transférez des fichiers décryptés dans un dossier crypté, ces derniers sont automatiquement cryptés. En revanche, l’opération inverse ne décrypte pas automatiquement les fichiers. Les fichiers conservent la propriété de cryptage jusqu’à ce

10

qu’ils soient explicitement décryptés ou transférés vers un volume non-NTFS. De manière similaire, renommer un fichier crypté ne change pas la propriété de cryptage.

• Décryptage des données.

Vous pouvez décrypter un fichier en désactivant la case à cocher du cryptage dans la boîte de dialogue Propriétés du fichier. Une fois décrypté, le fichier reste dans cet état jusqu’à ce que vous le cryptiez de nouveau. Il n’existe pas de fonction de recryptage automatique des fichiers, même si les fichiers se trouvent dans un répertoire affecté de la propriété de cryptage. Les utilisateurs peuvent décrypter un fichier en désactivant la case à cocher du cryptage dans la boîte de dialogue Propriétés du fichier ou à l’aide de la commande cipher.

• Sauvegarde et récupération de données cryptées :

Voici la liste des tâches administratives principales associées à EFS : sauvegarde et restauration de fichiers cryptés ; récupération de données cryptées ; configuration d’une stratégie de récupération.

• Sauvegarde et restauration de fichiers cryptés.

Les copies de sauvegarde des fichiers cryptés sont également cryptées, à condition que vous utilisiez un programme de sauvegarde conçu pour Windows XP. Après restauration de données cryptées, les données restent cryptées.

• Récupération de données cryptées.

Le processus de récupération de données consiste à décrypter un fichier sans disposer de la clé privée de l’utilisateur responsable de son cryptage.

Vous serez amené à récupérer des données à l’aide d’un agent de récupération dans les cas suivants :

Un utilisateur a quitté la société. Un utilisateur a perdu sa clé privée. Un organisme officiel fait une demande. Pour récupérer un fichier, l’agent de récupération : sauvegarde les fichiers cryptés ; transfère les copies de sauvegarde vers un système sécurisé ; importe leur certificat de récupération et leur clé privée sur ce système ; restaure les fichiers de sauvegarde ; décrypte les fichiers à l’aide de l’Explorateur Windows ou de la

commande cipher du système de fichiers EFS.

11

• Configuration d’une stratégie de récupération.

Vous pouvez utiliser le composant logiciel enfichable Stratégie de groupe pour définir une stratégie de récupération des données pour les serveurs membres du domaine, ou encore pour les serveurs autonomes ou de groupe de travail. Vous pouvez soit demander un certificat de récupération, soit exporter et importer vos certificats de récupération.

Il est recommandé de confier l’administration de la stratégie de récupération à un administrateur désigné. En autorisant plusieurs administrateurs à tenir le rôle d’agents de récupération, vous aurez toujours à disposition une personne capable d’effectuer une récupération en cas de besoin. Notez cependant qu’il est conseillé de limiter le nombre d’utilisateurs autorisés à récupérer des données cryptées.

b) Signatures numériques :

Une signature numérique permet de garantir l’intégrité et l’origine des données. Elle prouve que les données n’ont pas été modifiées depuis l’attribution de la signature et confirme l’identité de la personne ou de l’entité ayant signé les données. Elle assure donc deux fonctions de sécurité primordiales, à savoir l’intégrité des données et la non-répudiation, qui sont essentielles pour la sécurisation des transactions de commerce électronique.

Les signatures numériques sont généralement utilisées lors de la distribution de

données sous forme de texte en clair ou non crypté. Dans ce cas de figure, même si les données ne sont pas suffisamment confidentielles pour justifier le cryptage, il peut être nécessaire de s’assurer qu’elles n’ont pas été falsifiées ni envoyées par un imposteur. En effet, une fois distribué dans un environnement informatique, le texte en clair peut potentiellement être lu ou modifié par toute personne sur le réseau qui dispose d’un accès approprié, qu’il soit autorisé ou non.

7) Vérification Post – Installation Pour installer l’OS, il faut s’assurer que : a. le lecteur de CD-ROM est lu avant l’unité de disquette, au démarrage de l’ordinateur. Cette étape doit être établie dans la configuration du BIOS où l’on doit mettre le lecteur de CDROM avant toute unité bootable. b. il n’y a pas de version précédente de Windows (sinon, l’installation fera une pause). L’installation de Windows Server 2003 doit se faire sur une partition vierge de tout système d’exploitation car l’utilisation d’une installation automatisée à partir d’un fichier de configuration ne prend pas en compte l’écrasement d’un système.

12

c. la première partition de disque disponible est réservée au système d’exploitation. En effet la première partition doit être réservé à l’installation du serveur à cause de l’installation automatisée. Nous faisons les hypothèses suivantes : a. Le serveur à installer n’est pas membre d’un cluster. Afin de limiter le champ d’action, nous ne prenons pas en compte le cas de la mise en cluster de serveur dont voici un exemple: b. Le domaine dispose d’une unité d’organisation pour les serveurs. c. Le domaine dispose d’une unité d’organisation pour les serveurs de fichiers, sous serveurs. Pour mieux comprendre ces deux hypothèses nous les avons illustrées par un schéma représentant l’arbre d’Active Directory qu’il serait possible de mettre en place.

13

d. L’installation se limite au contenu de la distribution Microsoft Server 2003. L’installation doit se limiter à installer Windows Server 2003 et en aucun cas un autre logiciel ne doit s’installer avec.

8) Stratégie Nous allons maintenant expliquer la stratégie à mettre en place et ses effets. L’application de la stratégie a les effets suivants : a. Le compte d’invité local (Local Guest) est renommé et désactivé. Ce compte permet à n’importe quel utilisateur d’ouvrir une session sur l’ordinateur local sans mot de passe, certes avec des actions restreintes mais il y a tout de même possibilité d’exploiter une faille. Il faut donc préférer sa désactivation pour ne courir aucun risque. b. Le compte d’administrateur local (Local Administrator) est renommé et désactivé. Le compte Administrateur étant intégré dans toutes les versions de Windows Server 2003, il représente une cible de choix pour les pirates informatiques. Pour rendre l'attaque du compte Administrateur plus difficile, il est nécessaire de suivre les procédures suivantes pour le compte Administrateur local sur chaque ordinateur :

14

Renommer le compte en utilisant un nom qui ne soit pas facilement identifiable (éviter « admin », « racine », etc.). Établir un compte leurre intitulé « Administrateur » et ne possédant aucun privilège. Étudier régulièrement le journal d'événements afin de vérifier les tentatives d'utilisation de ce compte. Activer le verrouillage de compte sur les véritables comptes Administrateur. Désactiver le compte Administrateur de l'ordinateur local. c. Tous les systèmes sont de génération Windows 2000 ou ultérieure. Pour une meilleure compatibilité des systèmes, il faut que tous les systèmes qui dialogueront avec le serveur soient de génération Windows 2000 ou mieux. Afin d’éviter de rendre possible l’utilisation de failles des anciens systèmes. d. Le système s’arrêtera s’il est incapable de journaliser les événements de sécurité. Pour une plus grande sécurité, si dans un cas quelconque le système n’arrive plus à journaliser les événements de sécurité on lui demande de s’arrêter car il pourrait y avoir intrusion d’une personne mal intentionnée, cette dernière pourrait alors être en train de changer le journal et donc le système ne pourrait plus écrire dessus. e. On ne peut pas accéder de façon anonyme à aucun partage et à aucun canal nommé. Pour des raisons qui sont facilement compréhensibles aucun partage et aucun canal ne peuvent être accessibles de façon anonyme, toujours dans le but d’éviter toute intrusion. Toute personne accédant à des données devra au préalable s’être identifiée comme client du domaine. f. On ne peut accéder à distance à aucune donnée du Registre. Nous connaissons tous les différents problèmes de sécurité qu’a rencontré Windows avec sa base de registre,en conséquence et c’est impératif, il faut rendre celle-ci totalement inaccessible à distance pour ne pas créer de trou de sécurité auquel on ne s’attend pas. g. Aucun compte n’a le droit de soumettre des travaux par lots. Ceci afin d’éviter toute surcharge du serveur et éventuellement d’écrouler la machine avec des travaux par lots intempestifs.

15

h. Les comptes d’administrateur ne peuvent pas lancer des services (on doit utiliser un compte SERVICE approprié). Pour éviter tout problème ou même toute maladresse, les comptes d’administrateur ne peuvent pas lancer des services. Il est préférable de créer un compte approprié qui ne sert qu’à ça. Ceci afin de renforcer la sécurité auprès des services, ces derniers étant indispensables pour un serveur. i. La fonctionnalité Plug and Play est désactivée par défaut et activée au besoin. On comprend vite pourquoi cette fonctionnalité est désactivée : il suffirait d’insérer un disque externe détecté automatiquement et ayant un lancement automatique pour pouvoir prendre le contrôle de la machine et peut être plus… j. Le protocole SNMP est désactivé. SNMP (Simple Network Management Protocol) est un protocole Internet standard permettant de gérer des équipements réseaux hétérogènes (firewalls, ordinateurs , routeurs…). Le désactiver permet bien sûr une plus grande sécurité. k. Installer dans votre système les plus récents service packs et les correctifs logiciels (hot fix). Ceci afin de garantir une compatibilité maximum et une sécurité sans aucune faille connue du grand public. Dès que les failles ont été dévoilées les mises à jour doivent être faites pour éviter toute intrusion.

III] Fichier d’installation d’un serveur de domaine

1) Explication Comme nous l’avons déjà évoqué plus haut, l’installation d’un Windows Server 2003 peut se faire de manière totalement automatisée. C'est-à-dire l’installation en elle-même se fait toujours à partir du CDROM de l’OS mais également grâce à une disquette contenant un fichier « Winnt.sif ». Ce fichier ni plus ni moins qu’un fichier texte comprenant étape par étape l’installation d’un serveur. Le lancement se fait toujours avec le CDROM et non avec la disquette, il ira par la suite chercher les informations sur l’unité amovible, lors de l’installation. Ceci permet donc

16

de lancer une installation de serveur sans aucune surveillance et sans aucune interaction mais configuré exactement tel qu’on le voulait. L’installation que nous allons vous détailler a été mise en place pour un serveur de domaine et non pour un groupe de travail, mais il est bien évidemment possible de le réaliser pour ce cas là.

2) Fichier « Winnt.sif »

a) [Data]

• AutoPartition=1

Le paramètre AutoPartition indique l’emplacement où le système d’exploitation Windows est installé. Avec la valeur « 1 », le système d’exploitation est installé dans la première partition disponible qui a suffisamment d’espace. Si un système d’exploitation est déjà installé, la procédure d’installation cessera et attendra d’autres instructions.

• MsDosInitiated=0

Le paramètre MsDosInitiated doit être présent et être fixé à « zéro », sinon l’installation automatisée échouera.

• UnattendedInstall=Yes

Avec la valeur « YES », la valeur UnattendedInstall permet la préinstallation de Windows à l’aide de la méthode de démarrage par CD-ROM.

b) [GuiUnattended]

• AdminPassword="A_Str0ng_p@SSw0rd"

Le paramètre AdminPassword définit le mot de passe de l’administrateur local pour le système en cours d’installation. REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des administrateurs.

17

• EncryptedAdminPassword=No

Le paramètre EncryptedAdminPassword détermine si la procédure d’installation chiffre le mot de passe de l’administrateur. Avec la valeur « Non », le mot de passe n’est pas chiffré. Vous pouvez activer cette fonction à l’aide de l’outil setupmgr.exe fourni sur le support de distribution Windows.

• OEMSkipWelcome=1

Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage. Avec la valeur « 1 », cette page n’est pas affichée.

• OEMSkipRegional=1

Le paramètre OEMSkipRegional détermine si la procédure d’installation affichera la page des paramètres régionaux. Avec la valeur « 1 », cette page n’est pas affichée.

• TimeZone=105

Le paramètre TimeZone règle l’horloge du système selon le fuseau horaire local. 004 – Heure normale du Pacifique 010 – Heure normale des Rocheuses 020 – Heure normale des Prairies 025 – Heure normale du Centre (Saskatchewan) 035 – Heure normale de l’Est 050 – Heure normal de l’Atlantique 060 – Heure normale de Terre-Neuve et du Labrador 105 – Heure normale de Paris

• AutoLogon=No

Le paramètre Autologon détermine si le compte de l’administrateur ouvrira automatiquement une session, jusqu’à ce que le système soit redémarré. Le paramètre « No » désactive la fonction AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accroître le nombre de redémarrages requis pour désactiver la fonction AutoLogon.

c) [Identification]

• JoinWorkgroup=Department_Name

Le paramètre JoinWorkgroup détermine à quel groupe de travail le serveur se joindra. REMARQUE : Cette valeur doit être remplacée par une valeur locale.

18

d) [LicenseFilePrintData]

• AutoMode=PerServer

Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer. REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour AutoUsers.

• AutoUsers=5

Le paramètre AutoUsers détermine le nombre d’utilisateurs concurrents pris en charge par la licence du type PerServer. REMARQUE : Vous devez entrer une valeur locale qui reflète la licence achetée pour le système.

e) [Unattended]

• OemPreinstall=No

Le paramètre OEMPreinstall détermine s’il y a des fichiers OEM à installer. La valeur « No » indique que tous les fichiers se trouvent dans la distribution Windows.

• UattendedSwitch=Yes

Le paramètre UnattendedSwitch indique si le module d’installation omet la page de bienvenue Windows. Avec la valeur « Yes », la page de bienvenue Windows est omise.

• Repartition=No

Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier lecteur. Avec la valeur « No », toutes les partitions sont conservées sur le premier lecteur.

• TargetPath=Windows

Le paramètre TargetPath définit l’emplacement du système d’exploitation. Avec la valeur « Windows », les fichiers du système d’exploitation sont placés dans un dossier Windows.

• UnattendedMode=FullUnattended

19

Le paramètre UnattendedMode détermine le niveau d’interaction humaine avec la procédure d’installation. Avec la valeur « FullUnattended », il n’y a pas d’interaction humaine.

• WaitForReboot=No

Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une possibilité d’interaction humaine. Avec la valeur « No », le système redémarre immédiatement.

• OemSkipEula=Yes

Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est présenté pendant l’installation. Avec la valeur « Yes », le CLUF n’est pas affiché.

• FileSystem=ConvertNTFS

Le paramètre FileSystem détermine le type du système de fichiers pour l’installation. Avec la valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS.

f) [UserData]

• ComputerName=Server

Le paramètre ComputerName fixe la valeur du nom de l’ordinateur dans le Registre. REMARQUE : Entrez une valeur locale.

• FullName="SEB"

Le paramètre FullName fixe la valeur RegisteredOwner dans le Registre. REMARQUE : Entrez une valeur locale.

• OrgName="Department_Name"

Le paramètre OrgName fixe la valeur RegisteredOrganisation dans le Registre. REMARQUE : Entrez une valeur locale.

• ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"

20

Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server 2003 qui sera installée. REMARQUE : Entrez une valeur locale.

g) [Networking]

Cette section définit le réseau pour le système. Dans un environnement de groupe de travail, des moyens statiques sont utilisés pour l’établissement du réseau. Cela comprend les adresses IP statiques, ainsi qu’un fichier Hosts pour la résolution des noms. Par conséquent, la définition de réseau automatisé est désactivée. Toutes les valeurs sont fournies par l’intermédiaire de paramètres dans ce fichier d’installation.

• InstallDefaultComponents=No

Le paramètre InstallDefaultComponents indique si la configuration du réseau utilisera le protocole DHCP et le service DNS. Avec la valeur « No », le réseau utilisera les valeurs fournies (dans la variable params.MS_TCPIP) au lieu de DHCP et DNS.

h) [NetAdapters]

• Adapter1=params.Adapter1

Le paramètre Adapter1 définit les interfaces réseau à installer avec les noms logiques associés. Cela assure que les commandes destinées aux adaptateurs sont acheminées correctement.

i) [params.Adapter1]

• InfID=*

Le paramètre InfID identifie un adaptateur réseau avec une valeur qui est identique à celle de l’identificateur Plug and Play. S’il y a plus d’un adaptateur, le

aramètre indiquerait l’identificateur Plug and Play. p

j) [NetClients]

• MS_MSClient=params.MS_MSClient

Le paramètre MS_MSClient indique la section où le client pour le réseau Microsoft est défini. La valeur « params.MS_MSClient » est le titre de la section qui contient la définition du client réseau.

21

k) [NetServices]

• MS_SERVER=params.MS_SERVER

Le paramètre MS_SERVER indique la section où des entrées sont fournies pour définir un service réseau. Aucun service réseau n’est défini dans ce fichier d’installation. Par conséquent, la section « params.MS_SERVER » n’est pas requise.

l) [NetProtocols]

• MS_TCPIP=params.MS_TCPIP

Le paramètre MS_TCPIP définit la section qui contient les entrées pour ce protocole.

m) [params.MS_TCPIP]

• DNS=No

Le paramètre DNS indique si le serveur utilisera un serveur DNS. Le paramètre « No » indique que le serveur n’utilisera pas le DNS pour la résolution des noms.

• UseDomainNameDevolution=No

Le paramètre UseDomainNameDevolution détermine si le système tentera de se connecter quand le nom DNS fourni n’est pas entièrement qualifié. Le paramètre « No » empêche le système de faire cette tentative.

• EnableLMHosts=Yes

Le paramètre EnableLMHosts détermine si le serveur utilisera le fichier Hosts pour résoudre le nom de réseau afin de traiter les traductions. Le paramètre « Yes » indique que le fichier Hosts sera utilisé pour la résolution des noms.

• AdapterSections=params.MS_TCPIP.Adapter1

Le paramètre AdapterSections définit l’emplacement dans ce fichier qui contient la définition de l’adaptateur.

n) [params.MS_TCPIP.Adapter1]

• SpecificTo=Adapter1

Le paramètre SpecificTo indique l’adaptateur réseau qui sera configuré. Le paramètre « Adapter1 » s’applique au premier adaptateur réseau identifié.

22

• DHCP=No

Le paramètre DHCP indique si le système utilise le protocole DHCP. Le paramètre « No » indique que le système n’obtiendra pas une adresse TCP/IP d’un serveur DHCP.

• IPAddress=192.168.0.10

Le paramètre IPAddress définit l’adresse IP de l’adaptateur.

• SubnetMask=255.255.255.0

Le paramètre Subnetmask fournit les adresses des masques de sous-réseau.

• DefaultGateway=192.168.0.1

Le paramètre DefaultGateway définit l’adresse pour les paquets destinés à l’extérieur du masque. La passerelle sert de premier arrêt, sur l’itinéraire menant au système cible.

• WINS=No

Le paramètre WINS détermine si le système utilisera le service de noms Windows (Windows Internet Name Service). Le paramètre « No » désactive le service WINS sur l’adaptateur indiqué.

• NetBIOSOptions=0

Le paramètre NetBIOSOptions détermine si le système active le NetBIOS sur le TCP/IP. Le paramètre « 0 » désactive le NetBIOS sur le TCP/IP.

o) [NetOptionalComponents]

• DHCPServer=0

Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur « 0 », le serveur DHCP n’est pas installé.

• DNS=0

Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur « 0 », le serveur DNS n’est pas installé.

• IAS=0

Le paramètre IAS détermine si le système installera le service d’authentification d’Internet (IAS pour Internet Authentication Service). Avec la valeur « 0 », le service d’authentification Internet n’est pas installé.

23

• ILS=0

Le paramètre ILS détermine si le programme d’installation installera les services qui prennent en charge les fonctions de téléphonie (identification de l’appelant, conférences téléphoniques, vidéoconférences, télécopie, etc.). Avec la valeur « 0 », le service ILS (Internet Locator Service) n’est pas installé.

• LDPSVC=0

Le paramètre LPDSVC détermine si le système installera les services d’impression UNIX.

Avec la valeur « 0 », les services d’impression UNIX ne sont pas installés.

• MacPrint=0

Le paramètre MacPrint détermine si le système installera les services d’impression Macintosh. Avec la valeur « 0 », les services d’impression Macintosh ne sont pas installés.

• MacSrv=0

Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec la valeur « 0 », les services de fichiers Macintosh ne sont pas installés.

• Netcm=0

Le paramètre Netcm détermine si le système installera le Kit d’administration du Microsoft Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur « 0 », ce service n’est pas installé.

• NetMonTools=0

Le paramètre NetMon Tools détermine si le système installera les outils de surveillance réseau. Avec la valeur « 0 », les outils de surveillance réseau ne sont pas installés.

• SimpTcp=0

Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP simples. Avec la valeur « 0 », ces suites de protocoles ne sont pas installées.

• SNMP=0

Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur « 0 », ce protocole n’est pas installé.

24

• WINS=0

Le paramètre WINS détermine si le système installera le service de nom Internet Windows (WINS). Avec la valeur « 0 », le service WINS n’est pas installé.

p) [Components]

• AccessOpt=On

Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur « On », l’assistant d’accessibilité sera installé.

• appsrv_console=Off

Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur « Off », la console de serveur d’applications (Application Server Console) n’est pas installée.

• aspnet=Off

Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur « Off », la plate-forme de développement ASP .NET n’est pas installée.

• AutoUpdate=Off

Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur « Off », le service AutoUpdate (mise à jour automatique) n’est pas installé.

• BitsServerExtensionsISAPI=Off

Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur « Off », l’interface ISAPI pour les extensions de serveur BITS n’est pas installée.

• BitsServerExtensionManager=Off

Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur « Off », le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installés.

25

• Calc=On

Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur « Off », la fonction de calculatrice n’est pas installée.

• certsrv=On

Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur « On », les composantes Certificate Services (Services de certificats) sont installées.

• certsrv_client=Off

Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur « Off », les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut qu’une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le système informatique qui héberge l’autorité de certification soit défini avec le paramètre CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web.

• certsrv_server=Off

Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur « Off », les services de serveur de certificat ne sont pas installés. Cette valeur doit être activée seulement pour les systèmes que l’on entend utiliser pour offrir un service d’autorité de certification.

• charmap=On

Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur « On », la fonction Character Map (mappage de caractères) est installée.

• chat=Off

Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur « Off », le programme de clavardage (Chat) n’est pas installé.

• Clipbook=Off

Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur « Off », l’album Clipbook n’est pas installé.

26

• cluster=Off

Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur « Off », le logiciel de cluster n’est pas installé.

• complusnetwork=On

Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur « On », l’accès Com+ réseau est activé.

• deskpaper=Off

Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur « Off », une image de fond n’est pas installée sur le poste de travail.

• dialer=Off

Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur « Off », le composeur téléphonique n’est pas installé.

• dtcnetwork=Off

Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur « Off », l’accès réseau DTC n’est pas activé. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribuées).

• fax=Off

Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur « Off », la fonctionnalité de télécopie n’est pas installée.

• fp_extensions=Off

Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur « Off », les extensions du serveur FrontPage ne sont pas installées.

• fp_vdir_deploy=Off

Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur « Off », le soutien de déploiement à distance RAD Visual InterDev n’est pas installé.

27

• freecell=Off

Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur « Off », le jeu Freecell n’est pas installé.

• hearts=Off

Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur « Off », le jeu Hearts n’est pas installé.

• hypertrm=Off

Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur « Off », la fonction Hyperterminal n’est pas installée.

• IEAccess=Off

Le paramètre IEAccess détermine si les points d’accès d’Internet Explorer sont visibles. Avec la valeur « Off », ces points ne sont pas visibles.

• iis_asp=Off

Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur « Off », la fonctionnalité Active Server Pages (pages de serveur actif) n’est pas installée.

• iis_common=Off

Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur « Off », l’ensemble commun de fichiers requis par l’IIS n’est pas installé.

• iis_ftp=Off

Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur « Off », le service FTP n’est pas installé.

• iis_inetmgr=Off

Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur « Off », les outils d’administration basés sur la console MMC pour IIS ne sont pas installés.

28

• iis_internetdataconnector=Off

Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur « Off », la fonction Internet Data Connector (connecteur de données Internet) n’est pas installée.

• iis_nntp=Off

Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur « Off », le service NNTP n’est pas installé.

• iis_serversidesincludes=Off

Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur « Off », la fonction Server Side Includes (fichiers inclus côté serveur) n’est pas installée.

• iis_smtp=Off

Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur « Off », le service SMTP n’est pas installé.

• iis_webadmin=Off

Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur « Off », l’interface utilisateur Web pour l’administration des serveurs Web (Remote Administration Tools) n’est pas installée.

• iis_webdav=Off

Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur « Off », la fonction de publication WebDAV n’est pas installée.

• iis_www=Off

Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur « Off », le service WWW n’est pas installé.

• iis_www_vdir_scripts=Off

Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur « Off », le répertoire de scripts facultatif n’est pas créé sur le site Web par défaut.

29

• indexsrv_system=Off

Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur « Off », le service d’indexation (Indexing Service) n’est pas installé.

• inetprint=Off

Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur « Off », la fonction d’impression Internet n’est pas installée.

• licenseserver=Off

Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur « Off », la licence Terminal Service n’est pas activée.

• media_clips=Off

Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur « Off », les échantillons de son ne sont pas installés.

• media_utopia=Off

Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur « Off », le schéma de son Utopia n’est pas installé.

• minesweeper=Off

Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur « Off », le jeu Minesweeper n’est pas installé.

• mousepoint=On

Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur « On », tous les pointeurs de souris disponibles sont installés.

• msmq_ADIntegrated=Off

Le paramètre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la valeur « Off », le MSMQ n’est pas intégré avec l’Active Directory.

30

• msmq_Core=Off

Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur « Off », les composantes Message Queuing ne sont pas installées.

• msmq_HTTPSupport=Off

Le paramètre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la valeur « Off », l’émission et la réception des messages utilisant le protocole HTTP sont désactivées.

• msmq_LocalStorage=Off

Le paramètre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la valeur « Off », les messages ne sont pas enregistrés localement.

• msmq_MQDSSService=Off

Le paramètre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre. Avec la valeur « Off », l’accès à l’Active Directory et la reconnaissance du site sont restreints pour les clients en aval.

• msmq_RoutingSupport=Off

Le paramètre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre. Avec la valeur « Off », le système n’assure pas de routage efficient.

• msmq_TriggerService=Off

Le paramètre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec la valeur « Off », l’arrivée des messages entrants dans une file d’attente est dissociée de la fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour un programme exécutable autonome.

• msnexplr=Off

Le paramètre msnexplr fixe la valeur msnexpire dans le Registre. Avec la valeur « Off », l’Explorateur MSN n’est pas installé.

• mswordpad=On

Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur « On », la fonction mswordpad est installée.

31

• netcis=Off

Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur « Off », les services Internet COM Microsoft ne sont pas installés.

• netoc=Off

Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur « Off », les

composantes réseau facultatives ne sont pas installées.

• objectpkg=Off

Le paramètre objectpkg détermine si le programme Object Packager est installé. Avec la valeur « Off », le programme Object Packager n’est pas installé.

• OEAccess=Off

Le paramètre OEAccess détermine si les points d’entrée visibles pour Outlook Express sont installés. Avec la valeur « Off », les points d’entrée visibles pour Outlook Express ne sont pas installés.

• paint=Off

Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur « Off », Microsoft Paint n’est pas installé.

• pinball=Off

Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur « Off », le jeu Pinball n’est pas installé.

• Pop3Admin=Off

Le paramètre Pop3Admin indique si l’interface utilisateur Web facultative pour les outils d’administration à distance est installée. Avec la valeur « Off », cette interface facultative n’est pas installée.

• Pop3Service=Off

Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur « Off », le service POP3 principal n’est pas installé.

32

• Pop3Srv=Off

Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur « Off », cette composante n’est pas installée.

• rec=Off

Le paramètre rec détermine si l’enregistreur de son est installé. Avec la valeur « Off », l’enregistreur de son n’est pas installé.

• reminst=Off

Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur « Off », le service d’installation à distance n’est pas installé.

• rootautoupdate=Off

Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur « Off », les certificats racines de mise à jour OMC sont désactivés. Si l’utilisateur se voit présenter un certificat émis par une autorité racine non fiable, les actions qui requièrent l’authentification sont interdites.

• rstorage=Off

Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur « Off », la fonction de stockage à distance n’est pas installée.

• solitaire=Off

Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur « Off », le jeu Solitaire n’est pas installé.

• spider=Off

Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur « Off », le jeu Spider n’est pas installé.

• templates=Off

Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur « Off », les modèles de documents ne sont pas installés.

33

• TerminalServer=On

Le paramètre TerminalServer détermine si le serveur de terminal est installé. Avec la valeur « On », ce service est installé.

• TSWebClient=Off

Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du client Terminal Services sur le Web est installé. Avec la valeur « Off », le contrôle ActiveX n’est pas installé.

• vol=Off

Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur « Off », le contrôle de volume n’est pas installé.

• WBEMSNMP=Off

Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur « Off », le fournisseur SNMP WMI n’est pas installé.

• WMAccess=Off

Le paramètre WMAccess détermine si les points d’entrée visibles pour Windows Manager sont installés. Avec la valeur « Off », les points d’entrée visibles pour Windows Manager ne sont pas installés.

• WMPOCM=Off

Le paramètre WMPOCM détermine si les points d’entrée visibles pour le lecteur Windows Media sont installés. Avec la valeur « Off », les points d’entrée visibles pour le lecteur Windows Media ne sont pas installés.

• wms=Off

Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur « Off », les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installées.

• wms_admin_asp=Off

34

Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur « Off », les composantes administratives basées sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installées.

• wms_admin_mmc=Off

Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur « Off », les composantes administratives basées sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installées.

• wms_isapi=Off

Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur « Off », les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installées.

• wms_server=Off

Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur « Off », les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installées.

• zonegames=Off

Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur « Off », les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installés.

IV] Mise en place de la stratégie

1) Application d’une stratégie dans un domaine

Les fichiers de stratégie sont appliqués à des unités d’organisation dans l’Active Directory. La structure de l’annuaire dictera les noms exacts et les emplacements des unités d’organisation. La structure déployée dans notre cas possède une unité d’organisation pour les « Serveurs publics » auxquels la configuration de base a été appliquée. Les unités d’organisation « Serveurs d’impression » et « Serveurs de fichiers » sont incorporées dans

35

l’unité d’organisation « Serveurs publics ». Les stratégies appropriées sont appliquées à l’unité d’organisation spécifique.

Cette procédure s’applique à toute unité d’organisation et à tout fichier de stratégie. Il s’agit de substituer les paramètres « UO » et « nom du fichier de stratégie », au besoin. 1. Appelez l’interface Active Directory. 2. Développer l’annuaire en cliquant sur les signes « + » pour afficher les UO désirées. 3. Cliquez à droite sur l’UO désirée et sélectionnez Propriétés dans le menu.

a. La boîte de dialogue Propriétés d’Unité d’Organisation s’ouvre. 4. Sélectionnez l’onglet Politique de Groupe. 5. Cliquez sur le bouton Nouveau. 6. Le Nouvel objet de politique de Groupe est créé. 7. Renommez le Nouvel objet de politique de Groupe selon la valeur voulue. 8. Cliquez sur le bouton Editer.

b. La boîte de dialogue Editeur d’objet de politique de groupe s’ouvre. 9. Cliquez sur « + » à côté de Windows Configuration. 10. Cliquez à droite sur Configuration de Sécurité. 11. Sélectionnez Importer Politique dans le menu. 12. Naviguez jusqu’au fichier de stratégie voulu et sélectionnez-le. 13. Activez l’option Effacer la base de donnée avant l’importation. 14. Cliquez sur Ouvrir (la stratégie est importée). 15. Cliquez sur Fichier, puis sur Quitter. 16. Cliquez sur Appliquer. 17. Cliquez sur Quitter.

Répétez cette procédure jusqu’à ce que tous les fichiers de stratégie requis soient appliqués à toutes les UO (serveurs publics, serveurs d’impression et serveurs de fichiers).

36

2) Description des modèles de sécurité

Vu la multitude de paramètre qui sont personnalisable dans une stratégie de sécurité, il est fournis directement avec Windows 2003 un certain nombre de modèle correspondant chacun à un contexte de sécurité précis. Modèle

Fichier

Description

Sécurité par défaut

setup security.inf dc security.inf

Configure la machine avec un niveau de sécurité basique.

Compatible

compatws.inf

Offre un contexte de sécurité très proche de celui de Windows NT 4 ce qui permet d’assurer une compatibilité accrue pour les applications conçu pour l’ancien système.

Sécurisé

securews.inf securedc.inf

Il améliore les variables de sécurité pour les Stratégies de Compte et d’Audit. Enlève tous les membres du groupe Utilisateur avec Pouvoir. Les ACL ne sont pas modifiées. Il ne peut garantir le bon fonctionnement de toutes les applications (et leurs fonctionnalités).

Hautement sécurisé

hisecws.inf hisecdc.inf

Modèle le plus sûr mis à disposition des machines qui utilisent Windows 2000 en mode natif seulement. Il demande à ce que toutes les connexions réseau soient signées et cryptées de manière digitale (implémentation de IPSec). Il ne permet pas la communication avec des machines employant des modèles plus anciens de clients Windows. Il ne se soucie pas du bon fonctionnement des applications.

Sécurité racine système

Rootsec.inf

Spécifie les autorisations pour la racine du disque système.

37

3) Détail sur les fichiers de stratégie

La section suivante décrit les services et paramètres additionnels qui peuvent être gérés à l’aide des fichiers de stratégie.

Vous pouvez contrôler la sécurité sur votre ordinateur local ou sur plusieurs

ordinateurs en définissant les éléments suivants : stratégies des mots de passe, stratégies de verrouillage des comptes, stratégies Kerberos, stratégies d’audit, droits des utilisateurs et d’autres stratégies. Pour créer une stratégie à appliquer à l’ensemble du système, vous pouvez utiliser des modèles de sécurité.

a) Stratégie des comptes

Les stratégies de comptes déterminent les règles pour les utilisateurs à l’égard des mots de passe et de Kerberos.

Nous n’allons pas développer toutes les stratégies possibles et applicables, car cela nous prendrait un temps que nous n’avons pas. Mais il faut savoir que bien d’autres stratégie sont à mettre en place et le guide de Microsoft en parle très bien. Cependant voici quelques stratégies en ce qui concerne les mots de passe :

• Conserver l’historique des mots de passe PasswordHistorySize = 24 Le paramètre « PasswordHistorySize » détermine le nombre de mots de passe conservés par le système. Cette valeur est comparée avec les entrées utilisateur pendant les changements de mots de passe. La valeur « 24 » signifie que l’utilisateur doit choisir 24 mots de passe différents avant de pouvoir réutiliser le premier mot de passe. Avec une valeur de 2 pour le paramètre « MinimumPasswordAge », l’utilisateur devrait changer son mot de passe tous les deux jours 24 fois de suite avant pouvoir de revenir à son mot de passe original.

• Durée de vie maximale du mot de passe MaximumPasswordAge = 42 Le paramètre « MaximumPasswordAge » détermine le nombre maximal de jours pendant lesquels l’utilisateur peut conserver le même mot de passe. Avec une valeur de 42, l’utilisateur doit modifier son mot de passe tous les 42 jours. Conjointement avec les paramètres

38

« PasswordComplexity » et « PasswordLength », ce paramètre assure un mot de passe robuste et résistant aux attaques.

• Durée de vie minimale du mot de passe MinimumPasswordAge = 2 Le paramètre « MinimumPasswordAge » détermine combien de jours l’utilisateur doit attendre avant de changer un mot de passe. Avec la valeur « 2 », l’utilisateur doit attendre deux jours avant de changer son mot de passe.

• Longueur minimale du mot de passe MinimumPasswordLength = 8 Le paramètre « MinimumPasswordLength » détermine le nombre minimal de caractères acceptable dans un mot de passe. Avec la valeur « 8 », l’utilisateur doit entrer un mot de passe d’au moins 8 caractères. Conjointement avec les paramètres « PasswordComplexity » et « MaximumPasswordAge », ce paramètre assure un mot de passe robuste et résistant aux attaques. Voici quelques stratégies Kerberos :

• Appliquer les restrictions pour l’ouverture de session TicketValidateClient = 1

Le paramètre « TicketValidateClient » détermine si l’authentification par le Centre de distribution des clés V5 Kerberos est requise. Avec la valeur « 1 », l’utilisation de l’authentification Kerberos est requise.

• Durée de vie maximale pour le ticket de service MaxServiceAge = 600

Le paramètre « MaxServiceAge » détermine le nombre de minutes pendant lequel un ticket de service est valide. Avec la valeur « 600 », le ticket peut être utilisé pendant 10 heures.

39

• Durée de vie maximale du ticket utilisateur MaxTicketAge = 10

Le paramètre « MaxTicketAge » détermine le nombre maximal d’heures pendant lequel un ticket utilisateur (TGT pour Ticket Granting Ticket) peut être renouvelé. Avec la valeur « 10 », le ticket utilisateur doit être remplacé ou renouvelé après 10 heures.

b) Attribution des droits des utilisateurs

• Accéder à cet ordinateur à partir du réseau senetworklogonright = *S-1-5-11,*S-1-5-32-544

Le paramètre « senetworklogonright » permet l’accès au système par protocole réseau (SMB, NetBIOS, CIFS, HTTP et COM+). La présente stratégie accorde des privilèges aux administrateurs et aux utilisateurs authentifiés. La possibilité d’accéder au système à partir d’un réseau présente un plus grand risque d’exposition aux attaques. En réduisant l’accès, on réduit les risques d’exposition.

• Agir en tant que partie du système d’exploitation setcbprivilege =

Le paramètre « setcbprivilege » permet au compte d’agir en tant que partie du système d’exploitation. Selon Microsoft, il n’y a aucune raison pour qu’un compte ait besoin de ce privilège.

• Sauvegarder des fichiers ou des répertoires sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544

Le paramètre « sebackupprivilege » octroie le droit de sauvegarder des fichiers et des répertoires. Les droits sont donnés aux administrateurs et aux opérateurs de sauvegarde. Si votre stratégie ne permet pas aux administrateurs de sauvegarder les fichiers et les répertoires, omettez alors le groupe Administrateurs. L’attribution de ce privilège doit être contrôlée de près.

40

c) Option de sécurité

• Comptes : État de compte d’administrateur EnableAdminAccount = 0

Le paramètre « EnableAdminAccount » détermine si le compte de l’administrateur local est activé. Avec la valeur « 0 », le compte de l’administrateur local est désactivé. Cela empêche l’utilisation généralisée du compte et le soustrait aux attaques potentielles.

• Comptes : État de compte d’invité EnableGuestAccount = 0

Le paramètre « EnableGuestAccount » détermine si le compte d’invité local est activé. Avec la valeur « 0 », le compte est désactivé. Cela empêche l’utilisation généralisée du compte et le soustrait aux attaques potentielles.

• Comptes : Restreindre l’utilisation des mots de passe vierges par le compte local à l’ouverture de session console

machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4, 1

La valeur de Registre « limitblankpassworduse » détermine si on peut utiliser des comptes locaux avec des mots de passe vierges pour ouvrir une session à distance. Avec la valeur « 1 », ce type d’ouverture de session est interdit. Ainsi, l’accès à distance requiert un nom et un mot de passe.

4) Implémentation d’une stratégie d’audit

Pour implémenter une stratégie d’audit, procédez comme suit :

• Définissez votre stratégie d’audit. Décidez des comportements à auditer. • Sélectionnez les catégories d’audit qui correspondent à votre stratégie d’audit, en

écartant toute catégorie superflue.

• Sélectionnez une taille et une stratégie de rétention appropriées pour le journal de

sécurité. Pour afficher le journal de sécurité et en définir la taille et la stratégie de rétention, utilisez l’Observateur d’événements, comme indiqué à la figure 2 ci-dessous.

41

• Si vous avez décidé d’auditer l’accès aux services d’annuaire ou aux objets, déterminez les objets à surveiller dans le cadre de la stratégie. Déterminez également le nombre minimal d’accès à auditer pour remplir les objectifs de votre stratégie. Il est essentiel de ne pas auditer plus d’objets ou d’accès que nécessaire, car les journaux d’audit se rempliront sinon très rapidement sur un poste très utilisé.

• Déployez votre stratégie. Pour ce faire, utilisez l’outil Stratégie de sécurité locale sur

un poste autonome ou l’outil Stratégie de groupe sur un domaine.

• Consultez régulièrement les journaux de sécurité. Il ne sert à rien d’effectuer des audits si vous ne consultez jamais les journaux. Pour faciliter l’administration de cette tâche, vous pouvez faire appel à un système de recueil des journaux d’événements.

• Ajustez votre stratégie comme il convient. Cette procédure peut consister à ajouter ou

supprimer des objets ou des accès de la stratégie d’audit, ou encore à activer ou désactiver des catégories d’audit. Après avoir passé les journaux en revue, vous constaterez peut-être que vous avez recueilli trop ou pas assez d’informations.

42

V] Conclusion

Comme vous avez pu le constater nous nous sommes basés sur le document « Windows Server 2003 Security Guide » distribué gratuitement par Microsoft sur son site.

Plus que jamais aujourd’hui, il est important pour une entreprise d’utiliser un système

informatique en réseau efficace et bien sécurisé, ceci afin de rester compétitive. Windows Server 2003 propose dans cette optique des services formant un environnement d’un niveau de sécurité correct. Le cryptage des données confidentielles est simple et des stratégies de restriction sur les logiciels peuvent prévenir les dommages causés par les virus et les chevaux de Troie. En outre, Windows Server 2003 est la meilleure solution pour déployer une infrastructure de clés publiques et le déploiement de cartes à puce y est facilité. Force est de constater que ce serveur a été nettement amélioré par rapport à Windows 2000, ceci a été possible grâce au passage en revue par Microsoft de toutes les lignes de code formant ce produit. Microsoft ayant fait de la sécurité un atout premier de son serveur alors qu’il y a pas si longtemps elle était sa faiblesse.

Bien évidemment il n’a pas été possible de décrire tous les points de sécurité mis en

place par un serveur, la liste étant extrêmement longue, mais les différents points de notre présentation sont les plus importants.

43