4 Fichiers de stratégie pour les serveurs
4.7 Paramètres de sécurité additionnels
4.7.6 Écarts par rapport aux directives Microsoft
Le tableau suivant indique les paramètres qui diffèrent entre les directives du CST et celles de Microsoft. Les paramètres du CST et de Microsoft sont indiqués.
Tableau 3 – Écarts avec les paramètres de base pour un serveur membre Microsoft
No Paramètre Valeur CST Valeur Microsoft
1 Minimum Password Length (Longueur minimale du mot de passe)
8 12 2 Audit Policy Change (Auditer les
modifications de stratégie) Succès/Échec Succès 3 Audit System Events (Auditer les
événements système) Succès/Échec Succès 4 Add Workstations to Domain
(Ajouter des stations de travail au domaine)
Aucun Administrateurs 5 Backup Files and Directories
(Sauvegarder des fichiers ou des répertoires)
Administrateurs et opérateurs
de sauvegarde Par défaut 6 Bypass Traverse Checking
(Outrepasser le contrôle de traversée) Utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs Par défaut 7 Create a Pagefile (Créer un fichier
d’échange) Administrateurs Par défaut 8 Create a Token Object (Créer un
objet jeton)
Aucun Par défaut 9 Create Global Objects (Créer des
objets globaux) Service et Administrateurs Par défaut 10 Create Permanent Shared Objects
(Créer des objets partagés permanents)
Aucun Par défaut 11 Deny Logon as a Service (Refuser
l’ouverture de session en tant que service)
Invités, sessions anonymes, administrateurs,
administrateur intégré, Support_388945a0 et Invité
Par défaut 12 Deny Logon Locally (Interdire
l’ouverture d’une session locale) Invités, sessions anonymes, administrateur intégré, Support_388945a0 et Invité
Par défaut 13 Force shutdown from remote
system (Forcer l’arrêt à partir d’un système distant)
No Paramètre Valeur CST Valeur Microsoft
14 Lock Pages in Memory
(Verrouiller des pages en mémoire) Aucun Administrateurs 15 Logon as a Service (Ouvrir une
session en tant que service) Service réseau et service local Par défaut 16 Administrator Account Status (État
du compte de l’administrateur) Désactivé Activé 17 Interactive logon: Message text for
users attempting to logon
(Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter)
Entrée requise du ministère “This system is restricted….” (« Ce système est restreint… »)
18 Interactive logon: Message title for users attempting to log on
(Ouverture de session interactive : titre du message pour les
utilisateurs essayant de se connecter)
Entrée requise du ministère “IT IS AN OFFENSE….” (« IL EST INTERDIT PAR LA LOI… »)
19 Interactive Logon: Require Smart Card (Ouverture de session interactive : carte à puce nécessaire)
Ne requiert pas de carte à puce Par défaut 20 Network Access: Allow
Anonymous SID/Name Translation (Accès réseau : permettre la traduction des noms/SID anonymes)
Désactivé #
21 Network Access: Remotely accessible Registry paths (Accès réseau : les chemins du Registre accessibles à distance) Aucun System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version
No Paramètre Valeur CST Valeur Microsoft
22 Network Access: Remotely accessible registry paths and sub- paths (Accès réseau : chemins et sous-chemins du Registre accessibles à distance) Aucun System\CurrentControlSet\Control\Pr int\Printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentIndex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\Par défautUserCOnfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonLog
23 Network Security: Force logoff when logon hours expire (Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent)
Activé Par défaut
24 System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie système : utiliser des algorithmes conforme à FIPS pour le chiffrement, le hachage et la signature)
Activé Désactivé
25 Use Certificate Rules on Windows Executables for Software
Restriction Policies (Utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle)
Désactivé Par défaut
26 Retention method for Application log (Méthode de conservation du journal des applications)
No Paramètre Valeur CST Valeur Microsoft
27 Retention method for Security log (Méthode de conservation du journal Sécurité)
Ne pas écraser Au besoin 28 Retention method for System log
(Méthode de conservation du journal Système)
Ne pas écraser Au besoin 29 Automatic Updates Service (Mises
à jour automatiques) Désactivé Automatique 30 Background Intelligent Transfer
Service (Service de transfert intelligent en arrière plan)
Désactivé Manuel 31 Network Location Awareness
(Service NLA) Désactivé Manuel 32 NTLM Security Support Provider
(Fournisseur de la prise en charge de sécurité LM NT)
Désactivé Automatique 33 Performance Logs and Alerts
(Journaux et alertes de performance)
Désactivé Manuel 34 Plug and Play Désactivé Automatique
35 Remote Administration Service (Service d’administration à distance)
Désactivé Manuel 36 Remote Registry Service (Service
d’accès à distance au Registre) Désactivé Automatique 37 Server Service (Service de
serveurs) Désactivé Automatique 38 Terminal Services (Services
Terminal Server) Désactivé Automatique 39 Windows Management
Instrumentation Driver Extensions (Extensions du pilote WMI)
Désactivé Manuel 40 WMI Performance Adapter (Carte
de performance WMI)
Désactivé Manuel 41 TCPMaxHalfOpen 100 Pas de recommandation 42 TCPMaxHalfOpenRetired 80 Pas de recommandation 43 NoNameReleaseOnDemand
(TCP/IP) i) Activé Pas de recommandation 44 Remove POSIX Subsystem
Registry Key (Enlever la clé de Registre pour le sous système POSIX)
No Paramètre Valeur CST Valeur Microsoft
45 Set BIOS Password (Définir le mot
de passe BIOS) Recommandé Pas de recommandation 46 Disable Memory Dump
(Désactiver l’image mémoire) Recommandé Pas de recommandation 47 Boot Immediately to Windows
(Démarrer immédiatement Windows)
Recommandé Pas de recommandation 48 Disassociate .reg files from registry
editor (Dissocier les fichiers .reg de l’Éditeur de registre)
Tableau 4 – Écarts par rapport à la stratégie locale des hôtes Bastion de Microsoft
No Paramètre Valeur du CST Valeur de Microsoft
1 Minimum Password Length (Longueur minimale du mot de passe)
8 12 2 Audit Policy Change (Auditer les
modifications de stratégie) Succès/Échec Succès 3 Audit System Events (Auditer les
événements système) Succès/Échec Succès 4 Add Workstations to Domain
(Ajouter des stations de travail au domaine)
Aucun Administrateurs 5 Allow log on locally (Autoriser
l’ouverture de session locale) Administrateurs et opérateurs de sauvegarde Administrateurs 6 Backup Files and Directories
(Sauvegarder des fichiers ou des répertoires)
Administrateurs et opérateurs
de sauvegarde Défaut 7 Bypass Traverse Checking
(Outrepasser le contrôle de traversée) Utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs Par défaut 8 Create a Pagefile (Créer un fichier
d’échange) Administrateurs Par défaut 9 Create a Token Object (Créer un
objet jeton) Aucun Par défaut 10 Create Global Objects (Créer des
objets globaux) Service et administrateurs Par défaut 11 Create Permanent Shared Objects
(Créer des objets partagés permanents)
Aucun Par défaut 12 Deny Logon as a Service (Refuser
l’ouverture de session en tant que service)
Invités, sessions anonymes, administrateurs,
administrateur intégré, Support_388945a0 et Invité
Par défaut 13 Deny Logon Locally (Interdire
l’ouverture d’une session locale) Invités, sessions anonymes, administrateur intégré, Support_388945a0 et Invité
Par défaut 14 Force shutdown from remote
system (Forcer l’arrêt à partir d’un système distant)
Aucun Administrateurs 15 Lock Pages in Memory
No Paramètre Valeur du CST Valeur de Microsoft
16 Logon as a Service (Ouvrir une
session en tant que service) Service réseau et service local Par défaut 17 Administrator Account Status (État
du compte de l’administrateur) Désactivé Activé 18 Interactive logon: Message text for
users attempting to logon
(Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter)
Entrée requise du ministère “This system is restricted….” (« Ce système est restreint… »)
19 Interactive logon: Message title for users attempting to log on
(Ouverture de session interactive : titre du message pour les
utilisateurs essayant de se connecter)
Entrée requise du ministère “IT IS AN OFFENSE….” (« IL EST INTERDIT PAR LA LOI… »)
20 Interactive Logon: Require Smart Card (Ouverture de session interactive : requiert une carte à puce)
Ne requiert pas de carte à puce Par défaut 21 Network Access: Allow
Anonymous SID/Name Translation (Accès réseau : permettre la traduction des noms/SID anonymes)
Désactivé Par défaut
22 Network Access: Remotely accessible Registry paths (Accès réseau : les chemins du Registre accessibles à distance) Aucun System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version
No Paramètre Valeur du CST Valeur de Microsoft
23 Network Access: Remotely accessible registry paths and sub- paths (Accès réseau : chemins et sous-chemins du Registre accessibles à distance) Aucun System\CurrentControlSet\Control\Pr int\Printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentIndex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\DefaultUserCOnfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonLog
24 Network Security: Force logoff when logon hours expire (Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent)
Activé Par défaut
25 System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie système : utiliser des algorithmes conforme à FIPS pour le chiffrement, le hachage et la signature)
Activé Désactivé
26 Use Certificate Rules on Windows Executables for Software
Restriction Policies (Utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle)
Désactivé Par défaut
27 Retention method for Application log (Méthode de conservation du journal des applications)
No Paramètre Valeur du CST Valeur de Microsoft
28 Retention method for Security log (Méthode de conservation du journal Sécurité)
Ne pas écraser Au besoin 29 Retention method for System log
(Méthode de conservation du journal Système)
Ne pas écraser Au besoin 30 DNS Client (client DNS) Désactivé Activé
31 Plug and Play Service Désactivé Automatique 32 TCPMaxHalfOpen 100 Pas de recommandation 33 TCPMaxHalfOpenRetired 80 Pas de recommandation 34 NoNameReleaseOnDemand
(TCP/IP) Activé Pas de recommandation 35 Remove POSIX Subsystem
Registry Key (Enlever la clé de Registre pour le sous système POSIX)
Recommandé Pas de recommandation 36 Set BIOS Password (Définir le mot
de passe BIOS) Recommandé Pas de recommandation 37 Disable Memory Dump
(Désactiver l’image mémoire) Recommandé Pas de recommandation 38 Boot Immediately to Windows
(Démarrer immédiatement Windows)
Recommandé Pas de recommandation 39 Disassociate .reg files from registry
editor (Dissocier les fichiers .reg de l’Éditeur de registre)