Les sections qui suivent expliquent comment exploiter les paramètres des modèles. À mesure que nous avancerons, vous gérerez chaque type de paramètre de modèle de manière légèrement différente.
Modifier les paramètres des stratégies de comptes, locales et du journal des événements
Les paramètres Stratégies de comptes contrôlent la sécurité des mots de passe, le verrouillage du compte et Kerberos. Les paramètres Stratégies locales contrôlent la sécurité de l’audit, de l’affectation des droits utilisateur et d’autres options de sécu-rité. Les paramètres Stratégies Journal des événements contrôlent la sécurité de l’enregistrement des événements. Pour de plus amples informations sur les paramè-tres Stratégie de comptes et Stratégies locales, reportez-vous au chapitre 10, « Création de comptes utilisateur et de groupe ». Pour de plus amples informations sur la configuration de la journalisation des événements, reportez-vous au chapitre 4, « Surveillance des processus, services et événements ».
Avec les stratégies de comptes, locales et d’événements, vous pouvez modifier les paramètres du modèle en procédant de la manière suivante :
1. Dans le composant logiciel enfichable Modèles de sécurité, développez le nœud Stratégies de comptes ou le nœud Stratégies locales, puis sélectionnez le sous-nœud approprié, comme Stratégie de mot de passe ou Stratégie de ver-rouillage du compte.
2. Dans le volet de droite, les paramètres de stratégie sont listés par ordre alpha-bétique et par nom. La valeur de la colonne Paramètre de l’ordinateur indique les paramètres en cours. Si le modèle modifie le paramètre de sorte qu’il n’est plus défini, la valeur est Non défini.
3. Double cliquez sur un paramètre pour afficher sa boîte de dialogue Propriétés, illustrée par la figure 6-2. Pour déterminer l’objet du paramètre, cliquez sur l’onglet Expliquer. Pour définir et appliquer le paramètre de stratégie, cochez la case Définir ce paramètre de stratégie dans le modèle. Pour ignorer cette straté-gie et ne pas l’appliquer, supprimez la coche.
Figure 6-2 Modifiez les paramètres du modèle pour les stratégies
de comptes et locales.
4. Si vous avez activé le paramètre de stratégie, spécifiez exactement comment l’utiliser en configurant les options complémentaires.
5. Cliquez sur OK pour enregistrer les changements de paramètres. Si vous avez modifié le paramètre Seuil de verrouillage du compte, la boîte de dialogue Modifications suggérées pour les valeurs vous suggère des valeurs pour les paramètres Durée de verrouillage des comptes et Réinitialiser le compteur de verrouillage, comme le montre la figure 6-3.
Figure 6-3 Étudiez les changements de valeurs suggérés.
Configurer les groupes restreints
Les paramètres de la stratégie Groupes restreints contrôlent la liste des membres de groupes ainsi que les groupes auxquels les groupes configurés appartiennent. Voici comment restreindre un groupe :
1. Dans le composant logiciel enfichable Modèles de sécurité, sélectionnez le nœud Groupes restreints. Dans le volet de droite, les groupes actuellement res-treints sont listés par nom. Les membres de groupe sont également listés, ainsi que les groupes dont le groupe restreint est membre.
2. Pour ajouter un groupe restreint, cliquez droit sur le nœud Groupes restreints dans le volet de gauche et sélectionnez Ajouter un groupe dans le menu con-textuel. Dans la boîte de dialogue Ajouter un groupe, cliquez sur Parcourir. 3. Dans la boîte de dialogue Sélectionnez Groupes, saisissez le nom d’un groupe à
restreindre et cliquez sur Vérifier les noms. Si Windows trouve plusieurs cor-respondances, sélectionnez le compte à utiliser et cliquez sur OK. Si Windows ne trouve aucune correspondance, vérifiez le nom saisi et recommencez la recherche. Répétez cette étape autant que nécessaire et cliquez sur OK. 4. Dans la boîte de dialogue Propriétés, servez-vous de l’option Ajouter des
mem-bres pour ajouter des memmem-bres au groupe. Si le groupe ne doit contenir aucun membre, supprimez tous les membres en cliquant sur Supprimer. Tous les membres qui ne sont pas spécifiés dans le paramètre de stratégie du groupe res-treint sont retirés à l’application du modèle de sécurité.
5. Dans la boîte de dialogue Propriétés, cliquez sur Ajouter des groupes pour pré-ciser les groupes auxquels ce groupe appartient. Ces groupes sont alors listés exactement tel que vous les appliquez (à condition qu’ils soient valides dans le groupe de travail ou le domaine applicable). Si vous ne précisez pas d’apparte-nance de groupe, les groupes auxquels le groupe appartient ne sont pas modi-fiés à l’application du modèle.
Voici comment supprimer une restriction appliquée à un groupe :
1. Dans le composant logiciel enfichable Modèles de sécurité, sélectionnez le nœud Groupes restreints. Dans le volet de droite, les groupes actuellement res-treints sont listés par nom. Les membres de groupe sont également listés, ainsi que les groupes dont le groupe restreint est membre.
2. Cliquez droit sur le groupe à ne pas restreindre et sélectionnez Supprimer. À l’invite, confirmez l’action en cliquant sur Oui.
Activer, désactiver et configurer les Services système
Les paramètres de stratégie des Services système contrôlent la sécurité générale et le mode de démarrage des services locaux. Voici comment activer, désactiver et confi-gurer les Services système :
1. Dans le composant logiciel enfichable Modèles de sécurité, sélectionnez le nœud Services système. Dans le volet de droite, tous les services actuellement installés sur l’ordinateur sont listés par nom, paramètre de démarrage et confi-guration des autorisations. En matière de services système, rappelez-vous que : ■ Si le modèle ne modifie pas la configuration de démarrage du service, la valeur de la colonne Démarrage est Non défini. Sinon, elle prend les valeurs suivantes : Automatique, Manuel ou Désactivé.
■ Si le modèle ne modifie pas la configuration de sécurité du service, la valeur de la colonne Autorisation est Non défini. Sinon, la configura-tion de sécurité prend la valeur Configuré.
2. Double cliquez sur l’entrée du service système pour lequel afficher la boîte de dialogue Propriétés, comme le montre la figure 6-4. Pour définir et appliquer le
paramètre de stratégie, cochez la case Définir ce paramètre de stratégie dans le modèle. Pour ignorer cette stratégie et ne pas l’appliquer, supprimez la coche.
Figure 6-4 Modifiez les paramètres du modèle des services système.
3. Si vous avez activé le paramètre de stratégie, précisez le mode de démarrage en sélectionnant Automatique, Manuel ou Désactivé. Rappelez-vous que :
■ Automatique démarre automatiquement le service au démarrage du système d’exploitation. Choisissez ce paramètre pour les services essentiels que vous savez sécurisés et pour lesquels vous voulez être sûr qu’ils s’exécutent s’ils sont installés sur l’ordinateur auquel vous appliquez le modèle.
■ Manuel ne démarre pas automatiquement le service et permet unique-ment de le démarrer manuelleunique-ment. Choisissez ce paramètre pour res-treindre les services inutiles ou inemployés ou limiter les services dont vous n’êtes pas entièrement sûr.
■ Désactivé empêche le démarrage automatique ou manuel du service. Choisissez uniquement ce paramètre pour les services inutiles ou inemployés dont vous voulez empêcher l’exécution.
4. Si vous connaissez la configuration de sécurité que devrait employer ce service, cliquez sur Modifier la sécurité et définissez les autorisations relatives au ser-vice dans la section Autorisation pour. Vous pouvez définir des autorisations pour autoriser des utilisateurs spécifiques à démarrer, arrêter ou suspendre le service sur l’ordinateur.
5. Cliquez sur OK.
Configurer les paramètres de sécurité du registre et des chemins d’accès au système de fichiers
Les paramètres Système de fichiers contrôlent la sécurité des chemins d’accès aux fichiers et aux dossiers sur le système de fichiers local. Les paramètres de stratégie du registre contrôlent les valeurs des clés de registre relatives à la sécurité. Pour affi-cher ou modifier les paramètres de sécurité actuellement définis pour le registre et les chemins d’accès au système de fichiers, procédez comme suit :
1. Dans le composant logiciel enfichable Modèles de sécurité, sélectionnez le nœud Registre ou le nœud Système de fichiers, selon le type de chemin d’accès à exploiter. Le volet de droite liste tous les chemins d’accès sécurisés.
2. Double cliquez sur un chemin d’accès du registre ou de fichier pour afficher ses paramètres actuels, comme le montre la figure 6-5.
Figure 6-5 Modifiez les paramètres du modèle
pour les chemins d’accès et les clés.
3. Pour ne pas remplacer les autorisations sur le chemin d’accès ou la clé, sélec-tionnez l’option Empêcher que les autorisations de cette clé soient remplacées. Ignorez les étapes restantes.
4. Pour configurer le chemin d’accès ou la clé et remplacer les autorisations, sélec-tionnez Configurer cette clé puis et choisissez l’une des options suivantes :
Propager les autorisations pouvant être héritées à toutes les sous-clésChoisissez cette option pour appliquer toutes les autorisations pouvant être héri-tées au chemin d’accès du registre ou du fichier et à tous les chemins d’accès enfants. Les autorisations existantes sont remplacées unique-ment si elles entrent en conflit avec une autorisation de sécurité définie pour ce chemin d’accès.
Remplacer les autorisations existantes pour toutes les sous-clés avec des auto-risations pouvant être héritéesChoisissez cette option pour remplacer toutes les autorisations existantes sur ce chemin d’accès du registre ou du fichier et sur tous les chemins d’accès enfants. Toute autorisation existante est supprimée et seules les autorisations actuelles demeurent. 5. Cliquez sur Modifier la sécurité. Dans la boîte de dialogue Sécurité pour, confi-gurez les autorisations de sécurité pour les utilisateurs et les groupes. Les options sont similaires à celles des autorisations, de l’audit et de la propriété des fichiers et dossiers employés avec NTFS. Pour de plus amples informations sur les autorisations, l’audit et la propriété, reportez-vous au chapitre 15, « Partage des données, sécurité et audit ».
Voici comment définir les paramètres de sécurité des chemins d’accès au registre : 1. Dans le composant logiciel enfichable Modèles de sécurité, cliquez droit sur le
nœud Registre et choisissez Ajouter une clé pour afficher la boîte de dialogue Sélection de la clé de Registre, illustrée par la figure 6-6.
Figure 6-6 Sélectionnez le chemin d’accès au registre ou la valeur à sécuriser.
2. Sélectionnez le chemin d’accès au registre ou la valeur de registre à exploiter et cliquez sur OK. Les entrées sous CLASSES_ROOT correspondent à HKEY_CLASSES_ROOT. Les entrées sous MACHINE correspondent à HKEY_LOCAL_MACHINE. Les entrées sous USERS correspondent à HKEY_USERS.
3. Dans la boîte de dialogue Sécurité de la base de données, configurez les autori-sations de sécurité pour les utilisateurs et les groupes. Les options sont similai-res à celles des autorisations, de l’audit et de la propriété des fichiers et dossiers employés avec NTFS. Pour de plus amples informations sur les autorisations, l’audit et la propriété, reportez-vous au chapitre 15, « Partage des données, sécurité et audit ».
4. Cliquez sur OK. La boîte de dialogue Ajouter un objet s’affiche. Pour ne pas remplacer les autorisations sur le chemin d’accès ou la clé, sélectionnez l’option Empêcher que les autorisations de cette clé soient remplacées. Ignorez les éta-pes restantes.
5. Pour configurer le chemin d’accès ou la clé et remplacer les autorisations, sélec-tionnez Configurer cette clé puis et choisissez l’une des options suivantes :
■ Propager les autorisations pouvant être héritées à toutes les sous-clésChoisissez cette option pour appliquer toutes les autorisations pouvant être héritées au chemin d’accès du registre ou du fichier et à tous les chemins d’accès enfants. Les autorisations existantes sont rem-placées uniquement si elles entrent en conflit avec une autorisation de sécurité définie pour ce chemin d’accès.
■ Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritéesChoisissez cette option pour remplacer toutes les autorisations existantes sur ce chemin d’accès du registre ou du fichier et sur tous les chemins d’accès
enfants. Toute autorisation existante est supprimée et seules les autori-sations actuelles demeurent.
6. Cliquez sur OK.
Voici comment définir les paramètres de sécurité des chemins d’accès aux fichiers : 1. Dans le composant logiciel enfichable Modèles de sécurité, cliquez droit sur le nœud Système de fichiers et choisissez Ajouter un fichier. Cette action affiche la boîte de dialogue Ajouter un fichier ou un dossier illustrée par la figure 6-7.
Figure 6-7 Sélectionnez chemin d’accès au fichier ou au dossier à sécuriser.
2. Sélectionnez le chemin d’accès au fichier ou au dossier à exploiter et cliquez sur OK.
3. Dans la boîte de dialogue Sécurité de la base de données, configurez les autori-sations de sécurité pour les utilisateurs et les groupes. Les options sont similai-res à celles des autorisations, de l’audit et de la propriété des fichiers et dossiers employés avec NTFS. Pour de plus amples informations sur les autorisations, l’audit et la propriété, reportez-vous au chapitre 15, « Partage des données, sécurité et audit ».
4. Cliquez sur OK. La boîte de dialogue Ajouter un objet s’affiche. Pour ne pas remplacer les autorisations sur le chemin d’accès ou la clé, sélectionnez l’option Empêcher que les autorisations de cette clé soient remplacées. Ignorez les éta-pes restantes.
5. Pour configurer le chemin d’accès ou la clé et remplacer les autorisations, sélec-tionnez Configurer cette clé et choisissez l’une des options suivantes :
■ Choisissez l’option Propager les autorisations pouvant être héritées à tous les sous-dossiers pour appliquer toutes les autorisations pouvant être héritées au chemin d’accès du registre ou du fichier et à tous les chemins d’accès enfants. Les autorisations existantes sont remplacées uniquement si elles entrent en conflit avec une autorisation de sécurité définie pour ce chemin d’accès.
■ Choisissez l’option Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées pour rempla-cer toutes les autorisations existantes sur ce chemin d’accès du registre
ou du fichier et sur tous les chemins d’accès enfants. Toute autorisation existante est supprimée et seules les autorisations actuelles demeurent. 6. Cliquez sur OK.