4 Fichiers de stratégie pour les serveurs
4.4 Stratégies locales
4.4.3 Options de sécurité
Cette section indique les valeurs pour toutes les entrées dans la section Security Options (Options de sécurité) de l’interface GUI de la stratégie. Elle comprend les entrées de la section Security Options de la stratégie de domaine, ainsi que la configuration de base des serveurs membres. Veuillez noter que toutes les valeurs sont explicitement définies. Ainsi, la sécurité ne dépend pas de valeurs par défaut.
4.4.3.1 Comptes : État de compte d’administrateur EnableAdminAccount = 0
Le paramètre « EnableAdminAccount » détermine si le compte de l’administrateur local est activé. Avec la valeur « 0 », le compte de l’administrateur local est désactivé. Cela empêche l’utilisation généralisée du compte et le soustrait aux attaques potentielles.
4.4.3.2 Comptes : État de compte d’invité EnableGuestAccount = 0
Le paramètre « EnableGuestAccount » détermine si le compte d’invité local est activé. Avec la valeur « 0 », le compte est désactivé. Cela empêche l’utilisation généralisée du compte et le soustrait aux attaques potentielles.
4.4.3.3 Comptes : Restreindre l’utilisation des mots de passe vierges par le compte local à l’ouverture de session console
machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4, 1
La valeur de Registre « limitblankpassworduse » détermine si on peut utiliser des comptes locaux avec des mots de passe vierges pour ouvrir une session à distance. Avec la valeur « 1 », ce type d’ouverture de session est interdit. Ainsi, l’accès à distance requiert un nom et un mot de passe.
4.4.3.4 Comptes : Renommer le compte administrateur NewAdministratorName = "jeanuntel"
Le mot clé « NewAdministratorName » indique le nom du compte de l’administrateur local. La valeur « jeanuntel » renomme le compte d’un administrateur local, avec le nom jeanuntel. En renommant le compte de l’administrateur local, il est difficile pour un attaquant de l’utiliser à mauvais escient.
REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le
compte Administrateur sur chaque système. Si ce n’est pas le cas, on doit à tout le moins changer « jeanuntel » pour une valeur locale.
4.4.3.5 Comptes : Renommer le compte invité NewGuestName = "jeanneuntel"
Le mot clé « NewGuestName » indique le nom de compte d’invité local. Le paramètre
« jeanneuntel » renomme le compte d’un invité local, avec le nom jeanneuntel. En renommant le compte de l’administrateur local, il est difficile pour un attaquant de l’utiliser à mauvais escient.
REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le
compte Invité sur chaque système. Si ce n’est pas le cas, on doit à tout le moins changer « jeanneuntel » pour une valeur locale.
4.4.3.6 Audit : auditer l’accès des objets système globaux machine\system\currentcontrolset\control\lsa\auditbaseobjects=4, 0
Le paramètre « auditbaseobjects » du Registre détermine si l’accès aux objets système globaux est audité. Avec la valeur « 0 », cet audit est désactivé.
4.4.3.7 Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3, 0
Le paramètre « fullprivilegeauditing » détermine si le système auditera les privilèges de sauvegarde et de restauration. Avec la valeur « 0 », ce privilège est désactivé.
4.4.3.8 Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité
machine\system\currentcontrolset\control\lsa\crashonauditfail=4, 1
Le paramètre « crashonauditfail » détermine le comportement du système quand il ne peut pas journaliser des événements de sécurité. Avec la valeur « 1 », le système s’arrête quand il ne peut pas journaliser. Le gouvernement exige que des données journalisées exhaustives soient
conservées avec soin. Par conséquent, si les fichiers journaux sont pleins, le système ne doit plus traiter d’autres transactions.
4.4.3.9 Périphériques : autoriser le retrait sans ouverture de session au préalable
machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4, 0
Le paramètre « undockwithoutlogon » détermine si on peut retirer un portable de sa station d’accueil sans ouvrir de session. Avec la valeur « 0 », ce retrait sans ouverture de session préalable n’est pas autorisé.
4.4.3.10 Périphériques : permettre le formatage et l’éjection des supports amovibles machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0"
Le paramètre « allocatedasd » détermine qui peut formater et éjecter le support amovible. Avec la valeur « 0 », les administrateurs peuvent formater et éjecter le support amovible. La capacité de stocker de grandes quantités de données (p. ex., des bases de données entières) devrait être restreinte aux seules personnes jugées fiables.
4.4.3.11 Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante services\servers\addprinterdrivers=4, 1
Le paramètre « addprinterdrivers » détermine si les utilisateurs peuvent ajouter des pilotes d’imprimante. Avec la valeur « 1 », les utilisateurs ne peuvent pas le faire. Cela permet de d’empêcher que des utilisateurs n’exécutent du code malveillant dans un état privilégié.
4.4.3.12 Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session
machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1"
Le paramètre « allocatecdroms » détermine si le CD-ROM est pareillement accessible aux
utilisateurs locaux et à distance. Avec la valeur « 1 », l’accès à distance au CD-ROM est restreint quand il est utilisé par un utilisateur local.
REMARQUE : Ce paramètre permet aux utilisateurs autorisés distants d’accéder au CD-ROM
s’il n’est pas déjà employé par un utilisateur local.
4.4.3.13 Périphériques : ne permettre l’accès aux disquettes qu’aux utilisateurs connectés localement
machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1"
Le paramètre « allocatefloppies » détermine si l’unité de disquette est simultanément accessible aux utilisateurs locaux et distants. Avec la valeur « 1 », l’accès à distance est restreint quand l’unité est employée par un utilisateur local.
REMARQUE : Ce paramètre permet l’accès à distance à l’unité de disquette si personne n’est
connecté comme utilisateur local.
4.4.3.14 Périphériques : comportement d’installation d’un pilote non signé machine\software\microsoft\driver signing\policy=3, 1
Le paramètre « policy » définit le comportement d’installation d’un pilote non signé. Avec la valeur « 1 », l’utilisateur reçoit un avertissement avant l’installation du pilote. Si cette option est appliquée, seuls les pilotes approuvés par les laboratoires WHQL ( Windows Hardware Quality
Lab) sont admissibles. La décision d’installer des pilotes qui ne se trouvent pas dans la liste WHQL est laissée à l’administrateur.
4.4.3.15 Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches
machine\system\currentcontrolset\control\lsa\submitcontrol=4, 0
Le paramètre « submitcontrol » détermine si les opérateurs du système peuvent planifier des tâches. Avec la valeur « 0 », les opérateurs système ne peuvent faire cette planification. Un nombre élevé de tâches peut créer une condition de déni de service.
4.4.3.16 Contrôleur de domaine : conditions requises pour la signature de serveur LDAP machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4, 2
Le paramètre « ldapserverintegrity » détermine si le serveur LDAP requiert une signature pour négocier avec les clients LDAP. Avec la valeur « 2 », la signature du client est requise. Les données non signées peuvent être utilisées pour des attaques de l’intercepteur. Ce paramètre aide également à prévenir les détournements de session.
4.4.3.17 Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur
machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4, 0
Le paramètre « refusepasswordchange » détermine si le contrôleur de domaine accepte les modifications apportées aux mots de passe du compte ordinateur. Avec la valeur « 0 », ces modifications sont autorisées. La modification régulière des mots de passe réduit la menace des attaques par la force brute.
4.4.3.18 Membre de domaine : crypter ou signer numériquement les données des canaux sécurisés (toujours)
machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4, 1
Le paramètre « requiresignorseal » détermine si le membre de domaine chiffrera ou signera toujours les données des canaux sécurisés. Avec la valeur « 1 », les données des canaux sécurisés sont chiffrées ou signées. Ce paramètre empêche les anciens systèmes (pré-Windows 2000) de se joindre à un domaine.
4.4.3.19 Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4, 1
Le paramètre « sealsecurechannel » détermine si un membre de domaine demande le chiffrement de toutes les données des canaux sécurisés. Avec la valeur « 1 », toutes les données des canaux sécurisés sont chiffrées. En chiffrant les données des canaux sécurisés, ce système empêche
l’information sensible d’être transmise en clair. Cela limite la capacité d’un attaquant d’obtenir de l’information en vue d’une attaque.
4.4.3.20 Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4, 1
Le paramètre « signsecurechannel » détermine si un système signera les données des canaux sécurisés, quand cela est possible. Avec la valeur « 1 », les données des canaux sécurisés sont signées lorsque cela est possible. Les données non signées peuvent être utilisées pour une attaque de l’intercepteur. Ce paramètre protège le client contre les détournements de session.
4.4.3.21 Membre de domaine : désactive les modifications de mots de passe du compte ordinateur
machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4, 0
Le paramètre « disablepasswordchange » détermine si un contrôleur de domaine acceptera les modifications apportées aux mots de passe du compte ordinateur. Avec la valeur « 0 », ces modifications sont autorisées. Si ces modifications ne sont pas autorisées, les systèmes ne pourront pas modifier leurs mots de passe du compte ordinateur. Cela les rendrait susceptibles aux tentatives de craquage de mots de passe.
4.4.3.22 Membre de domaine : âge maximal du mot de passe du compte ordinateur machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4, 42
Le paramètre « maximumpasswordage » détermine le nombre maximal de jours entre les
modifications de mot de passe. Avec la valeur « 42 », le mot de passe doit être modifié au moins tous les 42 jours. Cela assure que le mot de passe est modifié souvent, ce qui contre les tentatives de craquage de mots de passe.
4.4.3.23 Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur
machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4, 1
Le paramètre « requirestrongkey » détermine si un membre de domaine qui établit des
communications sur un canal sécurisé doit utiliser le chiffrement à 128 bits. Avec la valeur « 1 », le chiffrement 128 bits doit être utilisé sur un canal sécurisé. Si ce chiffrement est désactivé, le client doit négocier la robustesse de la clé avec le contrôleur de domaine. Ce paramètre assure le niveau de protection le plus élevé pour les données transmises sur les canaux sécurisés.
4.4.3.24 Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername =4, 1
Le paramètre « dontdisplaylastusername » détermine si le système affiche un écran d’ouverture de session sur lequel figure le nom du dernier utilisateur qui a ouvert une session. Avec la valeur « 1 », ce dernier nom d’utilisateur n’est pas affiché. Ce paramètre préserve l’information vitale afin de prévenir les attaques.
4.4.3.25 Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr
machine\software\microsoft\windows\currentversion\policies\system\disablecad=4, 0
Le paramètre « disablecad » détermine si la combinaison de touches CTRL+ALT+DEL (Ctrl+Alt+Suppr) est requise avant d’ouvrir une session utilisateur. Avec la valeur « 0 », cette combinaison de touches est requise pour lancer une ouverture de session. La sécurité de
l’architecture Windows dépend de cette combinaison de touches pour lancer l’authentification de l’utilisateur. Cela permet une séquence d’ouverture inattaquable et de contrer les codes
malveillants comme les chevaux de Troie.
4.4.3.26 Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7,
« LE TEXTE DU MINISTÈRE POUR L’OUVERTURE DE SESSION UTILISATEUR DOIT ÊTRE FOURNI »
Le paramètre « legalnoticetext » est présentée à l’utilisateur avant qu’il n’entre son nom d’utilisateur et son mot de passe. La valeur indiquée est le texte présenté. Cela peut être utile pour un organissme en cas de procédures légales.
4.4.3.27 Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1 « LE TEXTE DU MINISTÈRE POUR L’OUVERTURE DE SESSION UTILISATEUR DOIT ÊTRE FOURNI »
Le paramètre « legalnoticecaption » est présentée à l’utilisateur, comme titre de la fenêtre qui contient le titre « legalnoticetext ». La valeur indiquée est le texte présenté. Cela peut être utile pour un organisme en cas de procédures légales.
4.4.3.28 Ouverture de session interactive : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsque aucun contrôleur de domaine n'est disponible))
machine\software\microsoft\windowsnt\currentversion\winlogon\cachedlogonscount=1,"0"
Le paramètre « cachedlogonscount » détermine le nombre d’utilisateurs uniques dont
l’information d’ouverture de session est mise dans le cache local. Avec la valeur « 0 », aucune information d’ouverture de session n’est mise dans le cache local. Cela assure que l’utilisateur établit un jeton de sécurité courant avec le contrôleur de domaine. De plus, cela empêche que les utilisateurs désactivés n’aient accès au système à l’aide de leur information d’identification d’ouverture de session mise en cache.
4.4.3.29 Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son mot de passe avant qu’il n’expire
machine\software\microsoft\windowsnt\currentversion\winlogon\passwordexpirywarning=4, 14
Le paramètre « passwordexpirywarning » détermine combien de jours à l’avance l’utilisateur est avisé de l’expiration de son mot de passe. Avec la valeur ci-dessus, l’utilisateur est avisé 14 jours avant l’expiration de son mot de passe. L’utilisateur continuera d’être avisé jusqu’à la date d’expiration du mot de passe.
4.4.3.30 Ouverture de session interactive : nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail)
machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4, 1
Le paramètre « forceunlocklogon » détermine si un contrôleur de domaine doit être contacté pour déverrouiller un ordinateur. Avec la valeur « 1 », il faut communiquer avec le contrôleur de domaine. Cela assure que l’utilisateur établit un jeton de sécurité courant avec un contrôleur de domaine. De plus, cela empêche également les utilisateurs désactivés d’accéder au système par l’intermédiaire de l’information d’identification d’ouverture de session mise en cache.
4.4.3.31 Ouverture de session interactive : carte à puce nécessaire
machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4, 0
Le paramètre « scforceoption » détermine si l’utilisation d’une carte à puce est requise pour ouvrir la session. Avec la valeur « 0 », une carte à puce n’est pas requise. La majorité des serveurs ne nécessitent pas une authentification à deux facteurs. Si toutefois cette capacité est requise, elle devrait être activée pendant l’application d’une stratégie spécifique à un rôle.
4.4.3.32 Ouverture de session interactive : comportement lorsque la carte à puce est retirée
machine\software\microsoft\windowsnt\currentversion\winlogon\scremoveoption=1,"1"
Le paramètre « scremoveoption » détermine le comportement du système lorsqu’une carte à puce est retirée. Avec la valeur « 1 », le poste de travail est verrouillé lorsque la carte est retirée. Cela assure la comptabilité des transactions qui requièrent l’authentification par carte à puce.
4.4.3.33 Client réseau Microsoft : communications signées numériquement (toujours) machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1
Le paramètre « requiresecuritysignature » détermine si le client SMB requiert la signature des paquets. Avec la valeur « 1 », la signature des paquets est requise. Ce paramètre permet
l’authentification mutuelle. Ce paramètre peut également empêcher les attaques de l’intercepteur et éliminer les détournements de session. Les anciens systèmes ne prennent pas en charge cette exigence.
4.4.3.34 Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysign ature=4, 1
Le paramètre « enablesecuritysignature » détermine si un client SMB tente de négocier la signature de paquets SMB (si le serveur l’accepte). Avec la valeur « 1 », le client négocie la signature SMB. Ce paramètre permet l’authentification mutuelle. Cela peut empêcher les attaques de l’intercepteur et éliminer les détournements de session. Les anciens systèmes (c’est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.35 Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB tierce partie
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpas sword=4, 0
Le paramètre « enableplaintextpassword » détermine si un client SMB envoie des mots de passe en clair à des serveurs SMB non Microsoft. La valeur « 0 » désactive l’utilisation des mots de passe en clair. L’utilisation de serveurs SMB non Microsoft qui n’acceptent pas les mots de passe chiffrés est désactivée dans un environnement haute sécurité. La sécurité des mots de passe doit toujours être appliquée.
4.4.3.36 Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4, 15
Le paramètre « autodisconnect » détermine la durée d’inactivité en minutes avant qu’une session SMB ne soit suspendue. Avec la valeur « 15 », la session SMB est suspendue après 15 minutes d’inactivité. Une session inactive consomme des ressources. Les attaquants peuvent établir des sessions qui consomment des ressources pour lancer une attaque par déni de service. De plus, les sessions inactives peuvent ralentir, voire rendre inopérants les services SMB.
4.4.3.37 Serveur réseau Microsoft : communications signées numériquement (toujours) machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1
Le paramètre « requiresecuritysignature » détermine si le serveur signera toujours les communications SMB. Avec la valeur « 1 », les communications SMB sont toujours numériquement signées. Ce paramètre assure l’authentification mutuelle pour toutes les communications. L’authentification mutuelle peut prévenir les attaques de l’intercepteur et éliminer les détournements de session. Les systèmes anciens (c’est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.38 Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte)
machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature= 4, 1
Le paramètre « enablesecuritysignature » signe les communications SMB, si le client l’accepte. Avec la valeur « 1 », les communications SMB sont signées. Ce paramètre assure
l’authentification mutuelle pour toutes les communications. L’authentification mutuelle peut prévenir les attaques de l’intercepteur et éliminer les détournements de session. Les systèmes anciens (c’est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.39 Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de la session
machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4, 1
Le paramètre « enableforcedlogoff » détermine si un utilisateur connecté au réseau est
déconnecté en dehors des heures de travail. Avec la valeur « 1 », l’utilisateur est déconnecté en dehors des heures de travail.
4.4.3.40 Accès réseau : permet la traduction de noms/SID anonymes LSAAnonymousNameLookup = 0
Le paramètre « LSAAnonymousNameLookup » détermine si le système permet la traduction des noms/SID anonymes. Avec la valeur « 0 », le système n’effectue aucune traduction noms/SID anonymes. Si ce paramètre est activé, l’utilisateur pourrait employer un SID de compte bien connu pour obtenir les noms d’utilisateurs dans le compte. Cette information pourrait ensuite servir pour craquer les mots de passe.
4.4.3.41 Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4, 1
Le paramètre « restrictanonymoussam » détermine si l’énumération anonyme des comptes SAM est permise. La valeur « 1 » interdit l’énumération anonyme des comptes SAM. L’énumération mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposés. Une fois identifiés, ils peuvent faire l’objet de tentatives de craquage de mots de passe.
4.4.3.42 Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partage SAM
machine\system\currentcontrolset\control\lsa\restrictanonymous=4, 1
Le paramètre « restrictanonymous » détermine si l’énumération anonyme des comptes et des partages SAM est autorisée. La valeur « 1 » interdit l’énumération anonyme des comptes et des partages SAM. L’énumération mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposés. Une fois identifiés, ils peuvent faire l’objet de tentatives de craquage de mots de passe.
4.4.3.43 Accès réseau : Ne pas autoriser le stockage d’informations d’identification ou des passeports .NET pour l’authentification du réseau
machine\system\currentcontrolset\control\lsa\disabledomaincreds=4, 1
Le paramètre « disabledomaincreds » détermine si les mots de passe, les informations
d’identification ou les passeports Microsoft .NET sont enregistrés après leur authentification de domaine initiale. Avec la valeur « 1 », ces données ne sont pas enregistrées.
4.4.3.44 Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes