5 Stratégies de serveurs basées sur les rôles
5.3 Stratégie pour les serveurs d’impression de domaine
imprimantes partagées. Ces imprimantes partagées utilisent des contrôles d’accès. Les utilisateurs à l’extérieur du domaine peuvent être authentifiés à l’aide d’informations
d’identification basées sur le domaine. Quand ils sont authentifiés, l’accès est octroyé d’après la stratégie du domaine.
Pour activer ces services, aucune modification n’est requise aux paramètres de configuration de base.
5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft
La stratégie basée sur les rôles de Microsoft pour les serveurs d’impression comporte deux activités : 1) Démarrer le spouleur d’impression et 2) Désactiver le paramètre « Serveur réseau Microsoft : communications signées numériquement (toujours) ». La stratégie du CST comporte également le lancement du spouleur d’impression, mais diffère dans le traitement des signatures. La section Micosoft Security Options recommande de désactiver le paramètre « Serveur réseau Microsoft : communications signées numériquement (toujours) ». Microsoft recommande ce choix, car les utilisateurs pourraient être dans l’impossibilité de visualiser l’état de leurs travaux d’impression. Nous n’avons pas observé cette limitation dans notre laboratoire. Par conséquent, l’option de signer numériquement les communications est activée.
Les différences restantes découlent des écarts entre la configuration de base du CST et celle de Microsoft.
Il est important de noter que les stratégies basées sur les rôles ne peuvent être considérées isolément de la configuration de base.
5.3.2 [Registry Values]
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows
NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers
5.3.3 [Service General Setting]
"lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
5.3.4 Stratégie IPSec pour le serveur d’impression de domaine
Le fichier suivant est fourni avec les directives de sécurité pour Windows Server 2003 de Microsoft. Le fichier doit être modifié pour tenir compte des adresses des contrôleurs de domaine. Une fois modifiée, utilisez la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, pour appliquer la stratégie.
REM (c) Microsoft Corporation 1997-2003
REM Packet Filters for Server Hardening REM
REM Name: PacketFilter-File.CMD REM Version: 1.0
REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is
REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.
REM Revision History
REM 0000 - Original February 05, 2003
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - File" description="Server Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening"
netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server
Hardening"
netsh ipsec static add filterlist name="Domain Member" description="Server Hardening" netsh ipsec static add filterlist name="Monitoring" description="Server Hardening" netsh ipsec static add filterlist name="Block Domain Access" description="Server Hardening"
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139
netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389
netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any description="Block Domain Access" protocol=TCP srcport=any dstport=1097
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
REM REMARQUE : IP Address or server names of Domain Controllers must be hard coded into the dstaddr of the Domain Member filters defined below
netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0
REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr=<Insert DC #2> description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0
REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below
REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr=<Insert MOM Server> description="Monitoring Traffic" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File" filterlist="Domain Member" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters - File" filterlist="Block Domain Access" kerberos=yes filteraction=Block
REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File" filterlist="Monitoring" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - File" filterlist