Stratégie pour les serveurs d’impression de domaine

5 Stratégies de serveurs basées sur les rôles

5.3 Stratégie pour les serveurs d’impression de domaine

imprimantes partagées. Ces imprimantes partagées utilisent des contrôles d’accès. Les utilisateurs à l’extérieur du domaine peuvent être authentifiés à l’aide d’informations

d’identification basées sur le domaine. Quand ils sont authentifiés, l’accès est octroyé d’après la stratégie du domaine.

Pour activer ces services, aucune modification n’est requise aux paramètres de configuration de base.

5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft

La stratégie basée sur les rôles de Microsoft pour les serveurs d’impression comporte deux activités : 1) Démarrer le spouleur d’impression et 2) Désactiver le paramètre « Serveur réseau Microsoft : communications signées numériquement (toujours) ». La stratégie du CST comporte également le lancement du spouleur d’impression, mais diffère dans le traitement des signatures. La section Micosoft Security Options recommande de désactiver le paramètre « Serveur réseau Microsoft : communications signées numériquement (toujours) ». Microsoft recommande ce choix, car les utilisateurs pourraient être dans l’impossibilité de visualiser l’état de leurs travaux d’impression. Nous n’avons pas observé cette limitation dans notre laboratoire. Par conséquent, l’option de signer numériquement les communications est activée.

Les différences restantes découlent des écarts entre la configuration de base du CST et celle de Microsoft.

Il est important de noter que les stratégies basées sur les rôles ne peuvent être considérées isolément de la configuration de base.

5.3.2 [Registry Values]

machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows

NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers

5.3.3 [Service General Setting]

"lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

5.3.4 Stratégie IPSec pour le serveur d’impression de domaine

Le fichier suivant est fourni avec les directives de sécurité pour Windows Server 2003 de Microsoft. Le fichier doit être modifié pour tenir compte des adresses des contrôleurs de domaine. Une fois modifiée, utilisez la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, pour appliquer la stratégie.

REM (c) Microsoft Corporation 1997-2003

REM Packet Filters for Server Hardening REM

REM Name: PacketFilter-File.CMD REM Version: 1.0

REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is

REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.

REM Revision History

REM 0000 - Original February 05, 2003

:IPSec Policy Definition

netsh ipsec static add policy name="Packet Filters - File" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions

netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening"

netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server

Hardening"

netsh ipsec static add filterlist name="Domain Member" description="Server Hardening" netsh ipsec static add filterlist name="Monitoring" description="Server Hardening" netsh ipsec static add filterlist name="Block Domain Access" description="Server Hardening"

netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

:IPSec Filter Action Definitions

netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit

netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions

netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445

netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445

netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137

netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137

netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138

netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139

netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389

netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any description="Block Domain Access" protocol=TCP srcport=any dstport=1097

netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

REM REMARQUE : IP Address or server names of Domain Controllers must be hard coded into the dstaddr of the Domain Member filters defined below

netsh ipsec static add filter filterlist="Domain Member" srcaddr=me

dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0

REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me

dstaddr=<Insert DC #2> description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0

REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below

REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr=<Insert MOM Server> description="Monitoring Traffic" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions

netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File" filterlist="Domain Member" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters - File" filterlist="Block Domain Access" kerberos=yes filteraction=Block

REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File" filterlist="Monitoring" kerberos=yes filteraction=SecPermit

netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters - File" filterlist

5.4 Stratégie pour les serveurs de fichiers de groupe de travail

Dans le document [PDF] Sécurité de base recommandée pour Windows Server 2003 | Cours informatique (Page 155-158)