Ces dernières années, plusieurs organisations, parmi lesquelles Microsoft, le Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) et le National Institute of Standards and Technology (NIST), ont publié des "guides de configuration de la sécurité" pour Windows. Comme pour toute directive en matière de sécurité, la sécurité supplémentaire requise a souvent un effet adverse sur la facilité d'utilisation.

Plusieurs de ces guides, y compris ceux publiés par Microsoft, le CIS et le NIST, contiennent plusieurs niveaux de paramètres de sécurité. Ces guides peuvent inclure des niveaux destinés aux aspects suivants :

?	interopérabilité avec des systèmes d'exploitation antérieurs ;
?	environnements d'entreprise ;
?	sécurité améliorée qui procure une fonctionnalité limitée. Remarque Ce niveau est souvent appelé "niveau de sécurité spécialisé à fonctionnalité limitée" ou niveau "Sécurité élevée".

Il est destiné spécifiquement aux environnements extrêmement hostiles sujets à un risque d'attaque très élevé. Il permet de protéger les informations les plus précieuses et sensibles, telles que celles requises par certains systèmes gouvernementaux. Le niveau Sécurité élevée de la plupart de ces guides publics est inadapté à la grande majorité des systèmes qui exécutent Windows. Nous déconseillons l'utilisation du niveau Sécurité élevée sur les stations de travail ordinaires. Nous recommandons l'utilisation du niveau Sécurité élevée uniquement sur les systèmes sur lesquels une sécurité compromise pourrait entraîner la mort, la perte d'informations extrêmement précieuses ou la perte d'une somme d'argent importante.

Plusieurs groupes ont travaillé avec Microsoft à la rédaction de ces guides de la sécurité. Dans de nombreux cas, ils concernent tous des menaces similaires. Toutefois, chaque guide est légèrement différent pour des raisons juridiques, fonctionnelles et de stratégie locale. Les paramètres peuvent donc varier d'un ensemble de recommandations à un autre. La section "Organisations qui publient des guides de la sécurité accessibles au public" contient un résumé de chaque guide de la sécurité.

Retour au début

Organisations qui publient des guides de la sécurité accessibles au public

Microsoft Corporation

Microsoft fournit des directives sur la façon de protéger ses propres systèmes d'exploitation. Nous avons développé les trois niveaux de paramètres de sécurité suivants :

?	Hérité
?	Entreprise
?	Sécurité élevée

Nous avons soumis ces directives à des tests rigoureux dans de nombreux scénarios différents. Elles conviennent à toute organisation désireuse de renforcer la sécurité de ses ordinateurs Windows.

Nous assurons une prise en charge complète de ces guides car ils ont été soumis à des tests approfondis dans nos laboratoires de compatibilité des applications. Pour télécharger nos guides, reportez-vous aux sites Web de Microsoft aux adresses suivantes :

?	Windows XP Security Guide (en anglais) : http://go.microsoft.com/fwlink/?LinkId=14839 (http://go.microsoft.com/fwlink/?LinkId=14839)
?	Windows Server 2003 Security Guide (en anglais) : http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx (http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx)
?	Windows 2000 Security Hardening Guide (en anglais) : http://go.microsoft.com/fwlink/?LinkId=28591 (http://go.microsoft.com/fwlink/?LinkId=28591)

Si vous rencontrez des problèmes ou si vous souhaitez nous faire part de vos commentaires après avoir implémenté les Guides de la sécurité Microsoft, envoyez-vous un message électronique à l'adresse secwish@microsoft.com (mailto:secwish@microsoft.com).

Center for Internet Security

Le CIS a développé des tests d'évaluation destinés à fournir des informations permettant aux organisations de prendre des décisions informées en matière de sécurité. Il existe trois niveaux de tests d'évaluation de sécurité :

?	Hérité
?	Entreprise
?	Sécurité élevée

Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les paramètres de test d'évaluation CIS, envoyez un message électronique au CIS à l'adresse win2k-feedback@cisecurity.org (mailto:win2k-feedback@cisecurity.org).

National Institute of Standards and Technology

Le NIST est responsable de la création de guides de la sécurité pour le gouvernement fédéral des États-Unis. Il a créé quatre niveaux de directives de sécurité utilisés par les agences fédérales des États-Unis et des organisations privées et publiques :

?	SoHo
?	Hérité
?	Entreprise
?	Sécurité spécialisée à fonctionnalité limitée

Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les modèles de sécurité du NIST, envoyez un message électronique au NIST à l'adresse itsec@nist.gov (mailto:itsec@nist.gov).

Defense Information Systems Agency

La DISA crée des guides destinés spécialement au Ministère de la Défense. Les utilisateurs du Ministère de la Défense des États-Unis qui rencontrent des problèmes ou qui souhaitent faire part de leurs commentaires après avoir implémenté les directives de configuration du DISA peuvent envoyer un message électronique à l'adresse fso_spt@ritchie.disa.mil (mailto:fso_spt@ritchie.disa.mil).

National Security Agency (NSA)

La NSA a publié des directives ayant pour but de sécuriser les ordinateurs extrêmement exposés du Ministère de la Défense des États-Unis. Elle a développé un niveau de directives unique qui correspond en gros au niveau Sécurité élevée produit par d'autres organisations.

Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les Guides de la sécurité pour Windows XP de la NSA, envoyez un message électronique à l'adresse XPGuides@nsa.gov (mailto:XPGuides@nsa.gov). Pour fournir des commentaires concernant les guides pour Windows 2000, envoyez un message électronique à l'adresse w2kguides@nsa.gov (mailto:w2kguides@nsa.gov).

Retour au début

Problèmes liés aux guides de la sécurité

Comme mentionné plus haut dans cet article, les niveaux de sécurité élevée décrits dans certains de ces guides ont été conçus pour restreindre de manière considérable la fonctionnalité d'un système. Étant donné cette restriction, il est conseillé d'effectuer des tests approfondis sur un système avant de déployer ces recommandations.

Remarque Aucun effet adverse sur la fonctionnalité des systèmes n'a été signalé pour les directives de sécurité fournies pour les niveaux Hérité, SoHo et Entreprise. Cet article de la Base de connaissances est axé principalement sur les directives associées au niveau de sécurité le plus élevé.

Nous soutenons vivement les efforts des acteurs industriels ayant pour but d'offrir des directives en matière de déploiement dans des zones à sécurité élevée. Nous continuons de collaborer avec des groupes de normalisation de la sécurité en vue de développer des guides de renforcement utiles ayant subi des tests complets. Les directives de sécurité publiées par des organisations tierces sont toujours accompagnées d'avertissements conseillant vivement à l'utilisateur de tester ces directives dans des environnements cibles à sécurité élevée. Toutefois, ces avertissements ne sont pas toujours pris en compte. Assurez-vous de tester rigoureusement toutes les configurations de la sécurité dans votre environnement cible. Tout paramètre de sécurité qui diffère de ceux que nous recommandons peut invalider les tests de compatibilité des applications effectués dans le cadre du processus de test de système d'exploitation. De plus, Microsoft et les tierces parties déconseillent vivement d'appliquer les directives préliminaires dans un environnement de production plutôt que dans un environnement test.

Les niveaux élevés de ces guides de sécurité incluent plusieurs paramètres qui doivent être évalués soigneusement avant d'être implémentés. Bien qu'ils puissent procurer des avantages supplémentaires en termes de sécurité, ces paramètres peuvent avoir un effet adverse sur la facilité d'utilisation du système.

Modification des listes de contrôle d'accès du système de fichiers et du Registre

Les autorisations système ont été considérablement resserrées dans Microsoft Windows XP et Microsoft Windows Server 2003. Vous ne pouvez plus utiliser l'identificateur de sécurité (SID) Anonyme dans le groupe Tout le monde. Étant donné ces modifications majeures apportées aux systèmes d'exploitation Windows XP et Windows Server 2003, il n'est plus nécessaire d'apporter des modifications étendues aux autorisations de fichiers sur la racine du système d'exploitation.

Toute modification supplémentaire des listes de contrôle d'accès peut invalider tout ou une partie des tests de compatibilité des applications effectués par Microsoft. Bien souvent, des modifications telles que celles-ci n'ont pas subi les tests approfondis effectués par Microsoft sur d'autres paramètres. Les cas de support technique et l'expérience pratique ont révélé que les modifications des listes de contrôle d'accès changent le comportement fondamental du système d'exploitation, fréquemment de manière non intentionnelle. Ces modifications affectent la compatibilité et la stabilité des applications et réduisent la fonctionnalité, à la fois en termes de performances et de capacités.

Voilà pourquoi nous vous déconseillons de modifier les listes de contrôle d'accès du système de fichiers sur les fichiers fournis avec le système d'exploitation sur les systèmes de production. Nous recommandons d'évaluer toute modification supplémentaire des listes de contrôle d'accès par rapport à une menace connue afin de comprendre les avantages potentiels offerts à une configuration spécifique par ces modifications. Par conséquent, nos guides ne proposent que des modifications mineures des listes de contrôle d'accès, et uniquement dans Windows 2000. Pour Windows 2000, plusieurs modifications mineures sont requises. Ces modifications sont décrites dans le Windows 2000 Security Hardening Guide (en anglais).

Les modifications d'autorisations étendues qui sont propagées dans tout le Registre et le système de fichiers ne peuvent pas être annulées. Les nouveaux dossiers, tels que les dossiers de profils utilisateur qui étaient absents lors de l'installation d'origine du système d'exploitation, peuvent être affectés. Par conséquent, si vous supprimez un paramètre de Stratégie de groupe qui effectue des modifications de listes de contrôle d'accès ou si vous appliquez les paramètres système par défaut, vous ne pouvez pas rétablir les listes de contrôle d'accès d'origine.

Toute modification des listes de contrôle d'accès du dossier %SystemDrive% peut avoir les conséquences suivantes :

?	La Corbeille ne fonctionne plus comme prévu et les fichiers ne peuvent pas être récupérés.
?	Une réduction de la sécurité qui permet aux utilisateurs non-administrateurs d'afficher le contenu de la Corbeille de l'administrateur.
?	Le dysfonctionnement des profils utilisateur.
?	Une réduction de la sécurité qui donne aux utilisateurs interactifs un accès en lecture à tout ou une partie des profils utilisateur configurés sur le système.
?	Problèmes de performances lorsque de nombreuses modifications des listes de contrôle d'accès sont chargées dans un objet Stratégie de groupe qui inclut de longues durées d'ouverture de session ou redémarrages répétés du système cible.
?	Problèmes de performances (y compris ralentissement du système) toutes les 16 heures environ, c'est-à-dire lors de la réapplication des paramètres de Stratégie de groupe.
?	Problèmes de compatibilité des applications ou blocage d'applications.

Pour vous aider à annuler les conséquences les plus fâcheuses de telles autorisations de fichiers et de Registre, Microsoft s'engage à fournir des efforts raisonnables du point de vue commercial et conformes à votre contrat de support technique. Cependant, à l'heure actuelle il est impossible d'annuler ces modifications. Nous ne pouvons garantir que la restauration des paramètres d'usine recommandés grâce au reformatage de votre disque dur et à la réinstallation du système d'exploitation.

Par exemple, les modifications apportées aux listes de contrôle d'accès du Registre affectent une grande partie des ruches du Registre et peuvent provoquer un dysfonctionnement du système. La modification de la liste de contrôle d'accès sur une clé de Registre unique est moins problématique pour de nombreux systèmes. Toutefois, nous vous conseillons d'évaluer et de tester soigneusement ces modifications avant de les implémenter. Là encore, nous ne pouvons garantir la restauration des paramètres d'usine recommandés que grâce au reformatage de votre disque dur et à la réinstallation du système d'exploitation.

Client réseau Microsoft : communications signées numériquement (toujours)

Lorsque vous activez ce paramètre, les clients doivent signer le trafic SMB (Server Message Block) lorsqu'ils contactent des serveurs qui ne requièrent pas la signature SMB. Cela rend les clients moins vulnérables aux attaques de détournement de session. Cela peut se révéler très utile, mais si une modification semblable n'est pas appliquée sur le serveur de façon à activer Serveur réseau Microsoft : communications signées numériquement (toujours) ou Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte), le client ne sera pas en mesure de communiquer correctement avec le serveur.

Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe

Lorsque vous activez ce paramètre, la valeur de hachage de LAN Manager (LM) pour un nouveau mot de passe n'est pas stockée en cas de modification du mot de passe. Le hachage LM est relativement faible et vulnérable aux attaques comparé au hachage Microsoft Windows NT. Bien que ce paramètre procure une sécurité supplémentaire étendue en assurant une protection contre de nombreux utilitaires de piratage de mots de passe, il peut empêcher certaines applications de démarrer ou de fonctionner correctement.

Les services Microsoft Clustering peuvent également être affectés par ce paramètre. Avant d'appliquer les recommandations de sécurité qui incluent ce paramètre, appliquez la mise à jour 837202 sur chaque noeud de cluster afin d'éviter tout problème. Pour plus d'informations sur la mise à jour 837202, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature

Lorsque vous activez ce paramètre, Microsoft Internet Information Services (IIS) et Microsoft Internet Explorer utilisent uniquement le protocole TLS (Transport Layer Security) 1.0. Si ce paramètre est activé sur un serveur IIS, seuls les navigateurs Web qui prennent en charge le protocole TLS 1.0 peuvent se connecter. Si ce paramètre est activé sur un client Web, celui-ci peut se connecter uniquement aux serveurs qui prennent en charge le protocole TLS 1.0. Cette exigence peut affecter la capacité d'un client à visiter des sites Web qui utilisent le protocole SSL (Secure Sockets Layer). Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
De plus, lorsque vous activez ce paramètre sur un serveur qui utilise les services Terminal Server, les clients sont obligés d'utiliser le client RDP version 5.2 ou ultérieure pour se connecter.

Le service Mises à jour automatiques ou le Service de transfert intelligent en arrière-plan (BITS) est désactivé

L'un des piliers de la stratégie de sécurité de Microsoft consiste à s'assurer que les systèmes sont à jour. L'un des composants clés de cette stratégie est le service Mises à jour automatiques. Windows Update et les services de mises à jour logicielles (SUS, Software Update Services) utilisent tous deux le service Mises à jour automatiques. Celui-ci repose sur le Service de transfert intelligent en arrière-plan (BITS). Si ce service est désactivé, l'ordinateur ne sera plus en mesure de recevoir des mises à jour de Windows Update par le biais des Mises à jour automatiques, des services SUS ni de certaines installations Microsoft Systems Management Server (SMS). Ce service doit être désactivé uniquement sur les ordinateurs qui disposent d'un système de distribution de mises à jour efficace qui ne repose pas sur le service BITS.

Le service Accès réseau et désactivé

Si vous désactivez le service Accès réseau, une station de travail ne fonctionne plus correctement en tant que membre d'un domaine. Ce paramètre peut convenir à certains ordinateurs qui n'appartiennent à aucun domaine, mais il doit être soumis à une évaluation minutieuse avant d'être déployé.

NoNameReleaseOnDemand

Ce paramètre empêche un serveur de céder son nom NetBIOS s'il entre en conflit avec un autre ordinateur du réseau. Il constitue une bonne mesure de prévention contre les attaques de type Refus de service visant les serveurs de noms et autres rôles de serveurs critiques.

Lorsque vous activez ce paramètre sur une station de travail, celle-ci refuse de céder son nom NetBIOS même s'il entre en conflit avec celui d'un système plus important, tel qu'un contrôleur de domaine. Ce scénario peut désactiver une fonctionnalité de domaine importante. Microsoft soutient vivement les efforts des acteurs industriels ayant pour but d'offrir des directives en matière de déploiement dans des zones à sécurité élevée. Toutefois, vous devez tester minutieusement les directives dans l'environnement cible. Nous recommandons vivement aux administrateurs système qui requièrent des paramètres de sécurité autres que les paramètres par défaut d'utiliser les guides publiés par Microsoft comme point de départ pour les exigences de leur organisation. Pour toute question ou assistance concernant un guide tiers, contactez son éditeur.

Retour au début

Pour plus d'informations sur les paramètres de sécurité, consultez le guide The Threats and Countermeasures Guide: Security Settings in Windows XP and Windows Server 2003. Pour télécharger ce guide, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur les effets de certains paramètres de sécurité clés supplémentaires, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces. Pour plus d'information sur la façon de contacter des fournisseurs tiers, cliquez sur le numéro approprié ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Retour au début