Comment appliquer les modèles de sécurité prédéfinis dans Windows Server 2003

Pour obtenir une version Microsoft Windows 2000 de cet article, reportez-vous à la section 309689 .

Résumé

Cet article étape par étape décrit comment appliquer des modèles de sécurité prédéfinis. Microsoft Windows Server 2003 comprend plusieurs modèles de sécurité prédéfinis que vous pouvez appliquer pour augmenter le niveau de sécurité de votre réseau. Vous pouvez modifier les modèles de sécurité en fonction de vos besoins à l’aide de modèles de sécurité dans Microsoft Management Console (MMC).

Modèles de sécurité prédéfinis dans Windows Server 2003

  • Sécurité par défaut (Setup security.inf)

    Le modèle Setup security.inf est créé lors de l’installation, et il est spécifique à chaque ordinateur. Il varie d’un ordinateur à l’autre, selon que l’installation était une nouvelle installation ou une mise à niveau. Setup security.inf représente les paramètres de sécurité par défaut qui sont appliqués lors de l’installation du système d’exploitation, y compris les autorisations de fichier pour la racine du lecteur système. Il peut être utilisé sur les serveurs et ordinateurs clients ; Il ne peut pas être appliqué aux contrôleurs de domaine. Vous pouvez appliquer des parties de ce modèle pour la reprise après sinistre.

    N’appliquez pas le fichier Setup security.inf à l’aide de stratégie de groupe. Si vous procédez ainsi, vous pouvez rencontrer des performances réduites.

    Remarque Dans Microsoft Windows 2000, il existe deux modèles de sécurité divers : ocfiless (pour les serveurs de fichiers) et ocfilesw (pour les stations de travail). Dans Windows Server 2003, ces fichiers ont été remplacés par le fichier Setup security.inf.
  • Sécurité par défaut des contrôleurs de domaine (DC security.inf):

    Ce modèle est créé lorsqu’un serveur est promu contrôleur de domaine. Il reflète les fichiers, le Registre et système de paramètres de sécurité par défaut de service. Si vous réappliquez ce modèle, ces paramètres sont définis aux valeurs par défaut. Toutefois, le modèle peut remplacer des autorisations sur nouveaux fichiers, clés de Registre et services système créés par d’autres programmes.
  • Compatible (Compatws.inf)

    Ce modèle modifie les autorisations de fichier et de Registre par défaut qui sont accordées aux membres du groupe utilisateurs d’une manière cohérente avec les exigences de la plupart des programmes qui n’appartiennent pas au programme Logo Windows pour logiciels. Le modèle Compatible supprime également tous les membres du groupe utilisateurs avec pouvoir.

    Pour plus d’informations sur le programme Logo Windows pour logiciels, visitez le site Web de Microsoft à l’adresse suivante :
    Remarque: ne s’appliquent pas le modèle Compatible aux contrôleurs de domaine.
  • Sécurisé (Secure*.inf)

    Les modèles sécurisés définissent des paramètres de sécurité améliorés qui sont moins susceptibles d’affecter la compatibilité des programmes. Par exemple, les modèles Secure définissent les plus puissant de mot de passe, de verrouillage et de vérification paramètres. En outre, les modèles de limitent l’utilisation de protocoles d’authentification LAN Manager et NTLM en configurant les clients pour envoyer uniquement les réponses NTLMv2 et en configurant les serveurs pour qu’ils refusent les réponses LAN Manager.

    Il existe deux modèles sécurisés prédéfinis dans Windows Server 2003 : Securews.inf pour les stations de travail et Securedc.inf pour les contrôleurs de domaine. Pour plus d’informations sur l’utilisation de ces modèles et autres modèles de sécurité, recherchez Centre aide et Support « modèles de sécurité prédéfinis ».
  • Hautement sécurisé (hisec*.inf)

    Les modèles hautement sécurisés spécifient des restrictions supplémentaires qui ne sont pas définies par les modèles sécurisés, telles que les niveaux de cryptage et de signature requis pour l’authentification et l’échange de données sur des canaux sécurisés et entre serveurs et clients de bloc de Message serveur (SMB).
  • Sécurité racine du système (Rootsec.inf)

    Ce modèle spécifie les autorisations racine. Par défaut, Rootsec.inf définit ces autorisations pour la racine du lecteur système. Vous pouvez utiliser ce modèle pour réappliquer les autorisations du répertoire racine si elles sont modifiées par inadvertance ou vous pouvez modifier le modèle pour appliquer les mêmes autorisations racine à d’autres volumes. Comme indiqué, le modèle ne remplace pas les autorisations explicites définies sur les objets enfants ; il propage uniquement les autorisations qui sont héritées par les objets enfants.
  • Aucun utilisateur Terminal Server (Notssid.inf) de SID

    Vous pouvez appliquer ce modèle pour supprimer les identificateurs de sécurité Windows Terminal Server (SID) à partir de l’emplacement des fichiers système et du Registre lorsque les Services Terminal Server n’est pas en cours d’exécution. Après cela, la sécurité du système n’augmente pas nécessairement.
Pour obtenir des informations plus détaillées sur tous les modèles prédéfinis dans Windows Server 2003, recherchez Centre aide et Support « modèles de sécurité prédéfinis ».

Important Mise en œuvre d’un modèle de sécurité sur un contrôleur de domaine, les paramètres de la stratégie de contrôleur de domaine par défaut ou la stratégie de domaine par défaut peut changer. Le modèle appliqué peut remplacer des autorisations sur nouveaux fichiers, clés de Registre et services système créés par d’autres programmes. Restaurer ces stratégies peut être nécessaire après avoir appliqué un modèle de sécurité. Avant de suivre ces étapes sur un contrôleur de domaine, créez une sauvegarde du partage SYSVOL.

Retour au début

Appliquer un modèle de sécurité

  1. Cliquez sur Démarrer, sur exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Cliquez sur Ajouter.
  4. Dans la liste des composants logiciels enfichables disponibles autonome, cliquez sur Configuration de la sécurité et l’analyse, cliquez sur
    Ajouter, sur Fermer, puis cliquez sur
    OK.
  5. Dans le volet gauche, cliquez sur Configuration de la sécurité et l’analyse et afficher les instructions dans le volet de droite.
  6. Cliquez sur Configuration de la sécurité et l’analyse, puis cliquez sur Base de données ouverte.
  7. Dans le
    Zone de nom de fichier , tapez le nom du fichier de base de données, puis cliquez sur Ouvrir.
  8. Cliquez sur le modèle de sécurité que vous souhaitez utiliser, puis cliquez sur
    Ouvrir pour importer les entrées contenues dans le modèle de la base de données.
  9. Avec le bouton droit et analyse de la Configuration de la sécurité dans le volet gauche, puis cliquez sur Configurer l’ordinateur maintenant.
Retour au début

Références

Pour plus d’informations sur la définition des modèles de sécurité, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
816297 Comment : définir des modèles de sécurité à l’aide du composant logiciel enfichable modèles de sécurité dans Windows Server 2003
Pour plus d’informations sur la façon d’analyser la sécurité système, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
816580 Comment : analyser la sécurité système dans Windows Server 2003
Retour au début
Propriétés

ID d'article : 816585 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires