Résumé

Microsoft, le Centre de sécurité Internet (CIS), l’Agence nationale de sécurité (NSA), l’Agence des systèmes d’information sur la défense (DISA) et le National Institute of Standards and Technology (NIST) ont publié des « conseils sur la configuration de la sécurité » pour Microsoft Windows.

Les niveaux de sécurité élevés spécifiés dans certains de ces repères peuvent considérablement restreindre la fonctionnalité d’un système. Par conséquent, vous devez effectuer des tests significatifs avant de déployer ces recommandations. Nous vous recommandons de prendre des précautions supplémentaires lorsque vous :

  • Modifier les listes de contrôle d’accès (ACL) pour les fichiers et les clés de Registre

  • Activer le client réseau Microsoft : signer numériquement les communications (toujours)

  • Activer la sécurité réseau : ne pas stocker la valeur de hachage du Gestionnaire réseau lors du prochain changement de mot de passe

  • Activer le chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature

  • Désactiver le service de mise à jour automatique ou le service de transfert intelligent d’arrière-plan (BITS)

  • Désactiver le service NetLogon

  • Activer NoNameReleaseOnNomand

Microsoft prend vivement en charge les efforts du secteur en matière de conseils de sécurité pour les déploiements dans les domaines de haute sécurité. Toutefois, vous devez tester de façon approfondie les recommandations dans l’environnement cible. Si vous avez besoin de paramètres de sécurité supplémentaires au-delà des paramètres par défaut, nous vous recommandons vivement de consulter les guides émis par Microsoft. Ces guides peuvent servir de point de départ pour les besoins de votre organisation. Pour obtenir de l’aide ou poser des questions sur les guides tiers, contactez l’organisation qui vous a émis les conseils.

Introduction

Au cours des dernières années, de nombreuses organisations, notamment Microsoft, le Centre pour la sécurité Internet (CIS), l’Agence nationale de sécurité (NSA), l’agence DISA (Defense Information Systems Agency) et le National Institute of Standards and Technology (NIST), ont publié des « conseils en matière de configuration de la sécurité » pour Windows. Comme pour toute recommandation en matière de sécurité, la sécurité supplémentaire requise a souvent un effet négatif sur l’utilisation.

Plusieurs de ces guides, notamment les guides de Microsoft, du CIS et de la NIST, contiennent plusieurs niveaux de paramètres de sécurité. Ces guides peuvent inclure des niveaux conçus pour les éléments suivants :

  • Interopérabilité avec d’anciens systèmes d’exploitation

  • Enterprise de travail

  • Sécurité renforcée qui fournit des fonctionnalités limitées Remarque Ce niveau est fréquemment connu sous le nom de Sécurité spécialisé – Fonctionnalités limitées ou

    Niveau de sécurité élevée.

Le niveau de sécurité élevée ou spécialisé – Fonctionnalités limitées est conçu spécifiquement pour les environnements très exposés aux risques importants d’attaque. Ce niveau est une information d’information de la plus haute valeur possible (par exemple, informations requises par certains systèmes gouvernementaux). Le niveau de sécurité élevée de la plupart de ces conseils publics est inapproprié pour la plupart des systèmes exécutant des Windows. Nous vous recommandons de ne pas utiliser le niveau De sécurité élevée sur les stations de travail à usage général. Nous vous recommandons d’utiliser le niveau de sécurité haute uniquement sur les systèmes où la compromission risquerait de causer une perte de vie, une perte d’informations très précieuses ou une perte de beaucoup d’argent.

Plusieurs groupes ont travaillé avec Microsoft pour produire ces guides de sécurité. Dans de nombreux cas, ces guides s’adressent tous aux menaces similaires. Toutefois, chaque guide diffère légèrement en fonction des exigences légales, de la stratégie locale et des exigences fonctionnelles. Pour cette raison, les paramètres peuvent varier d’un ensemble de recommandations à l’autre. La section « Organisations qui produisent des conseils de sécurité accessibles au public » contient un résumé de chaque guide de sécurité.

Informations supplémentaires

Organisations qui produisent des conseils de sécurité accessibles au public

Microsoft Corporation

Microsoft fournit des instructions sur la façon de sécuriser nos propres systèmes d’exploitation. Nous avons développé les trois niveaux de paramètres de sécurité suivants :

  • Enterprise Client (EC)

  • Stand-Alone (SA)

  • Sécurité spécialisée - Fonctionnalités limitées (SSLF)

Nous avons testé de façon approfondie ces conseils pour les utiliser dans de nombreux scénarios client. Les conseils s’imposent à toute organisation qui souhaite contribuer à Windows ordinateurs basés sur des clients.

Nous appuyerons entièrement nos guides en raison des tests approfondis que nous avons effectués dans les problèmes de compatibilité de l’application sur ces guides. Visitez les sites web Microsoft suivants pour télécharger nos guides :

Si vous avez des problèmes ou des commentaires après avoir implémenté les Guides de sécurité Microsoft, vous pouvez envoyer des commentaires en envoyant un message électronique à secwish@microsoft.com.



Des instructions de configuration de sécurité pour Windows d’exploitation, Internet Explorer et la suite de productivité Office sont fournies dans le Gestionnaire de conformité de sécurité Microsoft : http://technet.microsoft.com/en-us/library/cc677002.aspx.


Centre de sécurité Internet

Le service CIS a développé des références pour fournir des informations qui aident les organisations à prendre des décisions en connaissance de cause sur certains choix de sécurité disponibles. CiS offre trois niveaux d’évaluation de la sécurité :

  • Hérité

  • Entreprise

  • Sécurité élevée

Si vous éprouvez des problèmes ou des commentaires à faire part de vos commentaires après avoir implémenté les paramètres d’évaluation du système d’évaluation CIS, contactez le service CIS en envoyant un courrier électronique à win2k-feedback@cisecurity.org.

Notez que les recommandations du CIS ont changé depuis la publication initiale de cet article (3 novembre 2004). Les recommandations actuelles de CIS ressemblent à celles de Microsoft. Pour plus d’informations sur les conseils que Microsoft fournit, lisez la section « Microsoft Corporation » plus tôt dans cet article.

The National Institute of Standards and Technology

La fonction NIST est responsable de la création d’instructions de sécurité pour le gouvernement fédéral des États-Unis. La fonction NIST a créé quatre niveaux d’aide à la sécurité qui sont utilisés par les agences fédérale, les organisations privées et les organisations publiques des États-Unis :

  • SoHo

  • Hérité

  • Entreprise

  • Sécurité spécialisée - Fonctionnalités limitées

Si vous avez des problèmes ou des commentaires après avoir implémenté les modèles de sécurité NIST, contactez la loi.N en envoyant un courrier électronique à itsec@nist.gov.

Notez que les recommandations de la NIST ont changé depuis la publication initiale de cet article (3 novembre 2004). Les recommandations actuelles de NIST ressemblent à celles de Microsoft. Pour plus d’informations sur les conseils que Microsoft fournit, lisez la section « Microsoft Corporation » plus tôt dans cet article.

Agence des systèmes d’information sur la défense

DisA crée des recommandations spécifiquement pour une utilisation dans le Département de la défense des États-Unis (DOD). Les utilisateurs du service DOD des États-Unis qui éprouvent des problèmes ou des commentaires après avoir implémenté les instructions de configuration disA peuvent fournir des commentaires en envoyant un courrier électronique à fso_spt@ritchie.disa.mil.

Notez que les recommandations de DISA ont changé depuis la publication initiale de cet article (3 novembre 2004). Les recommandations actuelles de disa sont similaires ou identiques aux conseils que Microsoft fournit. Pour plus d’informations sur les conseils que Microsoft fournit, lisez la section « Microsoft Corporation » plus tôt dans cet article.

L’Agence de sécurité nationale (NSA)

La NSA a donné des instructions pour aider à sécuriser les ordinateurs à haut risque dans le département américain de la défense (DOD). Celle-ci a développé un niveau unique de conseils correspondant approximativement au niveau de sécurité élevé développé par d’autres organisations.

Si vous éprouvez des problèmes ou avez des commentaires à faire part de vos commentaires après avoir implémenté les guides de sécurité de LNS pour Windows XP, vous pouvez envoyer des commentaires en envoyant un message électronique à XPGuides@nsa.gov. Pour transmettre des commentaires sur les guides Windows 2000, envoyez un courrier électronique à w2kguides@nsa.gov.

Notez que les recommandations de LSA ont changé depuis la publication initiale de cet article (3 novembre 2004). Les recommandations actuelles de NSA sont similaires ou identiques aux conseils que Microsoft fournit. Pour plus d’informations sur les conseils que Microsoft fournit, lisez la section « Microsoft Corporation » plus tôt dans cet article.

Problèmes de conseils de sécurité

Comme indiqué précédemment dans cet article, les niveaux de sécurité élevés décrits dans certains de ces guides ont été conçus pour restreindre sensiblement la fonctionnalité d’un système. En raison de cette restriction, vous devez tester un système de façon approfondie avant de déployer ces recommandations.

Remarque Les conseils de sécurité fournis pour les niveaux SoHo, Hérité ou Enterprise n’ont pas été signalés comme affectant gravement les fonctionnalités du système. Cet article de la Base de connaissances se concentre principalement sur les conseils associés au niveau de sécurité le plus élevé. 

Nous appuyons vivement les efforts de l’industrie en matière de conseils de sécurité pour les déploiements dans les domaines de haute sécurité. Nous continuons à travailler avec des groupes de normes de sécurité afin de développer des conseils utiles de développement qui sont entièrement testés. Des avertissements élevés sont toujours émis par les directives de sécurité de tiers afin de les tester pleinement dans les environnements de haute sécurité cibles. Toutefois, ces avertissements ne sont pas toujours avertis. Veillez à tester de façon approfondie toutes les configurations de sécurité dans l’environnement cible. Des paramètres de sécurité différents de ceux recommandés peuvent invalider le test de compatibilité de l’application effectué dans le cadre du processus de test du système d’exploitation. De plus, nous et les tiers vous déconseillons particulièrement d’appliquer les recommandations de brouillon dans un environnement de production en direct plutôt que dans un environnement de test.

Les niveaux élevés de ces guides de sécurité incluent plusieurs paramètres que vous devez évaluer soigneusement avant de les implémenter. Bien que ces paramètres offrent des avantages supplémentaires en matière de sécurité, ils peuvent avoir un effet négatif sur la capacité d’utilisation du système.

Modifications des listes de contrôle du système de fichiers et de l’accès au Registre

Windows XP et les versions ultérieures Windows ont considérablement réduit les autorisations dans le système. Par conséquent, il ne devrait pas être nécessaire d’apporter d’importantes modifications aux autorisations par défaut. 

Des modifications supplémentaires de la liste de contrôle d’accès discrétionnaire peuvent invalider l’ensemble ou la plupart des tests de compatibilité d’application effectués par Microsoft. Souvent, des modifications telles que celles-ci n’ont pas subi les tests approfondis effectués par Microsoft sur d’autres paramètres. Les cas de support et l’expérience de champ montrent que les modifications DACL modifient le comportement fondamentaux du système d’exploitation, de façon inattendue. Ces modifications affectent la compatibilité et la stabilité de l’application, et réduisent les fonctionnalités en ce qui concerne les performances et les fonctionnalités.

En raison de ces modifications, nous vous déconseillons de modifier les DACL du système de fichiers sur les fichiers inclus avec le système d’exploitation sur les systèmes de production. Nous vous recommandons d’évaluer toute modification de la base de ressources par rapport à une menace connue afin de comprendre les avantages potentiels que ces modifications peuvent apporter à une configuration spécifique. Pour ces raisons, nos guides ne font que des modifications DECL minimales et Windows 2000. Pour Windows 2000, plusieurs modifications mineures sont requises. Ces modifications sont décrites dans le guide Windows sécurité 2000.

Les modifications étendues apportées aux autorisations qui sont propagées dans le système de fichiers et dans le Registre ne peuvent pas être annulées. Les nouveaux dossiers, tels que les dossiers de profil utilisateur qui n’étaient pas présents lors de l’installation d’origine du système d’exploitation, peuvent être affectés. Par conséquent, si vous supprimez un paramètre de stratégie de groupe qui effectue des modifications DACL, ou si vous appliquez les valeurs par défaut du système, vous ne pouvez pas récupérer les listes DACL d’origine. 

Les modifications apportées à la daCL dans le dossier %SystemDrive% peuvent entraîner les scénarios suivants :

  • La Corbeille ne fonctionne plus comme prévu et les fichiers ne peuvent pas être récupérés.

  • Une réduction de la sécurité qui permet à un non-administrateur d’afficher le contenu de la Corbeille de l’administrateur.

  • Échec du fonctionnement des profils utilisateur.

  • Une réduction de la sécurité qui offre aux utilisateurs interactifs un accès en lecture à certains ou à tous les profils utilisateur sur le système.

  • Problèmes de performances lorsque de nombreuses modifications DACL sont chargées dans un objet de stratégie de groupe qui inclut de longues heures d' logo ou des redémarrages répétés du système cible.

  • Problèmes de performances, y compris les problèmes de système, toutes les 16 heures environ à mesure que les paramètres de stratégie de groupe sont réapprovisionés.

  • Problèmes de compatibilité d’application ou incidents d’application.

Pour vous aider à supprimer les pire résultats de ces autorisations de Registre et de fichier, Microsoft fournit des efforts commerciaux raisonnables en accord avec votre contrat de support. Vous ne pouvez toutefois pas pour le moment les récupérer. Nous ne pouvons garantir que vous pouvez revenir aux paramètres préinstallés recommandés en reformantant le disque dur et en réinstallant le système d’exploitation.

Par exemple, les modifications apportées aux listes DACL du Registre affectent de grandes parties des ruches du Registre et peuvent entraîner l’absence de fonctionnement attendu des systèmes. La modification des listes DACL sur des clés de Registre unique pose moins de problème à de nombreux systèmes. Toutefois, nous vous recommandons d’envisager et de tester soigneusement ces modifications avant de les implémenter. Là encore, nous ne pouvons garantir que vous pouvez revenir aux paramètres préinstallés recommandés si vous reformatez et réinstallez le système d’exploitation.

Client réseau Microsoft : communications signées numériquement (toujours)

Lorsque vous activez ce paramètre, les clients doivent signer le trafic de blocage des messages du serveur (SMB) lorsqu’ils contactent des serveurs qui ne nécessitent pas de signature SMB. Les clients sont ainsi moins vulnérables aux attaques de sessions. Elle présente une valeur significative, mais sans activer une modification similaire sur le serveur pour permettre au serveur réseau Microsoft de signer numériquement les communications (toujours) ou le client de réseau Microsoft : signer numériquement les communications (si le client accepte), le client ne pourra pas communiquer avec le serveur.

Sécurité réseau : ne stockez pas la valeur de hachage du Gestionnaire réseau lors du prochain changement de mot de passe

Lorsque vous activez ce paramètre, la valeur de hachage du Gestionnaire de réseaux lans (LM) pour un nouveau mot de passe n’est pas stockée lorsque le mot de passe est modifié. Le hachage LM est relativement faible et sujet à des attaques en comparaison avec le hachage Microsoft Windows NT plus puissant au niveau du chiffrement. Bien que ce paramètre offre une sécurité supplémentaire étendue à un système en empêchant de nombreux utilitaires courants de fissurage de mot de passe, le paramètre peut empêcher certaines applications de démarrer ou de s’exécutent correctement.

Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature

Lorsque vous activez ce paramètre, Internet Information Services (IIS) et Microsoft Internet Explorer utilisent uniquement le protocole TLS 1.0 de transport Layer Security (TLS). Si ce paramètre est activé sur un serveur exécutant IIS, seuls les navigateurs web qui supportent TLS 1.0 peuvent se connecter. Si ce paramètre est activé sur un client web, le client ne peut se connecter qu’aux serveurs qui supportent le protocole TLS 1.0. Cette exigence peut affecter la capacité d’un client à visiter des sites web qui utilisent SSL (Secure Sockets Layer). Pour plus d’informations, cliquez sur le numéro d’article suivant pour le consulter dans la Base de connaissances Microsoft :

811834 Impossible de visiter les sites SSL une fois que vous avez activé le chiffrement conforme AUP en outre, lorsque vous activez ce paramètre sur un serveur qui utilise les services Terminal Server, les clients sont obligés d’utiliser le
client RDP 5.2 ou version ultérieure pour se connecter.

Pour plus d’informations, cliquez sur le numéro d’article suivant pour le consulter dans la Base de connaissances Microsoft :

811833 Les effets de l’activation du paramètre de sécurité « Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans Windows XP et les versions ultérieures de Windows

Le service de mise à jour automatique ou le service de transfert intelligent en arrière-plan (BITS) est désactivé

L’un des principaux piliers de la stratégie de sécurité Microsoft est de s’assurer que les systèmes sont mis à jour. L’un des composants clés de cette stratégie est le service de mises à jour automatiques. Les services Windows mise à jour logicielle et de mise à jour automatique utilisent le service de mises à jour automatiques. Le service de mises à jour automatiques s’appuie sur le service BITS (Background Intelligent Transfer Service). Si ces services sont désactivés, les ordinateurs ne pourront plus recevoir de mises à jour de Windows Update via les mises à jour automatiques, de Software Update Services (SUS) ou de certaines installations de Microsoft Systems Management Server (SMS). Ces services ne doivent être désactivés que sur les systèmes qui ont un système de distribution de mises à jour efficace ne s’appuyant pas sur BITS.

Le service NetLogon est désactivé

Si vous désactivez le service NetLogon, une station de travail ne fonctionne plus correctement en tant que membre du domaine. Ce paramètre peut être approprié pour certains ordinateurs qui ne participent pas aux domaines. Toutefois, il doit être soigneusement évalué avant d’être déployé.

NoNameReleaseOnEtaand

Ce paramètre empêche un serveur de abandonner son nom NetSINS s’il entre en conflit avec un autre ordinateur du réseau. Ce paramètre est une bonne mesure préventive en cas d’attaque par déni de service contre des serveurs de noms et d’autres rôles serveur très importants.

Lorsque vous activez ce paramètre sur une station de travail, la station de travail refuse de abandonner son nom NetSINS, même si ce nom entre en conflit avec le nom d’un système plus important, tel qu’un contrôleur de domaine. Ce scénario peut désactiver une fonctionnalité importante du domaine. Microsoft prend vivement en charge les efforts du secteur en matière de fournir des conseils de sécurité ciblés sur les déploiements dans des domaines de haute sécurité. Toutefois, ces instructions doivent être testées de façon approfondie dans l’environnement cible. Nous recommandons vivement aux administrateurs système qui ont besoin de paramètres de sécurité supplémentaires au-delà des paramètres par défaut, d’utiliser les guides émis par Microsoft comme point de départ pour les besoins de leur organisation. Pour obtenir de l’aide ou poser des questions sur les guides tiers, contactez l’organisation qui vous a émis les conseils.

Références

Pour plus d’informations sur les paramètres de sécurité, voir Menaces et contre-Paramètres dans Windows Server 2003 et Windows XP. Pour télécharger ce guide, visitez le site web microsoft suivant :

http://go.microsoft.com/fwlink/?LinkId=15159Pour plus d’informations sur l’effet de certains paramètres de sécurité clés supplémentaires, cliquez sur le numéro d’article suivant pour le consulter dans la Base de connaissances Microsoft :

823659 Incompatibilités de client, de service et de programme qui peuvent se produire lorsque vous modifiez les paramètres de sécurité et les attributions de droits d’utilisateur Pour plus d’informations sur les effets des algorithmes compatibles FIPS, cliquez sur le numéro d’article suivant pour consulter l’article dans la Base de connaissances Microsoft :

811833 Les effets de l’activation du paramètre de sécurité « Chiffrement système : Utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » dans Windows XP et versions ultérieures.Microsoft fournit des informations de contact tierces pour vous aider à trouver un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les sociétés tierces.


Pour plus d’informations sur le fabricant de votre matériel, visitez le site web de Microsoft suivant :

http://support.microsoft.com/gp/vendors/en-us

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×