Comment appliquer des modèles de sécurité prédéfinis dans Windows Server 2003

Cet article pas à pas explique comment appliquer des modèles de sécurité prédéfinis.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 816585

Résumé

Microsoft Windows Server 2003 inclut plusieurs modèles de sécurité prédéfinis que vous pouvez appliquer pour augmenter le niveau de sécurité sur votre réseau. Vous pouvez modifier les modèles de sécurité en fonction de vos besoins en utilisant des modèles de sécurité dans Microsoft Management Console (MMC).

Modèles de sécurité prédéfinis dans Windows Server 2003

  • Sécurité par défaut (Configurer security.inf)

    Le modèle security.inf d’installation est créé pendant l’installation et est spécifique à chaque ordinateur. Il varie d’un ordinateur à l’autre, selon que l’installation était une installation propre ou une mise à niveau. Setup security.inf représente les paramètres de sécurité par défaut qui sont appliqués lors de l’installation du système d’exploitation, y compris les autorisations de fichier pour la racine du lecteur système. Il peut être utilisé sur les serveurs et les ordinateurs clients ; il ne peut pas être appliqué aux contrôleurs de domaine. Vous pouvez appliquer des parties de ce modèle à des fins de récupération d’urgence.

    N’appliquez pas setup security.inf à l’aide de stratégie de groupe. Si vous le faites, vous risquez de subir une baisse des performances.

    Remarque

    Dans Microsoft Windows 2000, il existe deux modèles de sécurité divers, ocfiless (pour les serveurs de fichiers) et ocfilesw (pour les stations de travail). Dans Windows Server 2003, ces fichiers ont été remplacés par le fichier security.inf du programme d’installation.

  • Sécurité par défaut du contrôleur de domaine (DC security.inf)

    Ce modèle est créé lorsqu’un serveur est promu en contrôleur de domaine. Il reflète les paramètres de sécurité par défaut du fichier, du Registre et du service système. Si vous réappliquez ce modèle, ces paramètres sont définis sur les valeurs par défaut. Toutefois, le modèle peut remplacer les autorisations sur les nouveaux fichiers, les clés de Registre et les services système créés par d’autres programmes.

  • Compatible (Compatws.inf)

    Ce modèle modifie les autorisations de fichier et de Registre par défaut qui sont accordées aux membres du groupe Utilisateurs d’une manière cohérente avec les exigences de la plupart des programmes qui n’appartiennent pas au Programme de logo Windows pour les logiciels. Le modèle Compatible supprime également tous les membres du groupe Utilisateurs avec pouvoir.

    Pour plus d’informations sur le programme de logo Windows pour les logiciels, visitez le site web Microsoft suivant : Catalogue Windows Server

    Remarque

    N’appliquez pas le modèle Compatible aux contrôleurs de domaine.

  • Secure (Secure*.inf)

    Les modèles sécurisés définissent les paramètres de sécurité renforcée qui sont les moins susceptibles d’affecter la compatibilité des programmes. Par exemple, les modèles sécurisés définissent des paramètres de mot de passe, de verrouillage et d’audit plus forts. En outre, les modèles limitent l’utilisation des protocoles d’authentification LAN Manager et NTLM en configurant les clients pour envoyer uniquement des réponses NTLMv2 et en configurant les serveurs pour refuser les réponses DU GESTIONNAIRE DE RÉSEAU.

    Il existe deux modèles sécurisés prédéfinis dans Windows Server 2003 : Securews.inf pour les stations de travail et Securedc.inf pour les contrôleurs de domaine. Pour plus d’informations sur l’utilisation de ces modèles et d’autres modèles de sécurité, recherchez « modèles de sécurité prédéfinis » dans le Centre d’aide et de support.

  • Hautement sécurisé (hisec*.inf)

    Les modèles hautement sécurisés spécifient des restrictions supplémentaires qui ne sont pas définies par les modèles sécurisés, telles que les niveaux de chiffrement et la signature requis pour l’authentification et l’échange de données sur des canaux sécurisés et entre les clients SMB (Server Message Block) et les serveurs.

  • Sécurité racine du système (Rootsec.inf)

    Ce modèle spécifie les autorisations racine. Par défaut, Rootsec.inf définit ces autorisations pour la racine du lecteur système. Vous pouvez utiliser ce modèle pour réappliquer les autorisations du répertoire racine si elles sont modifiées par inadvertance, ou vous pouvez modifier le modèle pour appliquer les mêmes autorisations racines à d’autres volumes. Comme spécifié, le modèle ne remplace pas les autorisations explicites définies sur les objets enfants ; il propage uniquement les autorisations héritées par les objets enfants.

  • Aucun SID utilisateur Terminal Server (Notssid.inf)

    Vous pouvez appliquer ce modèle pour supprimer Terminal Windows Identificateurs de sécurité (SID) du système de fichiers et des emplacements du Registre lorsque les services Terminal Server ne sont pas exécutés. Après cela, la sécurité du système ne s’améliore pas nécessairement. Pour plus d’informations sur tous les modèles prédéfinis dans Windows Server 2003, recherchez « modèles de sécurité prédéfinis » dans le Centre d’aide et de support.

    Importante

    L’implémentation d’un modèle de sécurité sur un contrôleur de domaine peut modifier les paramètres de la stratégie de contrôleur de domaine par défaut ou de la stratégie de domaine par défaut. Le modèle appliqué peut remplacer les autorisations sur les nouveaux fichiers, les clés de Registre et les services système créés par d’autres programmes. La restauration de ces stratégies peut être nécessaire après l’application d’un modèle de sécurité. Avant de suivre ces étapes sur un contrôleur de domaine, créez une sauvegarde du partage SYSVOL.

Appliquer un modèle de sécurité

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Cliquez sur Ajouter.
  4. Dans la liste Composants logiciels enfichables autonomes disponibles , cliquez sur Configuration et analyse de la sécurité, sur Ajouter, sur Fermer, puis sur OK.
  5. Dans le volet gauche, cliquez sur Configuration et analyse de la sécurité et affichez les instructions dans le volet droit.
  6. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité, puis cliquez sur Ouvrir la base de données.
  7. Dans la zone Nom de fichier , tapez le nom du fichier de base de données, puis cliquez sur Ouvrir.
  8. Cliquez sur le modèle de sécurité que vous souhaitez utiliser, puis cliquez sur Ouvrir pour importer les entrées contenues dans le modèle dans la base de données.
  9. Cliquez avec le bouton droit sur Configuration et analyse de la sécurité dans le volet gauche, puis cliquez sur Configurer l’ordinateur maintenant.