Cours GPO Sécurisation des serveurs Windows à l'aide du GPO Vue d'ensemble du module • Vue d'ensemble de la sécurité des systèmes d'exploitation Windows • Configuration des stratégies de sécurité • Restriction de l’appartenance aux groupes • Leçon : Vue d'ensemble de la sécurité des systèmes d'exploitation Windows • Application d'une défense en profondeur pour améliorer la sécurité • Meilleures pratiques pour améliorer la sécurité Application d'une défense en profondeur pour améliorer la sécurité La défense en profondeur utilise une approche en couches de la sécurité • Réduit les chances de succès d'un intrus • Augmente les chances de détecter un intrus Stratégies, procédures et sensibilisation Documentation sur la sécurité, sensibilisation des utilisateurs Sécurité physique Protections, verrous, dispositifs de suivi Périmètre Pare-feu, contrôle de quarantaine pour l'accès réseau Réseaux Segments réseaux, IPsec, Forefront TMG 2010 Hôte Renforcement, authentification, gestion des mises à jour Application Renforcement de la sécurité des applications, antivirus Données Listes de contrôle d'accès, EFS, procédures de sauvegarde/restauration Meilleures pratiques pour améliorer la sécurité Meilleures pratiques pour accroître la sécurité • Appliquer rapidement toutes les mises à jour de sécurité disponibles • Appliquer le principe des privilèges minimum • Restreindre la connexion de console • Limiter l'accès physique Leçon : Configuration des paramètres de sécurité Configuration des droits des utilisateurs Configuration des options de sécurité Configuration du contrôle de compte d'utilisateur Configuration de l'audit de sécurité Configuration des groupes restreints Configuration des paramètres de stratégie de compte Qu’est-ce que les stratégies de sécurité Configuration des droits des utilisateurs Types de droits des utilisateurs • Privilèges • Droites d'ouverture de session Exemples • Ajouter des stations de travail à un domaine • Permettre l'ouverture d'une session locale • Sauvegarder les fichiers et les répertoires • Modifier l'heure système • Forcer l'arrêt à partir d'un ordinateur distant • Arrêter le système Configuration des options de sécurité Paramètres d'options de sécurité • Noms des comptes Administrateur et Invité • Accès aux lecteurs de CD/DVD • Signatures de données numériques • Comportement d'installation des pilotes • Invites d'ouverture de session • Contrôle de compte d'utilisateur Exemples • Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire • Ne pas afficher le dernier nom d'utilisateur • Renommer le compte administrateur • Autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement Configuration du contrôle de compte d'utilisateur • Le Contrôle de compte d'utilisateur est une fonctionnalité de sécurité qui invite l'utilisateur à fournir les informations d'identification d'un administrateur si la tâche requiert des autorisations d'administration • Le Contrôle de compte permet aux utilisateurs d'effectuer des tâches quotidiennes courantes en tant que non-administrateurs Stratégies de contrôleur de domaine par défaut Trois points doivent être examinés : Stratégie d’affectation des droits : ouverture de session locale, fermeture Stratégie d’options de sécurité : audit, périphériques, contrôleurs de domaine Stratégie de journal des événements : taille de journal, conservation Qu’est-ce que la stratégie de sécurité de domaine par défaut • Elle fournit des stratégies de compte pour le domaine ; les autres paramètres ne sont pas configurés par défaut. • Elle est utilisée pour fournir des paramètres de sécurité qui affectent tout le domaine. • Utiliser la stratégie de domaine pour fournir des paramètres de sécurité est une méthode conseillée. Utiliser des objets de stratégie de groupe distincts pour fournir d’autres types de paramètres. Paramètres de compte et de sécurité Stratégie de domaine par défaut Domaine Configuration des groupes restreints La stratégie de groupe peut contrôler l'appartenance aux groupes • Pour tout groupe sur un ordinateur local, en appliquant un objet Stratégie de groupe à l'Unité d'organisation contenant le compte d'ordinateur • Pour tout groupe des services de domaine Active Directory, en appliquant un objet Stratégie de groupe à l'unité d'organisation du contrôleur de domaine Démonstration des groupes restreints Et l’appartenance aux groupes par Préférences panneau de Configuration ? Lequel choisir ? Configuration des paramètres de stratégie de compte Les stratégies de compte atténuent la menace des attaques en force pour deviner les mots de passe de compte Stratégies Mot de passe Verrouillage de compte Kerberos Paramètres par défaut • Complexité des contrôles et durée de vie des mots de passé • Durée de vie maximale des mots de passe : 42 jours • Durée de vie minimale des mots de passe : 1 jour • Longueur minimale des mots de passe : 7 caractères • Mot de passe complexe : active • Enregistrer les mots de passe en utilisant un cryptage réversible : désactivé • Contrôle le nombre de tentatives incorrectes qui peuvent être effectuées • Durée de verrouillage non défini • Seuil de verrouillage : 0 tentatives d'ouvertures de session non valides • Réinitialiser le verrouillages du compte après : non défini • Sous-ensemble des attributs de la stratégie de sécurité de domaine • Peut uniquement être appliqué au niveau du domaine Leçon : Audit de l'authentification • Événements de connexion aux comptes et événements de connexion • Configuration des stratégies d'audit liées à l'authentification • Définition de l'étendue des stratégies d'audit • Examen des événements de connexion Événements de connexion aux comptes et événements de connexion • Événements de connexion au compte • • • Enregistrés par le système qui authentifie le compte Pour les comptes de domaine : contrôleurs de domaine Pour les comptes locaux : ordinateur local • Événements de connexion • • • Enregistrés par l'ordinateur sur lequel l'utilisateur a ouvert une session ou auquel il s'est connecté Ouverture de session interactive : système de l'utilisateur Connexion réseau : serveur Événement de connexion au compte Événement de connexion Événement de connexion Configurer les stratégies d'audit liées à l'authentification Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit La configuration par défaut de Windows Server 2008 consiste à auditer les événements Opération réussie pour les événements de connexion au compte et de connexion. Définition de la portée des stratégies d'audit Stratégie Contrôleurs de domaine par défaut GPO personnalisé Événements de connexion Compte de connexion au compte Contrôleurs de domaine Serveurs Bureau à distance Clients RH Examiner les événements de connexion • Journal Sécurité du système qui a généré l'événement • Contrôleur de domaine qui a authentifié l'utilisateur : connexion au compte • • Remarque : pas de réplication dans les autres contrôleurs de domaine Système sur lequel l'utilisateur a ouvert une session ou auquel il s'est connecté : connexion Atelier pratique : Renforcement de la sécurité des ressources de serveur • Exercice 1 : Utilisation des stratégies de groupe pour sécuriser les serveurs membres • Exercice 2 : Audit de l'accès au système de fichiers • Exercice 3 : Audit des connexions au domaine Informations d'ouverture de session Ordinateurs virtuels Nom d'utilisateur Mot de passe 22410B-LON-DC1 22410B-LON-SVR1 22410B-LON-CL1 Contoso\Administrateur Pa$$w0rd Durée approximative : 60 minutes