> Tech > La sécurité par les GPO

La sécurité par les GPO

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Darren Mar-Elia - Mis en ligne le 13/01/2004 - Publié en Décembre 2003

Utilisez les Stratégies de groupe pour déployer et gérer votre configuration de sécurité

Gérer la configuration de sécurité sur vos centaines ou milliers de machines Windows est, de nos jours, l'une des tâches les plus importantes des administrateurs IT. Nous savons que toute déficience en la matière peut se traduire par des données perdues, d'innombrables heures passées à  reconstruire les machines ou, dans le pire des cas, la mise en péril de l'entreprise ...Heureusement, dans Windows 2000, Microsoft a introduit les Stratégies de groupe, un puissant outil permettant de déployer rapidement et facilement des changements de configuration de sécurité sur toutes les machines Win2K et ultérieures dans l'environnement AD (Active Directory).
Voyons donc comment utiliser les Stratégies de groupe pour déployer et gérer la configuration de sécurité, et aussi quelques pièges rencontrés lors du déploiement des divers types de stratégies de sécurité. Voyons également quelques-uns des paramètres les plus utiles des politiques de sécurité fondées sur les Stratégies de groupe et comment tirer le meilleur parti de ces paramètres. Mais commençons par expliquer la manière de définir la stratégie de sécurité des domaines - c'est-à -dire, comment configurer les paramètres de sécurité sur un GPO (Group Policy Object) qui est lié à  un domaine AD (on peut lier des GPO à  des sites AD, des domaines ou des OU - origanizational units).
A noter que toutes les fonctions évoquées ici existent dans Windows Server 2003, Windows XP et Win2K, sauf si j'indique clairement qu'une certaine version est nécessaire.

L’un des premiers aspects de la sécurité à 
prendre en compte quand on déploie AD
sont les stratégies des comptes, partie des
paramètres de sécurité d’un GPO qui permet
de définir la longueur et la complexité
des mots de passe et le blocage des intrus
pour les comptes d’utilisateurs de domaines. Pour définir les stratégies de
compte sur un GPO, ouvrez le Microsoft
Management Console (MMC)
Group Policy Object Editor, trouvez le
GPO et naviguez jusqu’à  Computer
Configuration\Windows Settings\Security
Settings\Account Policies sous ce
GPO.
Quand vous voulez qu’une stratégie
de comptes s’applique aux logons
des domaines AD (c’est-à -dire, les
comptes utilisateur définis dans AD),
vous devez définir cette stratégie dans
un GPO qui est lié au domaine parce
que les DC (domain controllers) dans
un domaine AD ne traitent que les stratégies
de compte contenues dans les
GPO qui sont eux-mêmes liés au domaine.
Les DC ignorent aussi trois
autres stratégies de sécurité sauf si
elles sont liées au domaine :

  • Déconnecter automatiquement les
    utilisateurs dès que le délai de logon
    a expiré

  • Renommer le compte administrateur
  • Renommer le compte guest

Ces trois stratégies se trouvent
dans Computer Configuration\Windows
Settings\Security Settings\Local
Policies\Security Options sous le GPO.
Peut-être vous demandez-vous
pourquoi Microsoft veut que des stratégies
de compte et ces trois stratégies
de sécurité se trouvent dans un GPO
lié au domaine. Comme vous le savez,
quand on promeut un serveur
membre au rang de DC dans un domaine
AD, AD stocke le DC dans l’OU
(organizational unit) Domain Controllers
par défaut. En revanche, si on
déplace un DC vers une autre OU, le
DC peut alors recevoir des stratégies
de sécurité différentes. Les stratégies
de compte et les trois stratégies de sécurité
spécifiées doivent être homogènes
sur tous les DC, c’est pourquoi
Microsoft a conçu le code de traitement
GPO pour qu’il ignore ces stratégies
à  moins qu’elles ne soient liées au
domaine. Cela garantit que tous les
DC, indépendamment de leur emplacement,
reçoivent les mêmes stratégies.
(Microsoft permet que d’autres
stratégies de sécurité, comme les stratégies
d’audit et groupes restreints
soient différentes sur des DC dans différentes
OU. Vous devez connaître
cette tolérance si l’envie vous prend de
commencer à  déplacer des DC hors de
l’OU Domain Controllers).

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental

Tech - Par iTPro.fr - Publié le 24 juin 2010