La présentation est terminée : le moment est venu de construire un modèle en partant de rien. Faites un clic droit sur le chemin du modèle (mon chemin est C:\windows\security\templates, mais le vôtre peut être différent) puis choisissez New Template et entrez un nom. Appelons ce modèle Simple. Le nouveau
Créer un modèle
modèle apparaîtra
comme un dossier dans le panneau de
gauche, au-dessous des modèles préconstruits.
A présent, juste pour voir,
restreignons le groupe Administrators,
mettrons les ACL sur C:\adminstuff et
arrêtons l’Indexing Service. Nous pouvons
faire tout cela à l’aide des dossiers
sous Simple.
Commençons par nettoyer le
groupe Administrators et ajoutons seulement
l’Administrator local et le
groupe Domain Admins du domaine
au groupe Administrators. Etendons
Simple et cliquons sur le dossier
Restricted Groups. Si vous travaillez
sur une boîte XP, vous verrez There are
no items to show in this view dans le
panneau de droite. Si vous travaillez
sur une boîte Win2K, rien n’apparaîtra
dans le panneau de droite. Faites un
clic droit sur Restricted Groups et choisissez
Add Group. Dans la boîte de dialogue
Add Group, cliquez sur Browse
et choisissez le groupe Administrators
local de votre station de travail ou serveur
de membres. Vous devez choisissez
le groupe Administrators dans
votre ordinateur local plutôt que dans
votre domaine ; si vous êtes connecté à
votre station de travail avec un compte
domaine, la boîte de dialogue Browse
supposera que vous voulez ajouter des
éléments provenant du domaine – et
pas du SAM local de votre station de
travail ou serveur de membres. (Vous
pouvez aussi sauter la navigation et taper
simplement Administrators dans la
boîte de dialogue Add Group.) Une
fois revenu dans la boîte de dialogue
Add Group, cliquez sur OK. Si vous travaillez
sur un système XP, vous verrez
immédiatement une nouvelle boîte de
dialogue appelée Administrators
Properties. (Si vous travaillez sur un
système Win2K, vous devez faire un
clic droit sur Administrators dans le
panneau de droite et choisir Security
pour accéder à cette boîte de dialogue,
que Win2K étiquette Configure
Membership for Administrators).
Dans cette boîte de dialogue, la
section supérieure est libellée Members
of this group et la section inférieure
est libellée This group is a member
of. Dans la section supérieure,
cliquez sur Add pour accéder à la boîte
de dialogue Add Member. Si vous utilisez
Win2K, cliquez sur Browse et sélectionnez
le groupe Domain Admins
dans votre domaine. Si vous utilisez XP,
le fait de cliquer sur Browse vous
amène à la boîte de dialogue Select
Users or Groups, mais Domain Admins
n’apparaît pas dans la liste. Dans XP,
vous devez d’abord cliquer sur Object
Types, sélectionner Groups et cliquer
sur OK pour revenir à la boîte de dialogue
Select Users or Groups. Ensuite,
choisissez Domain Admins, cliquez sur
OK pour revenir à Add User et cliquez
sur OK pour revenir à la boîte de dialogue
Administrators Properties.
Procédez de même pour ajouter le
compte Administrator local puis cliquez
sur OK.
Préparons maintenant le modèle
de sécurité de telle sorte que tout système
avec un dossier nommé C:\adminstuff
ne rende ce dossier accessible
qu’aux administrateurs locaux.
Ramenez le panneau gauche de
Console Root, faites un clic droit sur
File System et choisissez Add File. Dans
la boîte de dialogue qui apparaît, vous
pouvez soit naviguer vers un répertoire
particulier, soit taper simplement
le nom du répertoire. La frappe du
nom du répertoire fonctionnera même
si l’ordinateur sur lequel vous créez le
modèle n’a pas un dossier de ce nom.
Tapez
C:\adminstuff
Vous obtenez la boîte de dialogue
NTFS permissions standard. Supprimez
les permissions existantes et
ajoutez les permissions Full Control
pour le groupe Administrators local.
Observez que vous pouvez aussi effectuer
des réglages NTFS avancés,
comme définir des ACL d’audit et octroyer
la propriété. Le programme demande
si vous voulez que ces permissions
ne s’appliquent qu’à ce dossier
ou à tous les dossiers enfants.
Choisissez l’un ou l’autre à votre gré
puis cliquez sur OK.
Depuis CodeRed et Nimda, j’ai très
peur de l’Indexing Service et j’ai pour
habitude de le désactiver partout où il
n’est pas nécessaire. Dans le panneau
de gauche de Console Root, cliquez
sur le dossier System Services. Dans le
panneau de droite, faites un clic droit
sur Indexing Service et choisissez
Properties (si vous travaillez à partir
d’un système XP) ou Security (à partir
d’un système Win2K). Sélectionnez
Define this policy setting in the template
qui amène la boîte de dialogue
Security for Indexing Service. Comme
vous n’avez pas besoin de cette boîte
de dialogue, cliquez sur Cancel pour
revenir à Indexing Service Properties
(dans XP) ou à Template Security
Policy Setting (dans Win2K). Dans
cette boîte de dialogue, choisissez
Disabled puis cliquez sur OK.
Pour sauvegarder le modèle, faites
un clic droit dessus dans le panneau de
gauche de Console Root et cliquez sur Save. Vous avez maintenant un fichier
nommé simple.inf dans votre dossier
\winnt\security\templates ou \windowssecurity\templates. Utilisez la
commande Secedit pour activer le modèle
(tapez bien la commande sur une
ligne) :
secedit /configure /cfg
<templatefilename>
/db <databasefilename>
/overwrite /log <logfilename>
où templatefilename est le nom du
modèle de sécurité ASCII (C:\windowssecurity\templates\simple.inf,
dans notre cas) et databasefilename
est le nom d’un fichier security database.
Un modèle de sécurité est comparable
à du code source : lisible par
l’homme mais pas immédiatement
utile à l’ordinateur. De la même manière
qu’il faut compiler le code
source pour obtenir un exécutable, le
modèle de sécurité doit être réduit à
une forme binaire appelée base de
données de sécurité. Secedit peut à la
fois compiler le modèle et appliquer la
base de données binaire, mais vous devez
fournir un chemin et un nom de fichier
pour la base de données – appelons
les nôtres C:\security\simple.db.
Pour finir, Secedit veut faire le
compte rendu du processus, donc il a
besoin du nom d’un fichier dans lequel
écrire un log ASCII : C:\securitysimple.log convient parfaitement.
L’option /overwrite ordonne à Secedit
de remplacer par écrasement tout fichier
existant sous le même nom. La
commande entièrement assemblée se
présente ainsi
secedit /configure /cfg
C:\windows\security\templates\
Simple.inf /db C:\security\simple.db
/overwrite /log C:\security\simple.log
C’est beaucoup de lignes de commande,
mais les résultats en valent la
peine. Essayez une poignée de modèles
et vous serez séduits par ces
puissants outils.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre nouveau dossier thématique sur l’éco-conception et les bonnes pratiques à adopter pour réduire votre impact environnemental.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Tendances des budgets des DSI en 2025
- Révolutionner la gestion du stockage à l’ère de l’IA et de la transformation numérique : vers une infrastructure agile et automatisée
- Multicloud Computing : Êtes-vous prêt pour la prochaine nouvelle vague informatique ?
- IA : les PME devraient adopter des outils NoCode appropriés
- Guide des certifications Microsoft
