par Darren Mar-Elia - Mis en ligne le 13/01/2004 - Publié en Décembre 2003
Utilisez les Stratégies de groupe pour déployer et gérer
votre configuration de sécurité
Gérer la configuration de sécurité sur
vos centaines ou milliers de machines
Windows est, de nos jours, l'une des tâches
les plus importantes des administrateurs IT.
Nous savons que toute déficience en la matière
peut se traduire par des données perdues,
d'innombrables heures passées à reconstruire
les machines ou, dans le pire des
cas, la mise en péril de l'entreprise ...Heureusement,
dans Windows 2000, Microsoft a
introduit les Stratégies de groupe, un puissant
outil permettant de déployer rapidement
et facilement des changements de
configuration de sécurité sur toutes les machines
Win2K et ultérieures dans l'environnement
AD (Active Directory).
Voyons donc comment utiliser les
Stratégies de groupe pour déployer et gérer
la configuration de sécurité, et aussi
quelques pièges rencontrés lors du déploiement
des divers types de stratégies de sécurité.
Voyons également quelques-uns des
paramètres les plus utiles des politiques de
sécurité fondées sur les Stratégies de
groupe et comment tirer le meilleur parti
de ces paramètres. Mais commençons par
expliquer la manière de définir la stratégie
de sécurité des domaines - c'est-à -dire,
comment configurer les paramètres de sécurité
sur un GPO (Group Policy Object)
qui est lié à un domaine AD (on peut lier
des GPO à des sites AD, des domaines ou
des OU - origanizational units).
A noter que toutes les fonctions évoquées
ici existent dans Windows Server
2003, Windows XP et Win2K, sauf si j'indique
clairement qu'une certaine version
est nécessaire.
La sécurité par les GPO
L’un des premiers aspects de la sécurité à
prendre en compte quand on déploie AD
sont les stratégies des comptes, partie des
paramètres de sécurité d’un GPO qui permet
de définir la longueur et la complexité
des mots de passe et le blocage des intrus
pour les comptes d’utilisateurs de domaines. Pour définir les stratégies de
compte sur un GPO, ouvrez le Microsoft
Management Console (MMC)
Group Policy Object Editor, trouvez le
GPO et naviguez jusqu’à Computer
Configuration\Windows Settings\Security
Settings\Account Policies sous ce
GPO.
Quand vous voulez qu’une stratégie
de comptes s’applique aux logons
des domaines AD (c’est-à -dire, les
comptes utilisateur définis dans AD),
vous devez définir cette stratégie dans
un GPO qui est lié au domaine parce
que les DC (domain controllers) dans
un domaine AD ne traitent que les stratégies
de compte contenues dans les
GPO qui sont eux-mêmes liés au domaine.
Les DC ignorent aussi trois
autres stratégies de sécurité sauf si
elles sont liées au domaine :
- Déconnecter automatiquement les
utilisateurs dès que le délai de logon
a expiré - Renommer le compte administrateur
- Renommer le compte guest
Ces trois stratégies se trouvent
dans Computer Configuration\Windows
Settings\Security Settings\Local
Policies\Security Options sous le GPO.
Peut-être vous demandez-vous
pourquoi Microsoft veut que des stratégies
de compte et ces trois stratégies
de sécurité se trouvent dans un GPO
lié au domaine. Comme vous le savez,
quand on promeut un serveur
membre au rang de DC dans un domaine
AD, AD stocke le DC dans l’OU
(organizational unit) Domain Controllers
par défaut. En revanche, si on
déplace un DC vers une autre OU, le
DC peut alors recevoir des stratégies
de sécurité différentes. Les stratégies
de compte et les trois stratégies de sécurité
spécifiées doivent être homogènes
sur tous les DC, c’est pourquoi
Microsoft a conçu le code de traitement
GPO pour qu’il ignore ces stratégies
à moins qu’elles ne soient liées au
domaine. Cela garantit que tous les
DC, indépendamment de leur emplacement,
reçoivent les mêmes stratégies.
(Microsoft permet que d’autres
stratégies de sécurité, comme les stratégies
d’audit et groupes restreints
soient différentes sur des DC dans différentes
OU. Vous devez connaître
cette tolérance si l’envie vous prend de
commencer à déplacer des DC hors de
l’OU Domain Controllers).
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.