par Mark Minasi - Mis en ligne le 17/11/2003
Découvrez le moyen reproductible et scripté de faire des modifications
Les verrous rendent perplexes les
administrateurs de Windows Server
2003, XP et Win2K : il est certes possible
de sécuriser les stations de travail
et les serveurs, mais n'est-ce pas une
opération trop longue dans la pratique
? L'idéal est un
moyen de scripter le processus d'établissement
de la sécurité, qui ajuste automatiquement
l'ensemble des paramètres
concernant la sécurité en
fonction de votre organisation particulièreLa famille Windows NT - Windows
XP, Windows 2000, NT 4.0 et NT 3.x -
est réputée pour son insécurité. Pour
ma part, je considère que ces platesformes
(ainsi que les variantes Novell
NetWare et Unix) sont toutes sûres parce qu'elles sont dotées de milliers
de « verrous » - des éléments d'OS qui
contribuent à la sécurité en permettant
de stipuler que seule la personne X
peut effectuer l'action Y sur l'objet Z.
Mais il existe une différence entre NT et NetWare : bien que les deux OS possèdent
de tels verrous, une installation
NetWare standard met en place les verrous
puis demande aux administrateurs
de choisir ceux qu'ils veulent déverrouiller.
A l'inverse, une installation NT standard laisse la plupart de ses verrous
inactifs puis laisse aux administrateurs
le soin de choisir ceux qu'ils veulent.
(Cette information ne s'applique
pas à Windows Server 2003, dont le
concept épouse la stratégie NetWare.
Win2K a davantage d'options verrouillées
par défaut que NT 4.0 et XP
est, en standard, plus strict que Win2K
Professional.)
Les verrous rendent perplexes les
administrateurs de Windows Server
2003, XP et Win2K : il est certes possible
de sécuriser les stations de travail
et les serveurs, mais n'est-ce pas une
opération trop longue dans la pratique
? XP est un excellent OS mais, s'il
faut visiter chaque desktop et intervenir
sur quelques dizaines d'autorisations
et de droits pour s'assurer que le
desktop est sécurisé, le déploiement
de XP ou de toute autre variante NT
s'avère long et coûteux. L'idéal est un
moyen de scripter le processus d'établissement
de la sécurité, qui ajuste automatiquement
l'ensemble des paramètres
concernant la sécurité en
fonction de votre organisation particulière.
Heureusement, une telle méthode
existe. Les modèles de sécurité sont
des fichiers texte ASCII qui permettent
de définir de nombreux paramètres :
droits et paramètres de sécurité locaux,
appartenance à un groupe local,
services, autorisations de fichiers et de
répertoires et autorisations de registre.
Dès lors qu'un modèle de sécurité est
créé, une simple commande suffit
pour l'appliquer et pour faire agir tous
ses paramètres. L'heure passée à régler
le registre, le snap-in Microsoft
Management Console (MMC) Computer
Management et d'autres outils se
transforme en un travail de quelques
minutes.Heureusement, une telle méthode
existe. Les modèles de sécurité sont
des fichiers texte ASCII qui permettent
de définir de nombreux paramètres :
droits et paramètres de sécurité locaux,
appartenance à un groupe local,
services, autorisations de fichiers et de
répertoires et autorisations de registre.
Dès lors qu'un modèle de sécurité est
créé, une simple commande suffit
pour l'appliquer et pour faire agir tous
ses paramètres. L'heure passée à régler
le registre, le snap-in Microsoft
Management Console (MMC) Computer
Management et d'autres outils se
transforme en un travail de quelques
minutes.
Les modèles de sécurité ne sont
pas nouveaux dans Windows Server
2003 ou XP : ils ont fait leur première
apparition dans NT 4.0 Service Pack
(SP4). Mais chaque administrateur doit
savoir ce qu'il peut faire exactement.
Les modèles ne permettent pas de modifier quelque chose que l'on aurait
pas pu modifier par un autre biais, mais
ils offrent un moyen reproductible et
scripté d'effectuer les modifications et
ils vérifient facilement les systèmes
pour s'assurer qu'ils remplissent les
conditions du modèle. Vous pouvez
utiliser la GUI pour effectuer ces changements
manuellement, mais c'est une
opération longue. Les modèles permettent
d'effectuer facilement les cinq
tâches suivantes touchant à la sécurité.
Ce que les modèles de sécurité peuvent vous apporter
Les modèles peuvent ajuster l’appartenance
aux groupes locaux. Si les PC de
vos utilisateurs utilisent des variantes
NT, vous vous êtes probablement interrogés
sur le degré d’autonomie que
chaque utilisateur doit avoir sur son
desktop. Dans certaines sociétés, tout
le monde peut être administrateur local.
Dans d’autres, les utilisateurs ont
le statut Power User et, dans d’autres,
ils n’ont qu’un statut User simple.
Si vous limitez la puissance, ou
l’autonomie, des utilisateurs sur leurs
desktops, sachez qu’à un certain moment
vous serez obligés de lâcher
du lest, au moins temporairement.
Supposons que vous configuriez des
stations de travail qui restreignent le
groupe Administrators local au seul
compte Administrator local et au
groupe Domain Admins. Qu’advient-il
si un technicien d’assistance élève
« temporairement » un compte utilisateur
au niveau du groupe Administrators,
en se promettant d’annuler
cette action ultérieurement, puis oublie
de rétablir les bonnes autorisations
? Si vous appliquez un modèle de
sécurité qui stipule « only Administrator
and Domain Admins can be in
the local Administrators group »
(« seuls Administrator et Domain
Admins peuvent être dans le groupe
Administrators local »), la simple réapplication
du modèle évincera tous ceux
qui n’ont pas leur place dans le groupe.
Les modèles automatisent le paramétrage
de la sécurité, exactement
comme si l’on utilisait la GUI. Mais le modèle n’est pas un ange gardien qui
surveille constamment un système
pour s’assurer que les règles instaurées
par le modèle sont toujours respectées.
Le seul moyen de s’assurer que
les paramètres restent en vigueur
consiste à réappliquer manuellement
le modèle à intervalles réguliers ou à
créer une Group Policy qui applique le
modèle. (Les Group Policies se réappliquent
elles-mêmes toutes les 90 minutes
environ.) Vous pouvez faire les
mêmes choses avec Group Policies
qu’avec les modèles de sécurité. Et la
possibilité de réappliquer automatiquement
les Group Policies est particulièrement
séduisante. Mais si vous
envisagez d’utiliser Group Policies, il
vous faut un domaine AD (Active
Directory). En revanche, les modèles
fonctionnent avec ou sans domaine
AD.
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
