> Tech > Ce que les modèles de sécurité peuvent vous apporter

Ce que les modèles de sécurité peuvent vous apporter

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Minasi - Mis en ligne le 17/11/2003

Découvrez le moyen reproductible et scripté de faire des modifications

Les verrous rendent perplexes les administrateurs de Windows Server 2003, XP et Win2K : il est certes possible de sécuriser les stations de travail et les serveurs, mais n'est-ce pas une opération trop longue dans la pratique ? L'idéal est un moyen de scripter le processus d'établissement de la sécurité, qui ajuste automatiquement l'ensemble des paramètres concernant la sécurité en fonction de votre organisation particulièreLa famille Windows NT - Windows XP, Windows 2000, NT 4.0 et NT 3.x - est réputée pour son insécurité. Pour ma part, je considère que ces platesformes (ainsi que les variantes Novell NetWare et Unix) sont toutes sûres parce qu'elles sont dotées de milliers de « verrous » - des éléments d'OS qui contribuent à  la sécurité en permettant de stipuler que seule la personne X peut effectuer l'action Y sur l'objet Z. Mais il existe une différence entre NT et NetWare : bien que les deux OS possèdent de tels verrous, une installation NetWare standard met en place les verrous puis demande aux administrateurs de choisir ceux qu'ils veulent déverrouiller. A l'inverse, une installation NT standard laisse la plupart de ses verrous inactifs puis laisse aux administrateurs le soin de choisir ceux qu'ils veulent. (Cette information ne s'applique pas à  Windows Server 2003, dont le concept épouse la stratégie NetWare. Win2K a davantage d'options verrouillées par défaut que NT 4.0 et XP est, en standard, plus strict que Win2K Professional.)
Les verrous rendent perplexes les administrateurs de Windows Server 2003, XP et Win2K : il est certes possible de sécuriser les stations de travail et les serveurs, mais n'est-ce pas une opération trop longue dans la pratique ? XP est un excellent OS mais, s'il faut visiter chaque desktop et intervenir sur quelques dizaines d'autorisations et de droits pour s'assurer que le desktop est sécurisé, le déploiement de XP ou de toute autre variante NT s'avère long et coûteux. L'idéal est un moyen de scripter le processus d'établissement de la sécurité, qui ajuste automatiquement l'ensemble des paramètres concernant la sécurité en fonction de votre organisation particulière.
Heureusement, une telle méthode existe. Les modèles de sécurité sont des fichiers texte ASCII qui permettent de définir de nombreux paramètres : droits et paramètres de sécurité locaux, appartenance à  un groupe local, services, autorisations de fichiers et de répertoires et autorisations de registre. Dès lors qu'un modèle de sécurité est créé, une simple commande suffit pour l'appliquer et pour faire agir tous ses paramètres. L'heure passée à  régler le registre, le snap-in Microsoft Management Console (MMC) Computer Management et d'autres outils se transforme en un travail de quelques minutes.Heureusement, une telle méthode existe. Les modèles de sécurité sont des fichiers texte ASCII qui permettent de définir de nombreux paramètres : droits et paramètres de sécurité locaux, appartenance à  un groupe local, services, autorisations de fichiers et de répertoires et autorisations de registre. Dès lors qu'un modèle de sécurité est créé, une simple commande suffit pour l'appliquer et pour faire agir tous ses paramètres. L'heure passée à  régler le registre, le snap-in Microsoft Management Console (MMC) Computer Management et d'autres outils se transforme en un travail de quelques minutes.
Les modèles de sécurité ne sont pas nouveaux dans Windows Server 2003 ou XP : ils ont fait leur première apparition dans NT 4.0 Service Pack (SP4). Mais chaque administrateur doit savoir ce qu'il peut faire exactement. Les modèles ne permettent pas de modifier quelque chose que l'on aurait pas pu modifier par un autre biais, mais ils offrent un moyen reproductible et scripté d'effectuer les modifications et ils vérifient facilement les systèmes pour s'assurer qu'ils remplissent les conditions du modèle. Vous pouvez utiliser la GUI pour effectuer ces changements manuellement, mais c'est une opération longue. Les modèles permettent d'effectuer facilement les cinq tâches suivantes touchant à  la sécurité.

Ce que les modèles de sécurité peuvent vous apporter

Les modèles peuvent ajuster l’appartenance
aux groupes locaux. Si les PC de
vos utilisateurs utilisent des variantes
NT, vous vous êtes probablement interrogés
sur le degré d’autonomie que
chaque utilisateur doit avoir sur son
desktop. Dans certaines sociétés, tout
le monde peut être administrateur local.
Dans d’autres, les utilisateurs ont
le statut Power User et, dans d’autres,
ils n’ont qu’un statut User simple.
Si vous limitez la puissance, ou
l’autonomie, des utilisateurs sur leurs
desktops, sachez qu’à  un certain moment
vous serez obligés de lâcher
du lest, au moins temporairement.
Supposons que vous configuriez des
stations de travail qui restreignent le
groupe Administrators local au seul
compte Administrator local et au
groupe Domain Admins. Qu’advient-il
si un technicien d’assistance élève
« temporairement » un compte utilisateur
au niveau du groupe Administrators,
en se promettant d’annuler
cette action ultérieurement, puis oublie
de rétablir les bonnes autorisations
? Si vous appliquez un modèle de
sécurité qui stipule « only Administrator
and Domain Admins can be in
the local Administrators group »
(« seuls Administrator et Domain
Admins peuvent être dans le groupe
Administrators local »), la simple réapplication
du modèle évincera tous ceux
qui n’ont pas leur place dans le groupe.
Les modèles automatisent le paramétrage
de la sécurité, exactement
comme si l’on utilisait la GUI. Mais le modèle n’est pas un ange gardien qui
surveille constamment un système
pour s’assurer que les règles instaurées
par le modèle sont toujours respectées.
Le seul moyen de s’assurer que
les paramètres restent en vigueur
consiste à  réappliquer manuellement
le modèle à  intervalles réguliers ou à 
créer une Group Policy qui applique le
modèle. (Les Group Policies se réappliquent
elles-mêmes toutes les 90 minutes
environ.) Vous pouvez faire les
mêmes choses avec Group Policies
qu’avec les modèles de sécurité. Et la
possibilité de réappliquer automatiquement
les Group Policies est particulièrement
séduisante. Mais si vous
envisagez d’utiliser Group Policies, il
vous faut un domaine AD (Active
Directory). En revanche, les modèles
fonctionnent avec ou sans domaine
AD.

Téléchargez gratuitement cette ressource

Zero Trust : Le Livre Blanc Architecture & Stratégie

Zero Trust : Le Livre Blanc Architecture & Stratégie

Comment mettre en place une architecture Zero Trust ? (ZTA, confiance zéro) ? Cette architecture qui consiste à authentifier et à autoriser chaque utilisateur et chaque appareil avant que l'accès aux données ne soit autorisé. Découvrez pas à pas la stratégie de mise en œuvre d'une architecture Zero Trust dans ce livre blanc Alcatel Lucent Entreprise.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT