Contenu de SCW

la dernière stratégie appliquée.

2. Sélectionner le serveur que l’on utilisera comme serveur de base pour la création de la stratégie, le serveur sur lequel on modifiera une stratégie, ou celui sur lequel on appliquera ou rappellera une stratégie.

3. Examiner le contenu de la Security Configuration Database, comme le montre la figure Web 1 (http://www.itpro.fr Club abonnés). C’est l’occasion d’étudier ou de revoir quels rôles et services le serveur doit assumer, avant de passer à la génération réelle d’un fichier de stratégies SCW ou à la configuration d’un serveur.

4. Configurer les services basés sur le rôle. Avant d’aborder cette section de SCW, il faut avoir une vue complète des rôles et des services qui seront demandés à un serveur particulier. Cette section comporte plusieurs étapes, dont toutes permettent d’activer ou de désactiver des services de serveur et de bloquer ou de débloquer des ports de réseau en cochant ou en décochant les cases des rôles et des options de configuration.

Select server roles, qui inclut DC, serveur DHCP, serveur DFS, serveur de fichiers et serveur d’arrière-plan d’Exchange Server 2003. Pour voir les rôles et services que demande un rôle particulier, cliquer sur le triangle qui pointe sur le rôle, comme illustré figure 1.

Select client features. Les fonctions client sont des services qui utilisent les services offerts par d’autres serveurs (comme le service client DHCP). Pour voir les services nécessaires à une fonction client particulière, cliquer sur le triangle qui pointe sur le rôle.

Select administration and other options. Cette étape énumère toutes les options que l’on peut installer sur le serveur (Alerter, Time Synchronization, UPS service, par exemple). Pour voir les serveurs requis pour une option d’administration particulière, cliquer sur le triangle qui pointe sur le rôle.

Select additional services. Ce sont les services qui ne sont pas définis dans la base de données SCW mais que SCW a trouvés sur la machine.

Handle unspecified services. Cette étape permet de désactiver les services qui n’étaient pas spécifiés dans les pages SCW précédentes.

Si l’on crée une nouvelle stratégie, SCW affiche, par défaut, les rôles, fonctions client et options d’administration actuellement installés sur le serveur sur lequel s’exécute le wizard. Si l’on modifie une stratégie existante, le wizard affiche les rôles, les fonctions client et les fonctions d’administration validés par la stratégie. Pour afficher, par exemple, tous les rôles définis dans la base de données SCW, sélectionner l’option All Roles dans le menu déroulant View qu’illustre la figure 1. SCW ne peut pas configurer les paramètres de stratégie de sécurité pour les rôles ICS (Internet Connection Sharing), ISA (Internet Security and Acceleration) Server, RRAS, ou SBS (Small Business Server) parce que ces rôles ne sont pas définis dans la base de données SCW.

5. Configurer la sécurité du réseau. Dans ces étapes, on peut définir les paramètres Windows Firewall et IP Security (IPSec) (c’est-à-dire que l’on peut définir des ports entrants ouverts ou bloqués et les applications autorisées à utiliser des ports particuliers). SCW n’affiche pas tous les ports mais se contente de les filtrer d’après les options de service et de rôle sélectionnées dans la section précédente. Si l’on ne voit pas un port particulier, on peut l’ajouter en cliquant sur Add sur la page Open Ports and Approve Applications. Pour configurer les paramètres IPSec d’un port particulier, cliquer sur Advanced sur la page Open Ports and Approve Applications. Sur les machines munies de plusieurs NIC, on peut désactiver ou activer les ports individuels pour certaines interfaces en utilisant l’onglet Local Interface Restrictions dans la boîte de dialogue Advanced Port Properties. La figure 2 montre la boîte de dialogue utilisée pour restreindre l’accès à distance à un port système local en utilisant IPSec pour une certaine adresse IP, nom d’ordinateur, subnet IP ou plage d’adresses IP.

6. Configurer les paramètres des registres. Dans cette section, on peut configurer un ensemble d’options de sécurité concernant les protocoles de communication Windows, y compris la signature de SMB (Server Message Block) et de LDAP (Lightweight Directory Address Protocol) et le niveau de compatibilité LM. Ce dernier sert à déterminer quelles versions du protocole d’authentification NTLM (NT LAN Manager) sont mises à disposition des utilisateurs du serveur. Le tableau Web 1 récapitule les paramètres de registres configurables au moyen de SCW.

7. Configurer la stratégie d’audit. Cette section permet de définir les options d’audit d’un serveur Windows. Elles sont au nombre de trois : ne pas auditer, n’auditer que les événements réussis, et auditer les événements réussis ou non. L’option d’audit choisie ici s’appliquera aux différentes catégories d’audit Windows (audit system events, audit logon events, par exemple).

8. Configurer Microsoft IIS. Cette section ne concerne que les serveurs pour lesquels on a choisi le rôle de serveur Web. On peut y configurer plusieurs paramètres associés à IIS, comme les extensions de service Web supportées (Active Server Pages – ASP), les répertoires virtuels retenus, et le blocage ou le déblocage de l’accès anonyme au contenu Web.

9. Sauvegarder la politique de sécurité, l’examiner et inclure les modèles de sécurité. Cette section permet de sauvegarder et de visualiser la stratégie complète, à l’issue de sa création ou de sa modification, ainsi que d’importer des modèles de sécurité existants (fichier .inf) dans la stratégie comme le montre la figure 3. Cette fonction est nécessaire parce qu’on ne peut pas utiliser SCW pour configurer tous les paramètres de sécurité que l’on peut configurer en utilisant les modèles de sécurité que SCE et les GPO utilisent. Les paramètres que SCW applique à cause d’un modèle de sécurité importé ne peuvent pas être annulés au moyen de l’option rappel de SCW. La figure 3 montre bien qu’il est possible d’importer de multiples modèles dans une seule stratégie SCW et de les classer par ordre de priorité d’application.

10. Appliquer la stratégie maintenant ou plus tard. Le wizard permet d’appliquer la stratégie immédiatement ou de la mettre de côté pour l’appliquer ultérieurement.