Garantir la livraison des stratégies de sécurité

pour
créer et éditer un GPO lié à  AD, vous
stockez les paramètres du GPO dans
l’AD de l’ordinateur et le volume système
(\sysvol) et vous édictez la stratégie
que le GPO livrera sur l’ordinateur.
Les CSE (client-side extensions) sur
l’ordinateur traitent les paramètres et
mettent en oeuvre les changements de
configuration. Microsoft implémente
les CSE comme des DLL et les livre
avec l’OS. Chaque domaine de stratégie majeure a un CSE; par exemple, il
existe des CSE pour les stratégies d’installation,
de sécurité et de modèles administratifs.
On peut visualiser les CSE déjà  enregistrés
sur une machine donnée en
ouvrant le registre et en examinant les
sous-clés sous la sous-clé HKEY_LOCAL_
MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\WinlogonGPExtensions. Chaque sous-clé
nommée d’après le GUID (globally
unique identifier) sous la sous-clé
GPExtensions représente un CSE. A
l’intérieur de ces sous-clés nommées
d’après le GUID, on trouve le nom du
DLL qui implémente la fonctionnalité
des stratégies et les valeurs qui guident
le comportement du CSE quand il
traite les paramètres des stratégies.
Tous les CSE partagent un comportement
par défaut : ils ne retraitent pas
les paramètres d’un GPO si celui-ci n’a
pas changé depuis la dernière fois où il
a été traité. Windows traite une stratégie
spécifique à  un ordinateur comme
une stratégie de sécurité au moment
du démarrage (ou de l’arrêt) de la machine,
tandis qu’une stratégie spécifique
à  l’utilisateur est traitée au moment
de la connexion ou de la
déconnexion de l’utilisateur. Ces deux
événements sont appelés processus
d’avant plan. Outre ces deux processus,
Windows traite des stratégies dans
l’arrière-plan toutes les 90 minutes
(plus une valeur glissante) sur les stations
de travail et les serveurs
membres et toutes les 5 minutes sur
les DC. En revanche, les CSE sautent le
traitement d’avant-plan ou d’arrièreplan
d’un GPO donné s’il n’a pas
changé depuis le dernier cycle de traitement.
De sorte que, si un utilisateur
modifie sa configuration locale d’une
manière qui enfreint la stratégie que
votre GPO lié à  AD édicte, ce changement
local reste en vigueur jusqu’à  ce
que quelqu’un change le GPO qui
contrôle cette stratégie, ce qui risque
de ne pas se produire avant un certain
temps. C’est pourquoi la sécurité CSE
rafraîchit périodiquement les stratégies
de sécurité, que le GPO ait changé
ou non. La valeur MaxNoGPO
ListChangesInterval de la sous-clé
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows NT\CurrentVersionWinlogon\GPExtensions\{827D31
9E-6EAC-11D2-A4EA-00C04F79F83A}
contrôle l’intervalle de rafraîchissement.
La valeur par défaut est de 960
minutes (16 heures) mais on peut
l’augmenter ou la diminuer en modifiant
la valeur du registre.
Si vous voulez appliquer rigoureusement
vos stratégies de sécurité, vous
pouvez régler la sécurité CSE de manière
à  ce qu’elle traite les stratégies de
sécurité à  chaque cycle de traitement,
que le GPO ait changé ou non. Ce traitement
supplémentaire va bien sûr engendrer
plus d’overhead, mais vous pouvez activer le traitement au niveau
de chaque machine, afin que les serveurs
ou stations de travail les plus cruciaux
bénéficient de la configuration
de sécurité la plus actualisée.
Pour modifier le comportement du
security CSE sur un ordinateur, ouvrez
le Group Policy Object Editor et naviguez
jusqu’à  Computer ConfigurationAdministrative TemplatesSystem\Group Policy\Security Policy
Processing sous un GPO qui est traité
par l’ordinateur. Sélectionnez Process
even if the Group Policy objects have
not changed, comme le montre la figure
2. La machine ne rafraîchira pas
les stratégies de sécurité pendant
chaque cycle de traitement d’avantplan
et d’arrière-plan.
Je viens de couvrir quelques-uns
des mécanismes permettant de déployer
des stratégies de sécurité basées
sur le GPO. Voyons maintenant
comment tirer le meilleur parti de certains
des domaines des stratégies de
sécurité Windows les plus répandus.