Le SCW

désactiver les services superflus
• désactiver les extensions Web Microsoft IIS superflus
• désactiver les protocoles superflus
• configurer les paramètres d’audit

Compte tenu de l’importance que revêt SCW, on se demande bien pourquoi le wizard n’est pas installé par défaut. Au lieu de cela, fidèle aux principes d’interruptions minimales de Microsoft, l’installation SP1 place l’icône SCW sur le bureau. Mais en cliquant sur cette icône on n’obtient que les fichiers d’aide SCW et pas l’installation du wizard. Pour l’installer, il faut utiliser l’option Add/Remove Windows Components du panneau de commande puis cocher la case SCW, comme le montre la figure 1. L’opération d’installation ajoute l’option Security Configuration Wizard au menu Administrative Tools.

Lors de son exécution, le SCW vous demande, par une suite de boîtes de dialogue, de préciser son rôle. L’ensemble de rôles de SCW est extensible. La boîte de dialogue Security Configuration Database de la figure 2 montre un exemple de rôle. Les rôles préconfigurés sont stockés en tant que fichiers XML dans le répertoire %winnt\security\ msscw\kbs. Les stratégies de sécurité que vous créez sont sauvegardées dans le répertoire %winnt%\security\ msscw\Policies. S’agissant de fichiers XML, vous pouvez les modifier et les copier dans d’autres serveurs. Une fonction SCW intéressante est de pouvoir créer une stratégie de sécurité Windows à partir d’une installation de serveur existante. Vous pouvez ainsi partir d’un système de base et le configurer à votre gré, et créer une stratégie fondée sur les paramètres de ce système que vous pourrez appliquer à d’autres. Pour créer une nouvelle stratégie basée sur un système existant, exécutez le SCW et choisissez l’option Create a new security. Entrez le nom du système que vous voulez utiliser comme modèle, complétez les étapes du wizard et sauvegardez la stratégie.

Le SCW peut aussi annuler les stratégies de sécurité que vous avez créées avec lui. Vous pouvez annuler une stratégie de sécurité précédemment installée en exécutant le SCW, en sélectionnant l’option Rollback the last applied security policy, et en entrant le nom de l’adresse IP du système pour lequel vous voulez annuler la stratégie. Il est ainsi facile de ramener le serveur à un état antérieur si l’on n’obtient pas le résultat escompté. Le SCW peut aussi analyser des systèmes existants pour déterminer s’ils sont conformes avec vos stratégies de sécurité. Windows 2003 SP1 inclut le nouvel utilitaire ligne de commande scwcmd.exe qui permet d’appliques des stratégies SCW à partir de scripts administratifs ou d’inclure un appel adressé à l’utilitaire scwcmd.exe dans le fichier cmdlines.txt pour des opérations de mise en place sans assistance.