Microsoft Official Course

Module 12
Sécurisation des serveurs Windows
à l'aide d'objets de stratégie
de groupe
Vue d'ensemble du module

• Vue d'ensemble de la sécurité des systèmes

d'exploitation Windows
• Configuration des paramètres de sécurité
• Restriction de l'accès aux logiciels
• Configuration du Pare-feu Windows
avec fonctions avancées de sécurité
Leçon 1 : Vue d'ensemble de la sécurité des systèmes
d'exploitation Windows

• Discussion : Identification des risques de sécurité

et des coûts associés
• Application d'une défense en profondeur pour
améliorer la sécurité
• Meilleures pratiques pour améliorer la sécurité
Discussion : Identification des risques de sécurité
et des coûts associés

• Quels sont les risques de sécurité dans

les réseaux Windows ?

10 minutes
Application d'une défense en profondeur
pour améliorer la sécurité

La défense en profondeur utilise une approche

en couches de la sécurité
• Réduit les chances de succès d'un intrus
• Augmente les chances de détecter un intrus
Stratégies, procédures Documentation sur la sécurité, sensibilisation
et sensibilisation des utilisateurs
Sécurité physique Protections, verrous, dispositifs de suivi
Périmètre Pare-feu, contrôle de quarantaine pour l'accès réseau
Réseaux Segments réseaux, IPsec, Forefront TMG 2010
Hôte Renforcement, authentification, gestion des mises à jour
Application Renforcement de la sécurité des applications, antivirus
Données Listes de contrôle d'accès, EFS, procédures
de sauvegarde/restauration
Meilleures pratiques pour améliorer la sécurité

Meilleures pratiques pour accroître la sécurité

• Appliquer rapidement toutes les mises à jour
de sécurité disponibles

• Appliquer le principe des privilèges minimum

• Restreindre la connexion de console
• Limiter l'accès physique
Leçon 2 : Configuration des paramètres de sécurité

• Configuration de modèles de sécurité

• Configuration des droits des utilisateurs
• Configuration des options de sécurité
• Configuration du contrôle de compte d'utilisateur
• Configuration de l'audit de sécurité
• Configuration des groupes restreints
• Configuration des paramètres de stratégie
de compte
Configuration de modèles de sécurité

Catégories de modèles de sécurité

• Stratégies de comptes
• Stratégies locales
• Journal des événements
• Groupes restreints
• Services système
• Registre
• Système de fichiers
Comment les modèles de sécurité sont distribués
• Secedit.exe
• Composant logiciel enfichable Modèle de sécurité
• Assistant Configuration de la sécurité
• Stratégie de groupe
• Responsable de la conformité de sécurité
Configuration des droits des utilisateurs

Types de droits des utilisateurs

• Privilèges
• Droites d'ouverture de session

Exemples
• Ajouter des stations de travail à un domaine
• Permettre l'ouverture d'une session locale
• Sauvegarder les fichiers et les répertoires
• Modifier l'heure système
• Forcer l'arrêt à partir d'un ordinateur distant
• Arrêter le système
Configuration des options de sécurité

Paramètres d'options de sécurité

• Noms des comptes Administrateur et Invité
• Accès aux lecteurs de CD/DVD
• Signatures de données numériques
• Comportement d'installation des pilotes
• Invites d'ouverture de session
• Contrôle de compte d'utilisateur
Exemples
• Prévenir l'utilisateur qu'il doit changer son mot
de passe avant qu'il n'expire
• Ne pas afficher le dernier nom d'utilisateur
• Renommer le compte administrateur
• Autoriser l'accès au CD-ROM uniquement aux
utilisateurs ayant ouvert une session localement
Configuration du contrôle de compte d'utilisateur

• Le Contrôle de compte
d'utilisateur est une
fonctionnalité de sécurité
qui invite l'utilisateur à
fournir les informations
d'identification d'un
administrateur si la tâche
requiert des autorisations
d'administration
• Le Contrôle de compte
permet aux utilisateurs
d'effectuer des
tâches quotidiennes
courantes en tant que
non-administrateurs
Configuration de l'audit de sécurité
Lors d'un audit de sécurité pour consigner les événements
liés à la sécurité, vous pouvez
• Configurer l'audit de sécurité d'après les réglementations
en matière de sécurité de votre société
• Rechercher les journaux d'audit de sécurité dans
l'Observateur d'événements
Configuration des groupes restreints

La stratégie de groupe peut contrôler l'appartenance

aux groupes
• Pour tout groupe sur un ordinateur local, en appliquant
un objet Stratégie de groupe à l'Unité d'organisation
contenant le compte d'ordinateur
• Pour tout groupe des services de domaine
Active Directory, en appliquant un objet Stratégie
de groupe à l'unité d'organisation du contrôleur
de domaine
Configuration des paramètres de stratégie de compte

Les stratégies de compte atténuent la menace des attaques

en force pour deviner les mots de passe de compte
Stratégies Paramètres par défaut
Mot de passe • Complexité des contrôles et durée de vie des mots de passé
• Durée de vie maximale des mots de passe : 42 jours
• Durée de vie minimale des mots de passe : 1 jour
• Longueur minimale des mots de passe : 7 caractères
• Mot de passe complexe : active
• Enregistrer les mots de passe en utilisant un cryptage
réversible : désactivé
Verrouillage • Contrôle le nombre de tentatives incorrectes qui peuvent
de compte être effectuées
• Durée de verrouillage non défini
• Seuil de verrouillage : 0 tentatives d'ouvertures de session
non valides
• Réinitialiser le verrouillages du compte après : non défini
Kerberos • Sous-ensemble des attributs de la stratégie de sécurité
de domaine
• Peut uniquement être appliqué au niveau du domaine
Atelier pratique A : Renforcement de la sécurité
des ressources de serveur

• Exercice 1 : Utilisation des stratégies de groupe

pour sécuriser les serveurs membres
• Exercice 2 : Audit de l'accès au système de fichiers
• Exercice 3 : Audit des connexions au domaine

Informations d'ouverture de session

Ordinateurs virtuels 22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-CL1
Nom d'utilisateur ADATUM\Administrateur
Mot de passe Pa$$w0rd
Durée approximative : 60 minutes
Scénario d'atelier pratique
A. Datum Corporation est une société internationale d'ingénierie et de
fabrication, dont le siège social est basé à Londres, en Angleterre. Un bureau
informatique et un centre de données sont situés à Londres pour assister
le siège social de Londres et d'autres sites. A. Datum a récemment déployé
une infrastructure Windows Server 2012 avec des clients Windows 8
Vous avez travaillé pour A. Datum pendant plusieurs années en tant que
spécialiste du support technique. Votre fonction consistait à examiner
les ordinateurs de bureau pour résoudre les problèmes d'application et
les problèmes réseau. Vous avez récemment accepté une promotion au
sein de l'équipe d'assistance technique des serveurs. En tant que nouveau
membre de l'équipe, votre rôle consiste à aider à déployer et configurer de
nouveaux serveurs et services dans l'infrastructure existante, conformément
aux instructions fournies par votre responsable informatique
Votre responsable vous a donné quelques paramètres relatifs à la sécurité
qui doivent être implémentés sur tous les serveurs membres. Vous devez
également implémenter l'audit du système de fichiers pour un partage
de fichiers utilisé par le service Marketing. Enfin, vous devez implémenter
l'audit pour les connexions au domaine
Contrôle des acquis de l'atelier pratique

• Que se passe-t-il si vous configurez le groupe

Administrateurs d'ordinateur, mais pas le groupe
Administrateurs de domaine, comme membre
du groupe Administrateurs local sur tous les
ordinateurs dans un domaine ?
• Pourquoi avez-vous besoin de ne pas autoriser
une connexion locale sur certains ordinateurs ?
• Que se passe-t-il lorsqu'un utilisateur non autorisé
essaie d'accéder à un dossier pour lequel l'audit
est activé pour les accès réussis et infructueux ?
• Que se passe-t-il lorsque vous configurez l'audit
des connexions au domaine pour les tentatives
de connexion réussies et infructueuses ?
Leçon 3 : Restriction de l'accès aux logiciels

• Que sont les stratégies de restriction logicielle ?

• Qu'est-ce qu'AppLocker ?
• Règles AppLocker
• Démonstration : Création de règles AppLocker
Que sont les stratégies de restriction logicielle ?

• Les stratégies de restriction logicielle permettent

aux administrateurs d'identifier les applications
qui sont autorisées à s'exécuter sur les ordinateurs
client
• Les stratégies de restriction logicielle reposent
sur les éléments suivants
• Hachage
• Certificat
• Chemin d'accès
• Zone
• Les stratégies de restriction logicielle sont
appliquées via une stratégie de groupe
Qu'est-ce qu'AppLocker ?
AppLocker applique des stratégies de contrôle de l'application
dans Windows Serveur 2012 et Windows 8
AppLocker comporte des fonctions et des extensions qui
• Réduisent la charge d'administration
• Permettent aux administrateurs de contrôler le mode d'accès
et d'utilisation des fichiers suivants par les utilisateurs
• fichiers .exe
• scripts
• Fichiers du programme d'installation de Windows
(fichiers .msi et .msp)
• DLL
Avantages d'AppLocker
• Contrôle la façon dont les utilisateurs peuvent accéder à tous
les types d'applications et les exécuter
• Permet la définition de règles basées sur une grande variété
de variables
• Permet d'importer et d'exporter l'intégralité de stratégies AppLocker
Règles AppLocker

AppLocker définit des règles basées sur des attributs

de fichier tels que
• Nom de l'éditeur
• Nom du produit
• Nom de fichier
• Version de fichier

Actions de règle
• Conditions Autoriser ou Refuser
• Stratégies Appliquer ou Auditer uniquement
Démonstration : Création de règles AppLocker

Dans cette démonstration, vous allez apprendre à

• Créer un objet de stratégie de groupe pour appliquer
les règles exécutables AppLocker par défaut
• Appliquer l'objet de stratégie de groupe au domaine
• Tester la règle AppLocker
Leçon 4 : Configuration du Pare-feu Windows avec
fonctions avancées de sécurité

• Qu'est-ce que le Pare-feu Windows avec fonctions

avancées de sécurité ?
• Discussion : Pourquoi un pare-feu basé sur l'hôte
est-il important ?
• Profils de pare-feu
• Règles de sécurité de connexion
• Déploiement des règles de pare-feu
Qu'est-ce que le Pare-feu Windows avec fonctions
avancées de sécurité ?
Le Pare-feu Windows est un pare-feu hôte avec état qui
autorise ou bloque le trafic réseau selon la configuration
• Prend en charge le filtrage du trafic entrant et sortant
• Intègre les paramètres de filtrage de pare-feu et de
protection IPsec
• Vous permet de configurer les règles de contrôle du trafic
réseau
• Fournit les profils prenant en charge l'emplacement réseau
• Vous permet d'importer ou d'exporter des stratégies

Les règles de Windows Server 2008 Internet

pare-feu contrôlent
le trafic entrant
et sortant Pare-feu LAN
Discussion : Pourquoi un pare-feu basé sur l'hôte
est-il important ?

• Pourquoi est-il important d'utiliser un pare-feu

hôte tel que le Pare-feu Windows avec fonctions
avancées de sécurité ?

10 minutes
Profils de pare-feu

Les profils de pare-feu sont un ensemble de paramètres de

configuration qui s'appliquent à un type particulier de réseau
Ces profils sont les suivants
• Domaine
• Public
• Privé

Dans Windows Server 2012, il est possible d'avoir

plusieurs profils actifs de pare-feu
Règles de sécurité de connexion

Règles de sécurité de connexion

• Authentifier deux ordinateurs avant qu'ils ne puissent
commencer à communiquer
• Sécuriser les informations envoyées entre deux ordinateurs
• Utiliser l'échange de clé, l'authentification, l'intégrité des
données et le chiffrement de données (facultativement)

Lien entre les règles de pare-feu et les règles de connexion

• Les règles de Pare-feu autorisent le trafic à passer,
mais ne sécurisent pas ce trafic
• Les règles de sécurité de connexion peuvent sécuriser
le trafic, mais seulement si une règle de pare-feu a été
préalablement configurée
Déploiement des règles de pare-feu

Vous pouvez déployer des règles de Pare-feu Windows

• À l'aide du Pare-feu Windows avec fonctions avancées
de sécurité
• À l'aide d'une stratégie de groupe
• En exportant et en important des règles de pare-feu
Atelier pratique B : Configuration d'AppLocker
et du Pare-feu Windows

• Exercice 1 : Configuration des stratégies AppLocker

• Exercice 2 : Configuration du Pare-feu Windows

Informations d'ouverture de session

Ordinateurs virtuels 22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-CL1
Nom d'utilisateur Adatum\Administrateur
Mot de passe Pa$$w0rd

Durée approximative : 60 minutes

Scénario d'atelier pratique

A. Datum Corporation est une société internationale d'ingénierie et de

fabrication, dont le siège social est basé à Londres, en Angleterre. Un bureau
informatique et un centre de données sont situés à Londres pour assister
le siège social de Londres et d'autres sites. A. Datum a récemment déployé
une infrastructure Windows Server 2012 avec des clients Windows 8
Vous avez travaillé pour A. Datum pendant plusieurs années en tant que
spécialiste du support technique. Votre fonction consistait à examiner les
ordinateurs de bureau pour résoudre les problèmes d'application et les
problèmes réseau. Vous avez récemment accepté une promotion au sein de
l'équipe d'assistance technique des serveurs. En tant que nouveau membre
de l'équipe, votre rôle consiste à aider à déployer et configurer de nouveaux
serveurs et services dans l'infrastructure existante, conformément aux
instructions fournies par votre responsable informatique
Votre responsable vous a chargé d'implémenter AppLocker pour empêcher
l'exécution d'applications non standard. Il vous a également demandé de créer
de nouvelles règles de Pare-feu Windows pour tous les serveurs membres qui
exécutent des applications Web
Contrôle des acquis de l'atelier pratique

• Vous avez configuré une règle AppLocker

en fonction d'un chemin d'accès de logiciel.
Comment pouvez-vous empêcher les utilisateurs
de déplacer le dossier contenant le logiciel pour
qu'ils puissent continuer à exécuter ce logiciel ?
• Vous souhaitez introduire une nouvelle
application qui requiert l'utilisation de ports
spécifiques. De quelles informations avez-vous
besoin pour configurer le Pare-feu Windows
avec fonctions avancées de sécurité, et de
quelle source pouvez-vous les obtenir ?
Contrôle des acquis et éléments à retenir

• Questions de contrôle des acquis

• Outils
• Méthode conseillée
• Problèmes courants et conseils relatifs
à la résolution des problèmes