Organisme américain à but non lucratif, le CIS (Center for Internet Security) propose en téléchargement gratuit un outil de tests pour ordinateur fonctionnant avec Windows 2000 (station de travail ou serveur). Six séries de tests, notées de 0 à 1,66 sont menées. Ils aboutissent à un score de 10 lorsque l’ordinateur est suffisamment sécurisé pour des tests de niveau I (le CIS développe actuellement des tests de niveau II, plus sécuritaires).Les tests vérifient la présence du Service Pack 2 pour Windows 2000 et des divers Hotfixes de Microsoft. Les politiques des comptes sont contrôlées : mots de passe utilisateur (taille, présence d’une date d’expiration, complexité), déconnexion (après une heure d’inactivité, par exemple).CIS s’assure également qu’un audit précis de la machine est activé : logon (nombre, durée), modification des comptes, événements système, etc. Enfin, CIS vérifie que les options de sécurité sont validées, et en particulier que la clé de registre RestrictAnonymous est placée à 2 (pour éviter qu’un utilisateur anonyme puisse accéder à des informations du système). Le CIS donne bien sûr les solutions pour arriver à un score de 10, grâce à une documentation claire.
Un outil complémentaire de MPSA
Depuis l’été dernier, Microsoft propose un outil semblable sur son site, Microsoft Personal Security Advisor (MPSA), qui procède à un scan en ligne d’un PC avec Windows 2000 (mais uniquement pour station de travail). MPSA vérifie en outre la sécurité concernant les macros Word, Excel et PowerPoint.Toutefois, les fonctions d’audit de sécurité sont plus nombreuses dans CIS. Par exemple, CIS prend en compte les tentatives d’attaque par force brute (essais successifs de mots de passe). Ainsi, après 5 tentatives infructueuses de connexion sur un compte, les benchmarks CIS recommandent de bloquer le compte. CIS propose des tests équivalents pour les systèmes Sun Solaris.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
