Un serveur Windows 2000 installé par défaut et placé sur un in-tranet est peu sécurisé. Il est nécessaire d’ajuster un certain nombre de ses paramètres liés à la sécurité pour obtenir une meilleure protection. Cette mise en ?”uvre constitue un mode d’emploi en 11 étapes, qu’il s’agisse d’un serveur web ou d’un serveur de fichiers. Nous aborderons le mois prochain les éléments complémentaires à mettre en ?”uvre dans le cas d’un serveur Windows 2000 destiné à être accessible depuis internet.
1. Rassemblez vos outils
Les outils d’administration permettant de configurer les fonctions de sécurité de Windows 2000 sont plus maniables que ceux de Windows NT 4.0. Certains sont accessibles depuis le menu “Démarrer/Outils d’administration”. On y trouve la “Gestion de l’ordinateur” ainsi que la “Stratégie de sécurité locale”. Si l’ordinateur est contrôleur de domaine, des outils supplémentaires gèrent les do-maines et approbations, les sites et services d’Active Directory, ainsi que les stratégies de sécurité du contrôleur de domaine et du domaine. D’autres, enfin, se présentent également sous forme de composants enfichables dans la MMC (Microsoft Management Console), mais doivent être ajoutés manuellement à une MMC personnalisée (écran 1). Lancez la MMC en cliquant sur “Démarrer”, “Exécuter” et en saisissant “mmc.exe”. Dans le menu “Console”, choisissez “Ajouter/Supprimer un composant logiciel enfichable…”, sélectionnez les outils listés et validez.
2. Installez un système robuste
Après vous être assuré que la sécurité physique de votre serveur est valide et que celui-ci est surtout destiné à être consulté depuis le réseau, respectez les 3 points suivants : n’utilisez que des partitions NTFS (NT File System) ; installez le dernier Service Pack (le SP1 actuellement) et les derniers hotfixes (récupérables à l’adresse http://windowsupdate.microsoft.com) par ordre chronologique ; enfin, désinstallez les protocoles réseaux non utilisés (IPX/SPX, NetBEUI).
3. Désactivez les services inutiles
Cantonnez-vous aux services nécessaires, c’est-à-dire Event Log, NT LM Security Support Provider, Remote Procedure Call (RPC), Security Accounts Manager et Workstation.
4. Renforcez vos stratégies
Configurez vos stratégies de mots de passe et de verrouillage de comptes (écrans 2 et 3). Une durée de verrouillage des comptes à “0” signifie que le compte est fermé définitivement, jusqu’à ce qu’un administrateur le déverrouille.Le paramètre “Les mots de passe doivent respecter des exigences de complexité” vous oblige à choisir un mot de passe robuste ne figurant pas dans le dictionnaire, qui mêle lettres, chiffres et caractères spéciaux (paul#53 par exemple). Veillez à ne jamais réutiliser le même mot de passe pour des comptes et des endroits différents. Enfin, désactivez le compte “Invité” et renommez le compte administrateur avec un dénominatif plus complexe.
5. Modifiez les droits utilisateurs
Retirez les groupes “Tout le monde” et “Invité” pour le droit “Ouvrir une session localement”, et supprimez “Tout le monde” pour le droit “Accéder à cet ordinateur à partir du réseau”. Pour les autres droits, vous pouvez parcourir la liste et effectuer toute modification jugée nécessaire selon vos besoins spécifiques. Il est possible, par exemple, d’affecter des groupes au droit “Refuser d’ouvrir une session localement”.
6. Autres configurations de sécurité
Les configurations de sécurité complémentaires s’effectuent dans la rubrique “Options de sécurité”, accessible depuis les outils “Stratégie de sécurité locale” ou “Configuration et analyse de la sécurité”. Il convient notamment de renommer le compte administrateur, en “BugsBunny” par exemple, et d’ajouter des restrictions supplémentaires pour les connexions anonymes, comme “Ne pas permettre l’énumération des comptes de la SAM et des partages” (mettre RestrictAno nymous à 1 dans la clé “HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlLsa”).Les configurations plus avancées se font directement dans la base de registre de Windows 2000. Par exemple, désactivez les partages administratifs automatiques (C$, D$, ADMIN$…) en allant dans la clé : “HKEY_LOCAL_MACHINESystemCur rentControlSetServicesLanmanServerParameters” et en créant une valeur “REG_DWORD” nommée “AutoShareWks” pour un poste de travail et “AutoShareServer” pour un serveur. Dans les deux cas, la valeur doit être 0.
7. Sécurisez votre base de registre
Par défaut, sous Windows 2000, l’accès à distance à la base de registre est plus restrictif que sous Windows NT 4.0. De même, les permissions d’accès sur les clés sont plus sécurisées. En particulier, le groupe “Tout le monde” n’a plus accès à la plupart des clés : il faut au moins être un utilisateur authentifié pour cela. Toutefois, vérifiez que ceux-ci n’ont que des permissions en lecture sur les clés sensibles telles que “HKEY_LOCAL_ MACHINESOFTWARE MicrosoftWindows CurrentVersionRun” et “HKEY_LOCAL_MACHINE SOFTWAREMicrosoft Windows CurrentVersionRun Once”.
8. Renforcez vos permissions
Lorsque vous créez un partage du réseau, les permissions d’accès par défaut qui lui sont affectées sont “Contrôle total” pour le groupe “Tout le monde”. Vous devez donc les restreindre, aux utilisateurs authentifiés par exemple. Vos partitions doivent bien sûr être en NTFS pour affecter des permissions d’accès aux fichiers et répertoires. Sous Windows 2000, ces permissions par défaut sont plus fortes que sous Windows NT 4.0. Par exemple, le groupe “Tout le monde” n’y a accès qu’en exécution sur les exécutables du répertoire “WINNT”, sans autre authorisation sur ce répertoire. Vérifiez donc bien que vos permissions d’accès aux fichiers système se combinent correctement avec celles définies par le partage réseau. EFS (Encrypting File System) chiffre des fichiers et des répertoires. Mais il est mono-utilisateur : seul celui qui a chiffré pourra déchiffrer, en dehors de l’agent de récupération de clés. De plus, le chiffrement ne remplace pas les permissions d’accès. Un fichier chiffré peut ainsi être détruit si vous n’avez pas configuré les permissions d’accès à ce fichier.
9. Activez l’audit
L’audit enregistre, dans le journal d’événements de Windows 2000, des éléments vous montrant ce qui s’est passé sur votre système. Pour activer l’audit, utilisez l’outil “Stratégie de sécurité locale”. Configurez votre stratégie d’audit comme l’indique l’écran 4. Configurez également l’audit de vos fichiers sensibles à partir de l’Explorateur Windows et l’audit des clés de la base de registre qui vous intéressent à partir de l’éditeur de registre “regedt32.exe”.
10. Maintenez votre système à jour
Tenez-vous informé de tous les correctifs qui sortent sur le site microsoft.com/security. Ces correctifs remanient les vulnérabilités réguliè-rement découvertes. Appliquez-les dès leur sortie pour prémunir votre système contre de nouvelles attaques. Un système en langue anglaise sera plus rapidement maintenu à jour car les correctifs sortent d’abord en version américaine…
11. Contrôlez périodiquement l’état de votre système
Une fois votre système correctement paramétré, il faut vous assurer qu’il le demeure. Pour remettre à jour sa configuration périodiquement, vous pouvez utiliser l’outil “Configuration et analyse de la sécurité” en mode ligne de commande (“secedit.exe”), et en créant une tâche planifiée pour le lancer, par exemple.Le mois prochain, nous aborderons les éléments complémentaires à mettre en ?”uvre dans le cas d’un serveur Windows 2000 accessible depuis internet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
