Vous êtes sur la page 1sur 220

Conseils en matire de scurit des TI

Scurit de base recommande pour Windows Server 2003

mars 2004

ITSG-20

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Avant-propos
Le document Scurit de base recommande pour Windows Server 2003 est non classifi, et il est publi avec lautorisation du chef, Centre de la scurit des tlcommunications (CST). Le CST sest bas sur les documents Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP de Microsoft, comme ouvrages de rfrence. Toute proposition ou modification peut tre achemine par la voie ministrielle habituelle au Chef, Centre de contact avec la clintele au CST. Pour obtenir des copies supplmentaires ou faire modifier la liste de distribution, veuillez vous adresser au au reprsentant des Services la clientle, CST, affect votre ministre. Centre de contact avec la clintele cryptosvc@cse-cst.gc.ca 613-991-8495 (tel)

_______________________________________ Diane Keller Directrice/I, Architecture et ingnierie

2004 Gouvernement du Canada, Centre de la scurit des tlcommunications Il est permis de faire des extraits de cette publication, pourvu que ces extraits servent lusage des ministres du gouvernement du Canada. Pour utiliser ces extraits pour tout usage commercial, on doit obtenir au pralable la permission crite du CST.

Avant-propos

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

ii

Mars 2004

Avant-propos

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

Avant-propos

Mars 2004

iii

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Dni de responsabilit
Cet examen de produit a t prpar par le CST lintention du gouvernement fdral. Cet examen est officieux et de porte limite. Il ne sagit pas dune valuation exhaustive, et ne constitue pas une homologation du produit par le CST. Son contenu reflte le meilleur jugement du CST, compte tenu de linformation au moment de la prparation du rapport. Toute utilisation de ce rapport par une tierce partie ou toute rfrence ou dcision base sur celui-ci est la seule responsabilit de ladite partie. Le CST se dgage de toute responsabilit lgard des dommages encourus par toute tierce partie la suite de dcisions ou dactions prises sur la base du prsent rapport.

2004 Gouvernement du Canada, Centre de la scurit des tlcommunications (CST) C.P. 9703, Terminus, Ottawa (Ontario), Canada, K1G 3Z4

Cette publication peut tre reproduite telle quelle, dans son intgralit et sans frais, des fins ducatives et individuelles uniquement. Toutefois, pour utiliser le contenu du document sous forme modifie ou dextrait ou pour tout usage commercial, on doit obtenir au pralable la permission crite du CST.

Dni de responsabilit

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

vi

Mars 2004

Dni de responsabilit

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Registre des modificatifs


Modificatif no Date Insr par

Registre des modificatifs

Mars 2004

vii

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

viii

Mars 2004

Registre des modificatifs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Rsum
Ce guide dcrit comment renforcer la scurit dun serveur Windows 2003. Le dploiement de serveurs scurit renforce est essentiel pour protger les technologies de linformation (TI) contre les diverses attaques possibles. Grce linformation prsente dans ce guide, les administrateurs de systme peuvent installer des modules permettant le dploiement de serveurs scurit renforce dans leurs environnements. Lobjet de ce guide est de prsenter une configuration de base hautement scurise. Les administrateurs de systme peuvent ajouter des fonctionnalits, le cas chant. Pour aider les administrateurs de systme justement ajouter des fonctionnalits, nous prsentons deux configurations : un serveur dimpression et un serveur de fichiers. Ce guide est bas sur louvrage de rfrence Microsoft Windows Server 2003 Security Guide (rfrence 1). Le guide de Microsoft a t analys et test au CST. Il en est rsult des instructions dtailles sur les sujets suivants :

Logiciels ncessaires Cls du Registre Paramtres de scurit Scurit du protocole Internet (IPSec)

Rsum

Mars 2004

ix

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

Mars 2004

Rsum

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Table des matires


Avant-propos .................................................................................................................. i Dni de responsabilit .................................................................................................. v Registre des modificatifs............................................................................................ vii Rsum ......................................................................................................................... ix Table des matires ....................................................................................................... xi Liste des tableaux ....................................................................................................... xv Liste des figures........................................................................................................ xvii Liste des abrviations et des acronymes ................................................................ xix 1 Introduction......................................................................................................... 1 1.1 Contexte .................................................................................................... 1 1.2 Objectif....................................................................................................... 1 1.3 Porte ........................................................................................................ 2 1.4 Approche ................................................................................................... 2 1.5 Tests fonctionnels et tests de scurit ....................................................... 2 1.6 Hypothses................................................................................................ 2 1.7 Documents connexes ................................................................................ 2 1.8 Structure du document............................................................................... 2 1.9 Conventions typographiques ..................................................................... 3 1.10 Documents de rfrence............................................................................ 4 Aperu : Conseils en matire de scurit des TI pour Windows Server 2003 ............................................................................................................................. 5 2.1 Comment utiliser ce document .................................................................. 5 2.1.1 Installation ....................................................................................... 5 2.1.2 Configuration................................................................................... 6 2.1.3 Surveillance et application .............................................................. 6 2.2 Hypothses et restrictions.......................................................................... 6 2.2.1 Installation ....................................................................................... 6 2.2.2 Stratgie.......................................................................................... 6 2.2.3 Surveillance et application de la stratgie ....................................... 7 Installation automatise..................................................................................... 9 3.1 Lancement de linstallation automatise .................................................... 9 3.2 Fichier de configuration et dinstallation dun serveur de domaine............. 9 3.2.1 Winnt.sif (Domaine)....................................................................... 10 3.3 Fichier de configuration et dinstallation du serveur du groupe de travail 27 3.3.1 Winnt.sif (Groupe de travail) ......................................................... 27 Fichiers de stratgie pour les serveurs .......................................................... 47 4.1 Application des fichiers de stratgie ........................................................ 47 4.1.1 Application de la stratgie dans un domaine................................. 47 4.1.2 Application des stratgies un groupe de travail.......................... 48

Table des matires

Mars 2004

xi

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.2 4.3

4.4

4.5

4.6 4.7

Dtails sur les fichiers de stratgie de base pour les serveurs ................ 49 Stratgies des comptes ........................................................................... 49 4.3.1 Stratgie des mots de passe......................................................... 49 4.3.2 Stratgie de verrouillage des comptes .......................................... 51 4.3.3 Stratgie Kerberos ........................................................................ 51 Stratgies locales .................................................................................... 52 4.4.1 Stratgie daudit ............................................................................ 52 4.4.2 Attribution des droits utilisateur ..................................................... 54 4.4.3 Options de scurit ....................................................................... 62 Journaux des vnements....................................................................... 76 4.5.1 Taille des journaux ........................................................................ 77 4.5.2 Accs des invits .......................................................................... 77 4.5.3 Mthode de conservation.............................................................. 78 Services du systme................................................................................ 78 4.6.1 Services explicitement couverts par le guide Microsoft................. 78 4.6.2 Services non expressment couverts dans le guide Microsoft.... 104 Paramtres de scurit additionnels...................................................... 105 4.7.1 Paramtres de scurit pour contrer les attaques rseau........... 105 4.7.2 Paramtres AFD.SYS ................................................................. 108 4.7.3 Autres paramtres touchant la scurit....................................... 109 4.7.4 Activits manuelles ..................................................................... 111 4.7.5 Contrles daccs........................................................................ 113 4.7.6 carts par rapport aux directives Microsoft ................................. 119

Stratgies de serveurs bases sur les rles ................................................ 129 5.1 Stratgie IPSec base sur les rles ....................................................... 129 5.1.1 Chargement de la stratgie IPSec .............................................. 129 5.1.2 Activation de la stratgie IPSec................................................... 129 5.2 Stratgie de scurit pour les serveurs de fichiers de domaine............. 130 5.2.1 carts par rapport au guide Hardening File Servers de Microsoft .................................................................................................... 130 5.2.2 [Service General Setting] ............................................................ 131 5.2.3 Stratgie IPSec pour le serveur de fichiers de domaine ............. 131 5.3 Stratgie pour les serveurs dimpression de domaine ........................... 133 5.3.1 carts par rapport au guide Hardening Print Servers de Microsoft .................................................................................................... 133 5.3.2 [Registry Values] ......................................................................... 134 5.3.3 [Service General Setting] ............................................................ 134 5.3.4 Stratgie IPSec pour le serveur dimpression de domaine.......... 134 5.4 Stratgie pour les serveurs de fichiers de groupe de travail .................. 136 5.4.1 carts par rapport aux directives Microsoft ................................. 136 5.4.2 [Registry Values] ......................................................................... 136 5.4.3 [Service General Setting] ............................................................ 137 5.4.4 Stratgie IPSec pour le serveur de fichiers du groupe de travail 137 5.5 Stratgie pour les serveurs dimpression de groupe de travail .............. 139 5.5.1 carts par rapport aux directives Microsoft ................................. 139 5.5.2 [Registry Values] ......................................................................... 139

xii

Mars 2004

Table des matires

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

5.5.3 [Service General Setting] ............................................................ 139 5.5.4 Stratgie IPSec pour les serveurs dimpression de groupe de travail .................................................................................................... 139 6 Conformit avec la stratgie des serveurs : Inspection et application ..... 143 6.1 Configuration de la console MMC.......................................................... 143 6.2 Chargement dun fichier de stratgie et configuration de lordinateur .... 143 6.3 Comparaison de la stratgie rsultante et des paramtres de lordinateur ............................................................................................................... 144

Bibliographie ............................................................................................................. 147 Annexe A.................................................................................................................... 149

Table des matires

Mars 2004

xiii

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

xiv

Mars 2004

Table des matires

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Liste des tableaux


Tableau 1 Contrles gnraux daccs aux fichiers ................................................. 114 Tableau 2 Contrles daccs gnraux au Registre................................................. 117 Tableau 3 carts avec les paramtres de base pour un serveur membre Microsoft ...................................................................... 119 Tableau 4 carts par rapport la stratgie locale des htes Bastion de Microsoft ............................................................................ 124

Liste des tableaux

Mars 2004

xv

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

xvi

Mars 2004

Liste des tableaux

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Liste des figures


Figure 1 Exemple de structure dActive Directory ........................................................ 9

Liste des figures

Mars 2004

xvii

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

xviii

July 2004

Liste des figures

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Liste des abrviations et des acronymes


.NET AD ADSI API ASCII ASP COM DDE FTP Go GUI HTTP HTTPS IAS ICF ICMP ICS IIS IMAPI IP IPSec IPX ISAPI Ko LAN LM Mo MMC MQDSS MSMQ MSN NNTP NTLM Outils Microsoft pour lenvironnement de dveloppement Annuaire Active Directory Interface ADSI (Active Directory Service Interface) Interface de programmation dapplication (Application Program Interface) American Standard Code for Information Interchange Fonction ASP (Active Server Pages) Module COM (Component Object Module) change dynamique de donnes (Dynamic Data Exchange) Protocole de transferts de fichiers (File Transfer Protocol) Giga-octet Interface utilisateur graphique (Graphical User Interface) Protocole de transfert hypertexte (HyperText Transfer Protocol) Protocole de transfert hypertexte scuris (Secure HyperText Transfer Protocol) Service dauthentification Internet (Internet Authentication Service) Pare-feu de connexion Internet (Internet Connection Firewall) Protocole ICMP (Internet Control Message Protocol) Partage de connexion Internet (Internet Connection Sharing) Serveur dinformation Internet (Internet Information Server) Interface IMAPI (Image Mastering Application Programming Interface) Protocole Internet (Internet Protocol) Scurit du Protocole Internet (Internet Protocol Security) Protocole IPX (Internetwork Packet Exchange) API pour serveurs Internet (Internet Server API) Kilo-octet Rseau local (Local Area Network) Gestionnaire de rseau local (LAN Manager) Mga-octet Console de gestion Microsoft (Microsoft Management Console) Soutien du service des annuaires de file dattente de messages (Message Queue Directory Service Support) File dattente des messages Microsoft (Microsoft Message Queue) Rseau Microsoft (Microsoft Network) Protocole de distribution des nouvelles Usenet (Network News Transfer Protocol) Fournisseur de service de scurit (Security Service Provider)

Liste des abrviations et des acronymes

Mars 2004

xix

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

OSPF POP3 RAD RADIUS RPC SAM SID SMB SMTP SNMP SYN-ACK SYN-ATTACK

Ouverture du chemin daccs le plus court en priorit (Open Shortest Path First) Protocole POP3 (Post Office Protocol 3) Dveloppement acclr dapplication (Rapid Application Development) Service dauthentification des utilisateurs daccs distance (Remote Authentication Dial-In Service) Appel de procdure distance (Remote Procedure Call) Gestionnaire des comptes de scurit (Security Accounts Manager) Identificateur de scurit (Security Identifier) Bloc de message serveur (Server Message Block) Protocole SMTP (Simple Mail Transfer Protocol) Protocole SNMP (Simple Network Management Protocol) Accus de rception de synchronisation (Synchronization Acknowledgement) Lattaquant envoie des demandes SYN un objectif (victime). Lobjectif envoie un SYN ACK en rponse et attend le retour dun accus de rception (ACK) pour terminer ltablissement de la session. Protocole TCP (Transmission Control Protocol) Interface utilisateur (User Interface) Rseau priv virtuel Laboratoire de qualit du matriel Windows (Windows Hardware Quality Lab) Interface de gestion Windows (Windows Management Interface) Lecteur Windows Media (Windows Media Player) Autodcouverte des proxy Web (Web Proxy Autodiscovery) World Wide Web

TCP UI RPV WHQL WMI WMPOCM WPAD WWW

xx

Mars 2004

Liste des abrviations et des acronymes

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

1
1.1

Introduction
Contexte

Les agents de menace exploitent les vulnrabilits dun systme informatique soit pour en obtenir la matrise, soit pour en perturber le fonctionnement. Les experts diffrent davis quant la cause premire des vulnrabilits informatiques. Certains estiment que les deux causes principales sont lexploitation des failles dans les logiciels et labsence de configurations scurises. Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous diverses formes. Ces correctifs visent rgler les erreurs logicielles pour un systme dexploitation ou une application en particulier. Sils rglent des problmes ponctuels, ces correctifs peuvent nanmoins en crer dautres. Outre les correctifs, les listes de contrle constituent des guides de configuration scurise et teste pour les utilisateurs dordinateur. Par le pass, les organismes gouvernementaux1 ont produit et diffus des listes de contrle pour scuriser les systmes informatiques. Toutefois, la faon dont ces listes sont produites a chang. Les fournisseurs constatent maintenant quils ont avantage produire des listes de contrle et de configuration pour leurs propres produits. Par consquent, les organismes publics et privs conomisent temps et argent en profitant de ce travail complexe dj ralis par les fournisseurs.

1.2

Objectif

LITSG-20 offre un ensemble pratique de paramtres de scurit pour Microsoft Windows Server 2003 (version anglaise). Lobjectif est dtablir et de maintenir un environnement haute scurit pour Windows Server 2003. Cette plate-forme est offerte en deux variantes : le serveur de domaine et le serveur de groupe de travail. Nous couvrons galement deux applications : le serveur dimpression et le serveur de fichiers. En dautres mots, nous offrons quatre configurations, soit une pour chaque application fonctionnant sur chaque plate-forme, comme suit : 1) Serveur de fichiers de domaine 2) Serveur dimpression de domaine 3) Serveur de fichier de groupe de travail 4) Serveur dimpression de groupe de travail Les prsentes directives constituent une configuration de base qui sapplique tous les serveurs dun type donn, quil sagisse dun serveur de domaine ou dun serveur de groupe de travail. Comme la configuration de base assure la scurit avant les fonctionnalits, on devrait lutiliser comme point de dpart. Les stratgies des applications (serveur de fichiers et serveur dimpression) se superposent la configuration de base. Ainsi, nous offrons un modle pour crer des rles additionnels de serveur bass sur la configuration de base du CST. Les stratgies

Notamment le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le Center for Internet Security (CIS) et la SANS (SysAdmin, Audit, Network, Security). Introduction Mars 2004 1

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

des applications, superposes la configuration de base, permettent au serveur de fonctionner de la manire prvue.

1.3

Porte

LITSG-20 prsente des directives pour btir des serveurs de domaine haute scurit et des serveurs de groupe de travail haute scurit. Des stratgies additionnelles peuvent tre appliques afin de prendre en charge divers rles au sein de votre organismes. Nous offrons deux stratgies additionnelles de ce type : des directives pour le rle serveur de fichiers et des directives pour le rle serveur dimpression .

1.4

Approche

Nous nous sommes abondamment bass sur deux documents de rfrence : Windows Server 2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP. Nous avons test ces documents et y avons ajout nos propres critres dans un laboratoire du CST pour produire lITSG-20, que vous avez actuellement entre les mains. Dans la mesure du possible, une approche automatise est utilise dans tout ce document.

1.5

Tests fonctionnels et tests de scurit

Nous avons vrifi la connectivit en accdant aux services offerts par les systmes scurit renforce (partages dimpression de fichiers). Une fois la convivialit des systmes tablie, nous avons soumis ces derniers des tests de vulnrabilit et de pntration. Les rsultats de ces tests ont influ sur la prparation du prsent document.

1.6

Hypothses

Nous supposons que le lecteur a une connaissance approfondie des fonctions de scurit de Windows Server 2003. LITSG-20 est un guide dtaill sadressant aux administrateurs de systme. Nous recommandons aux lecteurs de consulter les documents de rfrence indiqus la section 1.10. Ils seront ainsi en mesure de mieux comprendre lITSG-20.

1.7 1.8

Documents connexes Structure du document

Veuillez consulter la section 1.10, en plus de la bibliographie en fin de document.

Le document est structur comme suit : 1. Introduction Cette section explique le document et son contenu.

Mars 2004

Introduction

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

2. Aperu : Conseils en matire de scurit des TI pour Windows Server 2003 Cette section rsume lapproche utilise dans ce document. Nous expliquons la mthode employe pour dmarrer en toute scurit et prserver la scurit , comme suit : a) installation; b) configuration et contrle; c) application. Cette section dcrit galement en dtail les hypothses et les restrictions utilises pour les tapes ci-dessus. Elle comporte une liste de documents de rfrence, ainsi quune description des tests raliss lgard de lenvironnement informatique. 3. Installation automatise Cette section contient les paramtres permettant deffectuer une installation sans surveillance dun serveur de domaine ou dun serveur de groupe de travail. Une telle installation automatise assure luniformit des systmes, avec un minimum de prologiciels. 4. Fichiers de stratgie pour les serveurs Cette section indique les valeurs des paramtres pour les fichiers de stratgie, permettant de crer un serveur scuris dans un environnement de domaine ou un environnement de groupe de travail. 5. Stratgies pour les serveurs bases sur les rles Cette section contient les entres des fichiers de stratgie utilises pour modifier la configuration de base. Ces entres permettent un serveur dexcuter des activits dsignes de type gestion fichier ou impression, y compris la scurit du protocole Internet (IPSec). 6. Conformit aux stratgies des serveurs : Inspection et application Cette section dcrit en dtail une mthode permettant de surveiller et appliquer les stratgies dcrites dans le prsent guide. Cette approche utilise les capacits inhrentes du systme dexploitation Windows Server 20003. 7. Annexe A : Dtails sur les fichiers de stratgie pour les serveurs Cette section contient les fichiers de stratgie, avec commentaires et explications. Dans cette section, nous expliquons les paramtres plus en dtail. Nous indiquons galement les diffrences avec les recommandations de Microsoft.

1.9

Conventions typographiques

Les conventions typographiques suivantes sont utilises dans le prsent document : 1. Les caractres gras et italiques sont utiliss pour indiquer les paramtres et leurs valeurs. EXEMPLE : JoinDomain=cse.local 2. [Les crochets droits indiquent les en-ttes des sections de fichier]. EXEMPLE : [Identification]

Introduction

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

3. Les valeurs entre guillemets anglais doivent tre entres dans le fichier avec les guillemets. EXEMPLE : JoinDomain=cse.local

1.10 Documents de rfrence


[rfrence 1] Windows Server 2003 Security Guide [rfrence 2] Threats and Counter Measures: Security Settings in Windows Server 2003 and Windows XP

Mars 2004

Introduction

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Aperu : Conseils en matire de scurit des TI pour Windows Server 2003

Le prsent guide contient des instructions dtailles pour tablir une configuration de base scurise pour Windows Server 2003. Des directives sont fournies pour les serveurs de groupe de travail et les serveurs de domaine. Vous devriez utiliser la prsente configuration de base comme point de dpart pour configurer dautres services. Afin de vous faciliter la tche, nous prsentons galement les stratgies pour les services dimpression et de fichiers.

2.1

Comment utiliser ce document

Le dploiement dun serveur scuris peut se faire en trois tapes : installation du systme dexploitation (SE), application de la stratgie de scurit, puis modifications additionnelles le cas chant. Le guide dbute dabord par la configuration de base pour les serveurs de groupe de travail et de domaine. Linformation est prsente de manire similaire ce quon retrouve dans le document Windows Security Guide for 2003 Server, ce qui facilitera la consultation de ce guide. Les points additionnels, qui sont en sus des recommandations de Microsoft, figurent dans une section spare. Les stratgies pour les serveurs dimpression et de fichiers sont galement prsentes dans une section distincte. Ces stratgies sappliquent la configuration de base du SE install. Toutes les modifications additionnelles sont contenues dans les sections traitant de la stratgie pour les serveurs dimpression et de fichiers. Les administrateurs de systme peuvent remplacer les variables par leurs propres valeurs. Ces paramtres permettent de personnaliser le module dinstallation pour crer un serveur dimpression ou de fichiers. Pour appliquer la configuration de base et les stratgies propres un rle dans un domaine, on doit crer les units dorganisation de lActive Directory. Dans un environnement de groupe de travail, les stratgies doivent tre appliques immdiatement au dmarrage du systme. Selon la stratgie, le compte dadministrateur intgr est dsactiv par dfaut. Assurez-vous de crer un compte dadministrateur propre votre installation avant dappliquer la stratgie. Outre ces directives sur le dploiement des serveurs scuriss, le guide contient une section de maintenance laide de la console MMC de Microsoft. 2.1.1 Installation Linstallation est automatise grce lutilisation dun fichier rponse (voir lannexe A). Ce fichier rponse dirige le processus dinstallation. On peut employer plusieurs approches pour linstallation. Nous utilisons le fichier Winnt.sif. Le processus dinstallation de Windows lit les fichiers rponses partir dune disquette. Linformation locale (nom du systme, paramtres TCP/IP, domaine/groupe de travail) est fournie en fonction des exigences. Il est donc possible dinstaller le serveur sans surveillance et sans interaction avec loprateur.

Aperu

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

2.1.2 Configuration LITSG-20 sappuie sur une approche en couches pour appliquer la stratgie de scurit. La premire couche est la configuration de base du systme dexploitation. Cette couche vise assurer un profil de scurit offrant une exposition minimale. Les exigences additionnelles en matire de stratgie de scurit sont dtermines daprs les rles. Chaque fichier de stratgie active des lments spcifiques qui permettent au serveur dexcuter une fonction unique (p. ex., partage de fichiers, partage dimprimantes, etc.). Pour construire des serveurs multifonctions, il faut procder une analyse et des tests additionnels. Lenvironnement de domaine permet une approche en couches. cette fin, les stratgies sont appliques au niveau du domaine et galement au niveau de lunit dorganisation (UO). Une granularit plus fine peut tre obtenue au sein dun niveau, permettant ainsi de crer une matrice des stratgies pour les serveurs et les environnements. Dans lenvironnement de groupe de travail, la stratgie est applique dans un ordre prescrit par lintermdiaire des fichiers de stratgie. Cette mthode assure un profil de scurit uniforme et cohrent pour les serveurs dans un tel environnement. Comme les fichiers de stratgie ne sont en fait que des fichiers texte, vous pouvez les diter avec votre diteur de texte favori. Vous pouvez galement copier-coller les exemples de fichiers de stratgie qui se trouvent la fin du document. 2.1.3 Surveillance et application Nous dcrivons une mthode manuelle qui permet de vrifier la conformit de base. Cette approche manuelle limite lextensibilit de la solution. Dans un environnement de grande taille, nous vous recommandons dutiliser une mthode automatise.

2.2

Hypothses et restrictions

2.2.1 Installation Pour installer le SE, veuillez vous assurer que : a. le lecteur de CD-ROM est lu avant lunit de disquette, au dmarrage de lordinateur; b. il ny a pas de version prcdente de Windows (sinon, linstallation fera une pause); c. la premire partition de disque disponible est rserve au systme dexploitation. Nous faisons les hypothses suivantes : a. le serveur installer nest pas membre dun cluster; b. le domaine dispose dune unit dorganisation pour les serveurs; c. le domaine dispose dune unit dorganisation pour les serveurs dimpression, sous Servers; d. le domaine dispose dune unit dorganisation pour les serveurs de fichiers, sous Servers; e. linstallation est limite au contenu de la distribution Microsoft Server 2003. 2.2.2 Stratgie Lapplication de la stratgie a les effets suivants : a. le compte dinvit local (Local Guest) est renomm et dsactiv; b. le compte dadministrateur local (Local Administrator) est renomm et dsactiv;

Mars 2004

Aperu

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

c. d. e. f. g. h.

tous les systmes sont de gnration Windows 2000 ou ultrieure; le systme sarrtera sil est incapable de journaliser les vnements de scurit; on ne peut accder de faon anonyme aucun partage ni aucun canal nomm; on ne peut accder distance aucune donne du Registre; aucun compte na le droit de soumettre des travaux par lots; les comptes dadministrateur ne peuvent pas lancer des services (on doit utiliser un compte SERVICE appropri); i. la fonctionnalit Plug and Play est dsactive par dfaut et active au besoin; j. le protocole SNMP est dsactiv. 2.2.3 Surveillance et application de la stratgie Aucune autre hypothse additionnelle nest requise pour la surveillance et lapplication de la stratgie.

Aperu

Mars 2004

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Page laisse intentionnellement en blanc.

Mars 2004

Aperu

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Installation automatise

Cette section dcrit en dtail le contenu des fichiers Winnt.sif. Ces fichiers servent installer Windows Server 2003 dans un environnement de domaine ou de groupe de travail. Dans les deux cas, utilisez les valeurs oprationnelles locales. Les fichiers bruts (cest--dire sans les commentaires) figurent lannexe A. REMARQUE : Vous devez installer dans votre systme les plus rcents service packs et les correctifs logiciels (hot fix). De la sorte, la scurit de votre systme sera actualise.

3.1

Lancement de linstallation automatise

Linstallation automatise se fait avec CD-ROM et disquette, et un fichier Winnt.sif. Pendant le processus de dmarrage, le systme dtermine si la disquette contient un fichier Winnt.sif. Si ce fichier est prsent, le processus utilisera les paramtres du fichier pour configurer le systme.

3.2

Fichier de configuration et dinstallation dun serveur de domaine

Dans larbre Active Directory, la version domaine requiert quune unit dorganisation (UO) serveurs dimpression et serveurs de fichiers fasse partie de lUO serveurs publics (voir ci-dessous). Ces trois units dorganisation sont des espaces rservs pour les stratgies qui sappliquent au niveau UO, dans larbre dinformation de lannuaire.

Nom de domaine

domaine.local

Unit dorganisation

Systmes utilisateur

Serveurs publics

Unit dorganisation

Serveurs de fichiers

Serveurs dimpression

Serveurs

Serveur de fichiers 1

Serveur de fichiers 2

Figure 1 Exemple de structure dActive Directory

Installation automatise

Mars 2004

Non classifi

ITSG pour Windows Server 2003

3.2.1 Winnt.sif (Domaine) 3.2.1.1 [Data]

AutoPartition=1 Le paramtre AutoPartition indique lemplacement o le systme dexploitation Windows est install. Avec la valeur 1 , le systme dexploitation est install dans la premire partition disponible qui a suffisamment despace. Si un systme dexploitation est dj install, la procdure dinstallation cessera et attendra dautres instructions. MsDosInitiated=0 Le paramtre MsDosInitiated doit tre prsent et tre fix zro , sinon linstallation automatise chouera. UnattendedInstall=Yes Avec la valeur YES , la valeur UnattendedInstall permet la prinstallation de Windows laide de la mthode de dmarrage par CD-ROM.

3.2.1.2

[GuiUnattended]

AdminPassword="A_Str0ng_p@SSw0rd" Le paramtre AdminPassword dfinit le mot de passe de ladministrateur local pour le systme en cours dinstallation. REMARQUE : Slectionnez une valeur conforme la stratgie locale sur les mots de passe des administrateurs. EncryptedAdminPassword=No Le paramtre EncryptedAdminPassword dtermine si la procdure dinstallation chiffre le mot de passe de ladministrateur. Avec la valeur Non , le mot de passe nest pas chiffr. Vous pouvez activer cette fonction laide de loutil setupmgr.exe fourni sur le support de distribution Windows. OEMSkipWelcome=1 Le paramtre OEMSkipWelcome dtermine si la page de bienvenue est affiche au dmarrage. Avec la valeur 1 , cette page nest pas affiche.

10

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

OEMSkipRegional=1 Le paramtre OEMSkipRegional dtermine si la procdure dinstallation affichera la page des paramtres rgionaux. Avec la valeur 1 , cette page nest pas affiche. TimeZone=035 Le paramtre TimeZone rgle lhorloge du systme selon le fuseau horaire local. 004 Heure normale du Pacifique 010 Heure normale des Rocheuses 020 Heure normale des Prairies 025 Heure normale du Centre (Saskatchewan) 035 Heure normale de lEst 050 Heure normal de lAtlantique 060 Heure normale de Terre-Neuve et du Labrador AutoLogon=No Le paramtre Autologon dtermine si le compte de ladministrateur ouvrira automatiquement une session, jusqu ce que le systme soit redmarr. Le paramtre No dsactive la fonction AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accrotre le nombre de redmarrages requis pour dsactiver la fonction AutoLogon.

3.2.1.3

[Identification]

DomainAdmin=administrator Le paramtre DomainAdmin lance linstallation avec un compte de domaine privilgi. Ladministrateur de domaine (DomainAdmin) peut ajouter le systme au domaine. DomainAdminPassword=" A_Str0ng_p@SSW0RD " Le paramtre DomainAdminPassword est le mot de passe requis pour le compte DomainAdmin. REMARQUE : Entrez une valeur locale. JoinDomain="Department_Name.local" Le paramtre JoinDomain est le nom du domaine auquel le systme se joindra. REMARQUE : Le nom du domaine local est requis.

Installation automatise

Mars 2004

11

Non classifi

ITSG pour Windows Server 2003

MachineObjectOU="OU=File Servers, OU=Public Servers, DC=Department_Name, DC=local" Le paramtre MachineObjectOU dfinit lunit dorganisation du systme dans le domaine. REMARQUE : Entrez des valeurs de domaine locales.

3.2.1.4

[LicenseFilePrintData]

AutoMode=PerServer Le paramtre AutoMode dfinit le mode de licence. Entrez PerSeat ou PerServer. REMARQUE : Si vous entrez PerServer, vous devrez galement entrer une valeur pour AutoUsers. AutoUsers=5 Le paramtre AutoUsers dtermine le nombre dutilisateurs concurrents pris en charge par la licence du type PerServer. REMARQUE : Vous devez entrer une valeur locale qui reflte la licence achete pour le systme.

3.2.1.5

[Unattended]

OemPreinstall=No Le paramtre OEMPreinstall dtermine sil y a des fichiers OEM installer. La valeur No indique que tous les fichiers se trouvent dans la distribution Windows. UattendedSwitch=Yes Le paramtre UnattendedSwitch indique si le module dinstallation omet la page de bienvenue Windows. Avec la valeur Yes , la page de bienvenue Windows est omise. Repartition=No Le paramtre Repartition dtermine quelle mesure doit tre prise pour les partitions du premier lecteur. Avec la valeur No , toutes les partitions sont conserves sur le premier lecteur. TargetPath=Windows

12

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Le paramtre TargetPath dfinit lemplacement du systme dexploitation. Avec la valeur Windows , les fichiers du systme dexploitation sont placs dans un dossier Windows. UnattendedMode=FullUnattended Le paramtre UnattendedMode dtermine le niveau dinteraction humaine avec la procdure dinstallation. Avec la valeur FullUnattended , il ny a pas dinteraction humaine. WaitForReboot=No Le paramtre WaitForReboot dtermine si le systme redmarrera immdiatement ou offrira une possibilit dinteraction humaine. Avec la valeur No , le systme redmarre immdiatement. OemSkipEula=Yes Le paramtre OemSkipEula dtermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est prsent pendant linstallation. Avec la valeur Yes , le CLUF nest pas affich. FileSystem=ConvertNTFS Le paramtre FileSystem dtermine le type du systme de fichiers pour linstallation. Avec la valeur ConvertNTFS, le systme est install sur un systme de fichiers NTFS.

3.2.1.6

[UserData]

ComputerName=FileServer01 Le paramtre ComputerName fixe la valeur ComputerName dans le Registre. REMARQUE : Entrez une valeur locale. FullName="System_Admin" Le paramtre FullName fixe la valeur RegisteredOwner dans le Registre. REMARQUE : Entrez une valeur locale. OrgName="Department_Name" Le paramtre OrgName fixe la valeur RegisteredOrganisation dans le Registre. REMARQUE : Entrez une valeur locale.

Installation automatise

Mars 2004

13

Non classifi

ITSG pour Windows Server 2003

ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" Le paramtre ProductKey est la chane de licence requise pour la version de Windows Server 2003 qui sera installe. REMARQUE : Entrez une valeur locale.

3.2.1.7

[params.MS_TCPIP.Adapter01]

SpecificTo=Adapter01 Le paramtre SpecificTo indique ladaptateur rseau qui sera configur. Le paramtre Adapter01 sapplique au premier adaptateur rseau identifi. DisableDynamicUpdate=No Le paramtre DisableDynamicUpdate dtermine si le systme enregistrera dynamiquement les enregistrements A et PTR . Avec la valeur No , les enregistrements A et PTR sont dynamiquement enregistrs avec le DNS. EnableAdapterDomainNameregistration=No Le paramtre EnableAdapterDomainNameregistration dtermine si les enregistrements DNS propres une connexion seront enregistrs. Avec la valeur No , les enregistrements DNS propres une connexion ne sont pas enregistrs. DefaultGateway=xxx.xxx.xxx.xxx Le paramtre DefaultGateway fixe la valeur de la passerelle par dfaut TCP/IP pour ladaptateur. REMARQUE : Entrez une valeur locale. DHCP=Yes Le paramtre DHCP dtermine si ladaptateur demandera une adresse TCP/IP, laide du protocole DHCP. Avec la valeur Yes , une adresse TCP/IP sera demande. DNSDomain=Department_Name.local Le paramtre DNSDomain indique le nom du domaine sous lequel le systme est entr. REMARQUE : Entrez une valeur locale.

14

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

NetBIOSOptions=1 Le paramtre NetBIOSOptions dtermine le paramtre NetBIOS sur TCP/IP. Le paramtre 1 active le NetBIOS sur TCP/IP. Subnetmask=xxx.xxx.xxx.xxx Le paramtre Subnetmask indique ladresse du masque du sous-rseau. REMARQUE : Entrez une valeur locale.

3.2.1.8

[NetOptionalComponents]

DHCPServer=0 Le paramtre DHCPServer dtermine si le systme installera le serveur DHCP. Avec la valeur 0 , le serveur DHCP nest pas install. DNS=0 Le paramtre DNS dtermine si le systme installera le serveur DNS. Avec la valeur 0 , le serveur DNS nest pas install. IAS=0 Le paramtre IAS dtermine si le systme installera le service dauthentification dInternet (IAS pour Internet Authentication Service). Avec la valeur 0 , le service dauthentification Internet nest pas install. ILS=0 Le paramtre ILS dtermine si le programme dinstallation installera les services qui prennent en charge les fonctions de tlphonie (identification de lappelant, confrences tlphoniques, vidoconfrences, tlcopie, etc.). Avec la valeur 0 , le service ILS (Internet Locator Service) nest pas install. LDPSVC=0 Le paramtre LPDSVC dtermine si le systme installera les services dimpression UNIX. Avec la valeur 0 , les services dimpression UNIX ne sont pas installs.

Installation automatise

Mars 2004

15

Non classifi

ITSG pour Windows Server 2003

MacPrint=0 Le paramtre MacPrint dtermine si le systme installera les services dimpression Macintosh. Avec la valeur 0 , les services dimpression Macintosh ne sont pas installs. MacSrv=0 Le paramtre MacSrv dtermine si le systme installera les services de fichiers Macintosh. Avec la valeur 0 , les services de fichiers Macintosh ne sont pas installs. Netcm=0 Le paramtre Netcm dtermine si le systme installera le Kit dadministration du Microsoft Connection Manager et le service Phone Book (Annuaire tlphonique). Avec la valeur 0 , ce service nest pas install. NetMonTools=0 Le paramtre NetMon Tools dtermine si le systme installera les outils de surveillance rseau. Avec la valeur 0 , les outils de surveillance rseau ne sont pas installs. SimpTcp=0 Le paramtre SimpTcp dtermine si le systme installera les suites de protocoles TCP/IP simples. Avec la valeur 0 , ces suites de protocoles ne sont pas installes. SNMP=0 Le paramtre SNMP dtermine si le systme installera le protocole SNMP. Avec la valeur 0 , ce protocole nest pas install. WINS=0 Le paramtre WINS dtermine si le systme installera le service de nom Internet Windows (WINS). Avec la valeur 0 , le service WINS nest pas install.

3.2.1.9

[Components]

AccessOpt=On Le paramtre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur On , lassistant daccessibilit sera install.

16

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

appsrv_console=Off Le paramtre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur Off , la console de serveur dapplications (Application Server Console) nest pas installe. aspnet=Off Le paramtre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur Off , la plate-forme de dveloppement ASP .NET nest pas installe. AutoUpdate=Off Le paramtre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur Off , le service AutoUpdate (mise jour automatique) nest pas install. BitsServerExtensionsISAPI=Off Le paramtre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur Off , linterface ISAPI pour les extensions de serveur BITS nest pas installe. BitsServerExtensionManager=Off Le paramtre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur Off , le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installs. Calc=On Le paramtre Calc fixe la valeur calc dans le Registre. Avec la valeur Off , la fonction de calculatrice nest pas installe. certsrv=On Le paramtre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur On , les composantes Certificate Services (Services de certificats) sont installes. certsrv_client=Off Le paramtre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur Off , les composantes clients Web des services de certificats ne sont pas installes. Pour cela, il faut quune autorit de certification soit dfinie avec le paramtre CAName. Il faut de plus que le
Installation automatise Mars 2004 17

Non classifi

ITSG pour Windows Server 2003

systme informatique qui hberge lautorit de certification soit dfini avec le paramtre CAMachine. Avec ces entres, un certificat peut tre utilis dans un navigateur Web. certsrv_server=Off Le paramtre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur Off , les services de serveur de certificat ne sont pas installs. Cette valeur doit tre active seulement pour les systmes que lon entend utiliser pour offrir un service dautorit de certification. charmap=On Le paramtre charmap fixe la valeur charmap dans le Registre. Avec la valeur On , la fonction Character Map (mappage de caractres) est installe. chat=Off Le paramtre chat fixe la valeur chat dans le Registre. Avec la valeur Off , le programme de clavardage (Chat) nest pas install. Clipbook=Off Le paramtre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur Off , lalbum Clipbook nest pas install. cluster=Off Le paramtre cluster fixe la valeur cluster dans le Registre. Avec la valeur Off , le logiciel de cluster nest pas install. complusnetwork=On Le paramtre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur On , laccs Com+ rseau est activ. deskpaper=Off Le paramtre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur Off , une image de fond nest pas installe sur le poste de travail.

18

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

dialer=Off Le paramtre dialer fixe la valeur dialer dans le Registre. Avec la valeur Off , le composeur tlphonique nest pas install. dtcnetwork=Off Le paramtre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur Off , laccs rseau DTC nest pas activ. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribues). fax=Off Le paramtre fax fixe la valeur fax dans le Registre. Avec la valeur Off , la fonctionnalit de tlcopie nest pas installe. fp_extensions=Off Le paramtre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur Off , les extensions du serveur FrontPage ne sont pas installes. fp_vdir_deploy=Off Le paramtre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur Off , le soutien de dploiement distance RAD Visual InterDev nest pas install. freecell=Off Le paramtre freecell fixe la valeur freecell dans le Registre. Avec la valeur Off , le jeu Freecell nest pas install. hearts=Off Le paramtre hearts fixe la valeur hearts dans le Registre. Avec la valeur Off , le jeu Hearts nest pas install. hypertrm=Off Le paramtre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur Off , la fonction Hyperterminal nest pas installe.

Installation automatise

Mars 2004

19

Non classifi

ITSG pour Windows Server 2003

IEAccess=Off Le paramtre IEAccess dtermine si les points daccs dInternet Explorer sont visibles. Avec la valeur Off , ces points ne sont pas visibles. iis_asp=Off Le paramtre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur Off , la fonctionnalit Active Server Pages (pages de serveur actif) nest pas installe. iis_common=Off Le paramtre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur Off , lensemble commun de fichiers requis par lIIS nest pas install. iis_ftp=Off Le paramtre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur Off , le service FTP nest pas install. iis_inetmgr=Off Le paramtre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur Off , les outils dadministration bass sur la console MMC pour IIS ne sont pas installs. iis_internetdataconnector=Off Le paramtre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur Off , la fonction Internet Data Connector (connecteur de donnes Internet) nest pas installe. iis_nntp=Off Le paramtre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur Off , le service NNTP nest pas install. iis_serversidesincludes=Off Le paramtre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur Off , la fonction Server Side Includes (fichiers inclus ct serveur) nest pas installe.

20

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

iis_smpt=Off Le paramtre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur Off , le service SMTP nest pas install. iis_webadmin=Off Le paramtre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur Off , linterface utilisateur Web pour ladministration des serveurs Web (Remote Administration Tools) nest pas installe. iis_webdav=Off Le paramtre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur Off , la fonction de publication WebDAV nest pas installe. iis_www=Off Le paramtre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur Off , le service WWW nest pas install. iis_www_vdir_scripts=Off Le paramtre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur Off , le rpertoire de scripts facultatif nest pas cr sur le site Web par dfaut. indexsrv_system=Off Le paramtre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur Off , le service dindexation (Indexing Service) nest pas install. inetprint=Off Le paramtre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur Off , la fonction dimpression Internet nest pas installe. licenseserver=Off Le paramtre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur Off , la licence Terminal Service nest pas active.

Installation automatise

Mars 2004

21

Non classifi

ITSG pour Windows Server 2003

media_clips=Off Le paramtre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur Off , les chantillons de son ne sont pas installs. media_utopia=Off Le paramtre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur Off , le schma de son Utopia nest pas install. minesweeper=Off Le paramtre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur Off , le jeu Minesweeper nest pas install. mousepoint=On Le paramtre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur On , tous les pointeurs de souris disponibles sont installs. msmq_ADIntegrated=Off Le paramtre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la valeur Off , le MSMQ nest pas intgr avec lActive Directory. msmq_Core=Off Le paramtre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur Off , les composantes Message Queuing ne sont pas installes. msmq_HTTPSupport=Off Le paramtre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la valeur Off , lmission et la rception des messages utilisant le protocole HTTP sont dsactives. msmq_LocalStorage=Off Le paramtre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la valeur Off , les messages ne sont pas enregistrs localement. msmq_MQDSSService=Off
22 Mars 2004 Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Le paramtre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre. Avec la valeur Off , laccs lActive Directory et la reconnaissance du site sont restreints pour les clients en aval. msmq_RoutingSupport=Off Le paramtre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre. Avec la valeur Off , le systme nassure pas de routage efficient. msmq_TriggerService=Off Le paramtre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec la valeur Off , larrive des messages entrants dans une file dattente est dissocie de la fonctionnalit dans une composante COM (Component Object Module). Il en va de mme pour un programme excutable autonome. msnexplr=Off Le paramtre msnexplr fixe la valeur msnexpire dans le Registre. Avec la valeur Off , lExplorateur MSN nest pas install. mswordpad=On Le paramtre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur On , la fonction mswordpad est installe. netcis=Off Le paramtre netcis fixe la valeur netcis dans le Registre. Avec la valeur Off , les services Internet COM Microsoft ne sont pas installs. netoc=Off Le paramtre netoc fixe la valeur netoc dans le Registre. Avec la valeur Off , les composantes rseau facultatives ne sont pas installes. objectpkg=Off Le paramtre objectpkg dtermine si le programme Object Packager est install. Avec la valeur Off , le programme Object Packager nest pas install.

Installation automatise

Mars 2004

23

Non classifi

ITSG pour Windows Server 2003

OEAccess=Off Le paramtre OEAccess dtermine si les points dentre visibles pour Outlook Express sont installs. Avec la valeur Off , les points dentre visibles pour Outlook Express ne sont pas installs. paint=Off Le paramtre paint fixe la valeur paint dans le Registre. Avec la valeur Off , Microsoft Paint nest pas install. pinball=Off Le paramtre pinball fixe la valeur pinball dans le Registre. Avec la valeur Off , le jeu Pinball nest pas install. Pop3Admin=Off Le paramtre Pop3Admin indique si linterface utilisateur Web facultative pour les outils dadministration distance est installe. Avec la valeur Off , cette interface facultative nest pas installe. Pop3Service=Off Le paramtre Pop3Service indique si le service POP3 principal est install. Avec la valeur Off , le service POP3 principal nest pas install. Pop3Srv=Off Le paramtre Pop3Srv dtermine si la composante POP3 racine est installe. Avec la valeur Off , cette composante nest pas installe. rec=Off Le paramtre rec dtermine si lenregistreur de son est install. Avec la valeur Off , lenregistreur de son nest pas install. reminst=Off Le paramtre reminst fixe la valeur reminst dans le Registre. Avec la valeur Off , le service dinstallation distance nest pas install.

24

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

rootautoupdate=Off Le paramtre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur Off , les certificats racines de mise jour OMC sont dsactivs. Si lutilisateur se voit prsenter un certificat mis par une autorit racine non fiable, les actions qui requirent lauthentification sont interdites. rstorage=Off Le paramtre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur Off , la fonction de stockage distance nest pas installe. solitaire=Off Le paramtre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur Off , le jeu Solitaire nest pas install. spider=Off Le paramtre spider fixe la valeur spider dans le Registre. Avec la valeur Off , le jeu Spider nest pas install. templates=Off Le paramtre templates fixe la valeur templates dans le Registre. Avec la valeur Off , les modles de documents ne sont pas installs. TerminalServer=On Le paramtre TerminalServer dtermine si le serveur de terminal est install. Avec la valeur On , ce service est install. TSWebClient=Off Le paramtre TSWebClient dtermine si le contrle ActiveX pour hberger les connexions du client Terminal Services sur le Web est install. Avec la valeur Off , le contrle ActiveX nest pas install. vol=Off Le paramtre vol fixe la valeur vol dans le Registre. Avec la valeur Off , le contrle de volume nest pas install.

Installation automatise

Mars 2004

25

Non classifi

ITSG pour Windows Server 2003

WBEMSNMP=Off Le paramtre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur Off , le fournisseur SNMP WMI nest pas install. WMAccess=Off Le paramtre WMAccess dtermine si les points dentre visibles pour Windows Manager sont installs. Avec la valeur Off , les points dentre visibles pour Windows Manager ne sont pas installs. WMPOCM=Off Le paramtre WMPOCM dtermine si les points dentre visibles pour le lecteur Windows Media sont installs. Avec la valeur Off , les points dentre visibles pour le lecteur Windows Media ne sont pas installs. wms=Off Le paramtre wms fixe la valeur wms dans le Registre. Avec la valeur Off , les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installes. wms_admin_asp=Off Le paramtre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur Off , les composantes administratives bases sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installes. wms_admin_mmc=Off Le paramtre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur Off , les composantes administratives bases sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installes. wms_isapi=Off Le paramtre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur Off , les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installes.

26

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

wms_server=Off Le paramtre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur Off , les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installes. zonegames=Off Le paramtre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur Off , les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installs.

3.3

Fichier de configuration et dinstallation du serveur du groupe de travail

Linstallation du serveur de groupe de travail peut crer un nouveau groupe de travail ou se joindre un groupe existant. Linstallation prsuppose quon nutilise pas le protocole DHSP, ni le service DNS. Par consquent, ladministrateur doit entrer les valeurs TCP/IP dans le fichier Winnt.sif pour activer le rseautage. 3.3.1 Winnt.sif (Groupe de travail) 3.3.1.1 [Data]

AutoPartition=1 Le paramtre AutoPartition indique lemplacement o le systme dexploitation Windows est install. Le paramtre 1 installe le systme dexploitation dans la premire partition disponible qui a suffisamment despace. Si un systme dexploitation est dj install, la procdure dinstallation cessera et attendra dautres instructions. MsDosInitiated=0 Le paramtre MsDosInitiated doit tre prsent et tre fix 0 , sinon linstallation automatise chouera. UnattendedInstall=Yes Avec la valeur YES , la valeur UnattendedInstall permet la prinstallation de Windows laide de la mthode de dmarrage par CD-ROM.

Installation automatise

Mars 2004

27

Non classifi

ITSG pour Windows Server 2003

3.3.1.2

[GuiUnattended]

AdminPassword="A_Str0ng_p@SSw0rd" Le paramtre AdminPassword dfinit le mot de passe de ladministrateur local pour le systme en cours dinstallation. REMARQUE : Slectionnez une valeur conforme la stratgie locale sur les mots de passe des administrateurs. EncryptedAdminPassword=No Le paramtre EncryptedAdminPassword dtermine si la procdure dinstallation chiffre le mot de passe de ladministrateur. Avec la valeur No , le mot de passe nest pas chiffr. Vous pouvez activer cette fonction laide de loutil setupmgr.exe fourni sur le support de distribution Windows. OEMSkipWelcome=1 Le paramtre OEMSkipWelcome dtermine si la page de bienvenue est affiche au dmarrage. Avec la valeur 1 , la page de bienvenue nest pas affiche. OEMSkipRegional=1 Le paramtre OEMSkipRegional dtermine si la procdure dinstallation affichera la page des paramtres rgionaux. Avec la valeur 1 , la page des paramtres rgionaux nest pas affiche. TimeZone=035 Le paramtre TimeZone rgle lhorloge du systme selon le fuseau horaire local. 004 Heure normale du Pacifique 010 Heure normale des Rocheuses 020 Heure normale des Prairies 025 Heure normale du Canada central (Saskatchewan) 035 Heure normale de lEst 050 Heure normal de lAtlantique 060 Heure normale de Terre-Neuve et du Labrador AutoLogon=No Le paramtre Autologon dtermine si le compte de ladministrateur ouvrira automatiquement une session, jusqu ce que le systme soit redmarr. La valeur No dsactive la fonction
28 Mars 2004 Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

AutoLogon (ouverture de session automatique). Le paramtre AutoLogonCount peut accrotre le nombre de redmarrages requis pour dsactiver la fonction AutoLogon.

3.3.1.3

[Identification]

JoinWorkgroup=Department_Name Le paramtre JoinWorkgroup dtermine quel groupe de travail le serveur se joindra. REMARQUE : Cette valeur doit tre remplace par une valeur locale.

3.3.1.4

[LicenseFilePrintData]

AutoMode=PerServer Le paramtre AutoMode dfinit le mode de licence. Entrez PerSeat ou PerServer. REMARQUE : Si vous entrez PerServer, vous devrez galement entrer une valeur pour le paramtre AutoUsers. AutoUsers=5 Le paramtre AutoUsers dtermine le nombre dutilisateurs concurrents pris en charge par la licence du type PerServer. REMARQUE : Entrez une valeur locale.

3.3.1.5

[Unattended]

OemPreinstall=No Le paramtre OEMPreinstall dtermine sil y a des fichiers OEM installer. La valeur No indique que tous les fichiers sncessaires e trouvent dans la distribution Windows. UattendedSwitch=Yes Le paramtre UnattendedSwitch indique si le module dinstallation omet la page de bienvenue Windows. Avec la valeur Yes , la page de bienvenue Windows est omise. Repartition=No Le paramtre Repartition dtermine quelle mesure doit tre prise pour les partitions du premier lecteur. Avec la valeur No , toutes les partitions sont conserves sur le premier lecteur.

Installation automatise

Mars 2004

29

Non classifi

ITSG pour Windows Server 2003

TargetPath=Windows Le paramtre TargetPath dfinit lemplacement du systme dexploitation. Avec la valeur Windows , les fichiers du systme dexploitation sont placs dans un dossier Windows. UnattendedMode=FullUnattended Le paramtre UnattendedMode dtermine le niveau dinteraction humaine avec la procdure dinstallation. Avec la valeur FullUnattended , il ny a pas dinteraction humaine. WaitForReboot=No Le paramtre WaitForReboot dtermine si le systme redmarrera immdiatement ou offrira une possibilit dinteraction humaine. Avec la valeur No , le systme redmarre immdiatement. OemSkipEula=Yes Le paramtre OemSkipEula dtermine si le contrat de licence utilisateur final (CLUF - EULA en anglais) est prsent pendant linstallation. Avec la valeur Yes , le CLUF nest pas affich. FileSystem=ConvertNTFS Le paramtre FileSystem dtermine le type du systme de fichiers pour linstallation. Avec la valeur ConvertNTFS, le systme est install sur un systme de fichiers NTFS.

3.3.1.6

[UserData]

ComputerName=File_Server_1 Le paramtre ComputerName fixe la valeur ComputerName (nom de lordinateur) dans le Registre. REMARQUE : Entrez une valeur locale. FullName="System_Admin" Le paramtre FullName fixe la valeur RegisteredOwner (propritaire inscrit) dans le Registre. REMARQUE : Entrez une valeur locale.

30

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

OrgName="Department_Name" Le paramtre OrgName fixe la valeur RegisteredOrganisation (Organisme inscrit) dans le Registre. REMARQUE : Entrez une valeur locale. ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" Le paramtre ProductKey est la chane de licence requise pour la version de Windows Server 2003 qui sera installe. REMARQUE : Entrez une valeur locale.

3.3.1.7

[Networking]

Cette section dfinit le rseau pour le systme. Dans un environnement de groupe de travail, des moyens statiques sont utiliss pour ltablissement du rseau. Cela comprend les adresses IP statiques, ainsi quun fichier Hosts pour la rsolution des noms. Par consquent, la dfinition de rseau automatis est dsactive. Toutes les valeurs sont fournies par lintermdiaire de paramtres dans ce fichier dinstallation. InstallDefaultComponents=No Le paramtre InstallDefaultComponents indique si la configuration du rseau utilisera le protocole DHCP et le service DNS. Avec la valeur No , le rseau utilisera les valeurs fournies au lieu de DHCP et DNS.

3.3.1.8

[NetAdapters]

Adapter1=params.Adapter1 Le paramtre Adapter1 dfinit les interfaces rseau installer avec les noms logiques associs. Cela assure que les commandes destines aux adaptateurs sont achemines correctement.

3.3.1.9 InfID=*

[params.Adapter1]

Le paramtre InfID identifie un adaptateur rseau avec une valeur qui est identique celle de lidentificateur Plug and Play. Sil y a plus dun adaptateur, le paramtre indiquerait lidentificateur Plug and Play.

Installation automatise

Mars 2004

31

Non classifi

ITSG pour Windows Server 2003

3.3.1.10

[NetClients]

MS_MSClient=params.MS_MSClient Le paramtre MS_MSClient indique la section o le client pour le rseau Microsoft est dfini. La valeur params.MS_MSClient est le titre de la section qui contient la dfinition du client rseau.

3.3.1.11

[NetServices]

MS_SERVER=params.MS_SERVER Le paramtre MS_SERVER indique la section o des entres sont fournies pour dfinir un service rseau. Aucun service rseau nest dfini dans ce fichier dinstallation. Par consquent, la section params.MS_SERVER nest pas requise.

3.3.1.12

[NetProtocols]

MS_TCPIP=params.MS_TCPIP Le paramtre MS_TCPIP dfinit la section qui contient les entres pour ce protocole.

3.3.1.13 DNS=No

[params.MS_TCPIP]

Le paramtre DNS indique si le serveur utilisera un serveur DNS. Le paramtre No indique que le serveur nutilisera pas le DNS pour la rsolution des noms. UseDomainNameDevolution=No Le paramtre UseDomainNameDevolution dtermine si le systme tentera de se connecter quand le nom DNS fourni nest pas entirement qualifi. Le paramtre No empche le systme de faire cette tentative. EnableLMHosts=Yes Le paramtre EnableLMHosts dtermine si le serveur utilisera le fichier Hosts pour rsoudre le nom de rseau afin de traiter les traductions. Le paramtre Yes indique que le fichier Hosts sera utilis pour la rsolution des noms. AdapterSections=params.MS_TCPIP.Adapter1

32

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Le paramtre AdapterSections dfinit lemplacement dans ce fichier qui contient la dfinition de ladaptateur. 3.3.1.14 [params.MS_TCPIP.Adapter1]

SpecificTo=Adapter1 Le paramtre SpecificTo indique ladaptateur rseau qui sera configur. Le paramtre Adapter01 sapplique au premier adaptateur rseau identifi. DHCP=No Le paramtre DHCP indique si le systme utilise le protocole DHCP. Le paramtre No indique que le systme nobtiendra pas une adresse TCP/IP dun serveur DHCP. IPAddress=xxx.xxx.xxx.xxx Le paramtre IPAddress dfinit ladresse IP de ladaptateur. SubnetMask=xxx.xxx.xxx.xxx Le paramtre Subnetmask fournit les adresses des masques de sous-rseau. DefaultGateway=xxx.xxx.xxx.xxx Le paramtre DefaultGateway dfinit ladresse pour les paquets destins lextrieur du masque. La passerelle sert de premier arrt, sur litinraire menant au systme cible. WINS=No Le paramtre WINS dtermine si le systme utilisera le service de noms Windows (Windows Internet Name Service). Le paramtre No dsactive le service WINS sur ladaptateur indiqu. NetBIOSOptions=0 Le paramtre NetBIOSOptions dtermine si le systme active le NetBIOS sur le TCP/IP. Le paramtre 0 dsactive le NetBIOS sur le TCP/IP. 3.3.1.15 [NetOptionalComponents]

DHCPServer=0 Le paramtre DHCPServer dtermine si le systme installera le serveur DHCP. Avec la valeur 0 , le serveur DHCP nest pas install.

Installation automatise

Mars 2004

33

Non classifi

ITSG pour Windows Server 2003

DNS=0 Le paramtre DNS dtermine si le systme installera le serveur DNS. Avec la valeur 0 , le serveur DNS nest pas install. IAS=0 Le paramtre IAS dtermine si le systme installera le service dauthentification dInternet (IAS pour Internet Authentication Service). Avec la valeur 0 , le service dauthentification Internet nest pas install. ILS=0 Le paramtre ILS dtermine si le programme dinstallation installera les services qui prennent en charge les fonctions de tlphonie (identification de lappelant, confrences tlphoniques, vidoconfrences, tlcopie, etc.). Avec la valeur 0 , le service ILS (Internet Locator Service) nest pas install. LDPSVC=0 Le paramtre LPDSVC dtermine si le systme installera les services dimpression UNIX. Avec la valeur 0 , les services dimpression UNIX ne sont pas installs. MacPrint=0 Le paramtre MacPrint dtermine si le systme installera les services dimpression Macintosh. Avec la valeur 0 , les services dimpression Macintosh ne sont pas installs. MacSrv=0 Le paramtre MacSrv dtermine si le systme installera les services de fichiers Macintosh. Avec la valeur 0 , les services de fichiers Macintosh ne sont pas installs. Netcm=0 Le paramtre Netcm dtermine si le systme installera le Kit dadministration du Microsoft Connection Manager et le service Phone Book (Annuaire tlphonique). Avec la valeur 0 , ces services ne sont pas installs. NetMonTools=0 Le paramtre NetMonTools dtermine si le systme installera les outils de surveillance rseau. Avec la valeur 0 , les outils de surveillance rseau ne sont pas installs.

34

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

SimpTcp=0 Le paramtre SimpTcp dtermine si le systme installera les suites de protocoles TCP/IP simples. Avec la valeur 0 , ces suites de protocoles ne sont pas installes. SNMP=0 Le paramtre SNMP dtermine si le systme installera le protocole SNMP. Avec la valeur 0 , ce protocole nest pas install. WINS=0 Le paramtre WINS dtermine si le systme installera le service de noms Internet Windows (WINS). Avec la valeur 0 , le service WINS nest pas install. 3.3.1.16 [Components]

AccessOpt=On Le paramtre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur On , lassistant daccessibilit sera install. appsrv_console=Off Le paramtre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur Off , la console de serveur dapplications (Application Server Console) nest pas installe. aspnet=Off Le paramtre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur Off , la plate-forme de dveloppement ASP .NET nest pas installe. AutoUpdate=Off Le paramtre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur Off , le service AutoUpdate (mise jour automatique) nest pas install. BitsServerExtensionsISAPI=Off Le paramtre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le Registre. Avec la valeur Off , linterface ISAPI pour les extensions de serveur BITS nest pas installe.

Installation automatise

Mars 2004

35

Non classifi

ITSG pour Windows Server 2003

BitsServerExtensionManager=Off Le paramtre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le Registre. Avec la valeur Off , le module MMC, les API administratives et les extensions ADSI pour BITS ne sont pas installs. Calc=On Le paramtre Calc fixe la valeur calc dans le Registre. Avec la valeur Off , la fonction de calculatrice nest pas installe. certsrv=On Le paramtre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur On , les composantes Certificate Services (Services de certificats) sont installes. certsrv_client=Off Le paramtre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur Off , les composantes clients Web des services de certificats ne sont pas installes. Pour cela, il faut quune autorit de certification soit dfinie avec le paramtre CAName. Il faut de plus que le systme informatique qui hberge lautorit de certification soit dfini avec le paramtre CAMachine. Avec ces entres, un certificat peut tre utilis dans un navigateur Web. certsrv_server=Off Le paramtre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur Off , le serveur de certificat nest pas install. charmap=On Le paramtre charmap fixe la valeur charmap dans le Registre. Avec la valeur On , la fonction Character Map (mappage de caractres) est installe. chat=Off Le paramtre chat fixe la valeur chat dans le Registre. Avec la valeur Off , le programme de clavardage (Chat) nest pas install. Clipbook=Off Le paramtre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur Off , lalbum Clipbook nest pas install.

36

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

cluster=Off Le paramtre cluster fixe la valeur cluster dans le Registre. Avec la valeur Off , le logiciel de cluster nest pas install. complusnetwork=On Le paramtre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur On , laccs Com+ rseau est activ. deskpaper=Off Le paramtre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur Off , une image de fond nest pas installe sur le poste de travail. dialer=Off Le paramtre dialer fixe la valeur dialer dans le Registre. Avec la valeur Off , le composeur tlphonique nest pas install. dtcnetwork=Off Le paramtre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur Off , laccs rseau DTC nest pas activ. DTC signifie Distributed Transaction Coordinator (coordonnateur de transactions distribues). fax=Off Le paramtre fax fixe la valeur fax dans le Registre. Avec la valeur Off , la fonctionnalit de tlcopie nest pas installe. fp_extensions=Off Le paramtre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur Off , les extensions du serveur FrontPage ne sont pas installes. fp_vdir_deploy=Off Le paramtre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur Off , le soutien de dploiement distance RAD Visual InterDev nest pas install.

Installation automatise

Mars 2004

37

Non classifi

ITSG pour Windows Server 2003

freecell=Off Le paramtre freecell fixe la valeur freecell dans le Registre. Avec la valeur Off , le jeu Freecell nest pas install. hearts=Off Le paramtre hearts fixe la valeur hearts dans le Registre. Avec la valeur Off , le jeu Hearts nest pas install. hypertrm=Off Le paramtre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur Off , la fonction Hyperterminal nest pas installe. IEAccess=Off Le paramtre IEAccess dtermine si les points daccs dInternet Explorer sont visibles. Avec la valeur Off , ces points ne sont pas visibles. iis_asp=Off Le paramtre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur Off , la fonctionnalit Active Server Pages (pages de serveur actif) nest pas installe. iis_common=Off Le paramtre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur Off , lensemble commun de fichiers requis par lIIS nest pas install. iis_ftp=Off Le paramtre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur Off , le service FTP nest pas install. iis_inetmgr=Off Le paramtre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur Off , les outils dadministration bass sur la console MMC pour IIS ne sont pas installs.

38

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

iis_internetdataconnector=Off Le paramtre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre. Avec la valeur Off , la fonction Internet Data Connector (connecteur de donnes Internet) nest pas installe. iis_nntp=Off Le paramtre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur Off , le service NNTP nest pas install. iis_serversidesincludes=Off Le paramtre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec la valeur Off , la fonction Server Side Includes (fichiers inclus cot serveur) nest pas installe. iis_smpt=Off Le paramtre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur Off , le service SMTP nest pas install. iis_webadmin=Off Le paramtre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur Off , linterface utilisateur Web pour ladministration des serveurs Web (Outils dadministration distance Remote Administration Tools) nest pas installe. iis_webdav=Off Le paramtre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur Off , la fonction de publication WebDAV nest pas installe. iis_www=Off Le paramtre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur Off , le service WWW nest pas install. iis_www_vdir_scripts=Off Le paramtre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec la valeur Off , le rpertoire des scripts facultatif nest pas cr sur le site Web par dfaut.

Installation automatise

Mars 2004

39

Non classifi

ITSG pour Windows Server 2003

indexsrv_system=Off Le paramtre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur Off , le service dindexation nest pas install. inetprint=Off Le paramtre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur Off , la fonction dimpression Internet nest pas installe. licenseserver=Off Le paramtre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur Off , la licence Terminal Servers nest pas active. media_clips=Off Le paramtre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur Off , les chantillons de son ne sont pas installs. media_utopia=Off Le paramtre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur Off , le schma de son Utopia nest pas install. minesweeper=Off Le paramtre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur Off , le jeu Minesweeper nest pas install. mousepoint=On Le paramtre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur On , tous les pointeurs de souris disponibles sont installs. msmq_ADIntegrated=Off Le paramtre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la valeur Off , le MSMQ nest pas intgr lActive Directory.

40

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

msmq_Core=Off Le paramtre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur Off , les composantes Message Queuing ne sont pas installes. msmq_HTTPSupport=Off Le paramtre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la valeur Off , lmission et la rception des messages utilisant le protocole HTTP sont dsactives. msmq_LocalStorage=Off Le paramtre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la valeur Off , les messages ne sont pas enregistrs localement. msmq_MQDSSService=Off Le paramtre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre. Avec la valeur Off , laccs lActive Directory et la reconnaissance du site sont restreints pour les clients en aval. msmq_RoutingSupport=Off Le paramtre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre. Avec la valeur Off , le systme nassure pas de routage efficient. msmq_TriggerService=Off Le paramtre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec la valeur Off , larrive des messages entrants dans une file dattente est dissocie de la fonctionnalit dans une composante COM (Component Object Module). Il en va de mme pour un programme excutable autonome. msnexplr=Off Le paramtre msnexplr fixe la valeur msnexplr dans le Registre. Avec la valeur Off , lExplorateur MSN nest pas install. mswordpad=On Le paramtre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur On , la fonction mswordpad est installe.

Installation automatise

Mars 2004

41

Non classifi

ITSG pour Windows Server 2003

netcis=Off Le paramtre netcis fixe la valeur netcis dans le Registre. Avec la valeur Off , les services Internet COM Microsoft ne sont pas installs. netoc=Off Le paramtre netoc fixe la valeur netoc dans le Registre. Avec la valeur Off , les composantes rseau facultatives ne sont pas installes. objectpkg=Off Le paramtre objectpkg dtermine si lObject Packager est install. Avec la valeur Off , lObject Packager nest pas install. OEAccess=Off Le paramtre OEAccess dtermine si les points dentre visibles pour Outlook Express sont installs. Avec la valeur Off , les points dentre visibles pour Outlook Express ne sont pas installs. paint=Off Le paramtre paint fixe la valeur paint dans le Registre. Avec la valeur Off , Microsoft Paint nest pas install. pinball=Off Le paramtre pinball fixe la valeur pinball dans le Registre. Avec la valeur Off , le jeu Pinball nest pas install. Pop3Admin=Off Le paramtre Pop3Admin indique si linterface utilisateur Web facultative pour les outils dadministration distance est installe. Avec la valeur Off , cette interface facultative nest pas installe. Pop3Service=Off Le paramtre Pop3Service indique si le service POP3 principal est install. Avec la valeur Off , le service POP3 principal nest pas install.

42

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Pop3Srv=Off Le paramtre Pop3Srv dtermine si la composante POP3 racine est installe. Avec la valeur Off , cette composante nest pas installe. rec=Off Le paramtre rec dtermine si lenregistreur de son est install. Avec la valeur Off , lenregistreur de son nest pas install. reminst=Off Le paramtre reminst fixe la valeur reminst dans le Registre. Avec la valeur Off , le service dinstallation distance nest pas install. rootautoupdate=Off Le paramtre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur Off , les certificats racines de mise jour OMC sont dsactivs. Si lutilisateur se voit prsenter un certificat mis par une autorit racine qui nest pas directement juge fiable et si la composante mise jour des certificats racines (Update Root Certificates) nest pas installe sur lordinateur de lutilisateur, celui-ci ne pourra terminer les actions qui ont ncessit lauthentification. rstorage=Off Le paramtre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur Off , la fonction de stockage distance nest pas installe. solitaire=Off Le paramtre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur Off , le jeu Solitaire nest pas install. spider=Off Le paramtre spider fixe la valeur spider dans le Registre. Avec la valeur Off , le jeu Spider nest pas install.

Installation automatise

Mars 2004

43

Non classifi

ITSG pour Windows Server 2003

templates=Off Le paramtre templates fixe la valeur templates dans le Registre. Avec la valeur Off , les modles de documents ne sont pas installs. TerminalServer=Off Le paramtre TerminalServer dtermine si les services Terminal est install. Avec la valeur Off , ces services ne sont pas installs. TSWebClient=Off Le paramtre TSWebClient dtermine si le contrle ActiveX pour hberger les connexions du client Terminal Services sur le Web est install. Avec la valeur Off , le contrle ActiveX nest pas install. vol=Off Le paramtre vol fixe la valeur vol dans le Registre. Avec la valeur Off , le contrle de volume nest pas install. WBEMSNMP=Off Le paramtre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur Off , le fournisseur SNMP WMI nest pas install. WMAccess=Off Le paramtre WMAccess dtermine si les points dentre visibles pour le Gestionnaire Windows sont installs. Avec la valeur Off , les points dentre visibles pour le Gestionnaire Windows ne sont pas installs. WMPOCM=Off Le paramtre WMPOCM dtermine si les points dentre visibles pour le lecteur Windows Media sont installs. Avec la valeur Off , les points dentre visibles pour le lecteur Windows Media ne sont pas installs. wms=Off Le paramtre wms fixe la valeur wms dans le Registre. Avec la valeur Off , les principales composantes du serveur Windows Media (Windows Media Server) ne sont pas installes.

44

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

wms_admin_asp=Off Le paramtre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur Off , les composantes administratives bases sur le Web pour les services Windows Media (Windows Media Services) ne sont pas installes. wms_admin_mmc=Off Le paramtre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la valeur Off , les composantes administratives bases sur la console MMC pour les services Windows Media (Windows Media Services MMC) ne sont pas installes. wms_isapi=Off Le paramtre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur Off , les composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas installes. wms_server=Off Le paramtre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur Off , les composantes serveur des services Windows Media (Windows Media Services) ne sont pas installes. zonegames=Off Le paramtre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur Off , les jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas installs.

Installation automatise

Mars 2004

45

Non classifi

ITSG pour Windows Server 2003

Page laisse intentionnellement en blanc.

46

Mars 2004

Installation automatise

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4
4.1

Fichiers de stratgie pour les serveurs


Application des fichiers de stratgie

On doit appliquer les stratgies dictes par lenvironnement (domaine ou groupe de travail). 4.1.1 Application de la stratgie dans un domaine Les fichiers de stratgie sont appliqus des units dorganisation dans lActive Directory. La structure de lannuaire dictera les noms exacts et les emplacements des units dorganisation. La structure dploye dans le laboratoire du CST possde une unit dorganisation pour les Serveurs publics auxquels la configuration de base a t applique. Les units dorganisation Serveurs dimpression et Serveurs de fichiers sont incorpores dans lunit dorganisation Serveurs publics . Les stratgies appropries sont appliques lunit dorganisation spcifique. Cette procdure sapplique toute unit dorganisation et tout fichier de stratgie. Il sagit de substituer les paramtres UO et nom du fichier de stratgie , au besoin. 1. Appelez linterface Active Directory. 2. Dvelopper lannuaire en cliquant sur les signes + pour afficher les UO dsires. 3. Cliquez droite sur lUO dsire et slectionnez Properties dans le menu. a. La bote de dialogue Organizational Unit Properties souvre. 4. Slectionnez longlet Group Policy. 5. Cliquez sur le bouton New. 6. Le New Group Policy Object est cr. 7. Renommez le New Group Policy Object selon la valeur voulue. 8. Cliquez sur le bouton Edit. b. La bote de dialogue Group Policy Object Editor souvre. 9. Cliquez sur + ct de Windows Settings. 10. Cliquez droite sur Security Settings. 11. Slectionnez Import Policy dans le menu. 12. Naviguez jusquau fichier de staratgie voulu et slectionnez-le. 13. Activez loption Clear this database before importing. 14. Cliquez sur Open (la stratgie est importe). 15. Cliquez sur File, puis sur Exit. 16. Cliquez sur Apply.

Fichiers de stratgie pour les serveurs

Mars 2004

47

Non classifi

ITSG pour Windows Server 2003

17. Cliquez sur Exit. Rptez cette procdure jusqu ce que tous les fichiers de stratgie requis soient appliqus toutes les UO (serveurs publics, serveurs dimpression et serveurs de fichiers). 4.1.2 Application des stratgies un groupe de travail Les stratgies pour un serveur de groupe de travail doivent tre appliques dans lordre appropri pour que chacune delles soit correctement applique. Appliquez dabord la configuration de base, puis les stratgies additionnelles afin dactiver le rle dsign du serveur. Pour entrer un fichier de stratgie avec le Group Policy Editor (diteur de stratgie de groupe), procdez comme suit: 1. Ouvrez une fentre de commande. 2. Tapez MMC , puis Return. a. La bote de dialogue Console 1 souvre. 3. Cliquez sur File. 4. Slectionnez Add/Remove Snap-in. 5. La bote de dialogue Add/Remove Snap-in saffiche. 6. Cliquez sur Add. 7. La bote de dialogue Add Standalone Snap-in saffiche. 8. Naviguez dans le fichier et slectionnez Group Policy Editor. 9. Cliquez sur Add. 10. La bote de dialogue Select Group Policy Object saffiche. 11. Acceptez les valeurs par dfaut et cliquez sur Finish. 12. Cliquez sur Close. 13. Cliquez sur OK. a. La fentre Root Console Window saffiche. 14. Cliquez sur + ct de Local Computer Policy. 15. Cliquez sur + ct de Windows Settings. 16. Cliquez droite sur Security Settings. 17. Slectionnez Import Policy. 18. Naviguez jusquau fichier de startgie dsir et slectionnez-le. a. Importez dabord la stratgie de configuration de base, puis ensuite les stratgies bases sur les rles. 19. Cliquez sur Open.

48

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

20. Cliquez sur File. 21. Cliquez sur Exit. 22. La bote de dialogue Microsoft Management Console saffiche. 23. Slectionnez Yes si vous voulez enregistrer les paramtres. a. Sinon, slectionnez No.

4.2

Dtails sur les fichiers de stratgie de base pour les serveurs

La section suivante dcrit les services et paramtres additionnels qui peuvent tre grs laide des fichiers de stratgie. Les fichiers de configuration de base pour les domaines et les groupes de travail sont en grande partie identiques. La section suivante dcrit en dtail les paramtres de scurit. Pour les options qui ne sont pas identiques pour les domaines et les groupes de travail, les deux types de paramtres seront dcrits.

4.3

Stratgies des comptes

Les stratgies de comptes dterminent les rgles pour les utilisateurs lgard des mots de passe et de Kerberos. 4.3.1 Stratgie des mots de passe 4.3.1.1 Conserver lhistorique des mots de passe

PasswordHistorySize = 24 Le paramtre PasswordHistorySize dtermine le nombre de mots de passe conservs par le systme. Cette valeur est compare avec les entres utilisateur pendant les changements de mots de passe. La valeur 24 signifie que lutilisateur doit choisir 24 mots de passe diffrents avant de pouvoir rutiliser le premier mot de passe. Avec une valeur de 2 pour le paramtre MinimumPasswordAge , lutilisateur devrait changer son mot de passe tous les deux jours 24 fois de suite avant pouvoir de revenir son mot de passe original. 4.3.1.2 Dure de vie maximale du mot de passe

MaximumPasswordAge = 42 Le paramtre MaximumPasswordAge dtermine le nombre maximal de jours pendant lesquels lutilisateur peut conserver le mme mot de passe. Avec une valeur de 42, lutilisateur doit modifier son mot de passe tous les 42 jours. Conjointement avec les paramtres PasswordComplexity et PasswordLength , ce paramtre assure un mot de passe robuste et rsistant aux attaques.

Fichiers de stratgie pour les serveurs

Mars 2004

49

Non classifi

ITSG pour Windows Server 2003

4.3.1.3

Dure de vie minimale du mot de passe

MinimumPasswordAge = 2 Le paramtre MinimumPasswordAge dtermine combien de jours lutilisateur doit attendre avant de changer un mot de passe. Avec la valeur 2 , lutilisateur doit attendre deux jours avant de changer son mot de passe. 4.3.1.4 Longueur minimale du mot de passe

MinimumPasswordLength = 8 Le paramtre MinimumPasswordLength dtermine le nombre minimal de caractres acceptable dans un mot de passe. Avec la valeur 8 , lutilisateur doit entrer un mot de passe dau moins 8 caractres. Conjointement avec les paramtres PasswordComplexity et MaximumPasswordAge , ce paramtre assure un mot de passe robuste et rsistant aux attaques. 4.3.1.5 Le mot de passe doit respecter les exigences de complexit

PasswordComplexity = 1 Le paramtre PasswordComplexity dtermine les exigences de complexit du mot de passe. Avec la valeur 1 , lutilisateur doit entrer un mot de passe qui rpond aux critres ci-dessous. Le mot de passe doit contenir des caractres dans trois des quatre catgories suivantes : Lettres en majuscule (A-Z) Lettres en minuscule (a-z) Chiffres en base 10 (0-9) Caractres non alphanumriques (! @ # $ % ^ &) Ce paramtre permet de contrer les attaques par la force brute. 4.3.1.6 Enregistrer les mots de passe en utilisant un cryptage rversible

ClearTextPassword = 0 Le mot cl ClearTextPassword dtermine si le systme enregistre le mot de passe avec une technique cryptographique rversible. Avec la valeur 0 , la cryptographie rversible est dsactive. REMARQUE : On ne doit jamais activer cette option, moins que les considrations oprationnelles ne lemportent sur la ncessit de protger linformation sur le mot de passe.

50

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.3.2 Stratgie de verrouillage des comptes 4.3.2.1 Dure de verrouillage des comptes

LockoutDuration = 15 Le paramtre LockoutDuration dtermine la dure (en minutes) pendant laquelle un compte est dsactiv aprs le verrouillage. Avec la valeur 15 , le compte de lutilisateur est dsactiv pendant 15 minutes. Cette valeur doit tre synchronise avec le paramtre ResetLockoutCounter , de sorte que lutilisateur puisse ouvrir une session quand la dure indique pour le paramtre LockoutDuration a expir. 4.3.2.2 Seuil de verrouillage du compte

LockoutBadCount = 10 Le paramtre LockoutBadCount dtermine le nombre de tentatives infructueuses douverture de session, avant que le compte ne soit verrouill. Avec la valeur 10 , le compte de lutilisateur sera verrouill aprs 10 tentatives infructueuses conscutives douverture de session. Ce paramtre permet de contrer les tentatives prolonges de craquage de mots de passe. 4.3.2.3 Rinitialiser le compteur de verrouillages du compte aprs

ResetLockoutCount = 15 Le paramtre ResetLockoutCount dtermine la dure (en minutes) avant la rinitialisation du compte. Avec la valeur 15 , le compteur du verrouillage est ramen zro aprs 15 minutes. Cette valeur doit tre synchronise avec le paramtre LockoutDuration , afin que lutilisateur puisse ouvrir une session quand la dure indique par le paramtre LockoutDuration a expir.

4.3.3 Stratgie Kerberos Il ny a pas de paramtres Kerberos dans la configuration de base pour groupe de travail. 4.3.3.1 Appliquer les restrictions pour louverture de session

TicketValidateClient = 1 Le paramtre TicketValidateClient dtermine si lauthentification par le Centre de distribution des cls V5 Kerberos est requise. Avec la valeur 1 , lutilisation de lauthentification Kerberos est requise.

Fichiers de stratgie pour les serveurs

Mars 2004

51

Non classifi

ITSG pour Windows Server 2003

4.3.3.2

Dure de vie maximale pour le ticket de service

MaxServiceAge = 600 Le paramtre MaxServiceAge dtermine le nombre de minutes pendant lequel un ticket de service est valide. Avec la valeur 600 , le ticket peut tre utilis pendant 10 heures. 4.3.3.3 Dure de vie maximale du ticket utilisateur

MaxTicketAge = 10 Le paramtre MaxTicketAge dtermine le nombre maximal dheures pendant lequel un ticket utilisateur (TGT pour Ticket Granting Ticket) peut tre renouvel. Avec la valeur 10 , le ticket utilisateur doit tre remplac ou renouvel aprs 10 heures. 4.3.3.4 Dure de vie maximale pour le renouvellement du ticket utilisateur

MaxRenewAge = 7 Le paramtre MaxRenewAge dtermine le nombre maximal de jours pendant lequel le ticket utilisateur peut tre renouvel. Avec la valeur 7 , le ticket utilisateur peut tre renouvel pour sept jours. 4.3.3.5 Tolrance maximale pour la synchronisation de lhorloge de lordinateur

MaxClockSkew = 5 Le paramtre MaxClockSkew dtermine la diffrence de temps maximale que Kerberos tolrera entre lhorloge du systme et lhorloge du contrleur de domaine. Avec la valeur 5 , les systmes qui prsentent un dcalage dhorloge de plus de cinq minutes par rapport lhorloge du contrleur de domaine se verront refuser laccs.

4.4

Stratgies locales

4.4.1 Stratgie daudit 4.4.1.1 Auditer les vnements de connexion aux comptes

AuditAccountLogon = 3 Le paramtre AuditAccountLogon dtermine les types douvertures de session auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Les oprations russies peuvent dterminer qui a accd au systme pendant un incident. Les vnements checs permettent de mieux comprendre les tentatives de craquage de mots de passe.

52

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.1.2

Auditer la gestion des comptes

AuditAccountManage = 3 Le paramtre AuditAccountManage dtermine les types dvnements douverture de session auditer. Avec la valeur 3 , le systme audite les oprations russies et les checs . Les oprations russies peuvent servir aux enqutes, la surveillance des comptes au moment de lincident. Les checs permettent de dterminer si les utilisateurs tentent de sonder le systme pour en dceler les vulnrabilits. 4.4.1.3 Auditer laccs au service dannuaire

AuditDSAAccess = 3 Le paramtre AuditDSAccess dtermine le type douvertures de session auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Le service dannuaire (Directory Service) contient des renseignements essentiels au sujet du domaine. En sachant qui a accd au service pendant un incident, on peut obtenir de linformation prcieuse au sujet des objets de lActive Directory auxquels on a accd pendant une attaque. 4.4.1.4 Auditer les vnement de connexion

AuditLogonEvents = 3 Le paramtre AuditLogonEvents dtermine les types douvertures de session auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Les oprations russies permettent de dterminer qui a accd au systme pendant lincident. Les checs permettent de dterminer si le systme fait lobjet dune tentative de craquage de mots de passe. 4.4.1.5 Auditer laccs aux objets

AuditObjectAccess = 2 Le paramtre AuditObjectAccess dtermine le type douverture de session auditer. Avec la valeur 2 , les checs sont audits. Les tentatives peuvent tre surveilles afin de dterminer si des utilisateurs tentent de sonder le systme pour en dceler les vulnrabilits. 4.4.1.6 Auditer les modifications de stratgie

AuditPolicyChange = 3 Le paramtre AuditPolicyChange dtermine le type douverture de session auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Les oprations russies sont utilises dans les enqutes visant dterminer laccs au systme et aux stratgies utilises au moment de lincident. Les checs permettent de dterminer si des utilisateurs tentent de sonder le systme pour en dceler les vulnrabilits.

Fichiers de stratgie pour les serveurs

Mars 2004

53

Non classifi

ITSG pour Windows Server 2003

4.4.1.7

Auditer lutilisation des privilges

AuditPrivilegeUse = 3 Le paramtre AuditPrivilegeUse dtermine les types douvertures de session auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Les oprations russies servent dterminer qui a accd au systme au moment de lincident. Les checs permettent de dterminer si des utilisateurs tentent de sonder le systme pour en dceler les vulnrabilits. 4.4.1.8 Auditer le suivi des processus

AuditProcessTracking = 0 Le paramtre AuditProcessTracking dtermine les types douvertures de session auditer. Avec la valeur 0 , aucun vnement nest audit. La valeur de cette information est pondre par rapport au volume de donnes recueilli. En raison de la grande quantit de donnes, ce paramtre est normalement dsactiv. Toutefois, pendant un incident, cette information peut savrer prcieuse. Si on souponne une attaque, nous recommandons dactiver ce paramtre. 4.4.1.9 Auditer les vnements systme

AuditSystemEvents = 3 Le paramtre AuditSystemEvents dtermine les vnements auditer. Avec la valeur 3 , les oprations russies et les checs sont audits. Ces vnements refltent les arrts et les redmarrages du systme, les vnements touchant la scurit systme et les vnement touchant le journal de scurit. 4.4.2 Attribution des droits utilisateur 4.4.2.1 Accder cet ordinateur partir du rseau

senetworklogonright = *S-1-5-11,*S-1-5-32-544 Le paramtre senetworklogonright permet laccs au systme par protocole rseau (SMB, NetBIOS, CIFS, HTTP et COM+). La prsente stratgie accorde des privilges aux administrateurs et aux utilisateurs authentifis. La possibilit daccder au systme partir dun rseau prsente un plus grand risque dexposition aux attaques. En rduisant laccs, on rduit les risques dexposition. 4.4.2.2 Agir en tant que partie du systme dexploitation

setcbprivilege = Le paramtre setcbprivilege permet au compte dagir en tant que partie du systme dexploitation. Selon Microsoft, il ny a aucune raison pour quun compte ait besoin de ce privilge.

54

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.2.3

Ajouter des stations de travail au domaine

semachineaccountprivilege = Le paramtre semachineaccountprivilege octroie le droit dajouter des postes de travail un domaine. Cette stratgie noctroie aucun droit. Restreindre ce privilge aide maintenir lintgrit du domaine. 4.4.2.4 Ajuster les quotas de mmoire pour un processus

seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 Le paramtre seincreasequotaprivilege donne la possibilit dajuster les quotas de mmoire pour un processus. La prsente stratgie octroie des privilges aux comptes Administrateurs, LOCAL SERVICE et NETWORK SERVICE. Si ce paramtre est mal utilis, des attaques par dni de service sont possibles. 4.4.2.5 Permettre louverture dune session locale

seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 Le paramtre seinteractivelogonright octroie des privilges douverture de session sur la console locale. Ces privilges sont donns aux administrateurs et aux oprateurs de sauvegarde. Laccs local est restreint aux comptes qui ont une raison lgitime daccder la console. En restreignant ce privilge, on rduit lexposition du systme. 4.4.2.6 Autoriser louverture de session par les services Terminal Server

seremoteinteractivelogonright = *S-1-5-32-544 Le paramtre seremoteinteractivelogonright octroie le droit douvrir une session distance par lintermdiaire des services Terminal Server. La prsente stratgie donne ce droit aux administrateurs. Rien nexige que lon accorde aux utilisateurs cette forme daccs. 4.4.2.7 Sauvegarder des fichiers ou des rpertoires

sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544 Le paramtre sebackupprivilege octroie le droit de sauvegarder des fichiers et des rpertoires. Les droits sont donns aux administrateurs et aux oprateurs de sauvegarde. Si votre stratgie ne permet pas aux administrateurs de sauvegarder les fichiers et les rpertoires, omettez alors le groupe Administrateurs. Lattribution de ce privilge doit tre contrle de prs. 4.4.2.8 Outrepasser le contrle de traverse

sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544 Le paramtre sechangenotifyprivilege octroie le droit de contourner le contrle de traverse dans les systmes de fichier NTFS et dans le Registre. La prsente stratgie octroie des droits aux utilisateurs, oprateurs de sauvegarde, administrateurs et utilisateurs authentifis.

Fichiers de stratgie pour les serveurs

Mars 2004

55

Non classifi

ITSG pour Windows Server 2003

4.4.2.9

Modifier lheure systme

sesystemtimeprivilege = *S-1-5-32-544 Le paramtre sesystemtimeprivilege octroie le droit de modifier lheure systme. La prsente stratgie octroie les droits aux administrateurs. Lheure systme est essentielle dans les enqutes sur les incidents. Sans un temps uniforme, il est difficile de synchroniser les vnements sur des systmes multiples. 4.4.2.10 Crer un fichier dchange

secreatepagefileprivilege = *S-1-5-32-544 Le paramtre secreatepagefileprivilege octroie le droit de crer un fichier dchange. La prsente stratgie octroie les droits aux administrateurs. Un fichier dchange trop grand peut entraver la performance dun systme. En restreignant ce droit aux administrateurs, lexposition du systme est rduite aux seules personnes juges fiables. 4.4.2.11 Crer un objet-jeton

secreatetokenprivilege = Le paramtre secreatetokenprivilege octroie le droit de crer des objets-jetons de scurit locale. Ce privilge donne la possibilit de crer ou de modifier des jetons daccs. Cette stratgie noctroie aucun droit personne. Ce paramtre peut empcher les attaques par escalade de privilges et les conditions de dni de services. 4.4.2.12 Crer des objets globaux

secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544 Le paramtre secreateglobalprivilege octroie le droit de crer des objets disponibles dans toutes les sessions. La prsente stratgie octroie les droits aux administrateurs et au compte SERVICE. On peut lutiliser pour affecter dautres processus dutilisateurs. 4.4.2.13 Crer des objets partags permanents)

secreatepermanentprivilege = Le paramtre secreatepermanentprivilege octroie le droit de crer des objets partags (dossiers, imprimantes). Les utilisateurs ayant ce privilge pourraient exposer des donnes sensibles sur les rseaux en crant un objet partag. Seuls les membres du groupe des administrateurs peuvent crer des objets partags permanents.

56

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.2.14

Dboguer les programmes

sedebugprivilege = Le paramtre sedebugprivilege octroie le droit de dboguer tout processus du noyau. Le dboguage des programmes ne devrait jamais tre effectu dans un environnement oprationnel. Le cas chant, on doit octroyer ces droits pour une brve priode de temps. 4.4.2.15 Interdire laccs cet ordinateur partir du rseau

sedenynetworklogonright = *S-1-5-32-546, *S-1-5-7 Le paramtre sedenynetworklogonright empche laccs pour divers protocoles rseau. La stratgie applique ce paramtre aux invits et louverture de session par compte ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux Guest , Support_388945a0 , et Built-in Administrator . REMARQUE : Sil ny a aucune raison pour accorder un groupe ou un utilisateur laccs rseau au systmem, celui-ci devrait tre refus. 4.4.2.16 Interdire louverture de session en tant que tche

sedenybatchlogonright = *S-1-5-32-546, *S-1-5-7 Le paramtre sedenybatchlogonright empche la possibilit de crer des tches par lots. Cette stratgie applique ce paramtre aux invits et au compte ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux Guest et Support_388945a0 . La fonction de tche par lots pourrait tre utilise pour planifier des tches qui rsulteraient en une attaque par dni de service. REMARQUE : Sil ny a aucune raison pour accorder un groupe ou un utilisateur laccs par ouverture de session en tant que tche, celui-ci devrait tre refus. 4.4.2.17 Interdire louverture de session en tant que service

sedenyservicelogonright = *S-1-5-32-546,*S-1-5-32-544, *S-1-5-7 Le paramtre sedenyservicelogonright empche laccs divers protocoles rseau. La prsente stratgie applique ce paramtre aux comptes Guests, ANONYMOUS LOGON, et Administrateurs. Les administrateurs doivent ajouter des comptes locaux Guest , Support_388945a0 et Built-in Administrator . 4.4.2.18 Interdire louverture dune session locale

sedenyinteractivelogonright = *S-1-5-32-546, *S-1-5-7 Le paramtre sedenyinteractivelogonright empche laccs local au systme. La prsente stratgie applique ce paramtre aux comptes Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux Guest et Support_388945a0 .

Fichiers de stratgie pour les serveurs

Mars 2004

57

Non classifi

ITSG pour Windows Server 2003

REMARQUE : Sil ny a aucune raison accorder un groupe laccs de manire interactive au systme, celui-ci devrait tre refus. 4.4.2.19 Interdire louverture de session par les services Terminal Server

sedenyremoteinteractivelogonright = *S-1-5-32-546, *S-1-5-7 Le paramtre sedenyremoteinteractivelogonright empche louverture de session par lintermdiaire des services de terminal. La prsente stratgie applique ce paramtre aux comptes Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux Guest , Support_388945a0 et Built-in Administrator . REMARQUE : Sil ny a aucune raison pour accorder un groupe laccs par les services de terminal, celui-ci devrait tre refus. 4.4.2.20 Autoriser que lon fasse confiance aux comptes ordinateur et utilisateur pour la dlgation

seenabledelegationprivilege = Le paramtre seenabledelegationprivilege octroie le droit de modifier le paramtre trusted for delegation pour des objets de lActive Directory. La prsente stratgie noctroie pas de privilge quiconque. La mauvaise utilisation de ce privilge pourrait donner lieu lusurpation de lidentit des utilisateurs dans un domaine. 4.4.2.21 Forcer larrt partir dun systme distant

seremoteshutdownprivilege = Le paramtre seremoteshutdownprivilege octroie le droit de forcer larrt partir dun systme distant. La prsente stratgie noctroie aucun droit quiconque. Pour fermer les serveurs dans une zone haute scurit, il faut y accder physiquement. 4.4.2.22 Gnrer des audits de scurit

seauditprivilege = *S-1-5-19,*S-1-5-20 Le paramtre seauditprivilege octroie le droit de gnrer des enregistrements dans les journaux de scurit. La prsente stratgie octroie les droits aux comptes NETWORK SERVICE et LOCAL SERVICE. En limitant les droits aux comptes non interactifs, on peut viter les conditions de dni de service par inondation des journaux. 4.4.2.23 Usurper lidentit dun client aprs authentification

seimpersonateprivilege = *S-1-5-19,*S-1-5-20 Le paramtre seimpersonateprivilege octroie aux applications le droit dassumer lidentit de ce client. La prsente stratgie octroie les droits aux services Local Service et Network Service. Pour une scurit accrue, les privilges sont limits aux comptes non interactifs.

58

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.2.24

Augmenter la priorit de planification

seincreasebasepriorityprivilege = *S-1-5-32-544 Le paramtre seincreasebasepriorityprivilege octroie le droit daccrotre la priorit des processus. La prsente stratgie octroie les privilges aux administrateurs. Si ce paramtre est mal utilis, une condition de dni de service pourrait accaparer les ressources de lunit centrale. 4.4.2.25 Charger et dcharger des pilotes de priphriques

seloaddriverprivilege = *S-1-5-32-544 Le paramtre seloaddriverprivilege octroie le droit de charger et de dcharger des pilotes de priphriques. La prsente stratgie octroie les privilges aux administrateurs. Le code du pilote est excut avec des privilges accrus. En restreignant les privilges aux administrateurs, le risque dexposition sen trouve rduit. 4.4.2.26 Verrouiller des pages en mmoire

selockmemoryprivilege = Le paramtre selockmemoryprivilege octroie le droit de conserver les donnes en mmoire physique. La prsente stratgie noctroie aucun privilge quiconque. Lutilisation abusive des privilges peut accaparer les ressources mmoire et causer une situation de dni de service. En restreignant ce privilge, on rduit le risque dexposition cette menace. 4.4.2.27 Ouvrir une session en tant que tche

sebatchlogonright = Le paramtre sebatchlogonright octroie le droit de soumettre des tches par lots (c.--d. ouvrir une session en tant que tche). La prsente stratgie noctroie aucun droit quiconque. Le Planificateur de tches pourrait provoquer un dni de service. En limitant ce privilge, on rduit la menace. 4.4.2.28 Ouvrir une session en tant que service

seservicelogonright = *S-1-5-20,*S-1-5-19 Le paramtre seservicelogonright octroie le droit douvrir une session en tant que service. La prsente stratgie octroie les droits aux services Local Service et Network Service. Les comptes interactifs sont expressment exclus.

Fichiers de stratgie pour les serveurs

Mars 2004

59

Non classifi

ITSG pour Windows Server 2003

4.4.2.29

Grer le journal daudit et de scurit

sesecurityprivilege = *S-1-5-32-544 Le paramtre sesecurityprivilege octroie le droit de spcifier les options daudit et daccs des objets spcifiques. La prsente stratgie octroie les droits aux administrateurs. Seuls les administrateurs peuvent dterminer le niveau daudit appropri. On sassure ainsi que les utilisateurs du systme ne peuvent pas rduire les niveaux daudit et ainsi liminer les traces de leurs activits. 4.4.2.30 Modifier les valeurs de lenvironnement de microprogrammation

sesystemenvironmentprivilege = *S-1-5-32-544 Le paramtre sesystemenvironmentprivilege octroie le droit de modifier les valeurs de lenvironnement de microprogrammation. La prsente stratgie octroie ces droits aux administrateurs seulement. Il faut contrler la possibilit de modifier les configurations systme. 4.4.2.31 Effectuer des tches de gestion des volumes

semanagevolumeprivilege = *S-1-5-32-544 Le paramtre semanagevolumeprivilege octroie le droit de grer les volumes ou les disques. La prsente stratgie octroie les droits aux administrateurs seulement. La fonction administrative de gestion des volumes et des disques peut endommager les donnes utilisateur sur un disque. En restreignant ce privilge, on rduit la menace. 4.4.2.32 Profil de processus unique

seprofilesingleprocessprivilege = *S-1-5-32-544 Le paramtre seprofilesingleprocessprivilege octroie le droit de surveiller la performance des processus non-systme. La prsente stratgie octroie ces droits aux administrateurs. Le profilage dun processus peut fournir de linformation qui pourrait tre utilise comme base dattaque. En limitant ces privilges aux administrateurs, on rduit cette menace. 4.4.2.33 Profil de performance systme

sesystemprofileprivilege = *S-1-5-32-544 Le paramtre sesystemprofileprivilege octroie le droit de surveiller la performance dun processus systme. La prsente stratgie octroie ces droits aux administrateurs seulement. Le profilage dun systme permet dobtenir de linformation utile pour une attaque. En limitant ces privilges aux administrateurs, on rduit cette menace.

60

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.2.34

Retirer lordinateur de la station daccueil

seundockprivilege = *S-1-5-32-544 Le paramtre seundockprivilege octroie le droit de retirer lordinateur du serveur. La prsente stratgie octroie ces privilges aux administrateurs seulement. titre de mesure prventive, ces privilges sont restreints. 4.4.2.35 Remplacer un jeton de niveau processus

seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 Le paramtre seassignprimarytokenprivilege octroie le droit de remplacer un jeton de scurit de processus, pour un sous-processus. Ces droits sont octroys aux services Local Service et Network Service. On peut se servir de ce paramtre pour lancer des processus en tant qu autre utilisateur , et ainsi masquer des activits non autorises sur un systme. 4.4.2.36 Restaurer des fichiers et des rpertoires

serestoreprivilege = *S-1-5-32-544 Le paramtre serestoreprivilege octroie le droit de contourner les permissions pour ce qui est de restaurer les objets. La prsente stratgie octroie les privilges aux administrateurs seulement. En raison de la nature du processus de restauration, les droits sont restreints aux comptes qui ont besoin de lutiliser. 4.4.2.37 Arrter le systme

seshutdownprivilege = *S-1-5-32-544 Le paramtre seshutdownprivilege octroie le droit darrter le systme localement. La prsente stratgie octroie ce droit aux administrateurs seulement. En restreignant ce privilge, on rduit les risques darrt accidentel ou malveillant. 4.4.2.38 Synchroniser les donnes de lannuaire Active Directory

sesyncagentprivilege = Le paramtre sesyncagentprivilege octroie le droit de lire tous les objets et toutes les proprits dans lannuaire. La prsente stratgie rvoque tous les privilges. Linformation tire de lActive Directory pourrait tre utilise pour forger une attaque contre le systme. 4.4.2.39 Prendre possession des fichiers ou dautres objets

setakeownershipprivilege = *S-1-5-32-544 Le paramtre setakeownershipprivilege octroie le droit de prendre possession de tout objet pouvant tre scuris dans le systme. La modification de prise de possession sera consigne dans les journaux. La prsente stratgie octroie les privilges aux administrateurs seulement.
Fichiers de stratgie pour les serveurs Mars 2004 61

Non classifi

ITSG pour Windows Server 2003

4.4.3 Options de scurit Cette section indique les valeurs pour toutes les entres dans la section Security Options (Options de scurit) de linterface GUI de la stratgie. Elle comprend les entres de la section Security Options de la stratgie de domaine, ainsi que la configuration de base des serveurs membres. Veuillez noter que toutes les valeurs sont explicitement dfinies. Ainsi, la scurit ne dpend pas de valeurs par dfaut. 4.4.3.1 Comptes : tat de compte dadministrateur

EnableAdminAccount = 0 Le paramtre EnableAdminAccount dtermine si le compte de ladministrateur local est activ. Avec la valeur 0 , le compte de ladministrateur local est dsactiv. Cela empche lutilisation gnralise du compte et le soustrait aux attaques potentielles. 4.4.3.2 Comptes : tat de compte dinvit

EnableGuestAccount = 0 Le paramtre EnableGuestAccount dtermine si le compte dinvit local est activ. Avec la valeur 0 , le compte est dsactiv. Cela empche lutilisation gnralise du compte et le soustrait aux attaques potentielles. 4.4.3.3 Comptes : Restreindre lutilisation des mots de passe vierges par le compte local louverture de session console

machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4, 1 La valeur de Registre limitblankpassworduse dtermine si on peut utiliser des comptes locaux avec des mots de passe vierges pour ouvrir une session distance. Avec la valeur 1 , ce type douverture de session est interdit. Ainsi, laccs distance requiert un nom et un mot de passe. 4.4.3.4 Comptes : Renommer le compte administrateur

NewAdministratorName = "jeanuntel" Le mot cl NewAdministratorName indique le nom du compte de ladministrateur local. La valeur jeanuntel renomme le compte dun administrateur local, avec le nom jeanuntel. En renommant le compte de ladministrateur local, il est difficile pour un attaquant de lutiliser mauvais escient. REMARQUE : Ce mot cl devrait tre omis si on doit appliquer une stratgie qui renomme le compte Administrateur sur chaque systme. Si ce nest pas le cas, on doit tout le moins changer jeanuntel pour une valeur locale.

62

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.5

Comptes : Renommer le compte invit

NewGuestName = "jeanneuntel" Le mot cl NewGuestName indique le nom de compte dinvit local. Le paramtre jeanneuntel renomme le compte dun invit local, avec le nom jeanneuntel. En renommant le compte de ladministrateur local, il est difficile pour un attaquant de lutiliser mauvais escient. REMARQUE : Ce mot cl devrait tre omis si on doit appliquer une stratgie qui renomme le compte Invit sur chaque systme. Si ce nest pas le cas, on doit tout le moins changer jeanneuntel pour une valeur locale. 4.4.3.6 Audit : auditer laccs des objets systme globaux

machine\system\currentcontrolset\control\lsa\auditbaseobjects=4, 0 Le paramtre auditbaseobjects du Registre dtermine si laccs aux objets systme globaux est audit. Avec la valeur 0 , cet audit est dsactiv. 4.4.3.7 Audit : auditer lutilisation des privilges de sauvegarde et de restauration

machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3, 0 Le paramtre fullprivilegeauditing dtermine si le systme auditera les privilges de sauvegarde et de restauration. Avec la valeur 0 , ce privilge est dsactiv. 4.4.3.8 Audit : arrter immdiatement le systme sil nest pas possible de se connecter aux audits de scurit

machine\system\currentcontrolset\control\lsa\crashonauditfail=4, 1 Le paramtre crashonauditfail dtermine le comportement du systme quand il ne peut pas journaliser des vnements de scurit. Avec la valeur 1 , le systme sarrte quand il ne peut pas journaliser. Le gouvernement exige que des donnes journalises exhaustives soient conserves avec soin. Par consquent, si les fichiers journaux sont pleins, le systme ne doit plus traiter dautres transactions. 4.4.3.9 Priphriques : autoriser le retrait sans ouverture de session au pralable

machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4, 0 Le paramtre undockwithoutlogon dtermine si on peut retirer un portable de sa station daccueil sans ouvrir de session. Avec la valeur 0 , ce retrait sans ouverture de session pralable nest pas autoris.

Fichiers de stratgie pour les serveurs

Mars 2004

63

Non classifi

ITSG pour Windows Server 2003

4.4.3.10

Priphriques : permettre le formatage et ljection des supports amovibles

machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" Le paramtre allocatedasd dtermine qui peut formater et jecter le support amovible. Avec la valeur 0 , les administrateurs peuvent formater et jecter le support amovible. La capacit de stocker de grandes quantits de donnes (p. ex., des bases de donnes entires) devrait tre restreinte aux seules personnes juges fiables. 4.4.3.11 Priphriques : empcher les utilisateurs dinstaller des pilotes dimprimante

services\servers\addprinterdrivers=4, 1 Le paramtre addprinterdrivers dtermine si les utilisateurs peuvent ajouter des pilotes dimprimante. Avec la valeur 1 , les utilisateurs ne peuvent pas le faire. Cela permet de dempcher que des utilisateurs nexcutent du code malveillant dans un tat privilgi. 4.4.3.12 Priphriques : autoriser l'accs au CD-ROM uniquement aux utilisateurs ayant ouvert une session

machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" Le paramtre allocatecdroms dtermine si le CD-ROM est pareillement accessible aux utilisateurs locaux et distance. Avec la valeur 1 , laccs distance au CD-ROM est restreint quand il est utilis par un utilisateur local. REMARQUE : Ce paramtre permet aux utilisateurs autoriss distants daccder au CD-ROM sil nest pas dj employ par un utilisateur local. 4.4.3.13 Priphriques : ne permettre laccs aux disquettes quaux utilisateurs connects localement

machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" Le paramtre allocatefloppies dtermine si lunit de disquette est simultanment accessible aux utilisateurs locaux et distants. Avec la valeur 1 , laccs distance est restreint quand lunit est employe par un utilisateur local. REMARQUE : Ce paramtre permet laccs distance lunit de disquette si personne nest connect comme utilisateur local. 4.4.3.14 Priphriques : comportement dinstallation dun pilote non sign

machine\software\microsoft\driver signing\policy=3, 1 Le paramtre policy dfinit le comportement dinstallation dun pilote non sign. Avec la valeur 1 , lutilisateur reoit un avertissement avant linstallation du pilote. Si cette option est applique, seuls les pilotes approuvs par les laboratoires WHQL ( Windows Hardware Quality

64

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Lab) sont admissibles. La dcision dinstaller des pilotes qui ne se trouvent pas dans la liste WHQL est laisse ladministrateur. 4.4.3.15 Contrleur de domaine : permettre aux oprateurs du serveur de planifier des tches

machine\system\currentcontrolset\control\lsa\submitcontrol=4, 0 Le paramtre submitcontrol dtermine si les oprateurs du systme peuvent planifier des tches. Avec la valeur 0 , les oprateurs systme ne peuvent faire cette planification. Un nombre lev de tches peut crer une condition de dni de service. 4.4.3.16 Contrleur de domaine : conditions requises pour la signature de serveur LDAP

machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4, 2 Le paramtre ldapserverintegrity dtermine si le serveur LDAP requiert une signature pour ngocier avec les clients LDAP. Avec la valeur 2 , la signature du client est requise. Les donnes non signes peuvent tre utilises pour des attaques de lintercepteur. Ce paramtre aide galement prvenir les dtournements de session. 4.4.3.17 Contrleur de domaine : refuser les modifications de mot de passe du compte ordinateur

machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4, 0 Le paramtre refusepasswordchange dtermine si le contrleur de domaine accepte les modifications apportes aux mots de passe du compte ordinateur. Avec la valeur 0 , ces modifications sont autorises. La modification rgulire des mots de passe rduit la menace des attaques par la force brute. 4.4.3.18 Membre de domaine : crypter ou signer numriquement les donnes des canaux scuriss (toujours)

machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4, 1 Le paramtre requiresignorseal dtermine si le membre de domaine chiffrera ou signera toujours les donnes des canaux scuriss. Avec la valeur 1 , les donnes des canaux scuriss sont chiffres ou signes. Ce paramtre empche les anciens systmes (pr-Windows 2000) de se joindre un domaine. 4.4.3.19 Membre de domaine : crypter numriquement les donnes des canaux scuriss (lorsque cela est possible)

machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4, 1 Le paramtre sealsecurechannel dtermine si un membre de domaine demande le chiffrement de toutes les donnes des canaux scuriss. Avec la valeur 1 , toutes les donnes des canaux scuriss sont chiffres. En chiffrant les donnes des canaux scuriss, ce systme empche

Fichiers de stratgie pour les serveurs

Mars 2004

65

Non classifi

ITSG pour Windows Server 2003

linformation sensible dtre transmise en clair. Cela limite la capacit dun attaquant dobtenir de linformation en vue dune attaque. 4.4.3.20 Membre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible)

machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4, 1 Le paramtre signsecurechannel dtermine si un systme signera les donnes des canaux scuriss, quand cela est possible. Avec la valeur 1 , les donnes des canaux scuriss sont signes lorsque cela est possible. Les donnes non signes peuvent tre utilises pour une attaque de lintercepteur. Ce paramtre protge le client contre les dtournements de session. 4.4.3.21 Membre de domaine : dsactive les modifications de mots de passe du compte ordinateur

machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4, 0 Le paramtre disablepasswordchange dtermine si un contrleur de domaine acceptera les modifications apportes aux mots de passe du compte ordinateur. Avec la valeur 0 , ces modifications sont autorises. Si ces modifications ne sont pas autorises, les systmes ne pourront pas modifier leurs mots de passe du compte ordinateur. Cela les rendrait susceptibles aux tentatives de craquage de mots de passe. 4.4.3.22 Membre de domaine : ge maximal du mot de passe du compte ordinateur

machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4, 42 Le paramtre maximumpasswordage dtermine le nombre maximal de jours entre les modifications de mot de passe. Avec la valeur 42 , le mot de passe doit tre modifi au moins tous les 42 jours. Cela assure que le mot de passe est modifi souvent, ce qui contre les tentatives de craquage de mots de passe. 4.4.3.23 Membre de domaine : ncessite une cl de session forte (Windows 2000 ou ultrieur

machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4, 1 Le paramtre requirestrongkey dtermine si un membre de domaine qui tablit des communications sur un canal scuris doit utiliser le chiffrement 128 bits. Avec la valeur 1 , le chiffrement 128 bits doit tre utilis sur un canal scuris. Si ce chiffrement est dsactiv, le client doit ngocier la robustesse de la cl avec le contrleur de domaine. Ce paramtre assure le niveau de protection le plus lev pour les donnes transmises sur les canaux scuriss.

66

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.24

Ouverture de session interactive : ne pas afficher le dernier nom dutilisateur

machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername =4, 1 Le paramtre dontdisplaylastusername dtermine si le systme affiche un cran douverture de session sur lequel figure le nom du dernier utilisateur qui a ouvert une session. Avec la valeur 1 , ce dernier nom dutilisateur nest pas affich. Ce paramtre prserve linformation vitale afin de prvenir les attaques. 4.4.3.25 Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr

machine\software\microsoft\windows\currentversion\policies\system\disablecad=4, 0 Le paramtre disablecad dtermine si la combinaison de touches CTRL+ALT+DEL (Ctrl+Alt+Suppr) est requise avant douvrir une session utilisateur. Avec la valeur 0 , cette combinaison de touches est requise pour lancer une ouverture de session. La scurit de larchitecture Windows dpend de cette combinaison de touches pour lancer lauthentification de lutilisateur. Cela permet une squence douverture inattaquable et de contrer les codes malveillants comme les chevaux de Troie. 4.4.3.26 Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter

machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7, LE TEXTE DU MINISTRE POUR LOUVERTURE DE SESSION UTILISATEUR DOIT TRE FOURNI Le paramtre legalnoticetext est prsente lutilisateur avant quil nentre son nom dutilisateur et son mot de passe. La valeur indique est le texte prsent. Cela peut tre utile pour un organissme en cas de procdures lgales. 4.4.3.27 Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter

machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1 LE TEXTE DU MINISTRE POUR LOUVERTURE DE SESSION UTILISATEUR DOIT TRE FOURNI Le paramtre legalnoticecaption est prsente lutilisateur, comme titre de la fentre qui contient le titre legalnoticetext . La valeur indique est le texte prsent. Cela peut tre utile pour un organisme en cas de procdures lgales.

Fichiers de stratgie pour les serveurs

Mars 2004

67

Non classifi

ITSG pour Windows Server 2003

4.4.3.28

Ouverture de session interactive : nombre d'ouvertures de sessions prcdentes ralises en utilisant le cache (lorsque aucun contrleur de domaine n'est disponible))

machine\software\microsoft\windowsnt\currentversion\winlogon\cachedlogonscount=1,"0" Le paramtre cachedlogonscount dtermine le nombre dutilisateurs uniques dont linformation douverture de session est mise dans le cache local. Avec la valeur 0 , aucune information douverture de session nest mise dans le cache local. Cela assure que lutilisateur tablit un jeton de scurit courant avec le contrleur de domaine. De plus, cela empche que les utilisateurs dsactivs naient accs au systme laide de leur information didentification douverture de session mise en cache. 4.4.3.29 Ouverture de session interactive : prvenir lutilisateur quil doit changer son mot de passe avant quil nexpire

machine\software\microsoft\windowsnt\currentversion\winlogon\passwordexpirywarning=4, 14 Le paramtre passwordexpirywarning dtermine combien de jours lavance lutilisateur est avis de lexpiration de son mot de passe. Avec la valeur ci-dessus, lutilisateur est avis 14 jours avant lexpiration de son mot de passe. Lutilisateur continuera dtre avis jusqu la date dexpiration du mot de passe. 4.4.3.30 Ouverture de session interactive : ncessite lauthentification par le contrleur de domaine pour le dverrouillage de la station de travail)

machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4, 1 Le paramtre forceunlocklogon dtermine si un contrleur de domaine doit tre contact pour dverrouiller un ordinateur. Avec la valeur 1 , il faut communiquer avec le contrleur de domaine. Cela assure que lutilisateur tablit un jeton de scurit courant avec un contrleur de domaine. De plus, cela empche galement les utilisateurs dsactivs daccder au systme par lintermdiaire de linformation didentification douverture de session mise en cache. 4.4.3.31 Ouverture de session interactive : carte puce ncessaire

machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4, 0 Le paramtre scforceoption dtermine si lutilisation dune carte puce est requise pour ouvrir la session. Avec la valeur 0 , une carte puce nest pas requise. La majorit des serveurs ne ncessitent pas une authentification deux facteurs. Si toutefois cette capacit est requise, elle devrait tre active pendant lapplication dune stratgie spcifique un rle.

68

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.32

Ouverture de session interactive : comportement lorsque la carte puce est retire

machine\software\microsoft\windowsnt\currentversion\winlogon\scremoveoption=1,"1" Le paramtre scremoveoption dtermine le comportement du systme lorsquune carte puce est retire. Avec la valeur 1 , le poste de travail est verrouill lorsque la carte est retire. Cela assure la comptabilit des transactions qui requirent lauthentification par carte puce. 4.4.3.33 Client rseau Microsoft : communications signes numriquement (toujours)

machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1 Le paramtre requiresecuritysignature dtermine si le client SMB requiert la signature des paquets. Avec la valeur 1 , la signature des paquets est requise. Ce paramtre permet lauthentification mutuelle. Ce paramtre peut galement empcher les attaques de lintercepteur et liminer les dtournements de session. Les anciens systmes ne prennent pas en charge cette exigence. 4.4.3.34 Client rseau Microsoft : communications signes numriquement (lorsque le serveur laccepte)

machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysign ature=4, 1 Le paramtre enablesecuritysignature dtermine si un client SMB tente de ngocier la signature de paquets SMB (si le serveur laccepte). Avec la valeur 1 , le client ngocie la signature SMB. Ce paramtre permet lauthentification mutuelle. Cela peut empcher les attaques de lintercepteur et liminer les dtournements de session. Les anciens systmes (cest--dire antrieurs Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.35 Client rseau Microsoft : envoyer un mot de passe non crypt aux serveurs SMB tierce partie

machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpas sword=4, 0 Le paramtre enableplaintextpassword dtermine si un client SMB envoie des mots de passe en clair des serveurs SMB non Microsoft. La valeur 0 dsactive lutilisation des mots de passe en clair. Lutilisation de serveurs SMB non Microsoft qui nacceptent pas les mots de passe chiffrs est dsactive dans un environnement haute scurit. La scurit des mots de passe doit toujours tre applique.

Fichiers de stratgie pour les serveurs

Mars 2004

69

Non classifi

ITSG pour Windows Server 2003

4.4.3.36

Serveur rseau Microsoft : dure dinactivit avant la suspension dune session

machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4, 15 Le paramtre autodisconnect dtermine la dure dinactivit en minutes avant quune session SMB ne soit suspendue. Avec la valeur 15 , la session SMB est suspendue aprs 15 minutes dinactivit. Une session inactive consomme des ressources. Les attaquants peuvent tablir des sessions qui consomment des ressources pour lancer une attaque par dni de service. De plus, les sessions inactives peuvent ralentir, voire rendre inoprants les services SMB. 4.4.3.37 Serveur rseau Microsoft : communications signes numriquement (toujours)

machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature =4, 1 Le paramtre requiresecuritysignature dtermine si le serveur signera toujours les communications SMB. Avec la valeur 1 , les communications SMB sont toujours numriquement signes. Ce paramtre assure lauthentification mutuelle pour toutes les communications. Lauthentification mutuelle peut prvenir les attaques de lintercepteur et liminer les dtournements de session. Les systmes anciens (cest--dire antrieurs Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.38 Serveur rseau Microsoft : communications signes numriquement (lorsque le client laccepte)

machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature= 4, 1 Le paramtre enablesecuritysignature signe les communications SMB, si le client laccepte. Avec la valeur 1 , les communications SMB sont signes. Ce paramtre assure lauthentification mutuelle pour toutes les communications. Lauthentification mutuelle peut prvenir les attaques de lintercepteur et liminer les dtournements de session. Les systmes anciens (cest--dire antrieurs Windows 2000) ne prennent pas en charge cette exigence. 4.4.3.39 Serveur rseau Microsoft : dconnecter les clients lexpiration du dlai de la dure de la session

machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4, 1 Le paramtre enableforcedlogoff dtermine si un utilisateur connect au rseau est dconnect en dehors des heures de travail. Avec la valeur 1 , lutilisateur est dconnect en dehors des heures de travail.

70

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.40

Accs rseau : permet la traduction de noms/SID anonymes

LSAAnonymousNameLookup = 0 Le paramtre LSAAnonymousNameLookup dtermine si le systme permet la traduction des noms/SID anonymes. Avec la valeur 0 , le systme neffectue aucune traduction noms/SID anonymes. Si ce paramtre est activ, lutilisateur pourrait employer un SID de compte bien connu pour obtenir les noms dutilisateurs dans le compte. Cette information pourrait ensuite servir pour craquer les mots de passe. 4.4.3.41 Accs rseau : ne pas autoriser lnumration anonyme des comptes SAM

machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4, 1 Le paramtre restrictanonymoussam dtermine si lnumration anonyme des comptes SAM est permise. La valeur 1 interdit lnumration anonyme des comptes SAM. Lnumration mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposs. Une fois identifis, ils peuvent faire lobjet de tentatives de craquage de mots de passe. 4.4.3.42 Accs rseau : ne pas autoriser lnumration anonyme des comptes et partage SAM

machine\system\currentcontrolset\control\lsa\restrictanonymous=4, 1 Le paramtre restrictanonymous dtermine si lnumration anonyme des comptes et des partages SAM est autorise. La valeur 1 interdit lnumration anonyme des comptes et des partages SAM. Lnumration mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes Guest et Administrator locaux sont exposs. Une fois identifis, ils peuvent faire lobjet de tentatives de craquage de mots de passe. 4.4.3.43 Accs rseau : Ne pas autoriser le stockage dinformations didentification ou des passeports .NET pour lauthentification du rseau

machine\system\currentcontrolset\control\lsa\disabledomaincreds=4, 1 Le paramtre disabledomaincreds dtermine si les mots de passe, les informations didentification ou les passeports Microsoft .NET sont enregistrs aprs leur authentification de domaine initiale. Avec la valeur 1 , ces donnes ne sont pas enregistres.

Fichiers de stratgie pour les serveurs

Mars 2004

71

Non classifi

ITSG pour Windows Server 2003

4.4.3.44

Accs rseau : les autorisations spcifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes

machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4, 0 Le paramtre everyoneincludesanonymous dtermine quelles autorisations additionnelles sont accordes aux connexions anonymes un ordinateur. Avec la valeur 0 , aucune autorisation additionnelle nest accorde aux utilisateurs anonymes. Ainsi, les utilisateurs non authentifis nhritent pas des droits du groupe Tout le monde (Everyone). 4.4.3.45 Accs rseau : canaux nomms qui sont accessibles de manire anonyme

machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, Le paramtre nullsessionpipes dtermine laccs anonyme aux canaux nomms. Une valeur nulle interdit laccs anonyme aux canaux nomms. De la sorte, laccs tous les systmes est autoris. 4.4.3.46 Accs rseau : chemins de Registre accessibles distance

machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machi ne=7, Le paramtre allowedexactpaths\machine dtermine quels chemins du Registre sont accessibles distance, sur le rseau. La prsente configuration de base na aucune exigence pour ce qui est de linformation accessible distance. 4.4.3.47 Accs rseau : chemins et sous-chemins de Registre accessibles distance

machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, Le paramtre allowedpaths\machine dtermine les chemins et sous-chemins du Registre qui peuvent tre accessibles sur le rseau. La prsente configuration de base ne prsente aucune exigence pour ce qui est de linformation du Registre accessible distance. 4.4.3.48 Accs rseau : restreindre l'accs anonyme aux canaux nomms et aux partages

machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4, 1 Le paramtre restrictnullsessaccess dtermine si laccs anonyme aux canaux nomms et aux partages est autoris. Le paramtre 1 interdit laccs anonyme aux canaux nomms et aux partages. Laccs aux ressources dpend des autorisations pour ces ressources. Si laccs anonyme est accord, il ny aura aucune possibilit didentifier qui accde aux objets.

72

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.49

Accs rseau : les partages qui sont accessibles de manire anonyme

machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, Le paramtre nullsessionshares dtermine quels partages sont accessibles de faon anonyme sur le rseau. Un paramtre vide interdit laccs anonyme tout partage. Tous les accs au systme devraient tre autoriss. Laccs anonyme empche lautorisation nette des partages. 4.4.3.50 Accs rseau : modle de partage et de scurit pour les comptes locaux

machine\system\currentcontrolset\control\lsa\forceguest=4, 0 Le paramtre forceguest dtermine le modle de partage et de scurit pour les comptes locaux. Avec la valeur 0 , lutilisateur doit tre authentifi pour accder au rseau. Cela permet laudit des accs individuels. 4.4.3.51 Scurit rseau : ne pas stocker les valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe

machine\system\currentcontrolset\control\lsa\nolmhash=4, 1 Le paramtre nolmhash dtermine si la valeur de hachage du LAN Manager est enregistre la prochaine modification dun mot de passe. Avec la valeur 1 , la valeur de hachage du LAN Manager nest pas enregistre. Cela empche le stockage local du mot de passe, qui pourrait tre vulnrable aux attaques. REMARQUE : Ds que ce paramtre devient oprationnel, tous les mots de passe doivent tre changs. 4.4.3.52 Scurit rseau : forcer la fermeture de session quand les horaires de connexion expirent

ForceLogoffWhenHourExpire = 1 Le mot cl ForceLogoffWhenHourExpire dtermine si les utilisateurs connects localement sont dconnects quand ils travaillent en dehors des heures dfinies. Avec la valeur 1 , les utilisateurs sont dconnects en dehors des heures dfinies. Les heures sont dfinies laide des paramtres Computer Management , puis Local Users and Groups . On devrait crer le compte avec des heures daccs restreintes. Nous recommandons que cette stratgie soit applique par la dconnexion en dehors des heures dfinies. 4.4.3.53 Scurit rseau : niveau dauthentification LAN Manager

machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4, 5 Le paramtre lmcompatibilitylevel dtermine le niveau dauthentification du LAN Manager. Avec la valeur 5 , seules les rponses NTLMv2 sont envoyes tandis que les rponses LM et NTLM sont refuses. Ce paramtre fait en sorte que seul le mcanisme dauthentification le plus sr est permis.

Fichiers de stratgie pour les serveurs

Mars 2004

73

Non classifi

ITSG pour Windows Server 2003

4.4.3.54

Scurit rseau : conditions requises pour la signature de clients LDAP

machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4, 1 Le paramtre ldapclientintegrity dtermine si le client LDAP ngocie la signature pour communiquer avec les serveurs LDAP. Avec la valeur 2 , la ngociation de signature est requise. Cela rduit la menace dune attaque de lintercepteur. 4.4.3.55 Scurit rseau : scurit de session minimale pour les clients bass sur NTLM SSP (y compris RPC scuris)

machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4, 537395248 Le paramtre ntlmminclientsec dtermine la scurit de session minimale pour les clients bass sur NTLM SSP (y compris RPC scuris). La valeur 537395248 active toutes les options, comme cela est recommand, ce qui requiert lintgrit des messages, la confidentialit, la scurit de session NTLMv2 et le chiffrement 128 bits pour louverture de session. 4.4.3.56 Scurit rseau : scurit de session minimale pour les serveurs bass sur NTLM SSP (y compris RPC scuris)

machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4, 537395248 Le paramtre ntlmminserversec dtermine la scurit de session minimale pour les serveurs bass sur NTLM SSP (y compris RPC scuris). La valeur 537395248 active toutes les options, comme cela est recommand, ce qui requiert lintgrit des messages, la confidentialit, la scurit de session NTLMv2 et le chiffrement 128 bits pour louverture de session. 4.4.3.57 Console de rcupration : autoriser louverture de session dadministration automatique

machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\securitylevel=4, 0 Le paramtre securitylevel dtermine si la console de rcupration requiert un mot de passe dadministrateur pour ouvrir une session. Avec la valeur 0 , un tel mot de passe est requis. Il nest pas recommand dactiver ce paramtre pour permettre quiconque darrter un serveur. 4.4.3.58 Console de rcupration : autoriser la copie de disquettes et laccs tous les lecteurs et dossiers

machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\setcommand=4, 0 Le paramtre setcommand dtermine si la commande SET dans la console de rcupration est disponible. La valeur 4 dsactive la commande SET (p. ex., la copie sur des supports amovibles est dsactive).

74

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.4.3.59

Arrt : permettre au systme dtre arrt sans avoir se connecter

machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4 ,0 Le paramtre shutdownwithoutlogon dtermine si le systme peut tre arrt sans que lutilisateur nait se connecter. Avec la valeur 0 , lutilisateur doit ouvrir une session, cest--dire se connecter. De la sorte, seuls les utilisateurs autoriss peuvent arrter le systme. 4.4.3.60 Arrt : effacer le fichier dchange de mmoire virtuelle

machine\system\currentcontrolset\control\sessionmanager\memory\management\clearpagefile atshutdown=4, 1 Le paramtre clearpagefileatshutdown dtermine si le contenu du fichier dchange est cras quand larrt se fait sans problme. Avec la valeur 1 , le fichier dchange est effac quand larrt se fait normalement. De linformation sensible sur le systme et les utilisateurs peut tre contenue dans le fichier dchange. En sassurant quil est effac, le risque que cette information tombe entre les mains dun attaquant est rduit. 4.4.3.61 Cryptographie systme : forcer une protection forte des cls utilisateur enregistres sur l'ordinateur

machine\software\policies\microsoft\cryptography\forcekeyprotection=4, 2 Le paramtre forcekeyprotection dtermine si les cls dutilisateur (p. ex., SMIME) requirent un mot de passe chaque fois quelles doivent tre utilises. Avec la valeur 2 , il faut entrer un mot de passe chaque fois quune cl prive est utilise. Ainsi, une session qui requiert du matriel de chiffrement est utilise avec le consentement du propritaire. 4.4.3.62 Cryptographie systme : utiliser des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature

machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4, 1 Le paramtre fipsalgorithmpolicy dtermine si le fournisseur de scurit TLS/SSL (Transport Layer Security / Secure Socket Layer) prend en charge seulement la srie de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Avec la valeur 1 , lutilisation de cette suite est requise. Au gouvernement fdral, ce paramtre est requis pour tous les serveurs afin dassurer la conformit aux politiques en matire de cryptographie. 4.4.3.63 Objets systme : propritaire par dfaut pour les objets crs par les membres du groupe Administrateurs

machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4, 1 Le paramtre nodefaultadminowner dtermine si les objets crs par les membres du groupe Administrateurs appartiennent au groupe ou au crateur de lobjet. Avec la valeur 1 , les objets appartiennent au crateur. Ainsi, les actions des administrateurs individuels peuvent tre isoles et audites.
Fichiers de stratgie pour les serveurs Mars 2004 75

Non classifi

ITSG pour Windows Server 2003

4.4.3.64

Objets systme : les diffrences entre les majuscules et minuscules ne doivent pas tre prises en compte pour les sous-systmes autres que Windows

machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4, 1 Le paramtre obcaseinsensitive dtermine si la diffrence entre majuscules et minuscules est requise pour les sous-systmes autres que Windows. Avec la valeur 1 , la diffrence entre majuscules et minuscules nest pas prise en compte pour les sous-systmes autres que Windows. Cela dsactive la capacit des systmes non Windows de crer des fichiers qui sont inaccessibles sur le systme Windows. De plus, ce paramtre dsactive la capacit de bloquer laccs dautres fichiers portant un mme nom, mais en majuscules. 4.4.3.65 Objets systme : renforcer les autorisation par dfaut des objets systme internes (comme les liens de symboles)

machine\system\currentcontrolset\control\session manager\protectionmode=4, 1 Le paramtre protectionmode dtermine si les autorisations pour les objets systme internes (p. ex., les liens de symbole) sont renforces. La valeur 1 renforce la protection des objets systme internes. Il permet aux utilisateurs autres que les administrateurs de voir les objets partags quils nont pas crs, mais non de les modifier. 4.4.3.66 Paramtres systme : sous-systmes optionnels

machine\system\currentcontrolset\control\session manager\subsystems\optional=7, Le paramtre optional dtermine quels sous-systmes sont utiliss pour soutenir les applications. Un paramtre vide interdit tout systme facultatif. Lutilisation des sous-systmes pourrait tre justifie selon les exigences oprationnelles. Aucun sous-systme ne devrait tre valid, sauf si on en a besoin. 4.4.3.67 Paramtres systme : utiliser les rgles de certificat avec les excutables Windows pour les stratgies de restriction logicielle

machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4, 0 Le paramtre authenticodeenabled dtermine lutilisation des rgles de certificat avec les excutables Windows pour les stratgies de restriction logicielle. Avec la valeur 0 , aucune rgle de certificat nest utilise lgard des excutables Windows pour les stratgies de restriction logicielle.

4.5

Journaux des vnements

Le guide Microsoft indique que la taille totale de tous les journaux dvnements ne devrait pas dpasser 300 Mo. Si cette valeur est dpasse, le systme pourrait tre incapable de journaliser les vnements, ou encore il pourrait y avoir dfaillance des journaux. Bien que linterface puisse permettre une taille des journaux atteignant 4 Go, on court le risque de perdre des entres de journal si on dpasse les 300 Mo. La stratgie suivante utilise lespace disponible complet affecter entre les diffrents journaux dvnements.

76

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.5.1 Taille des journaux 4.5.1.1 Taille maximale du journal des applications

MaximumLogSize = 76800 (in [Application Log] section) Le paramtre MaximumLogSize dtermine la taille du journal des vnements Application. La valeur 76800 cre un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par vnement, ce journal peu consigner plus de 153 000 vnements. Cela permettra au systme de fonctionner pendant une priode prolonge sans ncessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversit des vnements, nous recommandons de surveiller les fichiers journaux pendant la priode oprationnelle initiale. 4.5.1.2 Taille maximale du journal de scurit

MaximumLogSize = 153600 (in [Security Log] section) Le paramtre MaximumLogSize dtermine la taille du journal des vnements Scurit. La valeur 153600 cre un fichier journal de 153 600 Ko. Avec une moyenne de 500 octets par vnement, ce journal peu consigner plus de 307 200 vnements. Cela permettra au systme de fonctionner pendant une priode prolonge sans ncessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversit des vnements, nous recommandons de surveiller les fichiers journaux pendant la priode oprationnelle initiale. 4.5.1.3 Taille maximale du journal systme

MaximumLogSize = 76800 (in [System Log] section Le paramtre MaximumLogSize dtermine la taille du journal des vnements Systme. La valeur 76800 cre un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par vnement, ce journal peu consigner plus de 153 000 vnements. Cela permettra au systme de fonctionner pendant une priode prolonge sans ncessiter le vidage du fichier journal. REMARQUE : En raison de la grande diversit des vnements, nous recommandons de surveiller les fichiers journaux pendant la priode oprationnelle initiale. 4.5.2 Accs des invits 4.5.2.1 Empcher les groupes dinvits locaux daccder aux journaux Application, Scurit et Systme

RestrictGuestAccess = 1(in [Application Log] or [Security Log] or [System Log] section) Le paramtre RestrictGuestAccess dtermine si les comptes ayant un accs de type invit peuvent accder aux journaux. La vakeur 1 interdit aux invits daccder aux journaux. Laccs linformation contenue dans les journaux fournit un attaquant potentiel de linformation prcieuse qui pourrait servir monter une attaque contre le systme ou les utilisateurs. Par consquent, seuls les utilisateurs authentifis ont accs aux journaux fichiers.

Fichiers de stratgie pour les serveurs

Mars 2004

77

Non classifi

ITSG pour Windows Server 2003

4.5.3 Mthode de conservation 4.5.3.1 Mthode de conservation du journal des applications

AuditLogRetentionPeriod = 2(in [Application Log] or [Security Log] or [System Log] section) Le paramtre AuditLogRetentionPeriod dtermine le comportement du systme quand le journal est plein. Avec la valeur 2 , le systme sarrte sil est impossible dcrire les vnements dans le journal. Lutilisation de ce paramtre devrait tre conforme la politique ministrielle sur la conservation des fichiers journaux.

4.6

Services du systme

Dans le prsent guide, nous prsentons de nombreux services qui sont dsactivs. Nous justifions notre recommandation pour chaque service dsactiv. Dans certains cas, une approche plus souple peut tre requise. Il est important de noter quun service dsactiv peut ntre requis qu loccasion. Par exemple, le service Performance Logs and Alerts (Journaux et alertes de performance) est dsactiv. Toutefois, pour un besoin temporaire, ladministrateur pourrait activer ce service, rgler un problme puis le dsactiver nouveau, cest--dire revenir la configuration originale. 4.6.1 Services explicitement couverts par le guide Microsoft 4.6.1.1 Avertissement

"alerter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service avise les utilisateurs et les ordinateurs slectionns des avertissements administratifs. La prsente stratgie dsactive ce service. 4.6.1.2 Service de la passerelle de la couche Application

"alg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service est une sous-composante du service Internet Connection Sharing (ICS) / Internet Connection Firewall (ICF) (Partage de connexion Internet (ICS) / Pare-feu de connexion Internet (ICS)). La prsente stratgie dsactive ce service.

78

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.3

Gestion dapplications

"appmgmt", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service fournit des services dinstallation de logiciels. La prsente stratgie dsactive ce service. 4.6.1.4 Service dtat ASP de .NET

"aspnet_state", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service prend en charge les tats de session hors processus ASP de .NET. La prsente stratgie dsactive ce service. 4.6.1.5 Mises jour automatiques

"wuauserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service active le tlchargement et linstallation automatique des mises jour logicielles. La prsente stratgie dsactive ce service. 4.6.1.6 Service de transfert intelligent en arrire-plan

"bits", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service sert transfrer les fichiers en mode asynchrone entre un client et un serveur http. La prsente stratgie dsactive ce service. 4.6.1.7 Services de certificat

"certsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service excute les fonctions de base pour une autorit de certification. La prsente stratgie dsactive ce service.

Fichiers de stratgie pour les serveurs

Mars 2004

79

Non classifi

ITSG pour Windows Server 2003

4.6.1.8

Fournisseur de clichs instantans des logiciels MS

"swprv", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service prend en charge la cration de clichs instantans de fichiers, servant aux sauvegardes systme. Dans la prsente stratgie, le dmarrage est en mode manuel pour ce service. 4.6.1.9 Service client pour Netware

"nwcworkstation", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure laccs aux fichiers et imprimantes sur les rseaux NetWare. La prsente stratgie dsactive ce service. 4.6.1.10 Gestionnaire de lAlbum

"clipsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service cre et partage des pages de donnes qui peuvent tre affiches par des utilisateurs distants. La prsente stratgie dsactive ce service. 4.6.1.11 Service de cluster

"clussvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service prend en charge les regroupements de membres dans un environnement grande disponibilit (cluster). Ce service est dsactiv. 4.6.1.12 Systme dvnements de COM+

"eventsystem", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service largit le modle de programmation COM+. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows.

80

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.13

Application systme COM+

"comsysapp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service gre la configuration et le suivi des composants de base COM+. Ce service est dsactiv. 4.6.1.14 Explorateur dordinateurs

Ce service tient jour une liste des ordinateurs prsents sur votre rseau. 4.6.1.14.1 Base de membres du domaine

"browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.14.2 Base de membres du groupe de travail

"browser", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.15 Services de cryptographie

"cryptsvc", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure la gestion des cls pour lordinateur. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage. 4.6.1.16 Client DHCP

Ce service inscrit et met jour les adresses des serveurs DHCP et DNS dans le domaine. 4.6.1.16.1 Base de membres du domaine

"dhcp", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC

Fichiers de stratgie pour les serveurs

Mars 2004

81

Non classifi

ITSG pour Windows Server 2003

RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage. 4.6.1.16.2 Base de membres du groupe de travail

"dhcp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.17 Serveur DHCP

"dhcpserver", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service alloue les adresses IP. Ce service est dsactiv. 4.6.1.18 Systme de fichiers distribus

"dfs", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD) Ce service gre les volumes locaux sur les rseaux locaux ou tendus. Ce service est dsactiv. 4.6.1.19 Client de suivi de lien distribu

"trkwks", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fait en sorte que les raccourcis (entre autres objets) fonctionnent aprs que la cible a t retire. Ce service est dsactiv. 4.6.1.20 Serveur de suivi de lien distribu

"trksvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service enregistre de linformation de sorte que les fichiers transfrs entre des volumes puissent tre suivis. Ce service est dsactiv.

82

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.21

Coordinateur de transactions distribues)

"msdtc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service coordonne les transactions qui seront distribues sur plusieurs systmes informatiques ou gestionnaires de ressources. Ce service est dsactiv. 4.6.1.22 Client DNS

Ce service rsout et met en cache les noms DNS. 4.6.1.22.1 Serveur de membres de domaine

"dnscache", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.22.2 Serveur de membres dun groupe de travail

"dnscache", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.23 Serveur DNS

"dns", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service rpond aux demandes de renseignements au sujet des noms DNS. Ce service est dsactiv. 4.6.1.24 Error Reporting Service (Service de rapports derreurs)

"ersvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service recueille, enregistre et active les rapports derreurs pour les fermetures dapplications imprvues dans Microsoft. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

83

Non classifi

ITSG pour Windows Server 2003

4.6.1.25

Journal des vnements

"eventlog", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service active les messages dvnements devant tre affichs. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.26 Service de tlcopie

"fax", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service offre des fonctionnalits de tlcopie. Ce service est dsactiv. 4.6.1.27 Rplication de fichiers

"ntfrs", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service copie et maintient automatiquement les fichiers sur les serveurs multiples. Ce service est dsactiv. 4.6.1.28 Serveur de fichiers pour Macintosh

"macfile", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure laccs aux fichiers sur le rseau pour les ordinateurs Macintosh. Ce service est dsactiv. 4.6.1.29 Service de publication FTP

"msftpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure la connectivit et ladministration par lintermdiaire du jeu doutils intgrables IIS. Ce service est dsactiv.

84

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.30

Aide et support

"helpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet lapplication Aide et support de fonctionner sur lordinateur. Ce service est dsactiv. 4.6.1.31 HTTP SSL

"httpfilter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure des fonctions SSL au service IIS. Ce service est dsactiv. 4.6.1.32 Accs du priphrique dinterface utilisateur

"hidserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet lutilisation de boutons actifs prdfinis sur le clavier. Ce service est dsactiv. 4.6.1.33 Accs la base de donnes IAS Jet

"iasjet", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service utilise le service RADIUS pour assurer des services dauthentification, dautorisation et de comptabilit. Ce service est dsactiv. 4.6.1.34 Service dadministration IIS

"iisadmin", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service permet ladministration des composantes IIS. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

85

Non classifi

ITSG pour Windows Server 2003

4.6.1.35

Service COM de gravage de CD IMAPI

"imapiservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service gre le gravage des CD-ROM. Ce service est dsactiv. 4.6.1.36 Service dindexation

"cisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service indexe le contenu et les proprits des fichiers. Ce service est dsactiv. 4.6.1.37 Moniteur infrarouge

"irmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service active le partage de fichiers et dimages par lintermdiaire de dispositifs infrarouges. Ce service est dsactiv. 4.6.1.38 Service dauthentification Internet

"ias", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service gre les fonctions dauthentification, dautorisation et de comptabilit rseau. Ce service est dsactiv. 4.6.1.39 Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS)

"sharedaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit les services Internet pour des petits rseaux locaux. Ce service est dsactiv.

86

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.40

Messagerie inter-sites

"ismserv", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service sert aux fonctionnalits de rplication bases sur la messagerie lectronique. Ce service est dsactiv. 4.6.1.41 Service daide IP Version 6

"6to4", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service offre la connectivit IPV6 sur un rseau IPV4. Ce service est dsactiv. 4.6.1.42 Agent de stratgie IPSEC (Service IPSec)

"policyagent", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure des services de chiffrement tous les clients et serveurs sur le rseau. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.43 Centre de distribution de cls Kerberos

"kdc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet louverture de session utilisateur laide du protocole dauthentification Kerberos v5. Ce service est dsactiv. 4.6.1.44 Service denregistrement de licences

"licenseservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service enregistre linformation sur les licences daccs des clients. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

87

Non classifi

ITSG pour Windows Server 2003

4.6.1.45

Gestionnaire de disque logique

"dmserver", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service dtecte tous les nouveaux disques durs et transmet linformation sur les volumes de disque au service dadministration du Gestionnaire de disque logique. Dans la prsente stratgie, le dmarrage de ce service se fait manuellement. 4.6.1.46 Service dadministration du Gestionnaire de disque logique

"dmadmin", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service traite les demandes de gestion de disque. Dans la prsente stratgie, le dmarrage de ce service se fait manuellement. 4.6.1.47 Message Queuing

"msmq", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service offre une infrastructure et les outils de dveloppement pour crer des applications de messagerie distribue. Ce service est dsactiv. 4.6.1.48 Clients Message Queuing de niveau infrieur

"mqds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit un accs lActive Directory, pour les clients Message Queuing. Ce service est dsactiv. 4.6.1.49 Dclencheurs Message Queuing

"mqtgsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure lanalyse, base sur des rgles, des messages qui arrivent dans la file dattente des messages. Ce service est dsactiv.

88

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.50

Affichage des messages

"messenger", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service transmet les messages du service Avertissement entre les clients et les serveurs. Ce service est dsactiv. 4.6.1.51 Service POP3 Microsoft "pop3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure le transfert et la rcupration des courriels. Ce service est dsactiv. 4.6.1.52 MSSQL$UDDI

"mssql$uddi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service publie et trouve linformation au sujet des services Web. Ce service est dsactiv. 4.6.1.53 MSSQLServerADHelper

"mssqlserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure les fonctionnalits SQL un serveur. Ce service est dsactiv. 4.6.1.54 .NET Framework Support Service (Service de soutien de .NET Framework)

"corrtsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service avise un client abonn quand un processus spcifique initialise le service Client Runtime (Excution cliente). Ce service est dsactiv. 4.6.1.55 Netlogon

Ce service authentifie les utilisateurs et les services.

Fichiers de stratgie pour les serveurs

Mars 2004

89

Non classifi

ITSG pour Windows Server 2003

4.6.1.56

Serveur de membres de domaine

"netlogon", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.57 Serveur de membres de groupe de travail

"netlogon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.58 Partage de bureau distance NetMeeting

"mnmsrvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet laccs un systme laide de NetMeeting. Ce service est dsactiv. 4.6.1.59 Connexions rseau

"netman", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les objets dans le dossier Network Connections (Connexions rseau). Dans la prsente stratgie, le dmarrage de ce service se fait manuellement. Ce service dmarrera automatiquement quand linterface Network Connections est appele. 4.6.1.60 DDE rseau

"netdde", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure le transport rseau et la scurit pour le service DDE. Ce service est dsactiv. 4.6.1.61 DSDM DDE rseau

"netddedsdm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les partages de rseau DDE. Ce service est dsactiv.

90

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.62

NLA (Network Location Awareness)

"nla", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service recueille et stocke de linformation sur le rseau. Ce service est dsactiv. 4.6.1.63 Protocole NNTP

"nntpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit des fonctionnalits de serveur de nouvelles. Ce service est dsactiv. 4.6.1.64 Fournisseur de la prise en charge de scurit LM NT

"ntlmssp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure la scurit aux programmes RPC. Cela permet aux utilisateurs douvrir une session en utilisant lauthentification NT LM au lieu de Kerberos. Ce service est dsactiv. 4.6.1.65 Journaux et alertes de performance

"sysmonlog", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service recueille des donnes sur la performance. Ce service est dsactiv. 4.6.1.66 Plug and Play

"plugplay", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet lordinateur dadapter les modifications de configuration de matriel avec une intervention minimale de lutilisateur. Ce service est dsactiv. 4.6.1.67 Portable Media Serial Number (Numro de srie de priphrique portable)

"wmdmpmsn", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service rcupre les numros de srie pour tous lecteurs de musique portables connects au systme. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

91

Non classifi

ITSG pour Windows Server 2003

4.6.1.68

Serveur dimpression pour Macintosh

"macprint", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure laccs dimpression rseau aux ordinateurs Macintosh. Ce service est dsactiv. 4.6.1.69 Spouleur dimpression

"spooler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les files dattente dimpression locales et rseau et contrle tous les travaux dimpression. Ce service est dsactiv. 4.6.1.70 Emplacement protg

"protectedstorage", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit un stockage protg, afin dempcher laccs par des services, des processus ou des utilisateurs non autoriss. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage. 4.6.1.71 Gestionnaire de connexion automatique daccs distant

"rasauto", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service dtecte les tentatives infructueuses de connexion un ordinateur ou un rseau distant. Il constitue une mthode de remplacement pour la connexion. Ce service est dsactiv. 4.6.1.72 Remote Access Connection Manager (Gestionnaire de connexion daccs distant)

"rasman", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les connexions commutes et RPV avec un serveur. Ce service est dsactiv.

92

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.73

Service dadministration distance

"srvcsurg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure une interface aux outils dadministration de serveurs distance. Ce service est dsactiv. 4.6.1.74 Gestionnaire de session daide sur le Bureau distance

"rdsessmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service contrle la fonction daide distance dans lapplication Help and Support Center (Centre daide et de support). Ce service est dsactiv. 4.6.1.75 Installation distance

"binlsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service est une fonction de dploiement Windows. Ce service est dsactiv. 4.6.1.76 Appel de procdure distante (RPC)

"rpcss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service est un mcanisme de communication interprocessus scuris. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.77 Localisateur dappels de procdure distante (RPC)

"rpclocator", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet aux clients RPC de localiser les serveurs RPC. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

93

Non classifi

ITSG pour Windows Server 2003

4.6.1.78

Service daccs distance au Registre

"remoteregistry", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet aux utilisateurs distants de modifier les paramtres du Registre sur le systme. Ce service est dsactiv. 4.6.1.79 Gestionnaire de serveur distance

"appmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service fonctionne comme fournisseur dinstances WMI (Windows Management Instrumentation) pour les Objets davertissement dadministration distance (Remote Administration Alert Objects). Il agit galement comme fournisseur de mthode WMI pour les tches dadministration distance. Ce service est dsactiv. 4.6.1.80 Remote Server Monitor (Moniteur de serveur distance)

"appmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD TLOCRSDRCWDWO;;;WD)" Ce service assure des fonctionnalits de surveillance des ressources sur les systmes grs distance. Ce service est dsactiv. 4.6.1.81 Service de notification de stockage tendu

"remote_storage_user_link", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service avise un utilisateur quand il accde des donnes sur des units de stockage secondaires. Ce service est dsactiv. 4.6.1.82 Serveur de stockage tendu

"remote_storage_server", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le serveur Remote Storage Server contient les fichiers peu utiliss dans des units de stockage secondaires. Ce service est dsactiv.

94

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.83

Stockage amovible

"ntmssvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service maintient un catalogue dinformation au sujet des supports amovibles utiliss par le systme. Ce service est dsactiv. 4.6.1.84 Fournisseur dun jeu de stratgies rsultant

"rsopprov", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service simule la stratgie de scurit afin den dterminer les effets. Ce service est dsactiv. 4.6.1.85 Routage et accs distant

"remoteaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure des services de routage multiprotocoles LAN-LAN, LAN-WAN et NAT. Ce service est dsactiv. 4.6.1.86 Agent SAP

"nwsapagent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service annonce les services sur un rseau IPX. Ce service est dsactiv. 4.6.1.87 Ouverture de session secondaire

"seclogon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet aux utilisateurs de crer des processus dans des contextes de scurit diffrents. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

95

Non classifi

ITSG pour Windows Server 2003

4.6.1.88

Gestionnaire de comptes de scurit

"samss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre des informations de scurit pour les comptes utilisateur et les groupes. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.89 Serveur

"lanmanserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure divers soutiens sur le rseau (RPC, fichier, impression et canaux nomms). Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.90 Dtection matriel noyau

"shellhwdetection", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service surveille et offre des modifications pour les vnements matriel de lecture automatique. Ce service est dsactiv. 4.6.1.91 Protocole SMTP

"smtpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service transporte le courrier lectronique sur le rseau. Ce service est dsactiv. 4.6.1.92 Services TCP/IP simplifis

"simptcp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ces services offrent divers protocoles. Ce service est dsactiv. Les services configurs sont les suivants : Echo Port 7 Discard Port 9 Character Generator Port 19 Daytime Port 13 Quote of the day Port 17

96

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.93

Agent stockage dinstance unique

"groveler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service soutient le service dinstallation distance. Ce service est dsactiv. 4.6.1.94 Carte puce

"scardsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre laccs aux lecteurs de carte puce. Ce service est dsactiv. 4.6.1.95 Service SNMP

"snmp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet aux demandes SNMP entrantes dtre traites par le systme. Ce service est dsactiv. 4.6.1.96 Service dinterruption SNMP

"snmptrap", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service reoit les messages dinterruption gnrs par les agents SNMP. Ce service est dsactiv. 4.6.1.97 Application dassistance de la Console dadministration spciale

"sacsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service excute des tches de gestion distance. Ce service est dsactiv. 4.6.1.98 SQLAgent$* (*UDDI ou WebDB)

"sqlagent$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service surveille et ordonnance les travaux. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

97

Non classifi

ITSG pour Windows Server 2003

4.6.1.99

Notification dvnements systme

"sens", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure des services de surveillance et de suivi des vnements systme. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.100 Planificateur de tches "schedule", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet de configurer et de planifier les tches automatises sur le systme. Ce service est dsactiv. 4.6.1.101 Service dassistance TCP/IP NetBIOS Ce service offre un soutien pour le NetBIOS sur les protocoles TCP/IP. Ce service est requis pour les membres dun domaine. 4.6.1.101.1 Serveur de membres de domaine "lmhosts", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.101.2 Serveur de membres de groupe de travail "lmhosts", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.102 Serveur dimpression TCP/IP "lpdsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service active limpression partir de TCP/IP. Ce service est dsactiv.

98

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.103 Tlphonie "tapisrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service offre un soutien pour les programmes qui contrlent la tlphonie et les dispositifs voix bass sur le protocole IP. Ce service est dsactiv. 4.6.1.104 Telnet "tlntsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure des sessions de terminal ASCII aux clients telnet. Ce service est dsactiv. 4.6.1.105 Services Terminal Server "termservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ces services permettent aux utilisateurs daccder une session sur poste de travail Windows virtuel. Ce service est dsactiv. 4.6.1.106 Gestionnaire de licences Terminal Server "termservlicensing", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit des licences de clients enregistrs quand ceux-ci se connectent un serveur Terminal Server. Ce service est dsactiv. 4.6.1.107 Rpertoire des sessions Terminal Server "tssdis", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service offre un environnement multisession qui permet laccs un poste de travail Windows virtuel. Ce service est dsactiv.

Fichiers de stratgie pour les serveurs

Mars 2004

99

Non classifi

ITSG pour Windows Server 2003

4.6.1.108 Thmes "themes", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les thmes. Ce service est dsactiv. 4.6.1.109 Service Trivial FTP "tftpd", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service est un protocole de transfert de fichiers qui ne requiert pas dauthentification. Ce service est dsactiv. 4.6.1.110 Onduleur (UPS) "ups", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre un bloc dalimentation sans coupure. Ce service est dsactiv. 4.6.1.111 Gestionnaire de tlchargement "uploadmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre les transferts de fichiers entre les clients et les serveurs. Les donnes du pilote sont tlcharges, en mode anonyme, dun ordinateur client Microsoft. Ce service est dsactiv. 4.6.1.112 Service de disque virtuel "vds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure une interface unique pour grer la visualisation du stockage en bloc. Ce service est dsactiv.

100

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.113 Clich instantan de volume "vss", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service gre et applique les clichs instantans de volume utiliss pour les sauvegardes. Dans la prsente stratgie, le dmarrage de ce service se fait manuellement. 4.6.1.114 WebClient "webclient", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet aux applications Win32 daccder aux documents sur Internet. Ce service est dsactiv. 4.6.1.115 Gestionnaire dlment Web "elementmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service offre des lments dinterface utilisateur Web pour le site Web dadministration sur le port 8098. Ce service est dsactiv. 4.6.1.116 Service Audio Windows "audiosrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)" Ce service assure les fonctionnalits de soutien pour le son. Ce service est dsactiv. 4.6.1.117 Acquisition dimages Windows (WIA) "stisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service prend en charge les numriseurs et les camras. Ce service est dsactiv. 4.6.1.118 Windows Installer Ce service gre linstallation et la suppression des applications.

Fichiers de stratgie pour les serveurs

Mars 2004

101

Non classifi

ITSG pour Windows Server 2003

4.6.1.118.1 Serveur de membres de domaine "msiserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.118.2 Serveur de membres de groupe "msiserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.119 Service WINS "wins", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service permet de rsoudre les noms NetBIOS. Ce service est dsactiv. 4.6.1.120 Infrastructure de gestion Windows "winmgmt", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service offre une interface commune pour accder linformation de gestion. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.121 Extensions du pilote WMI "wmi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service surveille tous les pilotes et les fournisseurs de traces dvnements qui publient des donnes WMI ou de linformation sur les traces dvnements. Ce service est dsactiv. 4.6.1.122 Services Windows Media "wmserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ces services assurent la transmission multimdia en continu sur les rseaux IP. Ce service est dsactiv.

102

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.6.1.123 Gestionnaire de ressources systme Windows "windowssystemresourcemanager", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service est un outil qui aide les clients dployer leurs applications. Ce service est dsactiv. 4.6.1.124 Service de temps Windows "w32time", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure la synchronisation des dates et des heures. Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.125 Service de dcouverte automatique de Proxy Web pour les services HTTP Windows "winhttpautoproxysvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service met en place le protocole WPAD (dcouverte automatique de Proxy Web). Ce protocole WPAD est un service client HTTP qui localise les serveurs proxy. Ce service est dsactiv. 4.6.1.126 Configuration sans fil "wzcsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure la configuration automatique des adaptateurs sans fil IEEE 802.11. Ce service est dsactiv. 4.6.1.127 Carte de performance WMI "wmiapsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service fournit de linformation sur les bibliothques de performance. Ce service est dsactiv. 4.6.1.128 Station de travail Ce service cre et maintient les connexions avec les rseaux clients.

Fichiers de stratgie pour les serveurs

Mars 2004

103

Non classifi

ITSG pour Windows Server 2003

4.6.1.128.1 Serveur de membres de domaine "lanmanworkstation", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, ce service dmarre automatiquement au dmarrage de Windows. 4.6.1.128.2 Serveur de membres de groupe "lanmanworkstation", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dans la prsente stratgie, le dmarrage de ce service est dsactiv. 4.6.1.129 Service de publication World Wide Web "w3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service assure la connectivit et ladministration Web par lintermdiaire du module IIS. Ce service est dsactiv. 4.6.2 Services non expressment couverts dans le guide Microsoft Les entres de service suivantes dans le fichier de stratgie ne sont pas reprsentes dans linterface GUI. "fastuserswitchingcompatibility", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service fastuserswitchingcompatibility nest pas une exigence de base dun serveur Windows 2003. Ce service est dsactiv. "mssql$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service MSSQL$webdb est utilis pour publier et localiser linformation au sujet des services Web. Ce service est dsactiv. "mssqlserveradhelper", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service MSSQLServerADHelper permet un serveur SQL et aux SQL Server Analysis Services de publier de linformation dans lActive Directory. Ce service est dsactiv.

104

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"saldm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service saldm nest pas une exigence de base pour un serveur Windows 2003. Ce service est dsactiv. "sptimer", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service sptimer nest pas une exigence de base pour un serveur Windows 2003. Ce service est dsactiv. "sqlserveragent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Le service sqlserveragent nest pas une exigence de base pour un serveur Windows 2003. Ce service est dsactiv. "winsip", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Ce service nest pas une exigence de base pour un serveur de haute scurit. Ce service est dsactiv.

4.7

Paramtres de scurit additionnels

Les paramtres suivants figurent dans le fichier de stratgie et sont organiss de la mme manire que dans le guide de scurit de Windows Server 2003. Bien que ces paramtres influent sur le contenu du Registre, ils ne figurent pas dans la section Registry de linterface GUI des stratgies. 4.7.1 Paramtres de scurit pour contrer les attaques rseau 4.7.1.1 EnableICMPRedirect

machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4, 0 Avec le paramtre enableicmpredirect , le protocole TCP recherche les routes des htes. Cette valeur outrepasse les routes gnres par OSPF. La valeur 0 dsactive cette fonctionnalit. Si celle-ci est active, un dlai dinactivit de 10 minutes rend le systme non disponible pour le rseau. Avec la dsactivation, le systme emploie le routage OSPF.

Fichiers de stratgie pour les serveurs

Mars 2004

105

Non classifi

ITSG pour Windows Server 2003

4.7.1.2

SynAttackProtect

machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4, 1 Le paramtre synattackprotect ajuste la retransmission des messages SYN-ACK. Avec la valeur 1 , la connexion se termine plus rapidement si une attaque SYN-ATTACK est dtecte. Cette vur rduit les efforts allous des connexions sans rponse. 4.7.1.3 EnableDeadGWDetect

machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4, 0 Le paramtre enabledeadgwdetect permet la redirection par le TCP vers une passerelle dappoint. La valeur 0 dsactive cette capacit. Si un systme dtecte les difficults sur un rseau, il passera automatiquement une passerelle diffrente. Cela peut causer le cheminement non souhait de paquets sur des rseaux jugs non fiables. 4.7.1.4 EnablePMTUDiscovery

machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4, 0 Le paramtre enablepmtudiscovery dtermine si le protocole TCP recherche automatiquement lunit de transmission maximale (MTU maximum transmission unit) ou la taille de paquets la plus grande vers un hte distant. Avec la valeur 0 , une taille fixe de paquets sera utilise pour toutes les connexions avec les htes distants. Si ce paramtre est activ, un attaquant pourrait forcer la transmission de paquets de trs petite taille. Cela pourrait accrotre grandement la charge du rseau. Cela pourrait galement crer une condition de dni de service. 4.7.1.5 KeepAliveTime

machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4, 300000 Le paramtre keepalivetime dtermine combien de fois le protocole TCP vrifie si une connexion inutile est intacte. La valeur 300,000 (5 minutes) est suffisamment brve pour assurer une certaine dfense contre les conditions de dni de service. Ce paramtre offre la possibilit de rcuprer des ressources partir de connexions sans rponse. 4.7.1.6 DisableIPSourceRouting

machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4, 2 Le paramtre disableipsourcerouting dtermine si lexpditeur dun paquet TCP peut dicter la route. La valeur 2 dsactive cette possibilit. En choisissant les routes des paquets, un attaquant peut masquer lendroit o il se trouve sur le rseau.

106

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.1.7

TcpMaxConnectResponseRetransmissions

machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmi ssions=4, 2 Le paramtre tcpmaxconnectresponseretransmissions dtermine le nombre de tentatives de retransmission, par le protocole TCP, dun paquet SYN, avant quil abandonne. La valeur 2 limite la possibilit dune attaque par dni de service, sans perturber les utilisateurs normaux. Cette valeur rduit les efforts allous aux connexions sans rponse. 4.7.1.8 TcpMaxDataRetransmissions

machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4, 3 Le paramtre tcpmaxdataretransmissions dtermine le nombre de fois que les donnes sans accus de rception sont retransmises avant la dconnexion. La valeur 3 rduit le succs dune attaque par dni de service, parce que lon rduit les efforts allous aux connexions sans rponse. 4.7.1.9 PerformRouterDiscovery

machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4, 0 Le paramtre performrouterdiscovery contrle lutilisation du protocole Internet Router Discovery. La valeur 0 dsactive la fonction de dcouverte et force lutilisation de routeurs connus. Si le systme utilise la fonction de dcouverte des routeurs, un attaquant pourrait rediriger les paquets vers une autre destination. 4.7.1.10 TCPMaxPortsExhausted

machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4, 5 Le paramtre tcpmaxportsexhausted contrle le point partir duquel la protection SYN-ATTACK dbute. Avec la valeur 5 , la protection dbute aprs cinq checs. Cest la norme Microsoft pour les protocoles TCP/IP. Cette valeur offre un compromis entre performance et scurit. 4.7.1.11 TCPMaxHalfOpen

machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 Le paramtre tcpmaxhalfopen dtermine le nombre de connexions dans la table dtat SYN, avant que la protection contre les attaques SYN ne dbute4. Avec la valeur 100 , la protection contre les attaques SYN dbute quand la table dtat atteint 100 connexions.

Fichiers de stratgie pour les serveurs

Mars 2004

107

Non classifi

ITSG pour Windows Server 2003

4.7.1.12

TCPMaxHalfOpenRetired

machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 Le paramtre tcpmaxhalfopenretired dtermine combien de connexions le serveur peut maintenir dans ltat semi-ouvert. Avec la valeur 80 , la protection contre les attaques SYN dbute quand la table dtat atteint 80 connexions. 4.7.1.13 NoNameReleaseOnDemand (TCP/IP)

machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 Le paramtre nonamereleaseondemand dtermine si le systme transmettra son nom NetBIOS un autre ordinateur, sur demande. La valeur 1 empche la divulgation de linformation NetBIOS. 4.7.2 Paramtres AFD.SYS 4.7.2.1 DynamicBacklogGrowthDelta

machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4, 10 Le paramtre dynamicbackloggrowthdelta dtermine le nombre de connexions libres pouvant tre cres, lorsque cela est jug ncessaire. Avec la valeur 10 , 10 connexions libres additionnelles peuvent tre cres. Cette valeur 1assure que les ressources additionnelles ne sont pas appliques trop rapidement, vitant ainsi une condition potentielle de dni de service. 4.7.2.2 EnableDynamicBacklog

machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4, 1 Le paramtre enabledynamicbacklog active les arrirs dynamiques. La valeur 1 active les arrirs. De la sorte, le systme gre les ressources des ports dune manire qui attnue les attaques par dni de service. 4.7.2.3 MinimumDynamicBacklog

machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4, 20 Le paramtre minimumdynamicbacklog contrle le nombre minimal de ports libres sur un point terminal dcoute. Avec la valeur 20 , le systme peut crer plus de ports sil y en a moins que 20 disponibles. Ce paramtre vise assurer que les ressources sont disponibles et limite la menace dune condition de dni de services.

108

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.2.4

MaximumDynamicBacklog

machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4, 20000 Le paramtre maximumdynamicbacklog contrle le nombre de connexions quasi libres autorises sur un point terminal dcoute. La valeur 20,000 est recommande pour attnuer les attaques par dni de service. Cette valeur rduit les ressources alloues aux connexions incompltes. Si le nombre de ports libres additionnels crs dpasse la valeur, le systme ne pourrait maintenir les sessions additionnelles. 4.7.3 Autres paramtres touchant la scurit 4.7.3.1 NoNameReleaseOnDemand (NetBIOS)

machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4, 1 Le paramtre nonamereleaseondemand dtermine si un systme fournit son nom NetBIOS sur demande de nom. La valeur 1 empche quun systme ne divulgue son nom NetBIOS, autres quaux serveurs WINS. Cela rduit linformation que le systme pourrait fournir un utilisateur non autoris. 4.7.3.2 Dsactiver la gnration de noms de fichier au format 8.3

machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4, 1 Le paramtre ntfsdisable8dot3namecreation dtermine si le systme gnrera des noms de fichier au format 8.3. La valeur 1 empche les noms de fichier dans le format 8.3. La production de noms de fichier au format 8.3 facilite la tche dun attaquant qui opre par recherche de noms. En dsactivant ce paramtre, on sassure que seul le nom complet dun fichier est utilis pour y accder. 4.7.3.3 NoDriveTypeAutoRun

machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,2 55 Le paramtre nodrivetypeautorun dtermine si lexcution automatique est active pour les lecteurs connects. La valeur 255 dsactive lexcution automatique pour tous les lecteurs sur le systme. Cela permet de sassurer que les utilisateurs privilgis nexcutent pas de logiciels non approuvs. Sans cette restriction, des logiciels non approuvs pourraient sexcuter de manire inopine.

Fichiers de stratgie pour les serveurs

Mars 2004

109

Non classifi

ITSG pour Windows Server 2003

4.7.3.4

Dure en secondes avant que la priode de grce de lcran de veille nexpire (0 recommande)

machine\system\software\microsoft\windowsnt\currentversion\winlogon\screensavergraceperi od=4, 0 Le paramtre screensavergraceperiod dtermine la dure (en secondes) avant dappliquer le mot de passe de lcran de veille. La valeur 0 applique le verrouillage du mot de passe sans dlai. Cela assure un verrouillage immdiat quand le seuil dinactivit est atteint. 4.7.3.5 Niveau davertissement

machine\system\currentcontrolset\services\eventlog\security\warninglevel=4, 90 Le paramtre warninglevel dtermine le nombre maximal de journalisations de scurit avant quun vnement de type avertissement ne soit dclench. Avec la valeur 90 , un avertissement est dclench quand le journal Scurit atteint 90 % de sa capacit. Cela donne suffisamment de temps pour remettre zro le journal et dterminer les causes de lavertissement. 4.7.3.6 Activer le mode de recherche DLL sr (recommand)

machine\system\currentcontrolset\control\session manager\safedllsearchmode=4, 1 Le paramtre safedllsearchmode dtermine lordre de recherche des fichiers DLL. Avec la valeur 1 , le systme recherche dabord dans le PATH, puis dans le dossier courant. Avec cet ordre, les fichiers dans le dossier courant ne sexcutent pas la place des fichiers dans le PATH de lutilisateur. 4.7.3.7 Dsactiver lexcution automatique des CD-ROM

machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1 Le paramtre Disable Autorun on CD-Rom empche lexcution automatique des programmes ds linsertion du CD-ROM. La valeur 1 dsactive la fonction dexcution automatique. Cela permet de rduire la menace dune infection par codes malveillant par lintermdiaire du CD-ROM. 4.7.3.8 Dsactiver les partages administratifs

machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServ er=4, 0 Le paramtre AutoShareServer dtermine si les disques ont des partages administratifs. La valeur 0 dsactive les partages administratifs.

110

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.3.9

Dsactiver DCOM

machine\Software\Microsoft\OLE\EnableDCOM=4, 0 Le paramtre EnableDCOM dtermine si le DCOM est actif. La valeur 0 dsactive la fonctionnalit DCOM. 4.7.4 Activits manuelles Les lments suivants ne peuvent pas tre automatiss. Ils doivent tre configurs manuellement. REMARQUE : Pour les lments 4.7.4.1 4.7.4.3, utilisez la procdure suivante pour atteindre le niveau Computer Configuration , soit dans la console MMC (pour le serveur de groupe de travail), soit dans lActive Directory (pour le serveur de domaine). Pour un serveur de Domaine, procdez comme suit : 1. Ouvrez Active Directory. 2. Cliquez droite sur lunit dorganisation Public Server et slectionnez Properties. 3. Slectionnez longlet Group Policy. 4. Slectionnez CSE High Security Baseline Policy. 5. Cliquez sur Edit. Lentre Computer Configuration est maintenant affiche lcran. Pour un systme de groupe de travail, procdez comme suit : 1. Ouvrez une fentre de commande. 2. Tapez MMC, puis appuyez sur Enter. 3. La bote de dialogue Console 1 souvre. 4. Cliquez sur File. 5. Slectionnez Add/Remove Snap-in. 6. La bote de dialogue Add/Remove Snap-in saffiche. 7. Cliquez sur Add. 8. La bote de dialogue Add Standalone Snap-in saffiche. 9. Naviguez jusqu IP Security Policy Management et slectionnez cette option. 10. Cliquez sur Add. 11. La bote de dialogue Select Computer or Domain saffiche. 12. Acceptez les valeurs par dfaut et cliquez sur Finish. 13. Cliquez sur Close. 14. Cliquez sur OK.

Fichiers de stratgie pour les serveurs

Mars 2004

111

Non classifi

ITSG pour Windows Server 2003

15. Allez root Console Window. 16. Slectionnez Group Policy Object Editor. 17. Cliquez sur Add. 18. La fentre Select Group Policy Object saffiche. 19. Cliquez sur Finish pour accepter les valeurs par dfaut. 20. Cliquez sur Close. 21. Cliquez sur OK. 22. Cliquez sur + ct de Local Computer Policy. Lentre Computer Configuration saffiche maintenant lcran. 4.7.4.1 Dfinir le niveau de cryptage de la connexion client

Computer configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security\Set client connection encryption level=High Le paramtre Set client encryption level utilise le chiffrement 128 bits pour protger les sessions Terminal Service. Dans la prsente stratgie, ce paramtre a la valeur High. 4.7.4.2 Toujours demander au client le mot de passe la connexion

Computer configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security \Always prompt client for password upon connection\=Enabled Le paramtre Always prompt client for password upon connection\=Enabled oblige lutilisateur ouvrir une session sur le service local. Cette stratgie valide la demande de mot de passe ds la connexion. 4.7.4.3 Erreurs de rapport

Computer configuration\Administrative Templates\System\Error Reporting\=Disabled Le paramtre Error Reporting\=Disabled empche le systme de signaler les conditions derreur Microsoft. 4.7.4.4 Enlever la cl de Registre pour le sous-systme POSIX

machine\system\currentcontrolset\control\session manager\subsystems\posix Le paramtre posix dtermine si le sous-systme POSIX est pris en charge. La prsente stratgie supprime la cl. Cela empche lutilisation accidentelle du systme.

112

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.4.5

Dfinir le mot de passe BIOS

Le systme BIOS devrait tre protg par mot de passe. Cette stratgie correspond des procdures spcifiques du fournisseur qui ne sont pas dcrites dans le prsent document. 4.7.4.6 Dsactiver limage mmoire

Control Panel/System Properties/Advanced/Startup and Recovery-SettingsWrite Debugging Information=None La possibilit de vider la mmoire en cas de dfectuosit de programme devrait tre dsactive. Il est peu probable quune image mmoire soit requise. Toutefois, vous pouvez temporairement activer cette fonction si vous en avez de besoin. 4.7.4.7 Dmarrer immdiatement Windows

My Computer/Properties/Advanced/Startup and Recovery-Settings/Time to display list of operating systems=0 Le paramtre Time to display list of operating systems dtermine le nombre de secondes avant que le systme naffiche les options des systmes dexploitation au moment du dmarrage. La valeur 0 empche les dmarrages des autres systmes dexploitation pendant le fonctionnement normal. 4.7.4.8 Dissocier les fichiers .reg de lditeur de registre 1. Start/Settings/Control Panel/Folder Options 2. Slectionnez lextension REG . 3. Cliquez sur Delete et sur Yes dans la fentre de confirmation. 4. Cliquez sur Close . En dissociant lextension .reg de lditeur de registre, on empche les modifications accidentelles du Registre. 4.7.4.9 liminer les programmes superflus

Start->Control Panel=>Add Remove Programs=>Add/Remove Window Components liminez CHAT. 4.7.5 Contrles daccs Les fichiers importants et les valeurs du Registre sur le systme devraient tre protgs. Une bonne faon dy parvenir consiste utiliser des contrles daccs. La section suivante dcrit les paramtres suggrs pour les contrles daccs. REMARQUE : Chaque installation doit sassurer que les paramtres qui suivent conviennent leur propre environnement.

Fichiers de stratgie pour les serveurs

Mars 2004

113

Non classifi

ITSG pour Windows Server 2003

4.7.5.1

Contrles gnraux daccs aux fichiers Tableau 1 Contrles gnraux daccs aux fichiers
Nom du fichier/dossier Audit Administrateurs et systme Contrle intgral Contrle intgral S/ S/ S/ S/ S/ S/ checs S/ S/ checs checs checs Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral checs Admin:rwxd Contrle intgral Utilisateurs authentifis Lecture Contrle intgral s.o. s.o. s.o. s.o. Lecture Lecture Lecture et excution Modification Modification Modification Lecture Lecture et cration Traverse, ajout Liste Valeur trouve

C:\ C:\*.* C:\boot.ini C:\ntdetect.com C:\ntldr C:\ntbootdd.sys C:\autoexec.bat C:\config.sys C:\Program Files C:\IO.sys C:\MSDOS.sys C:\Documents and Settings\All Users C:\Documents and Settings\All Users\Documents C:\Documents and Settings\All Users\Application Data C:\temp\*.* et sous-rpertoires C:\Users et sous-rpertoires

C:\Users\Default et sous-rpertoires C:\WIN32APP et sous-rpertoires %windir% et sous-rpertoires %windir%\*.* %windir%\*.ini %windir%\LocalMon.dll %windir%\PrintMan.hlp %windir%\config\*.* %windir%\Help\*.* %windir%\repair\*.* et sous-rpertoires

checs S/ checs checs checs

System: Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral

Lecture, criture, excution Lecture Modification Lecture Modification Lecture Lecture Liste Lecture et excution s.o.

S/

Contrle intgral Contrle intgral

S/

Administrateur

114

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)


Nom du fichier/dossier %windir%\security %windir%\system\*.* %windir%\system32 %windir%\system32\ autoexec.nt cmos.ram config.nt midimap.cfg %windir%\system32\passport.mid %windir%\system32\CatRoot %windir%\system32\config %windir%\system32\config\*.* %windir%\system32\config\userdef S/ S/ S/ S/ S/ Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Systme : Modification %windir%\system32\dhcp et sous-rpertoires %windir%\system32\dllcache %windir%\system32\drivers %windir%\system32\ias %windir%\system32\inetserv\Metabase.bin %windir%\system32\inetserv\metaback %windir%\system32\mui %windir%\system32\os2\dll\oso001.009 %windir%\system32\os2\DLL\Doscalls.dll %windir%\system32\os2\dll\netapi.dll %windir%\system32\RAS\ %windir%\system32\RAS\*.* %windir%\system32\repl\export %windir%\system32\repl\export\scripts %windir%\system32\repl\ export\scripts\*.* %windir%\system32\repl\import S/ S/ S/ S/ S/ S/ S/ S/ Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Lecture s.o. Lecture Lecture et excution Lecture et excution s.o. s.o. Lecture Lecture Contrle intgral Lecture Lecture Modification Lecture Lecture Modification Contrle intgral s.o. Liste Liste Lecture Administrateurs et systme Contrle intgral Contrle intgral Contrle intgral Contrle intgral Utilisateurs authentifis Lecture et excution Lecture Lecture Modification Valeur trouve

Audit S/ S/ checs S/

Fichiers de stratgie pour les serveurs

Mars 2004

115

Non classifi

ITSG pour Windows Server 2003

Nom du fichier/dossier %windir%\system32\repl\import\*.* %windir%\system32\repl\import\scripts\ %windir%\system32\repl\import\scripts\*.* %windir%\system32\ShellExt %windir%\system32\spool et sous-rpertoires %windir%\system32\spool\drivers\w32x86\1 %windir%\system32\spool\drivers\w32x86\winprint.dll %windir%\system32\Viewers\*.* %windir%\system32\wbem %windir%\system32\wbem\mof %windir%\system32\wins et sous-rpertoires %windir%\twain_32 %windir%\web %userprofile%

Audit

Administrateurs et systme Contrle intgral Contrle intgral Contrle intgral

Utilisateurs authentifis Modification Lecture Lecture s.o. Lecture Contrle intgral Lecture s.o. Lecture et excution Lecture et excution Contrle intgral Fichier, ajout de sous-rpertoires Lecture et excution s.o.

Valeur trouve

S/ checs

Contrle intgral Contrle intgral Contrle intgral Contrle intgral

checs checs S/ checs

Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral

checs

Contrle intgral

116

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.5.2

Contrle daccs gnraux au Registre Tableau 2 Contrles daccs gnraux au Registre


Nom de larborescence/cl Audit S/ checs checs S/ S/ S/ S/ S/ S/ checs S/ S/ S/ S/ S/ S/ S/ checs checs checs S/ checs checs S/ S/ S/ S/ S/ Administrateur et systme Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Utilisateurs authentifis Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture Lecture

HKLM\Software HKLM\Software\Classes\helpfile HKLM\Software\Classes\.hlp HKLM\Software\Microsoft\Command Processor HKLM\Software\Microsoft\Cryptography HKLM\Software\Microsoft\Driver Signing HKLM\Software\Microsoft\EnterpriseCertificates HKLM\Software\Microsoft\Non-DriverSigning HKLM\Software\Microsoft\NetDDE HKLM\Software\Microsoft\Ole HKLM\Software\Microsoft\Rpc HKLM\Software\Microsoft\Secure HKLM\Software\Microsoft\SystemCertificates HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Aedebug HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AsrCommands HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Classes HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Console HKLM\Software\Microsoft\WindowsNT\CurrentVersion\DiskQuota HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Drivers32 HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Font Drivers HKLM\Software\Microsoft\WindowsNT\CurrentVersion\FontMapper HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options HKLM\Software\Microsoft\WindowsNT\CurrentVersion\IniFileMapping HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PerfLib HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SecEdit

Fichiers de stratgie pour les serveurs

Mars 2004

117

Non classifi

ITSG pour Windows Server 2003

Nom de larborescence/cl HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Time Zones HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon HKLM\Software\Policies HKLM\System HKLM\System\CurrentControlSet\Services HKLM\SYSTEM\CurrentControlSet\Services\Schedule HKLM\System\CurrentControlSet\Control\SecurePipeServiers\Winreg HKLM\System\CurrentControlSet\Control\Session Manager\Executive HKLM\System\CurrentControlSet\Control\TimeZoneInformation HKLM\System\CurrentControlSet\Control\WMI\Security HKLM\Hardware HKLM\SAM HKLM\Security Hkey_Users (HKU) HKU\.Default HKU\.Default\Software\Microsoft\NetDDE

Audit checs S/ checs S/ S/ S/ S/ S/ S/ S/ S/ S/ S/ S/ S/ S/ S/ S/

Administrateur et systme Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral s.o. Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral Contrle intgral

Utilisateurs authentifis Lecture Lecture Lecture Lecture Lecture Lecture Lecture Aucun Tout le monde = Aucun Lecture Lecture Aucun Tout le monde : Lecture Tout le monde : Lecture s.o. s.o. Lecture s.o.

118

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

4.7.6 carts par rapport aux directives Microsoft Le tableau suivant indique les paramtres qui diffrent entre les directives du CST et celles de Microsoft. Les paramtres du CST et de Microsoft sont indiqus. Tableau 3 carts avec les paramtres de base pour un serveur membre Microsoft
No 1 Paramtre Minimum Password Length (Longueur minimale du mot de passe) Audit Policy Change (Auditer les modifications de stratgie) Audit System Events (Auditer les vnements systme) Add Workstations to Domain (Ajouter des stations de travail au domaine) Backup Files and Directories (Sauvegarder des fichiers ou des rpertoires) Bypass Traverse Checking (Outrepasser le contrle de traverse) Create a Pagefile (Crer un fichier dchange) Create a Token Object (Crer un objet jeton) Create Global Objects (Crer des objets globaux) Create Permanent Shared Objects (Crer des objets partags permanents) Deny Logon as a Service (Refuser louverture de session en tant que service) Deny Logon Locally (Interdire louverture dune session locale) Force shutdown from remote system (Forcer larrt partir dun systme distant) 8 Valeur CST 12 Valeur Microsoft

2 3 4

Succs/chec Succs/chec Aucun

Succs Succs Administrateurs

Administrateurs et oprateurs de sauvegarde Utilisateurs, oprateurs de sauvegarde, administrateurs et utilisateurs Administrateurs Aucun Service et Administrateurs Aucun

Par dfaut

Par dfaut

7 8 9 10

Par dfaut Par dfaut Par dfaut Par dfaut

11

Invits, sessions anonymes, administrateurs, administrateur intgr, Support_388945a0 et Invit Invits, sessions anonymes, administrateur intgr, Support_388945a0 et Invit Aucun

Par dfaut

12

Par dfaut

13

Administrateurs

Fichiers de stratgie pour les serveurs

Mars 2004

119

Non classifi No 14 15 16 17

ITSG pour Windows Server 2003

Paramtre Lock Pages in Memory (Verrouiller des pages en mmoire) Logon as a Service (Ouvrir une session en tant que service) Administrator Account Status (tat du compte de ladministrateur) Interactive logon: Message text for users attempting to logon (Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter) Interactive logon: Message title for users attempting to log on (Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter) Interactive Logon: Require Smart Card (Ouverture de session interactive : carte puce ncessaire) Network Access: Allow Anonymous SID/Name Translation (Accs rseau : permettre la traduction des noms/SID anonymes) Network Access: Remotely accessible Registry paths (Accs rseau : les chemins du Registre accessibles distance) Aucun

Valeur CST

Valeur Microsoft Administrateurs Par dfaut Activ This system is restricted. ( Ce systme est restreint )

Service rseau et service local Dsactiv Entre requise du ministre

18

Entre requise du ministre

IT IS AN OFFENSE. ( IL EST INTERDIT PAR LA LOI )

19

Ne requiert pas de carte puce

Par dfaut

20

Dsactiv

21

Aucun

System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version

120

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20) No 22 Paramtre Network Access: Remotely accessible registry paths and subpaths (Accs rseau : chemins et sous-chemins du Registre accessibles distance) Aucun Valeur CST Valeur Microsoft System\CurrentControlSet\Control\Pr int\Printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentIndex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\Par dfautUserCOnfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonLog 23 Network Security: Force logoff when logon hours expire (Scurit rseau : forcer la fermeture de session quand les horaires de connexion expirent) System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie systme : utiliser des algorithmes conforme FIPS pour le chiffrement, le hachage et la signature) Use Certificate Rules on Windows Executables for Software Restriction Policies (Utiliser les rgles de certificat avec les excutables Windows pour les stratgies de restriction logicielle) Retention method for Application log (Mthode de conservation du journal des applications) Activ Par dfaut

24

Activ

Dsactiv

25

Dsactiv

Par dfaut

26

Ne pas craser

Au besoin

Fichiers de stratgie pour les serveurs

Mars 2004

121

Non classifi No 27

ITSG pour Windows Server 2003

Paramtre Retention method for Security log (Mthode de conservation du journal Scurit) Retention method for System log (Mthode de conservation du journal Systme) Automatic Updates Service (Mises jour automatiques) Background Intelligent Transfer Service (Service de transfert intelligent en arrire plan) Network Location Awareness (Service NLA) NTLM Security Support Provider (Fournisseur de la prise en charge de scurit LM NT) Performance Logs and Alerts (Journaux et alertes de performance) Plug and Play Remote Administration Service (Service dadministration distance) Remote Registry Service (Service daccs distance au Registre) Server Service (Service de serveurs) Terminal Services (Services Terminal Server) Windows Management Instrumentation Driver Extensions (Extensions du pilote WMI) WMI Performance Adapter (Carte de performance WMI) TCPMaxHalfOpen TCPMaxHalfOpenRetired NoNameReleaseOnDemand (TCP/IP) Remove POSIX Subsystem Registry Key (Enlever la cl de Registre pour le sous systme POSIX)

Valeur CST Ne pas craser

Valeur Microsoft Au besoin

28

Ne pas craser

Au besoin

29 30

Dsactiv Dsactiv

Automatique Manuel

31 32

Dsactiv Dsactiv

Manuel Automatique

33

Dsactiv

Manuel

34 35

Dsactiv Dsactiv

Automatique Manuel

36 37 38 39

Dsactiv Dsactiv Dsactiv Dsactiv

Automatique Automatique Automatique Manuel

40 41 42 43 44

Dsactiv 100 80 i) Activ

Manuel Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation

Recommand

122

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20) No 45 46 47 Paramtre Set BIOS Password (Dfinir le mot de passe BIOS) Disable Memory Dump (Dsactiver limage mmoire) Boot Immediately to Windows (Dmarrer immdiatement Windows) Disassociate .reg files from registry editor (Dissocier les fichiers .reg de lditeur de registre) Valeur CST Recommand Recommand Recommand Valeur Microsoft Pas de recommandation Pas de recommandation Pas de recommandation

48

Recommand

Pas de recommandation

Fichiers de stratgie pour les serveurs

Mars 2004

123

Non classifi

ITSG pour Windows Server 2003

Tableau 4 carts par rapport la stratgie locale des htes Bastion de Microsoft
No 1 Paramtre Minimum Password Length (Longueur minimale du mot de passe) Audit Policy Change (Auditer les modifications de stratgie) Audit System Events (Auditer les vnements systme) Add Workstations to Domain (Ajouter des stations de travail au domaine) Allow log on locally (Autoriser louverture de session locale) Backup Files and Directories (Sauvegarder des fichiers ou des rpertoires) Bypass Traverse Checking (Outrepasser le contrle de traverse) Create a Pagefile (Crer un fichier dchange) Create a Token Object (Crer un objet jeton) Create Global Objects (Crer des objets globaux) Create Permanent Shared Objects (Crer des objets partags permanents) Deny Logon as a Service (Refuser louverture de session en tant que service) Deny Logon Locally (Interdire louverture dune session locale) Force shutdown from remote system (Forcer larrt partir dun systme distant) Lock Pages in Memory (Verrouiller des pages en mmoire) 8 Valeur du CST 12 Valeur de Microsoft

2 3 4

Succs/chec Succs/chec Aucun

Succs Succs Administrateurs

5 6

Administrateurs et oprateurs de sauvegarde Administrateurs et oprateurs de sauvegarde Utilisateurs, oprateurs de sauvegarde, administrateurs et utilisateurs Administrateurs Aucun Service et administrateurs Aucun

Administrateurs Dfaut

Par dfaut

8 9 10 11

Par dfaut Par dfaut Par dfaut Par dfaut

12

Invits, sessions anonymes, administrateurs, administrateur intgr, Support_388945a0 et Invit Invits, sessions anonymes, administrateur intgr, Support_388945a0 et Invit Aucun

Par dfaut

13

Par dfaut

14

Administrateurs

15

Aucun

Administrateurs

124

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20) No 16 17 18 Paramtre Logon as a Service (Ouvrir une session en tant que service) Administrator Account Status (tat du compte de ladministrateur) Interactive logon: Message text for users attempting to logon (Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter) Interactive logon: Message title for users attempting to log on (Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter) Interactive Logon: Require Smart Card (Ouverture de session interactive : requiert une carte puce) Network Access: Allow Anonymous SID/Name Translation (Accs rseau : permettre la traduction des noms/SID anonymes) Network Access: Remotely accessible Registry paths (Accs rseau : les chemins du Registre accessibles distance) Valeur du CST Service rseau et service local Dsactiv Entre requise du ministre Valeur de Microsoft Par dfaut Activ This system is restricted. ( Ce systme est restreint )

19

Entre requise du ministre

IT IS AN OFFENSE. ( IL EST INTERDIT PAR LA LOI )

20

Ne requiert pas de carte puce

Par dfaut

21

Dsactiv

Par dfaut

22

Aucun

System\CurrentControlSet\Control\Pr oduct Options System\CurrentControlSet\Control\S erver Applications Software\Microsoft\Windows NT\Current Version

Fichiers de stratgie pour les serveurs

Mars 2004

125

Non classifi No 23

ITSG pour Windows Server 2003

Paramtre Network Access: Remotely accessible registry paths and subpaths (Accs rseau : chemins et sous-chemins du Registre accessibles distance) Aucun

Valeur du CST

Valeur de Microsoft System\CurrentControlSet\Control\Pr int\Printers System\CurrentControlSet\Services\E ventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\C ontentIndex System\CurrentControlSet\Control\T erminal Server System\CurrentControlSet\Control\T erminal Server\UserConfig System\CurrentControlSet\Control\T erminal Server\DefaultUserCOnfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\services\S ysmonLog

24

Network Security: Force logoff when logon hours expire (Scurit rseau : forcer la fermeture de session quand les horaires de connexion expirent)

Activ

Par dfaut

25

System Cryptography: Use FIPS compliant algorithms for encryption, hashing and signing (Cryptographie systme : utiliser des algorithmes conforme FIPS pour le chiffrement, le hachage et la signature) Use Certificate Rules on Windows Executables for Software Restriction Policies (Utiliser les rgles de certificat avec les excutables Windows pour les stratgies de restriction logicielle) Retention method for Application log (Mthode de conservation du journal des applications)

Activ

Dsactiv

26

Dsactiv

Par dfaut

27

Ne pas craser

Au besoin

126

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20) No 28 Paramtre Retention method for Security log (Mthode de conservation du journal Scurit) Retention method for System log (Mthode de conservation du journal Systme) DNS Client (client DNS) Plug and Play Service TCPMaxHalfOpen TCPMaxHalfOpenRetired NoNameReleaseOnDemand (TCP/IP) Remove POSIX Subsystem Registry Key (Enlever la cl de Registre pour le sous systme POSIX) Set BIOS Password (Dfinir le mot de passe BIOS) Disable Memory Dump (Dsactiver limage mmoire) Boot Immediately to Windows (Dmarrer immdiatement Windows) Disassociate .reg files from registry editor (Dissocier les fichiers .reg de lditeur de registre) Valeur du CST Ne pas craser Valeur de Microsoft Au besoin

29

Ne pas craser

Au besoin

30 31 32 33 34 35

Dsactiv Dsactiv 100 80 Activ Recommand

Activ Automatique Pas de recommandation Pas de recommandation Pas de recommandation Pas de recommandation

36 37 38

Recommand Recommand Recommand

Pas de recommandation Pas de recommandation Pas de recommandation

39

Recommand

Pas de recommandation

Fichiers de stratgie pour les serveurs

Mars 2004

127

Non classifi

ITSG pour Windows Server 2003

Page laisse intentionnellement en blanc.

128

Mars 2004

Fichiers de stratgie pour les serveurs

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Stratgies de serveurs bases sur les rles

Les fichiers de stratgie suivants appliquent des paramtres spcifiques au rle assum. Ils ne contiennent pas chaque paramtre requis pour le serveur. Par consquent, on doit appliquer ces paramtres aprs la configuration de base.

5.1

Stratgie IPSec base sur les rles

La stratgie de scurit IP base sur les rles est applique en deux tapes. La premire tape consiste changer la stratgie dans lditeur de stratgie. La deuxime consiste activer la stratgie. cette fin, on utilise le Group Policy Editor (diteur de stratgie de groupe). 5.1.1 Chargement de la stratgie IPSec Activer Windows Explorer. Naviguez jusqu lemplacement o se trouve le fichier de stratgie IPSec voulu (le fichier doit avoir une extension .CMD). Cliquez droite sur le fichier de commande de stratgie et slectionnez Open. o La fentre de commande souvre, excute le fichier de commande de stratgie et se ferme. 5.1.2 Activation de la stratgie IPSec Ouvrez une fentre de commande. Tapez MMC, puis appuyez sur Enter. o La bote de dialogue Console 1 souvre. Cliquez sur File. Slectionnez Add/Remove Snap-in. o La bote de dialogue Add/Remove Snap-in souvre. Cliquez sur Add. o La bote de dialogue Add Standalone Snap-in souvre. Naviguez jusqu IP Security Policy Management et slectionnez cette option. Cliquez sur Add. o La bote de dialogue Select Computer or Domain saffiche. Acceptez les valeurs par dfaut et cliquez sur Finish. Cliquez sur Close. Cliquez sur OK. Dans la fentre Root Console Window, cliquez sur loption IP Security Policies on Local Computer.
Mars 2004 129

Stratgies de serveurs bases sur les rles

Non classifi

ITSG pour Windows Server 2003

Dans le cadre droit, cliquez droite sur la stratgie de scurit IP voulue et slectionnez Assign. Cliquez droite sur la stratgie active et slectionnez Properties. Slectionnez longlet General. Cliquez sur le bouton Settings. o La bote de dialogue Key Exchange Settings saffiche. Cliquez sur le bouton Methods. o La bote de dialogue Key Exchange Methods saffiche. Annulez tous les paramtres sauf les suivants (assurez-vous quils soient dans lordre ci-dessous) : IKE IKE 3DES SHA1 High (1024) 3DES SHA1 Med (2)

Cliquez sur OK. Cliquez sur OK. Cliquez sur File. Cliquez sur Exit. o La bote de dialogue Microsoft Management Console saffiche. Slectionnez Yes si vous voulez enregistrer les paramtres (sinon, slectionnez No).

5.2

Stratgie de scurit pour les serveurs de fichiers de domaine

Le serveur des fichiers bass sur le domaine permet aux utilisateurs authentifis daccder aux fichiers partags dans le domaine. Ces fichiers partags peuvent utiliser la fonctionnalit de protection de fichiers pour contrler les accs. Les tentatives daccs depuis lextrieur dun domaine peuvent tre authentifies laide dinformations didentification bases sur le domaine. Une fois lutilisateur authentifi, laccs lui est accord daprs la stratgie relative au domaine. Pour activer les services de fichiers, on na pas modifier les paramtres de la configuration de base. 5.2.1 carts par rapport au guide Hardening File Servers de Microsoft Dans la stratgie de Microsoft de renforcement de la scurit pour les serveurs de fichiers de domaine, les services Distributed Files System et File Replication sont dsactivs. Dans la configuration de base du CST, ces mmes services sont dsactivs. Par consquent, on na pas les dsactiver dans la stratgie des serveurs de fichiers. Les autres diffrences dcoulent des carts entre la configuration de base du CST et celle de Microsoft.
130 Mars 2004 Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Il y a lieu de noter que les stratgies bases sur les rles ne peuvent tre considres isolment de la configuration de base. 5.2.2 [Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 5.2.3 Stratgie IPSec pour le serveur de fichiers de domaine Le fichier suivant fait partie du guide de scurit Windows Server 2003 de Microsoft. Le fichier doit tre modifi pour tenir compte des bonnes adresses de contrleurs de domaine. Une fois modifie, la procdure dcrite la section 5.1, Stratgie IPSec base sur les rles, est utilise pour appliquer cette stratgie.
REM (c) Microsoft Corporation 1997-2003

REM Packet Filters for Server Hardening REM REM Name: REM Version: PacketFilter-File.CMD 1.0

REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.

REM Revision History REM 0000 REM 0000 Original Original February 05, 2003 April 03, 2003

:IPSec Policy Definition netsh ipsec static add policy name="Packet Filters - File" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening"

Stratgies de serveurs bases sur les rles

Mars 2004

131

Non classifi

ITSG pour Windows Server 2003

netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server Hardening" netsh ipsec static add filterlist name="Domain Member" description="Server Hardening" netsh ipsec static add filterlist name="Monitoring" description="Server Hardening" netsh ipsec static add filterlist name="Block Domain Access" description="Server Hardening" netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

:IPSec Filter Action Definitions netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445 netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139 netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389 netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any description="Block Domain Access" protocol=TCP srcport=any dstport=1097 netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

REM REMARQUE : IP Address or server names of Domain Controllers must be hardcode into the dstaddr of the Domain Member filters defined below netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0 REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=<Insert DC #2> description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0

132

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)


REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr=<Insert MOM Server> description="Monitoring Traffic" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File" filterlist="Domain Member" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters File" filterlist="Block Domain Access" kerberos=yes filteraction=Block REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File" filterlist="Monitoring" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters File" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block

5.3

Stratgie pour les serveurs dimpression de domaine

Le serveur dimpression de domaine permet aux utilisateurs authentifis daccder aux imprimantes partages. Ces imprimantes partages utilisent des contrles daccs. Les utilisateurs lextrieur du domaine peuvent tre authentifis laide dinformations didentification bases sur le domaine. Quand ils sont authentifis, laccs est octroy daprs la stratgie du domaine. Pour activer ces services, aucune modification nest requise aux paramtres de configuration de base. 5.3.1 carts par rapport au guide Hardening Print Servers de Microsoft La stratgie base sur les rles de Microsoft pour les serveurs dimpression comporte deux activits : 1) Dmarrer le spouleur dimpression et 2) Dsactiver le paramtre Serveur rseau Microsoft : communications signes numriquement (toujours) . La stratgie du CST comporte galement le lancement du spouleur dimpression, mais diffre dans le traitement des signatures. La section Micosoft Security Options recommande de dsactiver le paramtre Serveur rseau Microsoft : communications signes numriquement (toujours) . Microsoft recommande ce choix, car les utilisateurs pourraient tre dans limpossibilit de visualiser ltat de leurs travaux dimpression. Nous navons pas observ cette limitation dans notre laboratoire. Par consquent, loption de signer numriquement les communications est active. Les diffrences restantes dcoulent des carts entre la configuration de base du CST et celle de Microsoft.

Stratgies de serveurs bases sur les rles

Mars 2004

133

Non classifi

ITSG pour Windows Server 2003

Il est important de noter que les stratgies bases sur les rles ne peuvent tre considres isolment de la configuration de base. 5.3.2 [Registry Values] machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers 5.3.3 [Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 5.3.4 Stratgie IPSec pour le serveur dimpression de domaine Le fichier suivant est fourni avec les directives de scurit pour Windows Server 2003 de Microsoft. Le fichier doit tre modifi pour tenir compte des adresses des contrleurs de domaine. Une fois modifie, utilisez la procdure dcrite la section 5.1, Stratgie IPSec base sur les rles, pour appliquer la stratgie.
REM (c) Microsoft Corporation 1997-2003

REM Packet Filters for Server Hardening REM REM Name: REM Version: PacketFilter-File.CMD 1.0

REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.

REM Revision History REM 0000 REM 0000 Original Original February 05, 2003 April 03, 2003

134

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

:IPSec Policy Definition netsh ipsec static add policy name="Packet Filters - File" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening" netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server Hardening" netsh ipsec static add filterlist name="Domain Member" description="Server Hardening" netsh ipsec static add filterlist name="Monitoring" description="Server Hardening" netsh ipsec static add filterlist name="Block Domain Access" description="Server Hardening" netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

:IPSec Filter Action Definitions netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445 netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139 netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389 netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any description="Block Domain Access" protocol=TCP srcport=any dstport=1097 netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

Stratgies de serveurs bases sur les rles

Mars 2004

135

Non classifi

ITSG pour Windows Server 2003

REM REMARQUE : IP Address or server names of Domain Controllers must be hard coded into the dstaddr of the Domain Member filters defined below netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0 REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me dstaddr=<Insert DC #2> description="Traffic to Domain Controller" protocol=any srcport=0 dstport=0

REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into the dstaddr of Monitoring filter defined below REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr=<Insert MOM Server> description="Monitoring Traffic" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File" filterlist="Domain Member" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters File" filterlist="Block Domain Access" kerberos=yes filteraction=Block REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File" filterlist="Monitoring" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters File" filterlist

5.4

Stratgie pour les serveurs de fichiers de groupe de travail

Le serveur de fichiers dun groupe de travail permet aux utilisateurs authentifis daccder aux fichiers partags dun systme. Pour ces fichiers partags, on peut utiliser la protection de fichier pour contrler les accs. Les utilisateurs qui accdent aux serveurs de fichiers peuvent sauthentifier laide dinformations didentification bases sur les utilisateurs. Une fois authentifi, lutilisateur se voit octroyer laccs daprs la stratgie des utilisateurs. 5.4.1 carts par rapport aux directives Microsoft Les diffrences restantes dcoulent des carts entre la configuration de base du CST et celle de Microsoft. 5.4.2 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4

136

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

5.4.3 [Service General Setting] "lanmanworkstation", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 5.4.4 Stratgie IPSec pour le serveur de fichiers du groupe de travail Le fichier suivant a t modifi partir de celui qui est fourni dans les directives de scurit de Windows Server 2003 de Microsoft. Utilisez la procdure dcrite la section 5.1, Stratgie IPSec base sur les rles, pour appliquer la stratgie.
REM (c) Microsoft Corporation 1997-2003

REM Packet Filters for Server Hardening REM REM Name: REM Version: PacketFilter-File.CMD 1.0

REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a File Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.

REM Revision History REM 0000 REM 0000 Original Original February 05, 2003 April 03, 2003

:IPSec Policy Definition netsh ipsec static add policy name="Packet Filters - File" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening"

Stratgies de serveurs bases sur les rles

Mars 2004

137

Non classifi

ITSG pour Windows Server 2003

netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server Hardening"

netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

:IPSec Filter Action Definitions netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445 netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139 netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389 netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters File" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block

138

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

5.5

Stratgie pour les serveurs dimpression de groupe de travail

Le serveur dimpression du groupe de travail permet aux utilisateurs authentifis daccder aux imprimantes partages sur le systme. Laccs ces imprimantes partages peut tre contrl. Les utilisateurs qui tentent daccder aux serveurs dimpression peuvent tre authentifis laide dinformations didentification bases sur les utilisateurs. Une fois lutilisateur authentifi, laccs appropri lui est octroy. 5.5.1 carts par rapport aux directives Microsoft Les diffrences restantes dcoulent des carts entre la configuration de base du CST et celle de Microsoft. 5.5.2 [Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,0 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers 5.5.3 [Service General Setting] "lanmanworkstation", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 5.5.4 Stratgie IPSec pour les serveurs dimpression de groupe de travail Le fichier suivant a t modifi par rapport celui qui se trouve dans les directives de scurit pour Windows Server 2003 de Microsoft. La stratgie IPSec du CST ne fait pas rfrence aux contrleurs de domaine. Excutez le fichier en mode commande pour charger la stratgie. La procdure dcrite la section 5.1, Stratgie IPSec base sur les rles, est utilise pour appliquer la stratgie.

Stratgies de serveurs bases sur les rles

Mars 2004

139

Non classifi
REM (c) Microsoft Corporation 1997-2003

ITSG pour Windows Server 2003

REM Packet Filters for Server Hardening REM REM Name: REM Version: PacketFilter-Print.CMD 1.0

REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy REM that blocks all network traffic to a Print Server except for what is REM explicitly allowed as described in the Windows 2003 Server Solution Guide. REM Please read the entire guide before using this CMD file.

REM Revision History REM 0000 REM 0000 Original Original February 05, 2003 April 03, 2003

:IPSec Policy Definition netsh ipsec static add policy name="Packet Filters - Print" description="Server Hardening Policy" assign=no

:IPSec Filter List Definitions netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server Hardening" netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening" netsh ipsec static add filterlist name="Terminal Server" description="Server Hardening"

netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server Hardening"

:IPSec Filter Action Definitions netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to Pass" action=permit netsh ipsec static add filteraction name=Block description="Blocks Traffic" action=block

:IPSec Filter Definitions netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445

140

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)


netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138 netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139 netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389 netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0

:IPSec Rule Definitions netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - Print" filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - Print" filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters Print" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters Print" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block

Stratgies de serveurs bases sur les rles

Mars 2004

141

Non classifi

ITSG pour Windows Server 2003

Page laisse intentionnellement en blanc.

142

Mars 2004

Stratgies de serveurs bases sur les rles

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Conformit avec la stratgie des serveurs : Inspection et application

Lapproche manuelle pour assurer la conformit avec la stratgie est une fonctionnalit du systme dexploitation de Microsoft. Cette approche utilise la console de gestion Microsoft (MLC Microsoft Management Console), avec le module Security Configuration and Analysis . Ce processus sapplique aux deux environnements : Domaine et Groupe de travail. Les configurations appropries des serveurs cibles sont requises. Les stratgies sont charges dans la console MMC, le systme est analys et les rsultats sont affichs lcran. Si les permissions ne correspondent pas aux paramtres de la stratgie, les lments sont indiqus par un X en rouge ou par le terme Investigate .

6.1

Configuration de la console MMC


a. b. c. d. e. f. g. h. Ouvrez une fentre Command Prompt. Aprs linvite, tapez mmc et appuyez sur <Enter>. i. Linterface utilisateur Console1 souvre. Slectionnez File =>Add/Remove Snap-in . i. La fentre Add/Remove Snap-in saffiche. Cliquez sur le bouton Add. i. La fentre Add Stand-alone Snap-in saffiche. Faites dfiler jusqu loption de scurit Security Configuration and Analysis, et slectionnez-la. Cliquez sur le bouton Add. Cliquez sur le bouton Close. i. Le contrle revient la fentre Add/Remove Snap-in. Cliquez sur le bouton OK.

Procdez comme suit pour faire une inspection de conformit avec la console MMC.

6.2

Chargement dun fichier de stratgie et configuration de lordinateur

On doit disposer des fichiers de stratgie en vigueur pour le systme inspect. Ces fichiers comprennent le fichier de configuration de base et un fichier de stratgie spcifique au rle. Pour les serveurs dimpression bass sur un domaine, on utilise les fichiers CST High Security Member Server Baseline.inf et CST High Security Member File Server.inf . Des fichiers additionnels peuvent tre requis, tout dpendant de votre Active Directory et des fichiers de stratgie dans votre structure.

Conformit avec la stratgie des serveurs : Inspection et application

Mars 2004

143

Non classifi

ITSG pour Windows Server 2003

Pour charger un fichier de stratgie, procdez comme suit : a. b. c. d. e. f. g. h. i. j. k. l. m. n. o. Assurez-vous que la fentre Console1 est active. Cliquez droite sur Security Configuration and Analysis. Slectionnez Open Database. i. La fentre Open Database souvre. Entrez le nom de la base de donnes (p. ex., systemname-date). Cliquez sur le bouton Open. i. La fentre Import Template souvre. Naviguez jusqu lemplacement du fichier de configuration de base et slectionnez-le. Slectionnez Clean this database before importing. Cliquez sur le bouton Open. Cliquez droite sur Security Configuration and Analysis. Cliquez sur Import Template. i. La fentre Import Template souvre. Naviguez jusqu lemplacement du fichier de stratgie bas sur les rles, et slectionnez-le. Cliquez sur le bouton Open. Cliquez droite sur Security Configuration and Analysis. Slectionnez Analyze Computer Now. i. La fentre Perform Analysis souvre. Cliquez sur OK pour accepter lemplacement du fichier-journal et lancer lanalyse.

6.3

Comparaison de la stratgie rsultante et des paramtres de lordinateur


a. b. c. Cliquez sur + pour dvelopper la section Security Configuration and Analysis. Cliquez sur + pour dvelopper la section Account Policies. Cliquez sur Password Policies (le cadre la droite contient les paramtres). REMARQUE : Si un lment dans la base de donnes ne correspond pas au paramtre de lordinateur, un petit x rouge est affich dans la colonne Policy.

144

Mars 2004

Conformit avec la stratgie des serveurs : Inspection et application

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

d. e.

Rptez la procdure ci-dessus pour tous les sous-groupes dans Account Policies, Local Policies et Event Logs. Cliquez sur System Services (les paramtres sont affichs dans le cadre de droite). REMARQUE : Si un lment dans la base de donnes ne correspond pas au paramtre de lordinateur, un petit x rouge est affich dans la colonne System Service. En outre, si les paramtres de scurit ne correspondent pas, le mot Investigate sera affich dans la colonne Permission.

f.

Pour rtablir la configuration, vous navez qu appliquer de nouveau la stratgie. Un serveur de domaine peut tre redmarr pour forcer lapplication de la stratgie. La configuration de stratgie pour un serveur de groupe de travail doit tre applique de nouveau manuellement. Veuillez suivre la procdure dcrite la section 5.1, Stratgie IPSec base sur les rles.

g.

Conformit avec la stratgie des serveurs : Inspection et application

Mars 2004

145

Non classifi

ITSG pour Windows Server 2003

Page laisse intentionnellement en blanc.

146

Mars 2004

Conformit avec la stratgie des serveurs : Inspection et application

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Bibliographie
Auteur : Ben Smith et Brian Komer (avec lquipe de scurit Microsoft) Titre : Microsoft Windows Security Resource Kit diteur : Julie Miller dition : 1st Donnes de publication : diteur : Microsoft Press Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Kurt Dillard, Jose Maldonado et Brad Warrender Titre : Microsoft Solutions for Security: Windows Server 2003 Security Guide diteur : Ried Bannecker, Wendy Cleary, John Cobb, Kelly McMahon et Jon Tobey dition : 1st Donnes de publication : diteur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Kurt Dillard Titre : Microsoft Solutions for Security: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP diteur : Ried Bannecker, John Cobb et Jon Tobey dition : 1st Donnes de publication : diteur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399 Auteur : Microsoft Press Titre : Microsoft Windows Server 2003 Automating and Customizing Installations diteur : Maureen Willams Zimmerman dition : 1st Donnes de publication : diteur : Microsoft Corporation Endroit : One Microsoft Way Redmond, Washington 98052-6399

Bibliographie

Mars 2004

147

Non classifi

ITSG pour Windows Server 2003

Page laisse intentionnellement en blanc.

148

Mars 2004

Bibliographie

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Annexe A
La prsente annexe contient un fichier brut , dont il est fait mention dans ce document. Modifiez le contenu laide dun diteur de texte pour crer manuellement les fichiers dinstallation de stratgie. Sentez-vous libre de couper et coller au besoin.

A.1 Fichier dinstallation automatise de domaine


; ; ; ; ; ; ; [Data] AutoPartition=1 MsDosInitiated=0 UnattendedInstall=Yes [GuiUnattended] AdminPassword="A_Strong_Password" OemSkipWelcome=1 OEMSkipRegional=1 TimeZone=035 AutoLogon=No utiliser avec la configuration de base des serveurs membres du CST, pour installer et configurer un serveur de domaine scuris. Fichier de configuration et dinstallation pour un serveur membre de domaine.

[Identification] DomainAdmin=administrator DomainAdminPassword="A_Strong_Password" JoinDomain="cse-lab.local"

Annexe A

Mars 2004

149

Non classifi

ITSG pour Windows Server 2003

MachineObjectOU="OU=File Servers, OU=Public Servers, DC=cse-lab, DC=local" [LicenseFilePrintData] AutoMode=PerServer AutoUsers=5 [Unattended] OemPreinstall=No UattendedSwitch=Yes Repartition=No TargetPath=Windows UnattendedMode=FullUnattended WaitForReboot=No OemSkipEula=Yes FileSystem=ConvertNTFS [UserData] ComputerName=DServer1 FullName="SEBT" OrgName="CST-CST" ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx" [params.MS_TCPIP.Adapter01] SpecificTo=Adapter01 DisableDynamicUpdate=No EnabelAdapterDomainNameregistration=No DefaultGateway=192.163.0.1 DHCP=Yes DNSDomain=cse-lab.local NetBIOSOptions=1 Subnetmask=255.255.255.0

150

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

[NetOptionalComponents] DHCPServer=0 DNS=0 IAS=0 ILS=0 LDPSVC=0 MacPrint=0 MacSrv=0 Netcm=0 NetMonTools=0 SimpTcp=0 SNMP=0 WINS=0 [Components] AccessOpt=On appsrv_console=Off aspnet=Off AutoUpdate=Off BitsServerExtensionsISAPI=Off BitsServerExtensionManager=Off Calc=On certsrv=On certsrv_client=Off certsrv_server=Off charmap=On chat=Off Clipbook=Off cluster=Off complusnetwork=On

Annexe A

Mars 2004

151

Non classifi

ITSG pour Windows Server 2003

deskpaper=Off dialer=Off fax=Off fp_extensions=Off fp_vdir_deploy=Off freecell=Off hearts=Off hypertrm=Off IEAccess=Off iis_asp=Off iis_common=Off iis_ftp=Off iis_inetmgr=Off iis_internetdataconnector=Off iis_nntp=Off iis_serversidesincludes=Off iis_smpt=Off iis_webadmin=Off iis_webdav=Off iis_www=Off iis_www_vdir_scripts=Off indexsrv_system=Off inetprint=Off licenseserver=Off media_clips=Off media_utopia=Off minesweeper=Off mousepoint=On msmq_ADIntegrated=Off msmq_Core=Off msmq_HTTPSupport=Off

152

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

msmq_LocalStorage=Off msmq_MQDSSService=Off msmq_RoutingSupport=Off msmq_TriggerService=Off msnexplr=Off mswordpad=On netcis=Off netoc=Off objectpkg=Off OEAccess=Off paint=Off pinball=Off Pop3Admin=Off Pop3Service=Off Pop3Srv=Off rec=Off reminst=Off rootautoupdate=Off rstorage=Off solitaire=Off spider=Off templates=Off TerminalServer=Off TSWebClient=Off vol=Off WBEMSNMP=Off WMAccess=Off WMPOCM=Off wms=Off wms_admin_asp=Off wms_admin_mmc=Off

Annexe A

Mars 2004

153

Non classifi

ITSG pour Windows Server 2003

wms_isapi=Off wms_server=Off zonegames=Off

A.2 Fichier dinstallation automatise pour groupe de travail


; ; ; ; ; ; ; ; [Data] AutoPartition=1 MsDosInitiated=0 UnattendedInstall=Yes [GuiUnattended] AdminPassword="A_Strong_Password" OemSkipWelcome=1 OEMSkipRegional=1 TimeZone=35 AutoLogon=No utiliser avec la configuration de base des serveurs membres du CST, pour installer et configurer un serveur de groupe de travail scuris. Fichier de configuration et dinstallation pour un serveur membre de groupe de travail.

[Identification] JoinWorkgroup=cse-lab [LicenseFilePrintData]

154

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

AutoMode=PerServer AutoUsers=5 [Unattended] OemPreinstall=No UattendedSwitch=Yes Repartition=No TargetPath=WINDOWS UnattendMode=FullUnattended WaitForReboot=No OemSkipEula=Yes FileSystem=ConvertNTFS

[UserData] ComputerName=BServer1 FullName="sebt" OrgName="cse-cst" ProductKey=xxxx-xxxx-xxx-xxxx-xxxx

[Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetClients]

Annexe A

Mars 2004

155

Non classifi

ITSG pour Windows Server 2003

MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.0.5 SubnetMask=255.255.255.0 DefaultGateway=192.168.0.1 WINS=No NetBIOSOptions=0 [NetOptionalComponents] DHCPServer=0 DNS=0 IAS=0 ILS=No LPDSVC=0 MacPrint=0 MacSrv=0

156

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

Netcm=0 NetMonTools=0 SimpTcp=0 SNMP=0 WINS=0 [Compoents] AccessOpt=On appsrv_console=Off aspnet=Off AutoUpdate=Off BitsServerExtensionsISAPI=Off BitsServerExtensionManager=Off Calc=On certsrv=On certsrv_client=Off certsrv_server=Off charmap=On chat=Off Clipbook=Off cluster=Off complusnetwork=On deskpaper=Off dialer=Off dtcnetwork=Off fax=Off fp_extensions=Off fp_vdir_deploy=Off freecell=Off hearts=Off hypertrm=Off

Annexe A

Mars 2004

157

Non classifi

ITSG pour Windows Server 2003

IEAccess=Off iis_asp=Off iis_common=Off iis_ftp=Off iis_inetmgr=Off iis_internetdataconnector=Off iis_nntp=Off iis_serversidesincludes=Off iis_smpt=Off iis_webadmin=Off iis_webdav=Off iis_www=Off iis_www_vdir_scripts=Off indexsrv_system=Off inetprint=Off licenseserver=Off media_clips=Off media_utopia=Off minesweeper=Off mousepoint=On msmq_ADIntegrated=Off msmq_Core=Off msmq_HTTPSupport=Off msmq_LocalStorage=Off msmq_MQDSSService=Off msmq_RoutingSupport=Off msmq_TriggerService=Off msnexplr=Off mswordpad=On netcis=Off netoc=Off

158

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

objectpkg=Off OEAccess=Off paint=Off pinball=Off Pop3Admin=Off Pop3Service=Off Pop3Srv=Off rec=Off reminst=Off rootautoupdate=Off rstorage=Off solitaire=Off spider=Off templates=Off TerminalServer=Off TSWebClient=Off vol=Off WBEMSNMP=Off WMAccess=Off WMPOCM=Off wms=Off wms_admin_asp=Off wms_admin_mmc=Off wms_isapi=Off wms_server=Off zonegames=Off

Annexe A

Mars 2004

159

Non classifi

ITSG pour Windows Server 2003

A.3 Fichier CSE High Security Member Server Baseline.inf


[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [Profile Description] Description= Modle de base pour tous les serveurs membres, dans un environnement haute scurit. [System Access] MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 10 ResetLockoutCount = 15 LockoutDuration = 15 ForceLogoffWhenHourExpire = 1 NewAdministratorName = "jeanuntel" NewGuestName = "jeanneuntel" ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableAdminAccount = 0 EnableGuestAccount = 0 [System Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1

160

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

[Security Log] MaximumLogSize = 81920 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Event Audit] AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 2 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 3 AuditAccountLogon = 3 [Registry Values] machine\system\software\microsoft\windows nt\currentversion\winlogon\screensavergraceperiod=4,0 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi ons=4,2 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1 machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000 machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0
Annexe A Mars 2004 161

Non classifi

ITSG pour Windows Server 2003

machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2 machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2 machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1 machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0 machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30 machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0 machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1 machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu re=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur e=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo rd=4,0 machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4, 1 machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15 machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90 machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20 machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000 machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1 machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10

162

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

machine\system\currentcontrolset\control\session manager\subsystems\optional=7, machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1 machine\system\currentcontrolset\control\session manager\protectionmode=4,1 machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown=4,1 machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine= 7, machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,1 machine\system\currentcontrolset\control\lsa\submitcontrol=4,0 machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1 machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1 machine\system\currentcontrolset\control\lsa\nolmhash=4,1 machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248 machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5 machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1 machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0 machine\system\currentcontrolset\control\lsa\forceguest=4,0 machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1 machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0 machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1 machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1 machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0 machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1 machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0 machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2 machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0

Annexe A

Mars 2004

163

Non classifi

ITSG pour Windows Server 2003

machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0 machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7, This system is restricted to authorized users. Individuals attempting unauthorized access will be prosecuted. If unauthorized, terminate access now! Clicking on OK indicates your acceptance of the information in the background./Ce systme est restreint aux seuls utilisateurs autoriss. Les personnes qui tentent daccder de manire non autorise feront lobjet de poursuites. Si vous ntes pas autoris accder ce systme, veuillez le quitter maintenant. En cliquant sur OK, vous indiquez votre acceptation de linformation affiche en arrire-plan. machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1," IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIE . machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4 ,1 machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0 machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25 5 machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1 machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14 machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1 machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0 machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0 machine\software\microsoft\driver signing\policy=3,1 machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServer= 4, 0 machine\Software\Microsoft\OLE\EnableDCOM=4, 0 [Privilege Rights] seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 seauditprivilege = *S-1-5-19,*S-1-5-20 sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544 sebatchlogonright =
164 Mars 2004 Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544 secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544 secreatepagefileprivilege = *S-1-5-32-544 secreatepermanentprivilege = secreatetokenprivilege = sedebugprivilege = sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7 sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenynetworklogonright = ,*S-1-5-32-546,*S-1-5-7 sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7,*S-1-5-32-544 seenabledelegationprivilege = seimpersonateprivilege = *S-1-5-19,*S-1-5-20 seincreasebasepriorityprivilege = *S-1-5-32-544 seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 seloaddriverprivilege = *S-1-5-32-544 selockmemoryprivilege = *S-1-5-32-544 semachineaccountprivilege = *S-1-5-32-544 semanagevolumeprivilege = *S-1-5-32-544 senetworklogonright = *S-1-5-9,*S-1-5-11,*S-1-5-32-544 seprofilesingleprocessprivilege = *S-1-5-32-544 seremoteinteractivelogonright = *S-1-5-32-544 seremoteshutdownprivilege = serestoreprivilege = *S-1-5-32-544 sesecurityprivilege = *S-1-5-32-544 seservicelogonright = *S-1-5-20,*S-1-5-19 seshutdownprivilege = *S-1-5-32-544 sesyncagentprivilege = sesystemenvironmentprivilege = *S-1-5-32-544 sesystemprofileprivilege = *S-1-5-32-544

Annexe A

Mars 2004

165

Non classifi

ITSG pour Windows Server 2003

sesystemtimeprivilege = *S-1-5-32-544 setakeownershipprivilege = *S-1-5-32-544 setcbprivilege = seundockprivilege = *S-1-5-32-544 [Service General Setting] "6to4", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "alerter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "alg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "appmgmt", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "appmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "appmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "aspnet_state", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "audiosrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "binlsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "bits", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR

166

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "certsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "cisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "clipsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "clussvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "comsysapp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "corrtsvc", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "cryptsvc", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dfs", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "dhcp", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dhcpserver", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

167

Non classifi

ITSG pour Windows Server 2003

"dmadmin", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dmserver", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "dns", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "dnscache", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "elementmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "ersvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "eventlog", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "eventsystem", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "fastuserswitchingcompatibility", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "fax", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "groveler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)"

168

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"helpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "hidserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "httpfilter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "ias", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "iasjet", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "iisadmin", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "imapiservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR CWDWO;;;WD)" "irmon", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "ismserv", 4, "D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT LOCRSDRCWDWO;;;WD)" "kdc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lanmanserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

169

Non classifi

ITSG pour Windows Server 2003

"lanmanworkstation", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "licenseservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lmhosts", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lpdsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "macfile", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "macprint", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "messenger", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mnmsrvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mqds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mqtgsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msdtc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msftpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msiserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

170

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"msmq", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssql$uddi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssql$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssqlserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssqlserveradhelper", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netdde", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netddedsdm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netlogon", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netman", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nla", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nntpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ntfrs", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ntlmssp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

171

Non classifi

ITSG pour Windows Server 2003

"ntmssvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nwcworkstation", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nwsapagent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "plugplay", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "policyagent", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "pop3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "protectedstorage", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rasauto", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rasman", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rdsessmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remote_storage_server", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remote_storage_user_link", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remoteaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

172

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"remoteregistry", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rpclocator", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rpcss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rsopprov", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sacsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "saldm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "samss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "scardsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "schedule", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "seclogon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sens", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sharedaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "shellhwdetection", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

173

Non classifi

ITSG pour Windows Server 2003

"simptcp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "smtpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "snmp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "snmptrap", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sptimer", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sqlagent$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sqlserveragent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "srvcsurg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "stisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "swprv", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sysmonlog", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tapisrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

174

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"termservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "termservlicensing", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tftpd", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "themes", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tlntsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "trksvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "trkwks", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tssdis", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "uploadmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ups", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "vds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "vss", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "w32time", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

175

Non classifi

ITSG pour Windows Server 2003

"w3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "webclient", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "windowssystemresourcemanager", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winhttpautoproxysvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winmgmt", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wins", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winsip", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmdmpmsn", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmiapsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wuauserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wzcsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

176

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

A.4 Fichier CSE High Security Workgroup Server Baseline.inf


[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [Profile Description] Description=Modle de base pour tous les serveurs de groupe de travail, dans un environnement haute scurit. [System Access] MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 LockoutBadCount = 10 ResetLockoutCount = 15 LockoutDuration = 15 ForceLogoffWhenHourExpire = 1 NewAdministratorName = "jeanuntel" NewGuestName = "jeanneuntel" ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableAdminAccount = 0 EnableGuestAccount = 0 [System Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Security Log]
Annexe A Mars 2004 177

Non classifi

ITSG pour Windows Server 2003

MaximumLogSize = 81920 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Application Log] MaximumLogSize = 16384 AuditLogRetentionPeriod = 2 RestrictGuestAccess = 1 [Event Audit] AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 2 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 0 AuditDSAccess = 3 AuditAccountLogon = 3 [Registry Values] machine\system\software\microsoft\windows nt\currentversion\winlogon\screensavergraceperiod=4,0 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi ons=4,2 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100 machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80 machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1 machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1 machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000 machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0 machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0
178 Mars 2004 Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0 machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2 machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2 machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1 machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1 machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0 machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30 machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0 machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1 machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu re=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur e=4,1 machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo rd=4,0 machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4, 1 machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7, machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7, machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1 machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15 machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90 machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20 machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000 machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1 machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10 machine\system\currentcontrolset\control\session manager\subsystems\optional=7,

Annexe A

Mars 2004

179

Non classifi

ITSG pour Windows Server 2003

machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1 machine\system\currentcontrolset\control\session manager\protectionmode=4,1 machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown=4,1 machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7, machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine= 7, machine\system\currentcontrolset\control\print\providers\lanman print services\servers\addprinterdrivers=4,1 machine\system\currentcontrolset\control\lsa\submitcontrol=4,0 machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1 machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1 machine\system\currentcontrolset\control\lsa\nolmhash=4,1 machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248 machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248 machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5 machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1 machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0 machine\system\currentcontrolset\control\lsa\forceguest=4,0 machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1 machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0 machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1 machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1 machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0 machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1 machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0 machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2 machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0 machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0

180

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7,Ce systme est restreint aux seuls utilisateurs autoriss. machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1,"IT IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIE." machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4 ,1 machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0 machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25 5 machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1 machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14 machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1 machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1" machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0" machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1" machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0 machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0 machine\software\microsoft\driver signing\policy=3,1 machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServer= 4, 0 machine\Software\Microsoft\OLE\EnableDCOM=4, 0 [Privilege Rights] seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20 seauditprivilege = *S-1-5-19,*S-1-5-20 sebackupprivilege = *S-1-5-32-544,*S-1-5-32-551 sebatchlogonright = sechangenotifyprivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-11 secreateglobalprivilege = *S-1-5-32-544,*S-1-5-6 secreatepagefileprivilege = *S-1-5-32-544 secreatepermanentprivilege =

Annexe A

Mars 2004

181

Non classifi

ITSG pour Windows Server 2003

secreatetokenprivilege = sedebugprivilege = sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7 sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenynetworklogonright = *S-1-5-7,*S-1-5-32-546 sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7 sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7 seenabledelegationprivilege = seimpersonateprivilege = *S-1-5-19,*S-1-5-20 seincreasebasepriorityprivilege = *S-1-5-32-544 seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20 seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544 seloaddriverprivilege = *S-1-5-32-544 selockmemoryprivilege = *S-1-5-32-544 semachineaccountprivilege = *S-1-5-32-544 semanagevolumeprivilege = *S-1-5-32-544 senetworklogonright = *S-1-5-32-544,*S-1-5-11 seprofilesingleprocessprivilege = *S-1-5-32-544 seremoteinteractivelogonright = *S-1-5-32-544 seremoteshutdownprivilege = serestoreprivilege = *S-1-5-32-544 sesecurityprivilege = *S-1-5-32-544 seservicelogonright = *S-1-5-20,*S-1-5-19 seshutdownprivilege = *S-1-5-32-544 sesyncagentprivilege = sesystemenvironmentprivilege = *S-1-5-32-544 sesystemprofileprivilege = *S-1-5-32-544 sesystemtimeprivilege = *S-1-5-32-544 setakeownershipprivilege = *S-1-5-32-544 setcbprivilege = seundockprivilege = *S-1-5-32-544

182

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

[Service General Setting] "6to4", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "alerter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "alg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "appmgmt", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "appmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "appmon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "aspnet_state", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "audiosrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "binlsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "bits", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "certsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "cisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 183

Non classifi

ITSG pour Windows Server 2003

"clipsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "clussvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "comsysapp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "corrtsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "cryptsvc", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dfs", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dhcp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dhcpserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dmadmin", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dmserver", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dns", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "dnscache", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "elementmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

184

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"ersvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "eventlog", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "eventsystem", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "fastuserswitchingcompatibility", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "fax", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "groveler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "helpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "hidserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "httpfilter", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ias", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "iasjet", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "iisadmin", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "imapiservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

185

Non classifi

ITSG pour Windows Server 2003

"irmon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ismserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "kdc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lanmanserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lanmanworkstation", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "licenseservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lmhosts", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "lpdsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "macfile", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "macprint", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "messenger", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mnmsrvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mqds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

186

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"mqtgsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msdtc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msftpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msiserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "msmq", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssql$uddi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssql$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssqlserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "mssqlserveradhelper", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netdde", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netddedsdm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netlogon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "netman", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

187

Non classifi

ITSG pour Windows Server 2003

"nla", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nntpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ntfrs", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ntlmssp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "ntmssvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nwcworkstation", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "nwsapagent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "plugplay", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "policyagent", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "pop3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "protectedstorage", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rasauto", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rasman", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

188

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"rdsessmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remote_storage_server", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remote_storage_user_link", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remoteaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "remoteregistry", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rpclocator", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rpcss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "rsopprov", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sacsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "saldm", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "samss", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "scardsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "schedule", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

189

Non classifi

ITSG pour Windows Server 2003

"seclogon", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sens", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sharedaccess", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "shellhwdetection", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "simptcp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "smtpsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "snmp", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "snmptrap", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sptimer", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sqlagent$webdb", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sqlserveragent", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "srvcsurg", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

190

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"stisvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "swprv", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "sysmonlog", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tapisrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "termservice", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "termservlicensing", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tftpd", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "themes", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tlntsvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "trksvr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "trkwks", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "tssdis", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "uploadmgr", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

Annexe A

Mars 2004

191

Non classifi

ITSG pour Windows Server 2003

"ups", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "vds", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "vss", 3, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "w32time", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "w3svc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "webclient", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "windowssystemresourcemanager", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winhttpautoproxysvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winmgmt", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wins", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "winsip", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmdmpmsn", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmi", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

192

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

"wmiapsrv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wmserver", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wuauserv", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "wzcsvc", 4, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

A.5 Fichier CSE High Security Member File Server.inf


; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: ; Template Version: ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 Original April 23, 2003 High Security - Bastion Host.inf 1.0

[Unicode] Unicode=yes

Annexe A

Mars 2004

193

Non classifi

ITSG pour Windows Server 2003

[Version] signature="$CHICAGO$" Revision=1

[Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

A.6 Fichier CSE High Security Member Print Server.inf


; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: ; Template Version: ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Print Server Role settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 Original April 23, 2003 High Security - Print Server.inf 1.0

[Profile Description] Paramtres additionnels pour un serveur dimpression dans un environnement haute scurit.
194 Mars 2004 Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [Registry Values] machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers [Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

A.7 Fichier CSE High Security Workgroup File Server.inf


; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: ; Template Version: ; High Security - Bastion Host.inf 1.0

Annexe A

Mars 2004

195

Non classifi

ITSG pour Windows Server 2003

;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 Original April 23, 2003

[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1

[Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4

[Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

196

Mars 2004

Annexe A

Scurit de base recommande pour Windows Server 2003 (ITSG-20)

A.8 Fichier CSE High Security Workgroup Print Server.inf


; (c) Microsoft Corporation 1997-2003 ; ; Security Configuration Template for Security Configuration Editor ; ; Template Name: ; Template Version: ; ;This Security Configuration Template provides settings to support the ;Windows Server 2003 Bastion Host settings for the Windows ;Server 2003 Security Guide. Please read the entire guide before using ;this template. ; ; Release History ; 0001 Original April 23, 2003 High Security - Bastion Host.inf 1.0

[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1

[Registry Values] machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4 machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof tware\Microsoft\Windows NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers

Annexe A

Mars 2004

197

Non classifi

ITSG pour Windows Server 2003

[Service General Setting] "lanmanserver", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "browser", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" "spooler", 2, "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

198

Mars 2004

Annexe A