Station de Travail

SÉCURISATION DU SI
BUREAUTIQUE
DE L'ARMÉE DE TERRE
GUIDE DE PARAMETRAGE
Manuel Windows NT 4.0

Workstation Station de travail
sous Windows NT 4.0 Workstation
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation
préalable.
Manuel Windows NT 4.0 Workstation Station de travail
SUIVI DU DOCUMENT
VERSION DATE MODIFICATIONS NOM
1 23/08/2000 Validation du document LCL PHILIPPOT

CBA COLONGES
CEN BOURGES
SUIVI DU DOCUMENT
Le 06/06/2000 version 1.0 Page i

PAGES DESCRIPTION DES MODIFICATIONS INTRODUITES

MODIFIÉES DEPUIS LE DOCUMENT PRÉCÉDENT
Le 06/06/2000 version 1.0 Page ii

Sommaire
Sommaire.........................................................................................iii
1. Introduction...................................................................................2
1.1 Objet...............................................................................................................2
1.2 Objectifs recherchés ........................................................................................2
1.3 Structure du document....................................................................................2
1.4 Recommandations, symboles et conventions...................................................3
1.4.1 Le niveau d’exigence.................................................................................................3
1.4.2 Le niveau de gêne..................................................................................................... 3
1.4.3 Conventions de signes et de polices .......................................................................... 3
1.5 Considérations générales ................................................................................4
1.5.1 Contexte de référence...............................................................................................4
1.5.2 Configuration matérielle et logicielle.........................................................................5
1.5.3 Plan d'adressage et plan de nommage......................................................................5
1.5.4 Personnes concernées, rôles et responsabilités ........................................................ 5
2. Consignes de sécurité.....................................................................6
2.1 Protection de la configuration matérielle du poste...........................................7
2.1.1 Protection physique du poste....................................................................................7
2.1.2 Protection de la configuration matérielle................................................................... 8
2.2 Protection de l’accès local au poste...............................................................10
2.2.1 Protection du compte utilisateur ............................................................................. 11
2.2.2 Protection du compte Administrateur local............................................................. 14
2.2.3 Protection du compte "Invité" local......................................................................... 15
2.2.4 Protéger le compte en cours de session.................................................................. 15
2.2.5 La confidentialité..................................................................................................... 16
2.3 Protection du poste vis à vis des accès distants.............................................18
2.3.1 Protection vis à vis des accès hors réseau local (modem).......................................18
2.3.2 Protection vis à vis des accès réseau...................................................................... 20
2.4 Protection des ressources locales..................................................................24
2.4.1 Partitions du disque................................................................................................. 24
2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles .......................24
2.5 Points divers.................................................................................................25
2.6 Protéger les paramètres systèmes .................................................................28
2.6.1 Protéger les paramètres systèmes.......................................................................... 28
2.6.2 Restriction des modifications des pilotes................................................................ 30
2.6.3 Protection de l'intégrité des données et des applications ........................................31
2.7 Audit.............................................................................................................32
2.7.1 Date et heure.......................................................................................................... 32
2.7.2 Protection de l’audit................................................................................................ 32
2.7.3 Événements de sécurité des audits ......................................................................... 34
2.7.4 Auto surveillance par l’utilisateur............................................................................ 35
2.8 Protection des applications bureautiques .......................................................36
2.8.1 Protection des applications du Pack Office pro 97...................................................36
2.8.2 Protection « d'Internet Explorer V 4 ou V 5 »...........................................................38
2.8.3 Protection de « Outlook Express »........................................................................... 39
2.8.4 Protection de « Winzip V 6.3 »................................................................................. 39
2.8.5 Protection de « Netscape Communicator »..............................................................40
2.8.6 Protection de « F-Secure Anti-Virus »...................................................................... 41
3. Mise en œuvre..............................................................................42
3.1 Protection de la configuration matérielle du poste.........................................42
3.1.1 Protection physique du poste.................................................................................. 42
3.1.2 Configuration du SETUP du BIOS............................................................................. 42
3.1.3 Configuration du disque dur local............................................................................ 43
3.2 Configuration de Windows NT 4.0 Works Station............................................46
3.2.1 Les Services Pack.................................................................................................... 46
3.2.2 Les services............................................................................................................. 55
3.2.3 Remarques sur les services ..................................................................................... 61
3.2.4 Options de configuration de Windows NT................................................................ 61
Le 06/06/2000 version 1.0 Page iii

3.3 Définition des comptes ..................................................................................65

3.3.1 Définition des comptes ouverts sur le domaine.......................................................66
3.3.2 Définition des comptes ouverts sur une station...................................................... 74
3.4 Utilisation des registres .................................................................................76
3.4.1 Sécurisation des fichiers de registres ...................................................................... 79
3.4.2 Modification des registres........................................................................................ 80
3.4.3 Sécurisation des registres....................................................................................... 82
3.5 Configuration des permissions d'accès (partage et sécurité) aux ressources
locales................................................................................................................86
3.6 Configuration de l’audit.................................................................................86
3.6.1 Les événements de l’audit....................................................................................... 87
3.6.2 La gestion des journaux d’audits ............................................................................. 94
3.7 Configuration des applications.......................................................................97
3.7.1 Les registres des applications................................................................................. 97
3.7.2 Les documents antérieurs ....................................................................................... 97
3.7.3 Les répertoires de travail......................................................................................... 98
3.7.4 Les protections contre les virus de macros ............................................................. 99
3.7.5 Paramétrage d’Internet Explorer........................................................................... 100
3.7.6 Paramétrage de Communicator V4........................................................................ 101
3.7.7 Protection contre les virus (F-Secure).................................................................... 104
A. Schéma d’un réseau Windows NT 4.0..........................................107
A. Permissions/Droits et Sécurité/Partage........................................109
A.1 Les Permissions NTFS..................................................................................109
A.2 Les permissions d’un partage......................................................................119
A.3 Exemples.....................................................................................................120
A.3.1 Partage d’une imprimante locale.......................................................................... 120
A.3.2 Partage et sécurité sur des fichiers et répertoires .................................................120
B. Les profils...................................................................................123
Le 06/06/2000 version 1.0 Page iv

SÉCURISATION DU SI BUREAUTIQUE
DE L'ARMÉE DE TERRE
Manuel Windows NT 4.0 Workstation Station

de travail
Le 06/06/2000 version 1.0 Page 1

1. INTRODUCTION
1.1 Objet
Ce document présente les directives de sécurisation d'une station de travail NT cliente
connectée à un réseau.
Les caractéristiques spécifiques aux serveurs sont traitées dans d'autres documents.
Cependant certains points de sécurité sont mis en œuvre au niveau des serveurs (le
Contrôleur Principal de Domaine et le Serveur de Fichiers et d’Impression). Citons pour
exemple la limitation de l’horaire pour l’ouverture d’une session sur le poste de travail.
Ces points de sécurité seront traités dans ce document en précisant le nom du serveur
en caractères gras et soulignés (CPD).
1.2 Objectifs recherchés

L'objectif est de fournir les directives standardisées de configuration des paramètres de
sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels
supplémentaires.
Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la
bureautique de l'armée de Terre.
Ce document ne concerne que le paramétrage de la sécurité d'une station de travail
destinée à un seul utilisateur.
1.3 Structure du document

Ce document comprend deux parties.
La première partie rassemble l'ensemble des points de sécurité (actions et valeur des
paramètres) qui doivent être pris en compte.
La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes
définies précédemment.
La correspondance entre les points de sécurité (consignes) et les fiches de mise en
œuvre est réalisée par un référencement croisé.
La dernière partie contient une annexe décrivant les différences entre les permissions
associées au partage et celles disponibles par la sécurité.

1.4 Recommandations, symboles et conventions

Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et
par le niveau de gêne sur l'utilisation du poste.
1.4.1 Le niveau d’exigence
Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité.
Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire de
Obligatoire le positionner à la valeur recommandée afin de garantir la sécurité du
système.
Le paramètre affecté devrait être réglé à la valeur recommandée, mais ce
Obligatoire réglage peut rendre inopérant certains services déjà existants. C'est au RSSI
sauf (Responsable Sécurité du Système d’Information) de juger si les
contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non par
technique d'autres moyens. Dés disparition des logiciels/matériels générant le conflit,
le paramètre doit être réglé conformément aux préconisations de ce guide.
Niveau le plus faible correspondant à une préconisation. Le paramètre peut
dépendre de la politique de sécurité locale mise en place. On indiquera
Préconisé
simplement une valeur minimale à respecter pour garantir un niveau de
sécurité satisfaisant.
1.4.2 Le niveau de gêne
Le niveau de gêne occasionnée se décline en trois niveaux :
 Le paramétrage n'introduit pas de gêne à l'exploitation du poste.
 Le paramétrage est susceptible de gêner faiblement l'utilisateur lors

d'opérations particulières identifiées mais peu fréquentes.
 Le paramétrage est susceptible de gêner l'utilisateur lors d'opérations

courantes identifiées ou non.
1.4.3 Conventions de signes et de polices
 Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème
consigne du 10ème groupe de consignes de ce manuel.
Gras Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une
mise en œuvre.
Souligné Indique une mise en garde ou une restriction importante.

1.5 Considérations générales

Les hypothèses suivantes sont faites sur la configuration matérielle et sur les
responsabilités.
1.5.1 Contexte de référence
L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure
suivante.
Locaux à accès contrôlé

Serveur NT 4.0 Serveur NT 4.0
Contrôleur Principal Contrôleur Secondaire
de Dom aine Serveur de fichiers de Dom aine
et serveur DNS (primaire) et d ’impressions et serveur DNS (secondaire)
(NT 4.0 ou
NETWARE ou
SAMBA/LINUX)
Réseau T CP/IP sur ETHERNET
Section 1 Section 2
Poste Client NT 4.0

Workstation
Poste Client NT 4.0 Imprimante partagée
Workstation
Imprimante partagée Imprimante
dédiée
Poste Client NT 4.0

Poste Client NT 4.0
Workstation
Workstation
Poste Client NT 4.0
Workstation
Figure 1 Architecture de référence pour un site
Hypothèses retenues pour un site donné :

 Le réseau local est un réseau ethernet.
 Le protocole réseau est IP V4 et IPX.
 Les postes individuels de travail sont des machines récentes à base de processeur
Intel avec le système d'exploitation "Windows NT 4.0 Workstation".
 Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0).

 Ce serveur assure également la fonction de serveur de noms IP (DNS).

 Il y a un serveur de fichiers et d'impression. Ce serveur est :
• soit un serveur NT 4.0 (SP 5),
• soit un serveur Netware 4.11 (SP 7),
• soit un serveur SAMBA mis en œuvre sous UNIX.
 Les imprimantes partagées sont directement raccordées au réseau.
 Certaines imprimantes (dédiées) sont directement rattachées au poste de travail
et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un
commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du
réseau.
 Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur
Principal de Domaine, la configuration de ce serveur est hors du champ de
l'étude).
1.5.2 Configuration matérielle et logicielle
Le poste de travail à sécuriser est supposé être dans l'état suivant :

 Windows NT 4.0 est installé sur toutes les stations de travail.
 Le système d'exploitation Windows NT 4.0 a été installé et mis à jour avec le SP 5.
 Les composants réseau ont été installés lors de l'installation de Windows NT.
 La configuration logicielle concerne les applications suivantes :
• Pack Office pro 97 ;
• Antivirus de l’armée de terre en réseau ;
• Winzip V 6.3 ;
• Netscape Communicator V 4 ;
• Internet Explorer V 4 ou V 5 ;
• Outlook Express.
1.5.3 Plan d'adressage et plan de nommage
Le plan d'adressage doit être conforme au plan « IP Défense ».
1.5.4 Personnes concernées, rôles et responsabilités
On retient 3 rôles :
 L’utilisateur du poste de travail
Il ne doit pas avoir accès aux paramètres de configuration système de
son poste de travail. Il ne doit pas être en mesure d’installer un autre
système d’exploitation. Il est responsable des informations qu’il produit et
de celles auxquelles il accède. Il doit être sensibilisé à la démarche de
sécurité notamment pour bien choisir ses mots de passe et les changer
régulièrement.
 L'administrateur local
L'administrateur local du poste de travail est responsable de la
configuration initiale du poste de travail et de ses évolutions.
 Le RSSI
Responsable de la politique SSI, de son application et de son contrôle.

2. CONSIGNES DE SÉCURITÉ
Les consignes de sécurité sont rassemblées par thèmes :
1. Protection physique du poste.
Il s’agit des consignes relatives au SETUP du BIOS et aux équipements
physiques.
2. Protection de l’accès local au poste.
Il s’agit de la protection des comptes présents sur le poste.
3. Protection du poste vis à vis des accès distants.
Il s’agit des consignes interdisant l’accès au poste via un modem.
4. Protection des ressources locales.
Il s’agit des consignes relatives à la gestion des ressources du poste.
5. Points divers.
Regroupe des consignes de sécurité supplémentaires.
6. Protéger les paramètres systèmes.
Concerne les consignes de protection de la configuration d’un système vis à
vis d’un utilisateur.
7. Audit.
Concerne les événements figurant dans l’audit et les consignes d’utilisation
des journaux.
8. Protection des applications bureautiques.
Il s’agit des consignes de sécurité particulières prises pour les applications
bureautiques.

2.1 Protection de la configuration matérielle du poste
2.1.1 Protection physique du poste
Groupe de consignes : 1
cs 1-1 : Protéger l’intégrité physique du poste.
Niveau d'exigence :
i Niveau de gêne : 
Objectif : Rendre impossible le remplacement et le vol et protéger la
configuration matérielle du poste en empêchant l'installation de
composants physiques, (disque, carte réseau, carte modem, carte
d'entrées/sorties, etc.).
Remarque : L’ordinateur doit être équipé d’un antivol (un câble par exemple). Il
doit relier le support de l’ordinateur, à l’unité centrale ainsi qu’au capot
de l’ordinateur. Il empêchera le déplacement de l’ordinateur et l’accès à
ses composants internes (cartes, disques durs, etc.). Les clés de ces
antivols seront sous la responsabilité de l’administrateur système. Il sera
le seul à pouvoir déplacer un ordinateur et à modifier sa configuration
physique interne.
Cet antivol permet de garantir l’homogénéité du parc informatique et
limite toutes tentatives de piratage par vol, par ajout d’un disque dur
supplémentaire, par raccordement de l’ordinateur à un réseau externe
via un modem et par effacement des données présentes en mémoire non
volatile (mot de passe BIOS en particulier).
Mise en œuvre : 3.1.1 Protection physique du poste
cs 1-2 : Audit de l’intégrité physique du poste.
Niveau d'exigence : Niveau de gêne : 

Objectif : Alerter visuellement les utilisateurs du domaine, d’une tentative
d’attaque de la configuration matérielle du poste ou de sa mémoire non
volatile.
Remarque : Chaque station de travail doit posséder des étiquettes
d’inviolabilité. Elles seront apposées à cheval sur les jonctions du capot et
du boîtier (imposant leur déchirure lors de l’ouverture de l’unité centrale).
Deux étiquettes seront collées au minimum. L’une sur la façade et l’autre
à l’arrière de la station. Les deux étiquettes seront contrôlées lors de la
vérification visuelle hebdomadaire. Certains ordinateurs peuvent imposer
l’utilisation d’un grand nombre d’étiquettes (les tours géantes). Il faudra
veiller à ce qu’une étiquette au moins soit déchirée lors de l’ouverture du
capot (Attention : le panneau peut être tordu, l’étiquette est collée sur le
capot et une pièce détachable du boîtier, etc.).
Mise en œuvre : 3.1.1 Protection physique du poste

2.1.2 Protection de la configuration matérielle
cs 2-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.

Objectif : Protéger la configuration des paramètres de bas niveau.
Remarque : Le mot de passe ne doit pas être le même sur toutes les machines
d’un site. Limiter la réutilisation d’un mot de passe à une grappe de
postes (environ 10).
Le mot de passe doit être modifié lors du changement d’administrateur et
périodiquement (une fois par an).
A priori, il n’est pas nécessaire de fixer un « user password » car ce
dernier serait demandé de façon systématique à l’utilisateur qui souhaite
utiliser le poste de travail lors du démarrage de la machine avant le
chargement du système d’exploitation.
Le fait que le BIOS soit présent en mémoire flash permet de le mettre à
jour, voire de le charger à partir d’un fichier sur disquette. Selon le type
de carte mère, le flashage du BIOS se fait avec ou sans positionnement
de cavaliers sur la carte.
Par ailleurs, il existe un mot de passe « universel » par fournisseur de
BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ».
Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué
quand la vérification de la somme de contrôle des paramètres du BIOS
est erronée (erreur sur checkSum).
En conséquence, les protections envisageables par l’intermédiaire des
options du BIOS doivent être considérées comme des mesures
contournables qui sont seulement destinées à empêcher des maladresses
de la part d’utilisateurs peu expérimentés ou de pirates occasionnels.
Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS
cs 2-2 : N’autoriser que le périphérique C dans la séquence de Boot.

Objectif : Ceci interdit d’utiliser le poste de travail en contournant les
protections de Windows NT par l’installation d’un autre système
d’exploitation présent sur une autre partition ou un support amovible
(disquette ou CD-ROM, etc.).
Remarque : Le disque dur de l’ordinateur contenant le système doit être
déclaré comme maître et connecté sur le port IDE 0 (premier port IDE de
la carte mère) afin d’éviter l’implantation d’un système multi-boots sur un
second disque dur.
Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS,
3.1.3 Configuration du disque dur local

cs 2-3 : Interdire l’utilisation des ports série.
Niveau d'exigence :
! Niveau de gêne : 
Objectif : Cette interdiction empêchera l’utilisation d’un modem (raccordé
sur le port série) qui serait susceptible d’ouvrir une brèche dans
l’architecture de sécurité du site (cas d’intrusion à distance).
Rappelons que rien n’empêche l’administrateur système de visiter les
locaux pour s’assurer visuellement de l’absence de modems.
Remarque : Cette consigne suppose que la souris est raccordée via un port
spécifique (port souris).
cs 2-4 : Inhiber les ports USB.
Niveau d'exigence :
Objectif : Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB)
qui serait susceptible d’ouvrir une brèche dans l’architecture de sécurité
du site (cas d’intrusion à distance).
Remarque : Cependant la future généralisation des claviers et des souris USB,
et la disparition progressive des ports spécifiques (clavier et souris)
rendront impossible cette restriction.

2.2 Protection de l’accès local au poste

cs 3-1 : Présentation d’un message de mise en garde à l’ouverture d’une session.

Objectif : Message de mise en garde à destination des tiers non habilités.
Remarque : Permet de présenter un message de mise en garde à l’écran juste
après l’ouverture d’une session. Deux clés de registre réalisent cette
option et devront être protégées ainsi que les fichiers de ces registres.
Paramètres : le registre, les clés et les valeurs sont les suivants :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current
Version\Winlogon\LegalNoticeCaption
Mettre la valeur : « Station de travail de l’Armée de terre »
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current
Version\Winlogon\LegalNoticeText
Mette la valeur : « Vous devez être autorisé(e) pour poursuivre ! »
Mise en œuvre : 3.2.4 Options de configuration de Windows NT,
3.4 Utilisation des registres
cs 3-2 : Présentation d’un message de mise en garde pendant la veille du poste.

Remarque : Ce message de mise en garde est visible à l’écran lorsque
l’ordinateur est en veille. Lors de l’éveil de la station, l’utilisateur devra se
connecter et entrer son mot de passe. Ce message sert uniquement à
éviter qu’une personne non habilitée utilise un ordinateur et prétende
ignorer son caractère sensible.
Paramètres : Démarrer  Paramètres  Panneau de configuration
 Affichage  Écran de veille
Sous la rubrique écran de veille : Message
Paramètres « Message de l’armée de terre »
Choisir la vitesse la plus lente, un fond et une police de caractères
adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran).
Protéger en écriture les clés, le programme et les fichiers des registres
correspondants :
Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité ,
Le 06/06/2000 version 1.0 Page 10

cs 3-3 : Présentation d’un message de mise en garde sur le poste.

Remarque : Une étiquette est collée sur l’ordinateur et de manière très visible
(sur le cadre de l’écran en général, ainsi qu’au-dessus des lecteurs de
disquettes et du CD-ROM). Elle informe l’utilisateur du degré de
sensibilité de la station et de son niveau de confidentialité.
Mise en œuvre : 3.1 Protection de la configuration matérielle du poste
2.2.1 Protection du compte utilisateur
Les utilisateurs doivent être sensibilisés à la démarche de sécurité afin qu'ils acceptent
les contraintes que les paramètres suivants imposent (changement tous les 60 jours, 6
mots de passe différents pour l'année). Cette fréquence et cette diversité relativement
élevées peuvent conduire les utilisateurs à noter leur mot de passe sur un papier rangé à
proximité de leur poste.
cs 4-1 : Fixer la durée maximale du mot de passe à 60 jours.

Objectif : Modifier le mot de passe fréquemment pour ne pas favoriser les
intrusions.
Remarque : Il est souvent difficile de trouver et de mémoriser les mots de
passe. La fréquence de changement des mots de passe et leur diversité
peuvent conduire les utilisateurs à noter leur mot de passe sur un papier
rangé à proximité de leur poste. Deux solutions simples pour élaborer un
mot de passe, consistent :
 Prendre les initiales d’une phrase : Les deux zèbres vont dans la savane
immense donne par exemple L2zvdlsl. Éviter les titres de films ou de
livres trop connus (le prix Goncourt du moment) et les phrases
commençant par C’est … (deux lettres du mot de passe sont identifiées).
 Utiliser un mot coupé par des signes : « trapèze » donne tra\pè#ze.
Beaucoup de logiciels de découverte des mots de passe utilisent des
algorithmes de séquencement des mots des dictionnaires français et
étrangers. Une rotation à droite ou à gauche d’un ou plusieurs caractères
(a\pè#zetr) améliore la robustesse du mot de passe.
Mise en œuvre : 3.3.1.2 Stratégie de compte (CPD),
Le 06/06/2000 version 1.0 Page 11

cs 4-2 : Interdire la réutilisation des 6 derniers mots de passe.

Objectif : Ne pas permettre le contournement de la consigne précédente.
Mise en œuvre : 3.3.1.2 Stratégie de compte (CPD)
cs 4-3 : Fixer la durée minimale de validité du mot de passe à 5 jours.

Objectif : Ne pas permettre de contourner la consigne précédente.
Remarque : Si la modification immédiate est autorisée, alors le système ne peut
pas vérifier que l'utilisateur ne réutilise pas un mot de passe récemment
choisi. Mais si la modification n'est pas autorisée dans un délai court,
alors l'utilisateur sera dans l'impossibilité de changer seul son mot de
passe s'il a choisi un mot de passe trivial ou si son mot de passe a été
dévoilé par mégarde. Il devra solliciter l’administrateur.
cs 4-4 : Fixer la longueur minimale du mot de passe à 8 caractères.

Objectif : Conduire l’utilisateur à ne pas choisir des mots de passe facilement
repérables.
Remarque : la longueur maximale du mot de passe est de 14 caractères.
cs 4-5 : Le filtrage des mots de passe doit être activé.

Objectif : Accroître la résistance du mot de passe en n’autorisant pas
l’utilisation de mots courants.
Remarque : Le Service Pack 5 (en fait depuis le SP 2) permet de vérifier que les
mots de passe respectent les contraintes suivantes :
 Le mot de passe doit comprendre 6 caractères au minimum.
 Il doit comporter des caractères choisis dans trois des 4 groupes
suivants minuscules : a,b, … z ;
majuscules : A,B, … Z ;
caractères spéciaux (ponctuation) : , ; : ! ?. ,
chiffres : 1,2, …0.
 Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du
compte), il ne doit pas comprendre un sous-ensemble du nom de
l’utilisateur.
Le 06/06/2000 version 1.0 Page 12

Paramètres : Le fichier passfilt.dll doit être présent dans le répertoire

C:\\WINNT\system32.
Ajouter la valeur « PASSFILT » dans la clé de registre :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/No
tification Package »
Mise en œuvre : 3.2.1.3 Filtrage des mots de passe (CPD)
cs 4-6 : Verrouiller le compte après 5 tentatives infructueuses.

Objectif : Le verrouillage de compte proposé est destiné à faire échec aux
attaques en force des comptes. On fixe à 5 les tentatives infructueuses
réalisées dans une période de 60 minutes afin de ne pas pénaliser
l'utilisateur dans la mesure où les changements sont fréquents.
Un tiers ou l'utilisateur ne pourra pas tester plus de 5 mots de passe par
heure. Après 5 tentatives infructueuses, le compte sera verrouillé de
façon permanente et l'intervention de l'administrateur sera nécessaire
pour rendre le compte de nouveau utilisable.
Une tentative de découverte d’un mot de passe ne pourra tester que
2976 chaînes (4 chaînes par heure fois 12 heures de travail par jour fois
31 jours par mois fois deux mois [juillet août] égale 2976 chaînes
maximum) avant que le mot de passe ne change (pour un utilisateur
autorisé à se connecter 12 heures sur 24).
Remarque : Si le compte doit être protégé de façon plus rigoureuse en
raison des droits de l'utilisateur et des informations qu'il exploite, il
convient :
 de réduire le nombre de tentatives infructueuses acceptables à 2,
 d'allonger le délai de réinitialisation du compteur à 768 minutes (24
heures).
Ceci introduit un risque de déni de service dans la mesure où un tiers
peut délibérément bloquer le compte en réalisant 5 tentatives
infructueuses.
Paramètres : Gestion des utilisateurs  Stratégie de compte
Verrouillage de compte : cocher
Verrouillage après 5 tentatives d'accès infructueuses
Réinitialiser le compteur après 60 minutes
Durée de verrouillage : Permanente
cs 4-7 : Les utilisateurs doivent ouvrir une session pour changer de mot de passe.

Objectif : Il s'agit de soustraire le compte à des attaques quand l'utilisateur
est absent pour une longue période de temps.
Mise en œuvre : 3.2.4.4 Interdire l’arrêt du système sans ouverture de
session
Le 06/06/2000 version 1.0 Page 13

cs 4-8 : Limiter les horaires d’exploitation d’une session.

Objectif : Il s'agit d’éviter qu’une session soit exploitée en dehors des heures
ouvrables normales. La présence de l’utilisateur à ces heures devra être
justifiée auprès de l’administrateur.
Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur (CPD)
2.2.2 Protection du compte Administrateur local
cs 5-1 : Fixer un mot de passe sur 10 caractères au minimum pour l’Administrateur local.
Niveau d'exigence : Niveau de gêne : 

Objectif : Rendre plus difficile la recherche du mot de passe.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé.
Compte tenu de l'étendue des droits attachés à ce compte il faut lui
conférer la plus grande protection possible. De plus ce compte apparaît
souvent de manière automatique dans des partages et des permissions, il
est donc nécessaire d’apporter le plus grand soin au choix de ce mot de
passe.
Mise en œuvre : 3.3.2.3 Le compte local : « Administrateur »
cs 5-2 : Changer le nom du compte "Administrateur".

Objectif : Rendre plus difficile l'accès à ce compte par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui
est associé un nom prédéfini. La connaissance du nom représente la
moitié de l'effort à fournir pour prendre le contrôle du poste. Il faut choisir
un nom difficile à deviner, et ne pas choisir le même nom pour toutes les
machines afin de mettre en œuvre un cloisonnement de sécurité (grappe
de postes de sections par exemple) en cas d'intrusion réussie.
Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur (CPD),
3.3.2.3 Le compte local : « Administrateur »
Le 06/06/2000 version 1.0 Page 14

2.2.3 Protection du compte "Invité" local
cs 6-1 : Inhiber le compte "Invité" local.

Objectif : Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque : Ce compte est créé par défaut, et ne peut pas être supprimé. Il lui
est associé un mot de passe prédéfini. Le poste est destiné à n’être
exploité que par un seul utilisateur.
Paramètres : Changer le nom du compte, changer le mot de passe (au
moins 10 caractères), retirer le compte du groupe invité, désactiver le
compte.
Mise en œuvre : 3.3.2.1 Le compte local : « invité » (CPD),
3.3.2.2 Les autres comptes locaux prédéfinis (CPD)
2.2.4 Protéger le compte en cours de session
Ces consignes de sécurité permettent de protéger le compte d’un utilisateur pendant une
absence prolongée. Deux niveaux de protection sont prévus : la station est verrouillée
après 15 minutes, la station est déconnectée du réseau après 2 heures.
cs 7-1 : Verrouillage de la station après un délai d’inactivité de 15 minutes.

Objectif : Empêcher l’appropriation d’une session lors de l’absence de
l’utilisateur.
Remarque : Les utilisateurs qui lancent une application demandant un temps de
calcul trop long ou qui veulent suspendre leur travail peuvent verrouiller
la station. Les résultats ou les documents ne seront pas perdus. Cette
contrainte doit être accompagnée d’un mécanisme de déconnexion de la
station. En effet, un utilisateur risque de s’absenter en oubliant que sa
session n’est pas fermée.
Mise en œuvre : 3.2.4.2 Verrouillage de la station pour inactivité ,
cs 7-2 : Déconnexion après un délai d’inactivité de 120 minutes (serveur).
Niveau d'exigence :
Objectif : Interdire l’utilisation d’une session laissée ouverte par une tierce
personne.
Le 06/06/2000 version 1.0 Page 15

Remarque : Ce second niveau de sécurité a pour but de ne pas laisser une

session verrouillée par inadvertance. La station d’un utilisateur se
verrouillera après 15 minutes puis sera déconnectée du réseau 1 h ¾
après. Les utilisateurs qui lancent une application qui requiert un long
temps de calcul devront faire attention que ce temps soit inférieur à 2
heures pour éviter de perdre les résultats du calcul. Suivant la sensibilité
de la station ce temps peut être ramené à un temps plus court ou plus
long.
Mise en œuvre : 3.2.4.3 Fermeture de la session après 2 heures d’inactivité
(CPD),
2.2.5 La confidentialité
cs 8-1 : Vider le fichier paginé de mémoire temporaire lors de l’arrêt du système.

Objectif : Évite qu’un utilisateur puisse examiner les informations exploitées
par les utilisateurs en cas de vols de disque dur ou de boot sur un autre
système.
Remarque : Le fichier paginé de mémoire temporaire ou d’échange de
Windows NT se comporte comme une mémoire virtuelle. Ce fichier peut
contenir des informations sensibles de la session précédente. Il doit être
effacé du disque dur lors de la fermeture de la session. Une valeur
attribuée à la clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio
n Manager\Memory Management
(avec un espace devant le mot Management)
Attribuer la valeur 1 (Type REG_DWORD) à la rubrique
ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la
fermeture de la session.
Si la station est arrêtée brutalement (coupure de courant) la mémoire
paginée ne sera pas détruite (le fichier paginé de mémoire temporaire
n’est pas effacé du disque dur). Il suffirait de booter sur un second disque
dur (déclaré système et maître, le premier disque dur est déclaré
esclave) pour accéder au contenu de la mémoire temporaire.
Mise en œuvre : 3.4 Utilisation des registres
cs 8-2 : Interdire le verrouillage des pages mémoires temporaires pendant une session.

Objectif : Éviter un risque de déni de service par saturation de la mémoire
temporaire.
Remarque : Windows NT autorise un utilisateur à verrouiller le fichier paginé de
mémoire temporaire (fichier C:\pagefile.sys). Cette option est
disponible dans la Stratégie des droits de l’utilisateur du
Gestionnaire des utilisateurs. L’utilisation de ce droit, réserve de la
mémoire RAM pour créer un fichier d’échange statique. Le contenu de la
mémoire ne peut plus être transféré vers le fichier d’échange (fichier
Le 06/06/2000 version 1.0 Page 16

C:\pagefile.sys) et risque de saturer la mémoire du système.

L’ordinateur devient indisponible ce qui provoque un déni de service. Les
utilisateur ne doivent jamais disposer de ce droit.
Mise en œuvre : 3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
cs 8-3 : Réduire le nombre de machines utilisables par un utilisateur.

Objectif : Éviter qu’un utilisateur puisse se connecter sur toutes les stations,
même celles déclarées sensibles.
Remarque : Par défaut, Windows NT autorise l’ouverture d’une session sur
toutes les stations. Il ne fait aucune différence entre les stations, les
stations sensibles et les serveurs. L’ouverture d’une session par un
utilisateur non habilité, sur une station sensible présente un risque non
négligeable. L’administrateur doit réduire le nombre de stations
exploitables par un utilisateur, à celles de sa section d’appartenance. Un
menu disponible à la création des utilisateurs sur le CPD, permet
d’imposer un choix de 8 ordinateurs au maximum pour chaque
utilisateur. L’administrateur veillera à délimiter administrativement ses
sections de façon qu’un groupe de 8 stations suffisent au fonctionnement
de la sections. Si un utilisateur (autre que les administrateurs et le RSSI)
doit pouvoir accéder à plus de 8 ordinateurs, il possédera deux comptes
(lui donnant accès à 16 machines).
Les administrateurs et le RSSI ne sont pas concernés par cette consigne.
Ils posséderont le droit d’ouvrir une session sur toutes les stations du
réseau.
Paramètres : Remplir le menu des stations de travail accessibles

(Démarrer  Programmes  Outils d’administration 
Gestionnaire des utilisateurs, double click sur l’utilisateur  Ouvre le
menu Caractéristiques de l’utilisateur  Accès depuis, ouvre le
menu Stations de travail accessibles, cocher L’utilisateur peut
ouvrir une session sur ces stations de travail, entrer le nom des
stations dans les champs textes)
cs 8-4 : Vider la corbeille entre l’ouverture de deux sessions.

Objectif : Empêcher qu’un utilisateur puisse consulter les fichiers supprimés
par l’utilisateur précédent.
Remarque : Cette consigne de sécurité évite aussi de conserver des corbeilles
trop volumineuses sur chaque station. Il est possible d’écrire un script qui
sera exécuté à l’ouverture de chaque session et qui effacera le contenu
de la corbeille.
cs 8-5 : Interdire l’ouverture d’une session automatique.
Le 06/06/2000 version 1.0 Page 17


Objectif : S’assurer qu’un utilisateur est bien présent lors de l’ouverture
d’une session.
Remarque : Il existe une possibilité pour un utilisateur de contourner la boîte de
dialogue d’authentification Information de session. La sécurité du
système d’exploitation est compromise par ce type d’accès, de plus le
mot de passe n’est pas protégé dans le registre et peut être lu. Si un
utilisateur accède par cette méthode (généralement par lassitude des
formalités du mot de passe), il peut modifier la valeur du registre
correspondant à la connexion et outrepasser par la suite les contrôles
d’accès à la station. Il est donc important d’empêcher l’ouverture
automatique de session en verrouillant la valeur (mettre la valeur 0) de la
clé de registre Winlogon :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current
Version\Winlogon
Créer la rubrique :AutoAdminLogon, lui attribuer la valeur 0 (de type
binaire).
2.3 Protection du poste vis à vis des accès distants
2.3.1 Protection vis à vis des accès hors réseau local (modem)
1.1.1.1 Protection des ports
cs 9-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence :
Objectif : Maîtriser et homogénéiser les matériels installés sur le réseau.
Remarque : Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une
nouvelle fois sous Windows NT. En effet NTDETECT.COM est exécuté au
chargement du système d’exploitation. Ce programme explore tous les
périphériques présents pour dresser une liste des matériels installés sur
l’ordinateur. Windows NT utilise cette liste et non celle du BIOS pour son
fonctionnement. La liste obtenue lors de l’exécution du BIOS sera utilisée
par des applications particulières (après un redémarrage sous DOS, etc.).
cs 9-2 : Inhiber le port USB.
Niveau d'exigence :
Objectif : Empêchera l’utilisation d’un modem raccordé sur le port USB.
Le 06/06/2000 version 1.0 Page 18

Remarque : Même remarque que précédemment. Cette interdiction déjà traitée

(cs 2-4) doit être effectuée une nouvelle fois sous Windows NT.
1.1.1.2 Protection contre certains services
cs 10-1 : Inhiber le service Remote Access Server.
Niveau d'exigence :
Objectif : Éviter la prise de contrôle d’une station au travers du réseau.
Remarque : La méthode des Nœuds Distants est utilisée par le service d’accès
distant « Remote Access Server » de Windows NT. Ce service permet
d’accéder à des ordinateurs par le réseau. L’utilisateur travaille sur son
ordinateur et utilise la station du réseau pour rebondir. Le réseau voit cet
utilisateur de la même manière que si celui-ci était devant la station.
Beaucoup d’attaques utilisent ce service afin que les administrateurs de
la sécurité perdent la trace de la machine source (la dernière machine
identifiée assume la responsabilité légale de l’attaque). Ce service
associé à la présence de modems sur le réseau constitue une faille très
importante de sécurité. Il est donc impératif de désactiver le service RAS.
Mise en œuvre : 3.2.2 Les services
cs 10-2 : Inhiber les services inutiles.
Niveau d'exigence :
Objectif : Éviter de programmer le lancement de services aux effets
incontrôlables.
Remarque : Plusieurs services assurent des tâches inutiles et parfois
dangereuses pour la sécurité. Citons pour l’exemple le service Planning.
Lorsqu’il est associé à la commande "at", il permet d’exécuter des scripts
à des moments prédéfinis. Il convient donc de supprimer ce service si
aucun service de sauvegarde automatique, de contrôles de disques durs,
etc. n’est mis en œuvre. Il en est de même pour certains autres services.
Une liste des services présentant le nom, le port et le protocole associé
au sein de l’environnement système Windows NT est disponible dans le
fichier Services (du répertoire %SystemRoot
%\system32\drivers\etc). Le service TCP/IP installé par défaut
n’effectue aucun filtrage de paquet. Tous les protocoles sont permis et
tous les ports sont ouverts. La liste des ports et des protocoles
disponibles au sein de l’environnement système Windows NT et définis
par le RFC 1060 sont rassemblés dans le fichier Protocol (situé dans le
même répertoire). Pour ouvrir uniquement les ports désirés, il faut
accéder au menu Sécurité TCP/IP (Démarrer  Paramètres 
Panneau de configuration, double click sur Réseau  Protocoles,
double click sur TCP/IP, ouvre le menu Propriétés de Microsoft
TCP/IP  Adresse IP  Avancée…, ouvre le menu Adressage IP
avancé  cocher Activer la sécurité  Configurer…  Ouvre le menu
Sécurité TCP/IP, valider les trois boutons Autoriser seulement) et
n’autoriser que les ports nécessaires.
Le 06/06/2000 version 1.0 Page 19

Mise en œuvre : 3.2.1.1 Défense contre les attaques réseau
2.3.2 Protection vis à vis des accès réseau
1.1.1.3 Partage réseau des répertoires et des fichiers
cs 11-1 : Interdire le partage réseau.

Objectif : Empêcher qu’un utilisateur crée un partage de fichiers ou de
répertoires sur le disque dur local.
Remarque : Si un utilisateur possède le droit de partager des fichiers ou des
répertoires du disque local avec d’autres utilisateurs, il pourra créer un
serveur factice transparent pour les véritables serveurs. Afin d’éviter la
prolifération de partages (cachés par le suffixe $ ou non), l’administrateur
ne doit pas laisser la permission du Contrôle total aux utilisateurs. Seul
le serveur de fichiers devra être prévu pour que les utilisateurs mettent
en commun des fichiers. Cette consigne s’accompagne de l’obligation de
ne jamais donner la permission de Prendre possession d’un fichier ou
d’un répertoire à un utilisateur.
Mise en œuvre : Annexe B Permissions/Droits et Sécurité/Partage,
3.3.1.3 Stratégie des droits de l’utilisateur (CPD)
1.1.1.4 Partage de l’imprimante locale
cs 12-1 : Interdire le partage de l’imprimante locale (ou tout autre périphérique).

Objectif : Une imprimante locale ne peut être utilisée qu’à partir du poste
auquel elle est connectée.
Remarque : La configuration locale de l’imprimante est déclarée au moment de
l’ajout de ce périphérique.
Mise en œuvre : Annexe : B.3.1 Partage d’une imprimante locale
Le 06/06/2000 version 1.0 Page 20

1.1.1.5 Échange dynamique de données entre applications
cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
! Niveau de gêne : 
Objectif : Interdire le Partage Dynamique de Données sur le réseau. A
n’autoriser que sur le même poste de travail pour un même utilisateur.
Remarque : Certaines gênes peuvent apparaître pour des applications utilisant
les DDE entre différents types de documents (pour d’anciennes versions
de documents Word et Excel par exemple) situés sur des stations
distantes. Cependant il est préférable de l’interdire sur le réseau afin
d’éviter qu’un fichier lié à un autre par un DDE soit transmis à un
utilisateur. Dans ce cas de figure il est difficile de prévoir la manière dont
la mise à jour automatique des données sera effectuée.
1.1.1.6 Accès distant pour les utilisateurs
cs 14-1 : Imposer un langage de bas niveau pour les échanges entre stations.

Objectif : Restreindre les personnes aptes à accéder à une station distante.
Remarque : L’utilisateur ne doit pas voir toutes les stations lorsqu’il utilise
l’Explorateur Windows, afin d’éviter de lister et chercher les serveurs
parmi toutes les machines visibles. Cependant, une station distante doit
rester accessible depuis une autre station pour les utilisateurs confirmés.
Pour fournir une vision claire des ordinateurs accessibles sur le réseau, le
service Serveur n’est pas implanté sur les stations de travail (invisibilité
des stations par l’Explorateur Windows). Seul le service Station de
travail est présent (accessibilité par un langage de bas niveau). Le
service Station de travail apporte les fonctionnalités NetBIOS sur TCP/IP
nécessaire au fonctionnement correcte de la station. De plus, les
ordinateurs connectés au réseau sont accessibles par le Poste de
travail ou par les commandes net “commande” sous DOS (exemple
net send « nom de la station » « message envoyé »).
Le 06/06/2000 version 1.0 Page 21

1.1.1.7 Limiter les échanges sur le réseau
cs 15-1 : Limiter la visibilité des machines (seuls les serveurs sont visibles sur le réseau).

Objectif : Éviter de pouvoir compter et identifier les stations présentes sur le
réseau.
Remarques : Cette consigne permet en outre de simplifier pour chaque
utilisateur, le schéma représentatif du réseau. En effet l’Explorateur
Windows et le Voisinage réseau présenteront uniquement les serveurs
et les répertoires disponibles. Cette visibilité restreinte n’est
qu’apparente puisque certaines commandes de bas niveau permettent de
se connecter avec la permission de la station cible (si le service sollicité
est activé) à un autre ordinateur.
1.1.1.8 Protection des échanges sur le réseau
cs 16-1 : Chiffrer les échanges de mot de passe sur le réseau.

Objectif : Éviter que le mot de passe d’un utilisateur circule en clair sur le
réseau.
Remarques : Les messages d’authentification lors de l’ouverture d’une
session par un utilisateur ne circulent pas sur le réseau. Un protocole
d’authentification par challenge permet de vérifier la cohérence du mot
de passe et du nom de l’utilisateur. L’ouverture d’une session ne soulève
pas de problèmes de confidentialité du mot de passe. Il est plus difficile
de garantir la confidentialité du mot de passe lors de son changement. Le
protocole de signature SMB-S (Server Message Block Signing, voir cs 16-
3) permet de signer les transferts de données et le protocole Windows NT
CR (Challenge Response) chiffre le mot de passe lors de son transfert au
Contrôleur Principal de Domaine.
Mise en œuvre : 3.2.1.2 Installation du protocole SMB-S (sur les stations et
le CPD)
cs 16-2 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
Objectif : Interdire l’envoi d’un mot de passe compatible Lan-Manager de bas
niveau en tant que requête.
Le 06/06/2000 version 1.0 Page 22

Remarques : Windows NT prend en charge deux protocoles

d’authentification par un processus de challenge : Windows NT Challenge
Response et Lan-Manager Challenge Response. Le protocole de
chiffrement Lan-Manager est plus simple que celui de Windows. Un pirate
peut renifler le réseau pour intercepter et casser le hachage du mot de
passe de Lan-Manager. Sans l’interdiction explicite de ce protocole
Windows NT tentera l’établissement d’une connexion via les deux
protocoles.
Cependant le protocole Lan-Manager apportera une sécurité minimale si
le serveur contacté par la station utilise Netware. Une clé de registre
permet d’activer, de désactiver ou d’utiliser les deux protocoles lors
d’une connexion avec un serveur. La sécurisation des échanges par Lan-
Manager est désactivée sauf nécessité absolue. Si un serveur sous
Netware est connecté au réseau, vous trouverez les modifications des
clés pour les stations dans le manuel consacré à Netware.
le CPD)
cs 16-3 : Contrôler et protéger les communications client/serveur.

Objectif : Sécuriser les échanges avec un serveur en signant et en chiffrant.
Remarque : La structure de base des réseaux Microsoft en environnement
Windows NT s’appuie sur le protocole SMB (Server Message Block). Les
services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas
contraire) sont implémentés par les services Serveur et Station de
travail de Windows NT. Ces services sont disponibles sur les serveurs
ainsi que sur les stations mais le service Serveur sera désactivé sur les
stations pour éviter leur affichage dans le voisinage réseau. Ce protocole
est sous-jacent aux services de partages de fichiers et d’imprimantes de
Windows NT. Les ports d’accès utilisés par SMB (ports 135-139 sous
TCP/IP) présentent une faille importante de la sécurité notamment si un
serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB
sous UNIX) est connecté au réseau. Une version plus performante des
services offerts par SMB appelée protocole CIFS (Common Internet File
Sharing) est disponible sur Internet et dans le Service Pack 3. Le SP 3
fournit aussi le protocole de signature SMB-S (Server Message Block
Signing) pour authentifier les paquets et empêcher les attaques du type
Men-in-the-Middle. SMB (service Station de travail) doit être activé sur
le client et sur le serveur. Pour bénéficier des sécurités de signature, tous
les serveurs (services Serveur et Station de travail) et toutes les
stations (service Station de travail) activeront le service SMB du SP 3
(contenant SMB-S) en modifiant la valeur des clés de registre
correspondante.
Paramètres : Créer et modifier la valeur de la clé du registre HKLM :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Pa
rameters
EnableSecuritySignature valeur 1 (type REG_DWORD)
(active le protocole SMB-S)
RequireSecuritySignature valeur 1 (type REG_DWORD)
(seules les stations sur lesquelles le protocole SMB-S est activé sont
autorisées à établir une connexion avec le serveur. Il faut une conformité
globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se
reporter à la mise en œuvre pour plus d’informations)
Le 06/06/2000 version 1.0 Page 23


le CPD)
2.4 Protection des ressources locales
2.4.1 Partitions du disque
cs 17-1 : Protéger les fichiers systèmes.
Niveau d'exigence :
Objectif : Limiter la fragmentation de la partition système.
Remarques : créer une partition pour accueillir le système et les
applications. La taille minimale de cette partition doit être de 1 Go pour
les disques d’une capacité de 4 Go, et de 1,5 Go pour les disques de
capacité supérieure. La création d’une partition dédiée aux applications
est autorisée, mais elle ne doit jamais être déclarée primaire.
Une fois l'installation terminée, le reste de l'espace disponible sur le
disque sera configuré à l'aide de l'outil Administration du disque dur
dans une session Administrateur.
Cette configuration évite qu’une personne installe Windows NT 4.0 sur
une seconde partition primaire. Le multi-boots de cet OS permettrait de
modifier les valeurs des registres de la ruche. Cette configuration
entraîne la perte définitive des données présentes sur la partition
secondaire, si la partition primaire est détruite.
Mise en œuvre : 3.1.3 Configuration du disque dur local
2.4.2 Restreindre les accès uniquement aux répertoires et fichiers utiles
cs 18-1 : Mise en œuvre du système de fichiers NTFS.

Objectif : Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis
en œuvre par NTFS.
Remarques : La partition devra être formatée avec le système de
fichiers NTFS afin de mettre en œuvre les contrôles d'accès aux
répertoires et aux fichiers natifs du système de fichiers NTFS.
Mise en œuvre : 3.1.3 Configuration du disque dur local
cs 18-2 : Empêcher l’utilisation de programmes ou services à risque.
Le 06/06/2000 version 1.0 Page 24

Niveau d'exigence :
Objectif : Éviter que des programmes susceptibles de présenter des risques,
soient exécutés par un utilisateur.
Remarques : La solution la plus efficace consiste à effacer les
exécutables du disque dur. Ce n’est pas pour autant que les applications
et les services associés aux fichiers seront impossibles à exécuter sur
cette station. Il suffit de les copier sur le disque dur (en C:\ ou en Z:\) et
de les exécuter à partir de l’explorateur Windows ou avec la commande
Net start "<nom du service>". Cette dernière méthode permet de
lancer des services présentés comme Non démarrés et Désactivés par
Démarrer  Paramètres  Panneau de configuration  Services.
Mise en œuvre : 3.2.2 Les services ,
cs 18-3 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux
répertoires.

Objectif : Gérer les accès à certains répertoires et fichiers susceptibles de
présenter une faille de sécurité importante.
Remarques : L’accès en écriture à certains fichiers (le fichier de données
et d’exécutables de la ruche) permet de contourner les sécurités mises
en place par l’administrateur. Il est très important de protéger ces
fichiers ou leurs répertoires pour éviter le piratage de l’ordinateur. En
annexe B, nous présentons la manière de déclarer les Permissions du
Partage avec les Permissions du système NTFS.
Mise en œuvre : Annexe : B.3.2 Partage et sécurité sur des fichiers et
répertoires
2.5 Points divers

cs 19-1 : Modification des menus permettant d’accéder aux applications interdites aux
utilisateurs.

Objectif : Fixer les applications exploitables pour chaque utilisateur.
Remarques : Le répertoire Profil de l’utilisateur contient tous les
raccourcis, les paramètres du bureau et les menus accessibles à
l’utilisateur. Ce profil doit être déterminé par son appartenance à un
groupe pour éviter qu’une personne utilise une application interdite. La
gestion des profils doit être centralisée sur le serveur de fichiers, en
attribuant des profils par défaut à la création des comptes. Ils seront
stockés sur le serveur de fichier et appelés lors de l’ouverture de la
session. Les profils ainsi utilisés sont dits « profils errants ». Un profil par
défaut doit être prévu sur chaque station afin d’éviter qu’une panne du
serveur de fichiers interdise le travail des utilisateurs.
Le 06/06/2000 version 1.0 Page 25

Mise en œuvre : 3.3.1.1 Création d’un nouvel utilisateur ,

Annexe : C Les profils
cs 19-2 : Éviter de sauvegarder des fichiers et des répertoires sur la station.

Objectif : Permettre aux utilisateurs de sauvegarder des documents sur un
ordinateur dédié (serveur de fichiers).
Remarques : Cette consigne sera plus développée lors de l’étude du
Serveur de Fichier et d’Impression. Précisons que le répertoire de
sauvegarde par défaut est celui attribué à chaque utilisateur sur le
serveur de fichiers. Le choix de ce répertoire de sauvegarde est établi à la
création du compte par l’administrateur. La configuration de chaque
application devra tenir compte de ce choix.
cs 19-3 : Interdire la modification des valeurs d’environnement de microprogrammation

sauf pour l’administrateur.1

Objectif : Éviter de compromettre le bon fonctionnement de certaines
applications.
Remarques : Les valeurs d’environnement de microprogrammation sont
des variables prédéfinies pour des programmes qui lui permettent de
s’initialiser lors de certaines actions. Donnons comme exemple la variable
ComSpec de la boîte de dialogue Propriété du Système (Menu :
Démarrer  Panneau de configuration  Système 
Environnement) pointe par défaut sur CMD.EXE. Cette variable pourrait
être modifiée pour pointer sur un programme de commandes qui créerait
un nouveau compte avec les droits de l’administrateur. Ce droit ne peut
être accordé qu’à l’administrateur.
Paramètres : Ne pas accorder ce droit aux utilisateurs dans le
Gestionnaire des utilisateurs  Stratégie des droits de
l’utilisateur :
Modifier les valeurs d’environnement de microprogrammation
cs 19-4 : Interdire la modification de l’heure système sauf pour l’administrateur.

Objectif : Assurer la cohérence temporelle des macros instructions (date et
heure automatiques de mise à jour ou d’impression de Word, etc.) et de
la datation des événements de sécurité.
Remarques : Choisir le fuseau horaire Paris, afin d'assurer la cohérence
des dates et des heures dans les journaux d'événements de tous les
postes de travail.
Le 06/06/2000 version 1.0 Page 26

cs 19-5 : Interdire l’optimisation des processus sauf pour l’Administrateur.

Objectif : Éviter des conflits système sur des stations après une modification
incorrecte des paramètres d’optimisation des processus.
cs 19-6 : Interdire d’ouvrir une session localement sauf pour l’Administrateur.
Niveau d'exigence :
i Niveau de gêne : 
Objectif : Seul l’Administrateur peut utiliser une station de travail sans être
authentifié par le Contrôleur Principal de Domaine.
Remarque : Les utilisateurs ne pourront pas utiliser une station de travail sans
authentification auprès du Contrôleur Principal de Domaine. Si celui-ci
s’arrête de fonctionner, les utilisateurs ne pourront plus ouvrir de
sessions, hormis l’administrateur en local. La base de données des
utilisateurs du Contrôleur Principal de Domaine, doit être dupliquée sur
un Contrôleur Secondaire de Domaine. L’administrateur doit prévoir un
plan de reprise.
Mise en œuvre : 3.3.1.3 Stratégie des droits de l’utilisateur (CPD),
3.3.2 Définition des comptes ouverts sur une station
cs 19-7 : Interdire de prendre possession de fichiers ou d’objets sauf pour l’Administrateur.

Objectif : Éviter qu’un utilisateur puisse consulter les répertoires et
documents d’un autre utilisateur.
Remarques : Ce droit est l’un des plus dangereux pour la sécurité des
informations stockées sur le réseau et pour la configuration du système
d’exploitation d’une station. Il permet de s’approprier des fichiers ainsi
que de contourner les permissions accordées aux utilisateurs. La
personne qui possède ce droit, est apte à s’attribuer des pouvoirs
comparables aux Administrateurs (voir supérieurs en redéfinissant les
droits du groupe administrateurs).
Paramètres : Lors de la définition des permissions (Gestionnaire des
utilisateurs  Stratégie des droits de l’utilisateur), le droit Prendre
possession des fichiers ou d’autres objets est accordé uniquement
aux administrateurs (CPD).
cs 19-8 : Interdire de régler les performances système.
Le 06/06/2000 version 1.0 Page 27


Objectif : Éviter qu’un utilisateur emploie les outils d’analyse des
performances.
Remarques : Ces outils de performance peuvent donner des indications
très utiles pour connaître le moment approprié à une attaque :
« pourcentage du temps total de l’utilisateur », « nombre de sessions
fermées pour inactivité », etc.
utilisateurs  Stratégie des droits de l’utilisateur), le droit Régler
les performances système n’est jamais sélectionné pour un
utilisateur.
cs 19-9 : Interdire de restaurer des fichiers et des répertoires sauf pour l’Administrateur.

Objectif : Éviter de restaurer des fichiers d’anciennes versions concernant la
sécurité.
Remarques : Les droits de Restaurer des fichiers et Restaurer des
répertoires sont généralement attribués aux Opérateurs de Sauvegarde.
Ils leurs permettent d’ajouter et de remplacer des fichiers détruits par
inadvertance. Ces droits sont exécutés en passant outre la consultation
des Listes de Contrôles d’Accès (les ACL). Ces utilisateurs ont donc des
droits qui échappent aux contrôles de sécurité de Windows NT.
2.6 Protéger les paramètres systèmes
2.6.1 Protéger les paramètres systèmes
cs 20-1 : Protéger les registres (pertinents).

Objectif : Protéger des registres contre une maladresse de l’utilisateur
Remarque : Il ne suffit pas d’effacer les deux éditeurs de registres
(REGEDT32.EXE) pour interdire l’accès aux registres d’une station. Un
utilisateur peut les copier sur le disque et au besoin les renommer pour
les utiliser. Il est impératif de protéger les registres par des permissions
NTFS.
Mise en œuvre : 3.4.1 Sécurisation des fichiers de registres ,
3.4.3 Sécurisation des registres ,
Le 06/06/2000 version 1.0 Page 28

cs 20-2 : Interdire la modification de la priorité de planification.

Objectif : Éviter qu’un processus ne soit pas exécuté et provoque un déni de
service.
Remarque : Si un utilisateur accorde une priorité trop importante à un
processus par rapport à un autre, le système peut refuser d’exécuter le
processus de faible priorité par manque de temps système.
utilisateurs  Stratégie des droits de l’utilisateur), le droit
Augmenter la priorité de planification n’est jamais sélectionné pour
un utilisateur.
Mise en œuvre : 3.3.1.3 Stratégie des droits de l’utilisateur
cs 20-3 : Interdire les modification du fichier d’échange de la mémoire virtuelle.
Niveau d'exigence :
Objectif : Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque : En environnement Windows NT, la mémoire virtuelle locale utilise
un fichier d’échange (fichier C:\pagefile.sys). Un utilisateur ne doit pas
posséder le droit de créer un fichier d’échange statique (cs 8-2) pour ne
pas occuper plus de ressources que ce qui lui est attribué nominalement.
De plus, le choix des paramètres de ce fichier risque de saturer le
système d’exploitation et de le bloquer. Ce fichier à une valeur de 120 %
environ de la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM) avec
un seuil minimal de 64 Mo. Cette valeur dépend des besoins en
ressources des applications. Sa taille minimum ne doit pas être inférieure
à la taille recommandée. Le menu Mémoire virtuelle (clique droit sur
l’icône Poste de travail  Propriétés  Performances  Modifier 
cliquer sur le lecteur  Taille initiale (Mo) et Taille maximale (Mo) 
Fixer la valeur) permet de régler les paramètres de la taille de cette
mémoire. Ce menu permet de régler aussi la taille maximum du fichier
des registres (120 % environ de la Taille actuelle du registre).
Paramètres : La clé correspondante devra être protégée en écriture :
La valeur de la rubrique PagingFiles contient le nom du fichier, la taille
minimale et maximale : C:\pagefile.sys 75 75 (Type REG_MULTI_SZ)
Toutefois certaines situations exigent la création d’un fichier d’échange,
la consigne suivante définit le cadre de sa création.
Mise en œuvre : 3.4.2.1 Modifications de HKEY_LOCAL_MACHINE (HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) ,

3.4.1 Sécurisation des fichiers de registres
cs 20-4 : Restrictions pour la création d’un fichier d’échange.
Le 06/06/2000 version 1.0 Page 29

Niveau d'exigence : Niveau de gêne : 

Objectif : Éviter un déni de service par la saturation de la mémoire virtuelle
du système local lors de la nécessité de créer un fichier d’échange.
Remarque : Certaines situations exigent la modification
de la taille du fichier d’échange de la mémoire virtuelle. Ces ajustements
des tailles respectent des prescriptions et non des règles. La taille
minimale de ce fichier est de 120 % environ de la taille de la mémoire
RAM avec un seuil inférieur de 64 Mo. Elle ne doit pas être inférieure à la
taille recommandée. Sa taille maximale est généralement identique à la
taille minimale, mais elle peut être fixée au double de la Taille
recommandée suivant le besoin. Les réglages des limites de la taille est
effectué par le menu Mémoire virtuelle (clique droit sur l’icône Poste
de travail  Propriétés  Performances  Modifier  cliquer sur le
lecteur  Taille initiale (Mo) et Taille maximale (Mo)  Fixer la
valeur). Ce menu permet de régler aussi la taille maximum du fichier des
registres (entre 120 % environ et le double de la taille minimale). Ces
paramètres entrés et fixés, l’administrateur doit protéger les rubriques
correspondantes
Les clés correspondantes devront être protégées en écriture :
La valeur de la rubrique PagingFiles contient le nom du fichier, la taille
minimale et maximale : C:\pagefile.sys 75 100 (Type REG_MULTI_SZ)
utilisateurs  Stratégie des droits de l’utilisateur), le droit Régler
les performances système n’est jamais sélectionné pour un
utilisateur. Accorder éventuellement cette permission à l’administrateur
(CPD).
Mise en œuvre : 3.4.2.1 Modifications de HKEY_LOCAL_MACHINE (HKLM) ,
3.4.3.2 Permissions sur HKEY_LOCAL_MACHINE (HKLM) ,

2.6.2 Restriction des modifications des pilotes
cs 21-1 : Empêcher l’installation d’un pilote de périphériques.

Objectif : Assurer l’homogénéité et le suivi du matériel présent sur le réseau
(imprimante, ZIP, etc.).
Remarques : Un « Cheval de Troie » est considéré comme un pilote par
le système d’exploitation. Le droit de charger et décharger un pilote
permet d’activer un « Cheval de Troie » puis de le désactiver lorsque
l’information désirée est obtenue. Pour remédier à ce type d’attaque une
parade multiple est nécessaire. Il faut d’une part interdire aux utilisateurs
de charger des pilotes et d’autre part désactiver l’exécution d’un
AUTORUN.INF par le lecteur de CD-ROM (qui risque d’être vu comme un
appel du système).
Le 06/06/2000 version 1.0 Page 30

Mise en œuvre : 3.2.2 Les services ,

3.3.1.3 Stratégie des droits de l’utilisateur
cs 21-2 : Éviter de pouvoir imprimer sans utiliser les serveurs d’impression.
Niveau d'exigence :
Objectif : Éviter d’envoyer un fichier à une imprimante sans passer par le
Contrôleur Principal de Domaine.
Remarques : Si un utilisateur connaît l’adresse IP d’une imprimante
connectée au réseau, il peut lui adresser un fichier qui sera imprimé.
Cette méthode permet de contourner les contrôles d’accès aux
imprimantes. Il est impossible d’éviter cette utilisation du réseau pour
imprimer (excepté en connectant l’imprimante derrière un routeur).
Cependant on peut changer souvent l’adresse IP de l’imprimante afin de
gêner cette pratique.
Mise en œuvre : Annexe : B.3.1 Partage d’une imprimante locale
2.6.3 Protection de l'intégrité des données et des applications
cs 22-1 : Protection antivirale.
Niveau d'exigence : Niveau de gêne : 

Objectif : Éviter la perte de données ou les dénis de services.
Remarque : Plus un site est sensible, plus il est nécessaire de se prémunir
contre les attaques de virus, virus de macros et vers. Il est impératif
d’installer l’antivirus de l’armée de terre sur les stations et d’effectuer
une mise à jour mensuelle. Une station de test dite station blanche avec
un antivirus différent peut éventuellement être mise en place sur un
ordinateur non sensible. La station blanche est choisie parmi les
ordinateurs souvent utilisés par un grand nombre de personnes afin de
tester un maximum de fichiers et de provenances.
Pour les stations présentant une sensibilité accrue, il convient d’adopter
une solution drastique : Interdire l’utilisation des lecteurs de disquettes et
de CD-ROM en désactivant les clés ou en débranchant ces lecteurs.
Mise en œuvre : 3.1.3.1 Création de la partition principale C:
cs 22-2 : Interdire la modification des paramètres des applications.

Objectif : Protéger les registres de l’utilisateur associés aux applications.
Remarque : Chaque installation d’une application modifie la ruche (contenant
les registres). Il est donc nécessaire de restreindre les permissions
d’accès et de modification des valeurs des clés de registres et de certains
fichiers associés à des applications.
Le 06/06/2000 version 1.0 Page 31

Mise en œuvre : 3.4 Utilisation des registres ,

3.7 Configuration des applications
cs 22-3 : Réduire le temps de remise en état de la configuration matérielle et logicielle

d’une station de travail.

Objectif : Restaurer rapidement la configuration (comportement des
périphériques, Système d’exploitation et applications) d’une station.
Remarque : Windows NT donne la possibilité de créer une disquette ERD de
réparation d’urgence (ERD, Emergency Repair Disk) par la commande
rdisk (dans le répertoire C:\WINNT\System32). Cette disquette contient
les fichiers compressés des registres et certains autres fichiers. À
l’origine toutes les stations possèdent une configuration de base
identique. A ce stade, il suffirait de créer une seule disquette de
réparation d’urgence compatible avec toutes les stations. L’installation de
nouvelles application modifie des registres et provoque l’apparition de
nouvelles clés. Il impératif de créer une disquette de réparation d’urgence
pour chaque ordinateur. À chaque modification de la configuration
matérielle ou logicielle, la disquette sera recréée. Toutes les disquettes
seront conservées par l’administrateur, dans un meuble fermant à clé (il
suffit de copier une configuration particulière sur une disquette, pour
prendre possession de la machine correspondante lors de sa
restauration).
Mise en œuvre : 3.2.1.5 Disquette de réparation
2.7 Audit
2.7.1 Date et heure
cs 23-1 : Assurer la cohérence de datation des événements de sécurité.

Objectif : Garantir que le journal des événements présente les messages
d’audit dans un ordre chronologique.
Remarque : L’Administrateur aura la certitude qu’aucun événement récent ne
soit dissimulé parmi les événements consultés auparavant. Il est
primordial de suivre la chronologie des alertes pour comprendre et réagir
correctement lors d’une attaque.
Paramètres : Ne pas accorder l’option Modifier l’heure système dans
le Gestionnaire des utilisateurs  Stratégie des droits de
l’utilisateur (CPD).
2.7.2 Protection de l’audit
Le 06/06/2000 version 1.0 Page 32

cs 24-1 : Empêcher le démarrage du système s’il est impossible de se connecter aux

audits de sécurité.
Niveau d'exigence :
Objectif : L’Administrateur s’assure que tous les événements sont inscrits
dans les journaux.
Remarque : Cette contrainte risque de poser des problèmes lorsque le réseau
« tombe ». Doit-on privilégier le travail en autorisant une session non
authentifiée par le Contrôleur Principal de Domaine ou l’interdire ? La
solution devant être adoptée dépend de la sensibilité des informations
présentes sur cette station et du rôle que l’ordinateur assume. Le RSSI en
liaison avec sa direction (PSI), est seul juge du degré de sensibilité de la
station.
Mise en œuvre : 3.6 Configuration de l’audit
cs 24-2 : Éviter les journaux trop volumineux.

Objectif : L’administrateur de la sécurité doit s’astreindre à dépouiller les
journaux avant que les fichiers ne deviennent trop importants.
Remarques : Lorsque beaucoup de stations sont connectées au réseau,
les tailles allouées à chaque journal risquent d’être trop faibles. Il
convient d’adapter les tailles respectives des journaux (par multiple de
64 ko) aux nombres de machines. Les dimensions retenues dans la mise
en œuvre correspondent à 50 machines environ et pour une durée de 2
semaines.
Paramètres : Modifier les valeurs des tailles des fichiers (pour les
journaux de sécurité, des applications et du système) dans le menu :
Observateur d’événements  Journal  Paramètres du journal 

Taille Maximale du journal
 Le journal de sécurité : 1 Mo.
 Le journal des applications : 1 Mo.
 Le journal système : 1 Mo.
Mise en œuvre : 3.6.2 La gestion des journaux d’audits
cs 24-3 : Sauvegarde des journaux de l’audit.

Objectif : Les informations contenues dans les journaux des événements
doivent impérativement être consultées et comparées pour assurer une
bonne réactivité contre une attaque éventuelle d’un compte ou du
réseau.
Remarques : L’utilisateur devra consulter son journal toutes les semaines
au maximum. Une consultation journalière est une bonne habitude. Les
Le 06/06/2000 version 1.0 Page 33

journaux des événements seront sauvegardés tous les mois dans un

sous-répertoire (appelé répertoire <nom de la section>\<nom de la
machine>\<type du journal>) et créé sur le serveur de fichiers. Ils
seront nommés : aammjj (2 chiffres pour l’année, 2 chiffres pour le mois
et 2 chiffres pour le jour) afin de permettre une recherche rapide.
Les journaux des administrateurs seront sauvegardés tous les mois sur le
serveur de fichiers (sur la partition des Administrateurs :
Journaux\<type du journal>) ou sur un ordinateur non connecté au
réseau. Les noms des fichiers de sauvegardes seront : aammjj.
Après cette sauvegarde les journaux seront détruits si aucune erreur
n’est détectée. Si un utilisateur remarque une anomalie, il devra alerter
immédiatement l’administrateur de la sécurité. Après chaque sauvegarde
de ces fichiers les journaux des événements sont effacés et de nouveaux
journaux des événements vierges sont exploités.
Mise en œuvre : 3.6.2.2 Sauvegarde des journaux d’événements
cs 24-4 : Gérer l’archivage des sauvegardes des journaux d’événements.

Objectif : L’archivage permet de garder et de comparer les journaux avec
ceux des mois ou années précédentes.
Remarque : Les utilisateurs conserveront leurs journaux pendant 6 mois au
minimum puis pourront effacer les fichiers du serveur.
Les journaux des administrateurs seront gravés sur CD-ROM (ou
disquettes) tous les 6 mois ou tous les ans suivant le volume. Ces
supports seront conservés sous clé et classés chronologiquement par
l’Administrateur de sécurité. Ces archives permettront de comparer les
anomalies et de déterminer rapidement si des événements anormaux
correspondent à une attaque ou à des problèmes épisodiques du réseau.
Mise en œuvre : 3.6.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits
cs 25-1 : Auditer l’accès aux objets système internes.

Objectif : Les utilisateurs seront tenus au courant des erreurs de
configuration ou des attaques du système d’exploitation.
Mise en œuvre : 3.6.1 Les événements de l’audit
cs 25-2 : Messages d’exceptions du fonctionnement d’une station.

Le 06/06/2000 version 1.0 Page 34
Objectif : L’administrateur doit être en mesure de tracer tous les événements

inhabituels survenants pendant l’utilisation d’un compte. Il connaîtra ainsi
toutes les tentatives d’accès à des fonctionnalités de la station qui ne
sont pas accordées à un compte et toutes les anomalies survenues
pendant l’ouverture d’un compte.
Remarque : L’Administrateur pourra suivre tous les échecs des accès à un
processus.
Paramètres : Déclarer qu’il faut inscrire dans le « journal des
événements » :
Sujet figurant dans l’audit Les échecs Les réussites
Auditer les ouvertures de sessions Administrateurs Administrateur
et utilisateurs
Auditer la gestion des comptes Administrateur Administrateur
Auditer l’accès aux objets Administrateur
Auditer le pistage des processus Administrateur
Auditer les événements de Administrateur
connexion
Auditer les événements de système Administrateur Administrateur
Auditer les modifications de Administrateur Administrateur
stratégie
Auditer l’utilisation des privilèges Administrateur
Auditer les modifications des Administrateur Administrateur
registres
2.7.4 Auto surveillance par l’utilisateur
cs 26-1 : Présenter les messages d’exceptions du fonctionnement d’une station.

Objectif : L’Utilisateur doit être mis au courant de toutes tentatives d’accès
refusées à son compte par une tierce personne.
Remarque : Cette information semble redondante puisque l’Administrateur sera
prévenu de tous les échecs d’accès à un compte. Cependant une attaque
sera plus vite découverte si les utilisateurs peuvent alerter
l’Administrateur d’une tentative d’accès à un compte. L’utilisateur pourra
en référer immédiatement à l’Administrateur de sécurité.
Paramètres : Sélectionner Échecs de la rubrique « Auditer les
événements de connexion » du « journal des événements ».
cs 26-2 : Auditer les processus internes.
Le 06/06/2000 version 1.0 Page 35

Niveau d'exigence :
Objectif : Les utilisateurs utiliseront le Gestionnaire des tâches pour
découvrir des programmes pirates.
Remarque : Les principales attaques réussies d’un réseau, consistent en
l’exécution d’un cheval de Troie en arrière tâche. Le Gestionnaire des
tâches est la seule manière de découvrir les programmes espions
(chevaux de Troie). En vérifiant la liste des processus exécutés (<CTRL>
<ALT> <SUPP>  Gestionnaire des tâches, onglet Processus), on
peut ainsi découvrir la présence d’un processus pirate ou l’utilisation
insolite d’un service. L’expérience prouve que les utilisateurs sont
réticents à utiliser cette méthode de vérification. Cependant, l’aspect
ludique de cette vérification est souvent un bon moyen d’intéresser les
utilisateurs à effectuer cette vérification.
Cette méthode de recherche des processus insolite nécessite une
formation préalable et adaptée des utilisateurs. Elle sera efficace
uniquement si les utilisateurs sont aptes à reconnaître et à associer le
nom d’un programme avec celui d’un service.
3.2.3 Remarques sur les services
2.8 Protection des applications bureautiques

cs 27-1 : Protection des registres des applications.
Niveau d'exigence :
Objectif : Conserver l’intégrité des applications bureautiques d’une station de
travail.
Remarque : Seul l’Administrateur aura la possibilité d’installer de nouveaux
logiciels. Cette contrainte permet une homogénéité et une maîtrise des
logiciels mis en œuvre au sein du domaine.
Mise en œuvre : 3.7.1 Les registres des applications
2.8.1 Protection des applications du Pack Office pro 97
cs 28-1 : Laisser apparaître les 9 derniers fichiers ouverts par une application.
Niveau d'exigence :
Objectif : Un utilisateur pourra détecter l’ouverture anormale de ses
documents par une application bureautique en regardant la liste des
documents précédemment ouverts.
Le 06/06/2000 version 1.0 Page 36

Remarque : Les documents portent des titres très souvent choisis en fonction
de leur contenu. Un utilisateur risque de déduire le sujet et le niveau
d’avancement d’un projet, en consultant les noms des documents ouverts
sans même y accéder. Cependant il est préférable d’effectuer un contrôle
visuel de documents ouverts sous sa session et de détecter un accès
anormal à l’un de ses documents.
Mise en œuvre : 3.7.2 Les documents antérieurs
cs 28-2 : Gérer le choix des répertoires par défaut.

Objectif : Gérer convenablement les sauvegardes automatiques afin d’éviter
qu’un document puisse être consulté par quelqu’un d’autre que son
propriétaire.
Remarque : Deux solutions s’offrent à l’Administrateur. La première consiste à
utiliser le serveur de fichiers pour les sauvegardes de sécurité. Cette
solution ralentit fortement les applications pendant les accès réseau. La
seconde est plus souple mais elle demande de sensibiliser les utilisateurs
aux atteintes possibles à la confidentialité et à l’intégrité des documents.
Cette solution consiste à rapatrier le document et travailler localement
puis à sauver le document sur le serveur de fichiers et détruire la copie
locale du disque. Cette dernière est retenue pour bénéficier de la rapidité
de travail et pour minimiser les échanges sur le réseau.
Mise en œuvre : 3.7.3 Les répertoires de travail
cs 28-3 : Interdire l’exécution de virus de macros.

Objectif : Interdire l’exécution d’un virus de macros dans un document Word.
Remarque : Les logiciels de Microsoft Office (Word, Excel et PowerPoint) ne
peuvent pas détecter la présence de virus de macros dans leurs
documents. Seuls certains logiciels antivirus peuvent les rechercher, les
lire et les détruire. Ces logiciels ne sont pas toujours efficaces (les virus
de macros ne possèdent pas de signatures comme les virus). Il est
préférable de sensibiliser les utilisateurs aux risques des virus de macros.
Les logiciels de Microsoft Office peuvent afficher un message
d'avertissement à chaque fois que vous ouvrez un document contenant
des macros. L’utilisateur pourra choisir d'ouvrir le document avec ou sans
ses macros.
Mise en œuvre : 3.7.4 Les protections contre les virus de macros
cs 28-4 : Interdire l’utilisation de Visual Basic et d’ActiveX..

Objectif : Interdire la création et l’utilisation de virus de macros.
Remarque : Visual Basic et ActiveX offrent des possibilités semblables aux
langages de programmation. Ces langages sont implémentés dans la
Le 06/06/2000 version 1.0 Page 37

plupart des logiciels de Microsoft Office. Pour éviter l’utilisation de ces

langages il faut donc interdire l’accès à ces langages (ne pas cocher les
cases correspondant au Visual Basic lors de l’installation des logiciels) et
interdire la modification des fichiers contenant les macros (Normal.Dot de
Word).
Paramètres : Protéger en écriture le fichier "Normal.Dot" de Word contre toute
modification.
Mise en œuvre : 3.7 Configuration des applications
cs 28-5 : Interdire l’utilisation de l’enregistrement rapide de Word.

Objectif : Éviter de laisser la trace des modifications apportées à des
documents. Éviter de travailler avec des documents trop volumineux,
créés par l’enregistrement rapide de Word.
Remarque : En activant Autoriser les enregistrements rapides (onglet
Outils  Options  Enregistrement), Word enregistre les
modifications apportées au document dans un fichier. Cette opération est
plus rapide qu'un enregistrement normal (différence surtout sensible pour
des documents très volumineux). La taille du fichier créé par
l’enregistrement rapide est beaucoup plus importante qu’un
enregistrement normal et ce fichier est créé uniquement sur le disque
local. Si l’enregistrement rapide est activé, la confidentialité d’un
document Word édité lors d’un arrêt brutal de la station, ne peut pas être
garantie. Il faut nécessairement désactiver l’option Autoriser les
enregistrements rapides.
Mise en œuvre : 3.7.3 Les répertoires de travail
2.8.2 Protection « d'Internet Explorer V 4 ou V 5 »
cs 29-1 : Interdire l’utilisation du langage interprété ActiveX.

Objectif : Interdire l’ouverture d’une macro-instruction.
Remarque : Le langage interprété ActiveX est capable de lancer des processus
sans demander un accord préalable. De plus certaines fonctionnalités de
ce langage peuvent porter atteinte à l’intégrité de votre ordinateur.
Paramètres : Click droit de la souris sur Internet Explorer 
Propriétés  Sécurité puis désactiver : Contrôle ActiveX reconnus sûrs
pour l’écriture de scripts.
Attention : l’initialisation de la sécurité d’Internet Explorer (click droit de
la souris sur Internet Explorer  Propriétés  Onglet Sécurité 
Personnaliser le niveau  choisir Élevé du menu Rétablir  bouton
Rétablir) annule cette consigne. Il faudra modifier de nouveau le
Contrôle AxtiveX après l’initialisation de la sécurité d’Internet Explorer.
Mise en œuvre : 3.7.4 Les protections contre les virus de macros
3.7.5 Paramétrage d’Internet Explorer
Le 06/06/2000 version 1.0 Page 38

cs 29-2 : Effacer les fichiers entre 2 ouvertures d’Internet Explorer.

Objectif : Interdire la consultation de fichiers personnels entre l’ouverture de
deux sessions.
Remarque : Internet Explorer est un outil de communication multimédias. Par
définition il inclut des assistances et des aides qui sous-entendent le
transfert d’informations personnelles parfois de façon transparente pour
l’utilisateur. Il est donc très important d’effacer tous les fichiers créés par
Internet Explorer (enregistrés dans le répertoire Temporary Internet
Files). Il faut d’une part sauver les fichiers temporaires (enregistrés
généralement dans le répertoire Temporary Internet Files) pendant 1
semaine dans le répertoire personnel et effacer ceux qui restent
accessibles sur le disque dur.
Mise en œuvre : 3.7.5 Paramétrage d’Internet Explorer
cs 29-3 : Ne pas inciter l’utilisateur à télécharger des mises à jour.

Objectif : Interdire la présentation d’une fenêtre informant l’utilisateur de la
nécessité d’une mise à jour (la configuration pour le compte
Administrateur ne tiendra pas compte de cette consigne).
Remarque : Il est nécessaire que l’administrateur homogénéise les logiciels
employés sur le réseau. Il doit prendre en charge les mises à niveau des
logiciels pour ne pas être obligé de gérer plusieurs versions.
Mise en œuvre : 3.7.5 Paramétrage d’Internet Explorer
2.8.3 Protection de « Outlook Express »

Objectif : Éviter que des fichiers personnels restent présents sur le disque
dur de la station de travail après fermeture de la session.
Mise en œuvre : 3.7 Configuration des applications ,
3.7.3 Les répertoires de travail
2.8.4 Protection de « Winzip V 6.3 »
Le 06/06/2000 version 1.0 Page 39


Objectif : Éviter que des fichiers personnels restent présents sur le disque
dur de la station de travail après fermeture de la session.
Mise en œuvre : 3.7 Configuration des applications ,
2.8.5 Protection de « Netscape Communicator »
cs 32-1 : Vider le cache local du disque et de la mémoire de la station.

Objectif : Effacer du disque dur, les informations concernant l’utilisation de
Communicator.
Remarque : Communicator utilise un cache mémoires et un cache disque en
local sur le disque de la station. Ces fichiers comportent des informations
sur l’utilisation de Communicator. Ils sont détruits uniquement lors du
dépassement d’espace (mémoire ou disque). Ces informations peuvent
présenter un caractère sensible ou confidentiel.
Si un Proxy-cahe est connecté au réseau, les caches peuvent être mis à
zéro. Les accès de Communicator, se feront sur ce Proxy sans laisser de
trace sur les stations à l’exception de la page de démarrage qui peut être
locale.
Mise en œuvre : 3.7.6 Paramétrage de Communicator
cs 32-2 : Éviter le chargement de Cookies.

Objectif : Ne pas télécharger des programmes non souhaités.
cs 32-3 : Éviter de conserver les cartes de visites localement.

Objectif : Effacer du disque dur, les informations concernant les utilisateurs.
Remarque : Communicator conserve en mémoire locale (en l’absence de
serveur LDAP ou HTTP) des informations personnelles pour faciliter
l’écriture des e-mail et des requêtes pendant la consultation de certains
sites. Ces renseignements constituent une source d’informations sur une
cible potentielle (une station) pour une attaque.
Le 06/06/2000 version 1.0 Page 40

2.8.6 Protection de « F-Secure Anti-Virus »
cs 33-1 : Protection contre les virus.

Objectif : Éviter l’infection des stations de travail et limiter la propagation de
virus sur le réseau.
Remarque : Il est impératif d’installer l’antivirus de l’armée de terre sur toutes
les stations de travail.
De manière à garantir un paramétrage correct et pour rendre impossible
la désactivation du logiciel, l’installation doit être effectuée via le réseau.
Mise en œuvre : 3.7 Configuration des applications
3.7.7 Protection contre les virus
Le 06/06/2000 version 1.0 Page 41

3. MISE EN ŒUVRE
Les modalités de mise en œuvre décrivent les actions concrètes qui doivent être
réalisées en présentant les différents panneaux de configuration et les actions associées
qui permettent à l'administrateur de sécurité d'appliquer les consignes définies
précédemment.
Les actions sont présentées dans un ordre logique applicable sur un poste de travail dans
l'état suivant :
 Le système d'exploitation Windows NT 4 a été chargé et mis au niveau du SP 5
(attention les Services Pack ne sont pas cumulatifs, il faut installer ces services les
uns après les autres).
 Les composants réseaux ont été installés lors de l'implantation de Windows NT 4.0.
3.1 Protection de la configuration matérielle du poste

Consignes associées : cs 3-3
Une étiquette collée ostensiblement sur l’écran de la station indiquera le degré de
sensibilité et le niveau de confidentialité. Les fonctions des personnes autorisées à ouvrir
une session sur cette machine et les risques encourus de son utilisation frauduleuse
peuvent figurer sur cette étiquette.
3.1.1 Protection physique du poste
Consignes associées : cs 1-1, cs 1-2

Le moyen le plus simple consiste à disposer d’un verrou condamnant l’ouverture
physique de l’ordinateur et empêchant le déplacement du poste (câble et cadenas reliant
le capot, le boîtier et le bureau). Cependant les verrous offrent une résistance peu fiable.
La serrure peut être forcée sans endommager le verrou, puis refermé après ouverture du
capot de l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un
poste.
La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de
l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront
collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certain ordinateur
peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont
apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une
vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité
centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du
poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS
Consignes associées : cs 2-1, cs 2-2, cs 2-3, cs 2-4

Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil
matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère
exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE
puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel
(possédant un système d’exploitation) afin de lire le disque installé par l’administrateur.
Il est nécessaire que le disque dur installé par l’Administrateur soit déclaré maître (par
un cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la carte mère.
Le 06/06/2000 version 1.0 Page 42

Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de

démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par
le BIOS dépendent du constructeur.
En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche
<F1> ou [<Ctrl> et <ESC>] au démarrage.
Option d’amorçage : n’autoriser l’amorçage qu’à partir du disque dur C:\ et uniquement
sur ce périphérique (lorsque cette option existe).
Paramètres avancés ou configuration des périphériques : désactiver les ports
série et le port USB.
Paramètres de sécurité : définir un mot de passe administrateur pour les machines. Il
répond au critères suivants :
 10 caractères au minimum.
 Différents pour chaque station.
 Il est changé à chaque changement d’administrateur.
 Il est changé une fois par an (généralement au début des vacances d’été pour
garder une marge temporelle en cas de problèmes).
Un second mot de passe permet de verrouiller le fin d’exécution du BIOS. Cette option
n’est pas mise en œuvre sur les stations à l’exception des station très sensibles.
3.1.3 Configuration du disque dur local
Consignes associées : cs 2-2, cs 17-1, cs 18-1

Pendant l’installation du disque dur local, l’administrateur vérifiera qu’il est bien
connecté sur le premier port IDE (IDE 0) de la carte mère et que le cavalier à l’arrière du
disque est bien sur la position Master. Ces précautions éviteront le multi-boots sur un
disque dur ajouté frauduleusement par une personne.
Une fois le BIOS modifié et validé, l’ordinateur lancera l’acquisition des paramètres des
périphériques à son allumage. L’administrateur créera une partition (commande Fdisk du
DOS) qui accueillera l’OS (Operating System : système d’exploitation) Windows NT. Cette
partition du disque dur devra être suffisante pour accueillir l’OS et ses applications. Sa
taille est de :
 Taille minimale : 1 Go pour les disques de 4 Go.
 Taille minimale : 1,5 Go pour les disques de capacité supérieure.
Pendant l’installation de Windows NT, certains choix sont demandés. Notamment le choix
entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT File
System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des
contrôles d’accès aux fichiers et aux répertoires. Les contrôles d’accès sont natifs au
système de fichiers NTFS. Ils sont mis en œuvre de façon intrinsèque par NTFS. Ils
prennent en charge :
 La protection des fichiers et des répertoires.
 La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises
après un arrêt brutal de l’ordinateur (coupure de courant).
 La compression des fichiers.
 L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation.
Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers
NTFS par d’autres OS :
 Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des
commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98
échoueront.
Le 06/06/2000 version 1.0 Page 43

 Par un accès réseau, les tentatives d’accès aux fichiers NTFS de Windows NT par
les systèmes d’exploitation MS-DOS, UNIX ou Macintosh seront possibles.
Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont :
 Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de
Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de
OS/2 par des commandes du systèmes d’exploitation NTFS échoueront.
Il sera donc nécessaire de formater l’espace disque restant en NTFS afin d’éviter le
risque qu’un utilisateur ne crée un disque multi-boot (option prise en charge par
Windows NT) et accède aux fichiers. La totalité de l’espace disque restant sera utilisé par
une partition étendue afin d’éviter qu’elle soit déclarée système par la suite.
1.1.1.9 Création de la partition principale C: "Système"

La partition C: ("Système"), définie et formatée (NTFS) au cours de l'installation de
Windows NT 4.0, contient toutes les ressources systèmes (boot, informations de
configuration matérielle, pilotes de périphériques, utilitaires systèmes divers, etc.). Elle
peut être utilisée pour installer les applications bureautiques fournies par le responsable
informatique et mis en place par l'administrateur. Cette partition a pour but :
 d’éviter la fragmentation de la partition système,
 de garantir la disponibilité de l'espace disque nécessaire notamment pour les
journaux d'audit,
 de conserver un espace disque "propre", où se trouve le système,
 garantir une zone propre pour l’antivirus de l’armée de terre.
La création de cette partition avec la présence d’un antivirus, n’est pas suffisante pour
protéger l’ordinateur contre les attaques virales. Il est recommandé (ou impératif) de :
 mettre à jour mensuellement les logiciels antiviraux. Impératif,
 diversifier les applications de détections virales. Recommandé
Les logiciels ne reconnaissent pas toutes des signatures virales. Une station dite
Station blanche avec un antivirus différent servira de station témoin. Cette station
sera choisie pour son caractère non sensible, sa fréquence d’utilisation et la
diversité des provenance des fichiers lus.
 rapporter immédiatement la détection d’un virus Impératif.
Les administrateurs doivent encourager les utilisateurs à révéler l’apparition d’un
virus plutôt que de prendre des sanctions contre des personnes. Les utilisateurs
risqueraient de cacher cette détection. La menace d’une contamination serait plus
importante.
1.1.1.10 Création de la partition étendue E: "Utilisateur"
Il s'agit de créer une partition logique (E: "Utilisateur") dans laquelle l'utilisateur aura la
possibilité de travailler. L'intérêt, pour l'administrateur système et de sécurité, de définir
une partition allouée à l'utilisateur est essentiellement :
 d'effacer l'ensemble des données de l'utilisateur en formatant la partition quand le
poste doit être attribué à une autre personne,
 de n'opérer la défragmentation que sur la partition utilisateur,
 de pouvoir sauvegarder l'ensemble des données utilisateur en désignant cette
partition.
Les consignes relatives aux permissions d'accès aux fichiers ou aux répertoires sont
définies au chapitre 3.5 et en Annexe B.
Le 06/06/2000 version 1.0 Page 44

Contexte initial :
Sélectionner Démarrer  Programmes  Outils d'administration 
Administrateur de disques
Actions : Créer une partition pour l'utilisateur.
 Sélectionner l'espace disponible.
 Créer une partition "étendue" (Menu : Partitions  créer une partition
étendue).
 Sélectionner la partition étendue.
 Créer une partition logique (lecteur logique lettre E par défaut) dans la partition
"étendue" créée précédemment en lui attribuant tout l'espace disponible.
(Menu : : Partitions  créer) puis :
(Menu : : Partitions  appliquer les changements maintenant)
Formater la partition logique E:

 Sélectionner E:, puis (Menu : Outils  Formater)
 Sélectionner NTFS comme système de fichier, donner un nom au volume
(Utilisateur).
 Bouton Démarrer.
Le 06/06/2000 version 1.0 Page 45

3.2 Configuration de Windows NT 4.0 Works Station

L’ordinateur est installé, le disque dur est formaté entièrement et Windows NT 4.0 est
implanté. L’étape suivante consiste à mettre de niveau le système d’exploitation et à
créer une disquette de réparation.
3.2.1 Les Services Pack
Les Services Pack (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils ne
sont pas cumulatifs (le SP 5 ne contient pas toutes les mises à jour du SP 4). Ils
contiennent des correctifs aux protocoles, des modifications de logiciels et des
applications facilitant l’utilisation des possibilités des OS.
Pour éviter un travail fastidieux aux administrateurs système qui devront appliquer ces
SP les uns après les autres, il est possible de les appliquer sur une station puis de faire
une image disque sur un CD-ROM. Les autres stations seront configurées en restaurant
cette image disque conforme en tous points aux consignes de sécurité sur les disques
locaux.
La présentation adoptée dans la suite de ce chapitre, comporte trois parties idées
maîtresses (Défense contre les attaques réseau, Installation du protocole SMBS-S et
Filtrage des mots de passe).
1.1.1.11 Défense contre les attaques réseau

Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le
réseau. Ces attaques peuvent se traduire par un ralentissement de la station et pouvant
aller jusqu’au déni de service, interrompant le travail de l’utilisateur. Les SP 2 et 3
permettent de se protéger contre les attaques les plus connues :
Nom de l’attaque Remède
Le 06/06/2000 version 1.0 Page 46

Telnet vers des ports inconnus Appliquer le SP 2

Ping of death Appliquer le SP 2
Ping of death 2 Appliquer le SP 3
SYN Flood Appliquer le SP 2
Out-of-Band Appliquer le SP 3
Attaque sur port RPC de TCP/IP Appliquer le SP 3
Land Appliquer le SP 3
Teardrop, Teardrop 2, Bonk et Boink Appliquer le SP 3
Les stations peuvent subir d’autres types d’attaques, il faut donc installer les SP les uns
après les autres dans l’ordre chronologique et ceci jusqu’au SP 5.
Pour améliorer la sécurité face à une attaque réseau, il est préférable de restreindre les
ports ouverts par le protocole TCP/IP. Par défaut Windows NT ne filtre pas les paquets.
Tous les ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des
protocoles disponibles au sein de l’environnement système Windows NT (définis par le
RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire
%SystemRoot%\system32\drivers\etc).
Windows NT et les applicatifs Microsoft Office utilisent un grand nombre de ports. Si vous
désirez effectuer un filtrage de paquets vous devez tenir compte des fonctionnalités
définies lors de l’installation des logiciels. Nous donnons dans ce chapitre la
méthodologie pour effectuer ce filtrage de paquets. Les administrateurs système
désirant mettre en œuvre cette sécurité, devront prendre garde à certains ports appelés
dans certaines conditions.
Le filtrage des paquets est effectué en accédant au menu : Sécurité TCP/IP (Panneau
de configuration  Réseau  Protocoles).
Double click sur TCP/IP, ouvre le menu Adresse IP  bouton Avancé  cocher Activer
la sécurité  Configurer...
Bouton Configurer….
Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à la
place du choix par défaut (Autoriser tous).
Le 06/06/2000 version 1.0 Page 47

Le 06/06/2000 version 1.0 Page 48

Le 06/06/2000 version 1.0 Page 49

1.1.1.12 Installation du protocole SMB-S

Le protocole SMB (Server Message Block) assume la structure de base des réseaux
Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et
NetBEUI dans le cas contraire). SMB authentifie un utilisateur par challenge en vérifiant
la cohérence du mot de passe avec le nom de l’utilisateur. De plus, ce protocole est sous-
jacent aux services de partages de fichiers ou d’imprimantes sous Windows NT. Il est
utilisé pour les échanges d’authentifications des utilisateurs sur les serveurs. Ces
services sont implémentés par les services Serveur et Station de travail de
Windows NT (Démarrage  Paramètres  Panneau de configuration  Services).
Ces services sont disponibles sur les serveurs ainsi que sur les stations de travail.
Cependant, le service Serveur sera désactivé sur les stations pour éviter leur visibilité
sur le voisinage réseau.
Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du
mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou
par interception/modification des messages. De plus, les ports d’accès utilisés par SMB
(ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si
un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX)
est connecté au réseau. Le SP 3 introduit une version plus performante des services
offerts par le protocole SMB en incluant un protocole de signature SMB-S
(Server Message Block Signing). Le protocole de signature SMB-S, également dénommé
protocole de partage de fichiers CIFS (Common Internet File Sharing), n’évite pas
l’écoute des paquets sur le réseau.
Lors du changement du mot de passe par l’utilisateur auprès du Contrôleur Principal de
Domaine, la confidentialité de la chaîne est protégée par le protocole Windows NT CR
(Challenge Response) et le protocole de hachage de LM (Lan-Manager). Ce dernier est
moins performant que Windows NT CR. Cependant certaines configurations du réseau
nécessitent l’emploi du protocole de hachage de LM. Notamment si un serveur utilisant
Windows 95 ou Netware est connecté sur le réseau.
Les services SMB-S (pour les stations : service Station de travail uniquement ; pour les
serveurs : services Serveur et Station de travail) devront être activés sur les stations
et les serveurs. Suivant la configuration du réseau, deux cas de figure se présentent et
deux solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regdt32.exe
(dans le répertoire C:\WINNT\system32) pour créer la rubrique et modifier la valeur.
Le 06/06/2000 version 1.0 Page 50

Accéder au registre : HKEY_LOCAL_MACHINE
Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en
ouvrant le menu Edition  Ajouter une valeur  entrer le nom de la rubrique et son
type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en
Décimal).
 Aucun serveur nécessite le protocole LM.
Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR
et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM
doivent ne pas accepter ce protocole sur le réseau et refuser de répondre :
Pour les stations :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Le 06/06/2000 version 1.0 Page 51

 Attribuer la valeur 1 (type REG_DWORD) à la rubrique :

EnableSecuritySignature
(1 implique que la signature SMB-S est activée)
 Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature
(1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé
sont autorisés à établir une connexion avec le serveur).
Pour les serveurs :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par
ameters
 Attribuer la valeur 1 (type REG_DWORD) à la rubrique :
(1 implique que la signature SMB-S est activée).
 Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature
(1 implique que seules les stations sur lesquelles le protocole SMB-S est activé
sont autorisées à établir une connexion avec le serveur).
se reporter au chapitre concernant les registres pour la modification des valeurs des clés
 Au moins un serveur nécessite le protocole LM.
Il existe au moins un serveur ou une station sur le réseau utilisant Windows 95 ou
Netware et nécessitant le protocole LM.
Pour les stations :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
 Attribuer la valeur 1 (type REG_DWORD) à la rubrique :
 Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature
(1 implique que seuls les serveurs sur lesquels le protocole SMB-S est activé sont
autorisés à établir une connexion avec le serveur).
Pour les serveurs :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Par
ameters
Le 06/06/2000 version 1.0 Page 52

 Attribuer la valeur 1 (type REG_DWORD) à la rubrique :

 Attribuer la valeur 0 (type REG_DWORD) à la clé : RequireSecuritySignature
(1 implique que les stations peuvent répondre par le protocole SMB-S ou par LM).
1.1.1.13 Filtrage des mots de passe

Par souci de simplicité, les utilisateurs utilisent souvent des mots de passe du langage
commun et donc peu robustes face à des programmes du type Crack (il tente d’ouvrir
une session avec les mots des dictionnaires français et étrangers). Le SP 3 offre une
bibliothèque (Passfilt.dll) permettant de refuser les mots de passe trop simples. Il
impose aux utilisateurs de choisir une chaîne respectant certains critères :
 Le mot de passe doit comprendre 6 caractères au minimum.
 Il doit comporter des caractères choisis dans trois des 4 groupes suivants
minuscules : a, b, … z ;
majuscules : A, B, … Z ;
symboles spéciaux (ponctuation) : , ; : ! ?. ,
chiffres : 1,2, …0.
Le mot de passe ne doit pas être le nom de l’utilisateur (identifiant du compte), il ne doit
pas comprendre un sous-ensemble du nom de l’utilisateur.
Pour mettre en œuvre ce filtrage des mots de passe, il faut vérifier que le fichier
passfilt.dll est présent dans le répertoire C:\WINNT\system32 du Contrôleur Principal
de Domaine.
 Lancer l’éditeur de registres : C:\WINNT\system32\regedt32 sur le Contrôleur
Principal de Domaine.
 Accéder au registre : HKEY_LOCAL_MACHINE.
 Dérouler l’arborescence pour atteindre la clé :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA
 « Notification Package » apparaît dans la fenêtre à droite de la liste hiérarchique
quand cette clé est sélectionnée.
 Double cliquer sur « Notification Package ».
 Attribuer la valeur « Passfilt » (type Chaîne multiple) à la rubrique Notification
Packages sur la ligne suivante dans la fenêtre « Données ».
 Désactivez l’ancienne bibliothèque de contrôle des mots de passe
« Fpnwclnt.dll » en effaçant FPNWCLNT de la fenêtre.
Le 06/06/2000 version 1.0 Page 53

 Valider en cliquant sur OK.

 Vérifier que les options (menu Options de l’éditeur de registre) suivantes sont
cochées :
 Actualisation automatique.
 Enregistrer la configuration en quittant.
 Quitter l’éditeur de registre.
 Redémarrer l’ordinateur .
1.1.1.14 Installation de divers programmes
Certains programmes disponibles dans les Services Pack doivent être installés
localement sur les stations. Nous n’allons pas les décrire dans ce chapitre. L’utilisation
du premier se fait au niveau de l’administration du réseau et au niveau des registres
pour le second.
 Passprop : utilitaire inclus dans le SP du Kit de ressources. Installé et activé, ce
programme permet de verrouiller le compte administrateur sur le réseau et non
localement. Pour plus de renseignements ou pour son utilisation reportez-vous au
manuel du CPD (Contrôleur Principal de Domaine).
 Syskey : utilitaire inclus dans le SP 3. Une Installé (dans le répertoire
C:\WINNT\system32) et exécuté, ce programme chiffre sur 128 bits les mots de
passe enregistrés dans le registre HKEY_LOCAL_MACHINE (voir le chapitre
concernant « 3.4 Les registres »).
1.1.1.15 Disquette de réparation
Le 06/06/2000 version 1.0 Page 54


Toute les modifications apportées jusqu’à présent sont enregistrées dans la Ruche (base
de données et de programmes). Windows NT donne la possibilité de créer une disquette
ERD de réparation d’urgence (ERD, Emergency Repair Disk) par la commande rdisk
(dans le répertoire C:\WINNT\System32). Cet exécutable copie la ruche dans un format
compressés ainsi que certains fichiers.
Initialement toutes les stations possèdent la même configuration, donc la même ruche et
donc la même disquette de réparation. Chaque applications ajoute de nouvelles clés ou
modifie certaines valeurs de rubriques (ces termes sont succinctement expliqués dans le
chapitre concernant les registres). L’enregistrement des profils d’utilisateurs qui se
connectent modifient aussi les clés. Les Ruches diffèrent rapidement en fonction des
utilisateurs et des logiciels installés (et même après effacements). Il impératif de créer
une disquette de réparation d’urgence pour chaque ordinateur. À chaque modification de
la configuration matérielle ou logicielle, la disquette sera mise à jour ou recréée par le
programme rdisk.
Toutes les disquettes seront conservées par l’administrateur, dans un meuble fermant à
clé (il suffit de copier une configuration particulière sur une disquette, pour prendre
possession de la machine correspondante lors de sa restauration).
3.2.2 Les services
Consignes associées : cs 10-1, cs 13-1, cs 14-1, cs 15-1, cs 18-2, cs 21-1

Par défaut Windows installe un nombre important de services (Avertissement, Serveur
d'albums, Explorateur d'ordinateurs, Duplicateur de répertoires, Enregistrement
d'événements, Messagerie, Accès réseau, DDE réseau, DSDM DDE réseau, Fournisseur de
support de sécurité NT LM, Détecteur d'appel RPC, Service d'appel RPC, Planning,
Serveur, Spooler, Station de travail et UPS). Outre ces services par défaut, il se peut que
d'autres services soient répertoriés dans la boîte de dialogue Services d'un ordinateur.
Beaucoup sont inutiles voire dangereux pour l’intégrité du réseau ou des stations locales.
La liste des services et leur état est consultable par le Panneau de configuration en
double cliquant sur Services :
 Double cliquez sur Services. La liste des services (nom, état et type de
démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt

(vide). La colonne Démarrage indique son mode de lancement :
Le 06/06/2000 version 1.0 Page 55

 Automatique : ce service démarre à l’allumage de l’ordinateur.

 Manuel : ce service démarre lorsqu’il est sollicité.
 Désactivé : ce service est arrêté même après le redémarrage de la
station.
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à
votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce
service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le
bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son
mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante
présente la dépendance des services sur une station de travail :
DSDM DDE réseau Serveur Aide TCP/IP NetBIOS Station de travail
DDE réseau Accès réseau
Album Détecteur d’appel RPC Messagerie Avertissement
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour
désactiver éventuellement les services qui suivent :
Le 06/06/2000 version 1.0 Page 56

 Service réseau
Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une
session sur les domaines.
Configuration : Ne pas modifier.
 Agent du moniteur réseau
Ce service écoute le réseau. Il permet de capturer des trames et de les lire même si elles
ne sont pas adressées assure à la station qui utilise ce service. Il peut être activé
uniquement sur le Contrôleur Principal de Domaine. seul l’administrateur peut l’utiliser.
Fichier exécutable : “nmagent.exe”
 Aide TCP/IP NetBIOS
Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un
ensemble de commandes permettant de demander les services de niveau inférieur
requis pour établir des sessions entre des nœuds de réseau pour transmettre des
informations).
 Album
Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge
le gestionnaire d’album pour l’implémenter sur le réseau. Il permet aux albums distants
d’accéder et de visualiser des pages. Il peut également être démarré grâce à la
commande net start album.
Fichier exécutable : “clipsrv.exe”
Configuration : Inutile.
 Avertissement
Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se
produit sur un ordinateur. Ce service est utilisé par le service Serveur et nécessite
l'activation du service Messagerie. Il peut également être démarré grâce à la commande
net start avertissement. Les messages d'alerte signalent les problèmes de sécurité et
d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés
sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce
service n’est pas mis en œuvre par l’administrateur, il peut être désactivé.
Configuration : Uniquement sur les machines devant recevoir des alertes.
 DDE réseau
Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité
sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les
échanges dynamiques de données (mise à jour automatique entre différents documents)
peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est
transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la
confidentialité des documents, ce service ne doit pas être activé.
Configuration : Non démarré Désactivé.
 Détecteur d’appel RPC
Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications
distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge
le service Détecteur d'appel RPC pour trouver les applications serveur compatibles
actuellement disponibles.
Fichier exécutable : “locator.exe”
 DSDM-DDE réseau
Le 06/06/2000 version 1.0 Page 57

Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau)
est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations
DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut
également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour
les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit
pas être activé.
Fichier exécutable : “netdde.exe”
Configuration : Non démarré Désactivé.
 Duplicateur de répertoires
Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre.
Ce service peut également être démarré grâce à la commande net start "duplicateur de
répertoires". Ce service est mis en œuvre pour sauvegarder des données. Cependant, il
autorise la duplication entre stations ce qui est contraire aux règles de sécurité :
Fichier exécutable : “lmrepl.exe”
Configuration : Non démarrer et Désactivé.
 Enregistrement d'événements
Enregistre les événements dans les journaux système, sécurité et application. Ce service
peut également être démarré grâce à la commande net start "enregistrement
d'événements", mais ce service doit être activé avant de vous servir de l'Observateur
d'événements pour afficher les événements enregistrés.
 Explorateur d'ordinateurs
Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste
aux applications qui la demandent. Ce service peut également être démarré grâce à la
commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des stations
entre elles et assurer un cloisonnement des ressources, il est préférable de ne pas
activer ce service.
Configuration : Non démarré et désactivé.
 FTP
Ce service fait partie de Internet Information Server (IIS). Le service FTP (File Trivial
Protocol) autorise des transferts de fichiers sans se préoccuper véritablement de la
sécurité.
Configuration : Non démarré et Désactivé.
 Fournisseur de support de sécurité NT Lan-Manager
Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC
(Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le
fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de
fichier LMHOST compatible NT Lan-Manager).
 Licence Logging Service
Permet l’enregistrement, la vérification et la gestion des licences d’exploitations des
applications présentes localement.
Fichier exécutable : “llssrv.exe”
Configuration : Inutile.
 Messagerie
Ce service prend en charge l’émission et la réception des messages envoyés par les
administrateurs ou par le service Avertissement.
Configuration : Uniquement si le service Avertissement est activé.
Le 06/06/2000 version 1.0 Page 58

 Service Planning
Ce service permet de programmer l'exécution de commandes et de programmes sur un
ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être
démarré grâce à la commande net start planning. Le service Planning est configuré
initialement dans le compte système de la station locale qui dispose d’un accès intégral
à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité
de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte
système local.
Les tâches assurées par ce service ont un Accès réseau limité, du fait que le compte
système local de la station est inconnu des autres ordinateurs. Cependant, il peut être
configuré afin qu'il exécute sa tâche via un compte utilisateur. Les tâches exécutées par
le service Planning sont alors gérées par l'accès réseau du compte utilisateur ce qui
présente un risque supplémentaire.
Pour éviter que des tâches soient effectuées sans l’accord de l’administrateur concerné
(par exemple l’administrateur de sauvegarde) ce service doit être :
Fichier exécutable : “atsvr.exe”
Configuration : Non démarré et Désactiver
 Plug and Play
Ce service prend en charge la reconnaissance et le chargement des pilotes des
périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit
installé à l’insu de l’administrateur, il convient de déclarer ce service :
Configuration : Non démarré et Désactiver
 Serveur
Le service Serveur permet à un ordinateur de se connecter aux ressources réseau et à
les utiliser. De plus, ce service permet à un ordinateur de partager des ressources sur le
réseau, c’est-à-dire qu’il prend en charge les appels de procédure à distance (RPC,
Remote Procedure Call) ainsi que le partage des fichiers, imprimantes et canaux
nommés. Cet ordinateur devient visible par le Voisinage réseau. Pour conserver
l’invisibilité des stations entre elles et assurer un cloisonnement des ressources, il est
préférable de ne pas activer ce service. Les stations sont invisible dans le voisinage
réseau mais elles sont toujours accessibles (avec l’autorisation de la station cible) par les
commande de langage de bas niveau (exemple : net start avertissement ou net send
« nom de la station » « message envoyé »).
Configuration : Non démarré et Désactiver.
 Service d'appel RPC
Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft
Windows NT. Il comprend notamment le service de mappage de la base de données des
points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient
la correspondance des noms /numéros des mappages réseau). Le service d'appel RPC
autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie
serveur de l'application distribuée enregistre un point de sortie avec le service d'appel
rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le
service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer
si une application distribuée utilise le service de mappage de point de sortie, consultez la
documentation de cette application. Ce service peut également être démarré grâce à la
commande net start "service d'appel RPC".
 Service Téléphonique
Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une
des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il
est important qu’il apparaisse désactivé comme sur la figure suivante.
Le 06/06/2000 version 1.0 Page 59

Fichier exécutable : “tapisrv.exe”

Configuration : Non démarré et Désactiver.
 Spooler
Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est
nécessaire si une imprimante est connectée à la station.
Fichier exécutable : “spool.exe”
Configuration : Suivant les circonstances.
 Station de travail
Le service Station de travail permet à un ordinateur de se connecter aux ressources
réseau et à les utiliser.
Le 06/06/2000 version 1.0 Page 60

 UPS
Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du
Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation
de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré
uniquement si une alimentation de secours est installée. Dans tous les autres cas il ne
sera pas autorisé.
Configuration : Suivant les circonstances.
3.2.3 Remarques sur les services

Windows NT permet de lancer des services sans pour autant les rendre visibles dans le
menu Services (Panneau de configuration, double cliquer sur Services). Il suffit
d’ouvrir une fenêtre dos et d’exécuter le programme correspondant au service. Ils sont
activés en arrière tâche. Cette manière de procéder serait sans risque si ces services
étaient parfaitement contrôler.
L’une des principales causes d’attaques réussies, est l’exécution d’un cheval de Troie en
arrière tâche. Ce programme écoute le travail mené sur une station et se réveille dans
certaines conditions (généralement aux ouvertures de sessions). Généralement, il
duplique le mot de passe lors de sa frappe au clavier et envoie une copie vers un poste
espion. Le pirate récupère ainsi les mots de passe des utilisateurs (ou de
l’Administrateur). il peut prendre possession du réseau sans être découvert. Windows NT
ne permet pas de contrôler facilement les processus exécutés sur une station. Le
Gestionnaire des tâches est la seule manière de découvrir les programmes espions
(chevaux de Troie). En vérifiant la liste des processus exécutés (<CTRL> <ALT>
<SUPP>  Gestionnaire des tâches, onglet Processus), on peut découvrir la
présence d’un processus pirate ou l’utilisation insolite d’un service.
Certains chevaux de Troie remplacent un programme associé à un service. Ils assument
les fonctions de ce service en même temps qu’ils piratent la station. Cependant ce type
d’attaque est rendue presque impossible si les fichiers associés aux services sont
protégés en écriture (click droit de la souris  Sécurité). Dans la liste ci-dessus vous
trouverez les noms des exécutables associés.
L’expérience prouve que les utilisateurs sont réticents à utiliser cette méthode de
vérification. Avec le temps, l’association d’un nom de programme et d’un service devient
un jeu que les curieux pratiquent facilement. Le sentiment de contrainte laisse place à un
désir ludique. Les utilisateurs contrôleront les processus une fois par mois, à l’ouverture
d’une session.
Par défaut Windows NT 4.0 supporte la norme POSIX. Ces commandes introduisent la
possibilité d’Outrepasser le contrôle de parcours des répertoires et de contourner
les restrictions des Access Control List de NTFS. Ces commandes peuvent être interdites
en supprimant le fichier POSIX (C:\WINNT\SYSTEM32\POSIX.EXE). Cependant, les
administrateurs doivent être conscients qu’il suffit de copier ce fichier sur la partition Z:\
pour pouvoir utiliser les commandes POSIX. Cette mesure de sécurité ne représente pas
une interdiction complète de l’utilisation de ces commandes.
3.2.4 Options de configuration de Windows NT

Certaines fonctionnalités de Windows NT permettent d’accroître la sécurité du réseau par
des actions locales. Ce chapitre explique la mise en œuvre de ces sécurités.
1.1.1.16 Message de mise en garde à l’ouverture d’une session
Le 06/06/2000 version 1.0 Page 61

La première mesure de sécurité à prendre est d’informer la personne accédant à

l’ordinateur qu’elle doit avoir l’autorisation de l’utiliser. Windows NT propose de créer
une fenêtre juste avant la demande du mot de passe. La création de cette fenêtre est
obtenue en modifiant deux valeurs d’une clé du registre HKEY_LOCAL_MACHINE :
 Lancer l’éditeur de registres : C:\WINNT\system32\regedt32.
 Accéder au registre : HKEY_LOCAL_MACHINE
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
 Créer le titre de la fenêtre en exécutant :
Double click sur : LegalNoticeCaption, écrire la valeur : « Station de
travail de l’Armée de terre »
 Créer le texte apparaissant dans la fenêtre :
Double click sur : LegalNoticeText, écrire la valeur : « Vous devez être
autorisé(e) pour poursuivre »
1.1.1.17 Verrouillage de la station pour inactivité

Le piratage d’un compte est facile lorsque la session est laissée ouverte et l’utilisateur
absent. Le pirate peut s’approprier le compte en installant un cheval de Troie qui copiera
dans un fichier sur le disque dur le mot de passe à la prochaine ouverture de la session. Il
faut donc prévoir un verrouillage de la station quand l’utilisateur est obligé de
s’absenter. La procédure à suivre est :
 Démarrer  Paramètres  Panneau de configuration  double cliquer sur
Affichage  Écran de veille.
Le 06/06/2000 version 1.0 Page 62

 Cochez la case Protégé par un mot de passe.

 Écrire 15 minutes dans le champ Attente.
 Choisir : Message dans la fenêtre déroulante.
 Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
 Cochez : Centré de l’option Position.

 Choisir : Lente de l’option Vitesse.
 Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond :
noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran).
 Écrire la phrase : « Message de l’armée de terre » dans la plage Texte. La
couleur et la police sont définissables en cliquant sur la touche Format texte…
(choisissez une couleur voyante par rapport à la couleur du fond d’écran afin
d’attirer l’œil).
 Sortir en validant par OK à chaque fois.
 Protéger les rubriques de la clé correspondantes à ce choix :
HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent
les rubriques associées à cette clé :
Le 06/06/2000 version 1.0 Page 63

 Activation de l’économiseur d’écran :

Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ)
 Programme exécuté par l’écran de veille :
Valeur de la rubrique SCRNSAVE :
« C:\WINNT\System32\ssmarque.scr » (Type REG_SZ)
 Activation de la protection par un mot de passe :
Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ)
 Temps d’attente avant l’activation de l’écran de veille :
Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type
REG_SZ)
 Protéger la clé correspondante à ce programme :
HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee
 Protéger en écriture le programme correspondant :
C:\WINNT\System32\ssmarque.scr
1.1.1.18 Fermeture de la session après 2 heures d’inactivité

Le verrouillage d’une station est le premier pas vers la sécurisation de l’ordinateur. Il
implique que l’utilisateur ne s’absentera pas longtemps et qu’il reviendra pour ouvrir ou
fermer sa session. Le rôle de l’administrateur sécurité est de prévoir l’imprévisible et
notamment une absence prolongée de l’utilisateur. Il faut donc clore la session si
l’utilisateur laisse sa station inoccupée plus de 2 heures (1 h ¾ après le verrouillage).
Cette consigne est appliquée sur le CPD puisque les profiles sont définis sur le domaine
(Profiles errants). La durée de temps est choisie lors de la définition des stratégies de
comptes (Démarrer  Programmes  Outils d’administration  Éditeur de
stratégie système). Créer les stations, les serveurs, les groupes et les utilisateurs.
Double cliquer sur la station pour afficher le menu Propriétés de « nom de
l’ordinateur ».
 Cocher la case correspondante et entrer le temps en minutes.
Le 06/06/2000 version 1.0 Page 64

1.1.1.19 Interdire l’arrêt du système sans ouverture de session

Le dernier point de cette liste de mesures de sécurité contrôlant l’accès à la station,
décrit la méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être
authentifié. Ainsi seules les utilisateurs autorisés pourront éteindre une station. Dans la
pratique, beaucoup d’administrateurs profitent des fonctionnalités du système de fichiers
NTFS. Ils éteignent la station avec le bouton d’arrêt, sans sortir proprement. À
l’allumage, Windows NT contrôle le disque dur et utilise le journal de la station pour
revenir à son état précédant. Toutefois cette solution est peut recommandable car elle
risque d’entraîner des pertes d’informations de configuration ou de données.
Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé
suivante :
 Lancer l’éditeur de registres : C:\WINNT\system32\regedt32.
 Accéder au registre : HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/Winl
ogon
 Double click sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type : REG_SZ).
1.1.1.20 Précaution élémentaire contre l’écoute
Tous les administrateurs de réseaux possèdent des outils pour surveiller le trafic. Ces
utilitaires permettent en général de capter toutes les trames qui circulent sur le réseau.
Beaucoup de pirates utilisent ces outils pour s’emparer d’un paquet contenant le mot de
passe d’un utilisateur (au moment de leur renouvellement). Dans notre cas, ils auraient
2 mois pour déchiffrer le mot de passe et créer un Cheval de Troie pour s’approprier les
futurs changements.
Windows NT possède cet outil : le moniteur réseau. Il est généralement exploité sur le
Contrôleur Principal du Domaine, mais il est possible de le dupliquer sur une station.
L’administrateur habilité à utiliser cet outil peut questionner le réseau pour connaître les
stations qui utilisent cet outil. Il détecte ainsi d’éventuelles tentatives d’attaques.
Le moniteur réseau n’est pas le seul outil d’écoute réseau. Il détecte les stations où il est
en service mais pas celles avec d’autres outils d’écoute. Cette précaution doit être mise
en œuvre pour éviter l’utilisation du Moniteur réseau. Elle ne garantie pas contre les
écoutes réseau avec un autre utilitaire.
 Accéder au Moniteur réseau (Démarrer  Programmes  Outils
d’administration  Moniteur réseau).
 Rechercher les duplications du programme : Outils  Identifier les utilisateurs
du moniteur réseau. Cette recherche est effectuée lors des changements des
mots de passe.
3.3 Définition des comptes

Les stations de travail ouvrent des sessions déclarées sur le domaine. La configuration
des stations doit être adaptée aux choix retenus pour les utilisateurs. Pour une bonne
compréhension des contrôles d’accès aux stations, nous devons décrire certaines
déclarations de profils faites sur le domaine. La suite de ce chapitre est décomposé en
deux partie :
 2.3.1 Définition des comptes ouverts sur le domaine.
Le 06/06/2000 version 1.0 Page 65

(les points abordés sont mis en œuvre uniquement sur le Contrôleur Principal de
Domaine)
 2.3.2 Définition des comptes ouverts sur une station.
(les points abordés sont mis en œuvre uniquement sur chaque station)
3.3.1 Définition des comptes ouverts sur le domaine
1.1.1.21 Création d’un nouvel utilisateur
Consignes associées : cs 4-8, cs 5-2, cs 8-3, cs 8-4, cs 19-1

 Ouvrir l’application : Démarrer  Programmes  Outils d’administration 
Gestionnaire des utilisateurs
 Accéder à la fenêtre de création d’un nouvel utilisateur : Utilisateur  Nouvel
utilisateur ….
 Entrer le descriptif de l’utilisateur :

Nom d'utilisateur : (nom du compte sur 20 caractères maximum).
Structure proposée : <Nom>.<prénom>.<section>
Ce nom doit être unique, pour tenir en 20 caractères il peut être nécessaire
d'utiliser des alias. Ceci doit être défini dans le cadre d'une politique de
nommage global. Le compte administrateur changera le nom <Administrateur>
par un nom banal.
Nom détaillé : nom et prénom complet.
Description : ne rien mettre ou au maximum le nom du service auquel
l'utilisateur est rattaché.
Mot de passe : fixer un mot de passe sur 8 caractères minimum qui soit
exemplaire (Cf. Stratégie des comptes). L’administrateur s’imposera un mot de
passe d’une longueur de 10 caractères au minimum.
Confirmer le mot de passe : retaper le mot de passe.
L'utilisateur à changer le mot de passe lors de la prochaine
ouverture de session : cocher la case obligeant.
Le 06/06/2000 version 1.0 Page 66

Compte désactivé : cocher la case (il sera activé à la prise en fonction

de la personne).
 Déclarer son appartenance à un groupe en cliquant sur le bouton Groupes.
Ce nouvel utilisateur est Rattaché (par défaut) au groupe utilisateurs.

 Choisir les groupes au moyen des boutons  Ajouter et Enlever .
Sélectionner le groupe de l’utilisateur dans la fenêtre de droite Non membre de :,
puis cliquer sur  Ajouter.
Cliquer sur le bouton Fixer groupe principal. Le groupe sélectionné (le groupe
ajouter précédemment dans la fenêtre de gauche) devient le groupe par défaut de
l’utilisateur. Si son groupe (Groupe section 1 dans notre cas) n’est pas fixé
groupe principal, il est impossible d’enlever le groupe Utilisa. du domaine
(groupe principal par défaut).
Sélectionner le groupe Utilisa. du domaine dans la fenêtre de gauche, puis
cliquer sur Enlever  .
Valider par la touche OK.
 Déclarer son profil personnel en cliquant sur le bouton Profil.
Le 06/06/2000 version 1.0 Page 67

Le profil errant de l’utilisateur (attaché au domaine et non à chaque station) sera

enregistré dans le sous-répertoire <Nom de l’utilisateur> du répertoire Profiles du
serveur de fichiers (\\SFI\). Il suffit de remplir le champ Chemin du profile de
l’utilisateur avec « \\SFI\Profiles\%USERNAME% » pour que ce répertoire soit
créé. La variable %USERNAME% sera remplacée par le contenu de la variable
Utilisateur (Dulac.bob.section1 dans notre cas) lors de la création de ce répertoire.
Le champ Nom du script d’ouverture de session est à remplir si un
programme est créé et sera exécuté à l’ouverture des sessions de l’utilisateur. Ce
script est un fichier de commandes (.BAT, .CMD ou .EXE). Ce fichier d’ouverture de
session est utilisé pour effacer le contenu de la corbeille, des répertoires
temporaires Internet, etc. Il est écrit avec un éditeur de texte (EDIT.COM sous
DOS) et sauvé sur le CPD pour éviter sa modification. L’exemple suivant écrit sous
DOS (pour plus de simplicité) permettrait de vider la corbeille de la station ainsi
que tous les fichiers temporaires (de type *.tmp) du disque dur c:\ de la station :
Cocher Connecter du menu Répertoire de base, entrer le volume logique E: et

l’adresse (après le à) \\SFI\%USERNAME%. SFI est le Serveur de Fichier et
d’Impression.
 Définir les heures d’ouverture de session en cliquant sur le bouton Horaires.
Le 06/06/2000 version 1.0 Page 68

Sélectionner les plages horaires et utiliser les boutons Autoriser, Interdire pour
définir les heures ouvrables de l’utilisateur pendant une semaine (de 7 h à 20 h, du
lundi au vendredi dans notre exemple).
 Définir les stations de travail auxquelles l’utilisateur est autorisé à se connecter en
cliquant sur le bouton Accès depuis.
Choisir L’utilisateur peut ouvrir une session sur ces stations en remplissant
les champs avec les noms des stations utilisées par le personnel de la section.
Cette option soulève certains problèmes. Si une section dispose de plus de 8
stations, les utilisateurs devront disposer de 2 comptes différents ’au moins pour
accéder à toutes les stations de la section.
 Définir la durée de validité du compte en cliquant sur le bouton Compte.
Remplir les champs de la Date d’expiration et du Type de compte. Cette option

est fortement déconseillée pour deux raisons :
Le 06/06/2000 version 1.0 Page 69

• Il est préférable de gérer convenablement les comptes et ne pas laisser le

contrôleur de domaine s’occuper des fermetures des comptes.
• Une erreur de validation (Compte local à la place de Compte global) peut
créer un compte local sur le Contrôleur Principal de Domaine.
 Vérifier que l’utilisateur ne possède pas la permission d'appel à distance (par
téléphone). Cliquer sur le bouton Numérotation.
Ne pas cocher Accorder les permissions d’appel à l’utilisateur.

Cocher Pas de rappel.
 Fixer les permissions sur le répertoire de base de l'utilisateur (Cf. Annexe B).
 Le compte utilisateur est créé, il faut réaliser un test en ouvrant une session avec
le nom du nouvel utilisateur.
 Créer le répertoire de base, lui attribuer les permissions, créer le répertoire profil
et copier dans ce répertoire un profil par défaut. Toutes ces opérations sont
effectuées sur le serveur de fichiers SFI.
 Attendre que le bénéficiaire réceptionne son poste pour activer le compte.
1.1.1.22 Stratégie de compte
Consignes associées : cs 4-1, cs 4-2, cs 4-3, cs 4-4, cs 4-6

La stratégie de compte revêt une importance déterminante pour la sécurité. Elle définit
les obligations des utilisateurs et par conséquence les limites de manœuvres des pirates.
Il est donc nécessaire de contraindre les utilisateurs à respecter les consignes de
sécurité et empêcher qu’un seul des utilisateurs mette en péril la sécurité globale du
réseau.
La stratégie de compte présentée ici concerne
les utilisateurs du domaine.
Ils travaillent sur les stations, mais la déclaration de leurs droits est faite sur
LE CONTROLEUR PRINCIPAL DE DOMAINE.
Plusieurs comptes prédéfinis sont créés automatiquement lors de l’installation de
Windows NT. Ces comptes prédéfinis ne peuvent pas être détruits, ce sont :
Le 06/06/2000 version 1.0 Page 70

 Administrateur.
 Invité.
Le compte Administrateur est par défaut membre des groupes prédéfinis
(Administrateurs, Administrateurs du réseau, Utilisateurs du domaine). Ce compte
possède tous les droits et permissions par défaut ainsi qu’un mot de passe de validité
illimitée. Il fournit la cible principale des attaques. Ce compte devra être désactivé sans
pour autant le faire disparaître. Il sera remplacé par un autre compte (avec un nom
moins évocateur) et possédera les droits suffisants pour assurer la fonction
d’Administrateur du réseau.
Les caractéristiques retenues pour tous les utilisateurs du réseau sont :
 Durée maximale du mot de passe à 60 jours.
 Durée minimale de validité du mot de passe à 5 jours.
 Interdiction de réutiliser les 6 derniers mots de passe.
 Longueur minimale du mot de passe à 8 caractères pour un utilisateur.
 Longueur minimale du mot de passe à 10 caractères pour un administrateur.
 Verrouillage du compte après 5 tentatives échouées.
 Attente de 60 minutes après 4 tentatives échouées.
 Limitation des heures d’utilisation du réseau.
Pour définir ces caractéristiques :

Ouvrir l’application Gestionnaire des utilisateurs (Démarrer  Programmes 
Outils d’administration) puis accéder au menu stratégies  compte. Les valeurs par
défaut doivent être modifiées selon les consignes visibles sur la figure suivante :
Le 06/06/2000 version 1.0 Page 71

1.1.1.23 Stratégie des droits de l’utilisateur
Consignes associées : cs 8-2, cs 11-1, cs 19-2, cs 19-3, cs 19-4, cs 19-5, cs 19-6, cs 19-7,
cs 19-8, cs 19-9, cs 20-2, cs 21-1, cs 23-1
Les 10 droits standards et les 17 droits avancés attribués aux utilisateurs, sont
accessibles par :
 Ouvrir sur l’ordinateur le Gestionnaire des utilisateurs (Démarrer 
Programmes  Outils d’administration).
 Sélectionner Droits des l’utilisateurs du menu stratégies.
En bas de la fenêtre une case à cocher (Affiches les droits avancés
des utilisateurs) permet d’afficher les droits d’accès standard ou avancé. Les
droits repérés par un astérisque sont commun aux deux listes.
Les deux listes qui suivent donnent les utilisateurs qui peuvent posséder
ces droits. La troisième liste donne l’attribution normale et habituelle de ces
droits.
 Les droits :
Droits d’accès standard des utilisateurs :
 Accéder à cet ordinateur depuis le réseau * Seul l’administrateur.

 Ajouter des stations de travail au domaine * Interdire à tous les
utilisateurs.
 Arrêter le système * Tous les utilisateurs.
 Charger et décharger des pilotes de périphériques * Seul l’administrateur.
 Forcer l’arrêt à partir d’un système distant * Interdire à tous les
utilisateurs.
 Gérer le journal d’audit et de sécurité Seul l’administrateur.
 Modifier l’heure système * Seul l’administrateur.
 Ouvrir une session localement * Seul l’administrateur.
 Prendre possession des fichiers ou d’autres objets * Seul l’administrateur.
 Restaurer des fichiers et des répertoires * Seul l’administrateur.
 Sauvegarder des fichiers et des répertoires * Seul l’administrateur.
Droits avancés des utilisateurs (cocher la case Affiches les droits avancés des
utilisateurs) :
Le 06/06/2000 version 1.0 Page 72

 Accéder à cet ordinateur depuis le réseau * Seul l’administrateur.

 Agir en tant que partie du système d’exploitation Interdire à tous les
utilisateurs.
 Ajouter des stations de travail au domaine * Interdire à tous les
utilisateurs.
 Arrêter le système * Tous les utilisateurs.
 Augmenter la priorité de planification Seul l’administrateur.
 Augmenter les quotas Seul l’administrateur.
 Charger et décharger des pilotes de périphériques * Seul l’administrateur.
 Créer des objets partagés permanents Interdire à tous les
utilisateurs.
 Créer un fichier d’échange Interdire à tous les
utilisateurs.
 Créer un objet-jeton Interdire à tous les
utilisateurs.
 Déboguer des programmes Seul l’administrateur.
 Forcer l’arrêt à partir d’un système distant * Interdire à tous les
utilisateurs.
 Générer des audits de sécurité Seul l’administrateur.
 Gérer un fichier d’échange Seul l’administrateur.
 Modifier les valeurs d’environnement de microprogrammation Seul l’administrateur.
 Modifier l’heure système * Seul l’administrateur.
 Optimiser un processus Seul l’administrateur.
 Outrepasser le contrôle de parcours Tous les utilisateurs.
 Ouvrir une session en tant que service Interdire à tous les
utilisateurs.
 Ouvrir une session en tant que tâche Interdire à tous les
utilisateurs.
 Ouvrir une session localement * Seul l’administrateur.
 Prendre possession des fichiers ou d’autres objets * Seul l’administrateur.
 Régler les performances système Seul l’administrateur.
 Remplacer un jeton niveau de processus Interdire à tous les
utilisateurs.
 Restaurer des fichiers et des répertoires * Seul l’administrateur.
 Sauvegarder des fichiers et des répertoires * Seul l’administrateur.
 Verrouiller des pages mémoire Interdire à tous les
utilisateurs.
Attribution habituelle des droits :

 Accéder à cet ordinateur depuis le réseau Seul l’administrateur.
 Arrêter le système Tous les utilisateurs.
 Charger et décharger des pilotes de périphériques Seul l’administrateur.
Le 06/06/2000 version 1.0 Page 73

 Générer des audits de sécurité Seul l’administrateur.

 Gérer le journal d’audit et de sécurité Seul l’administrateur.
 Modifier l’heure système Seul l’administrateur.
 Outrepasser le contrôle de parcours Tous les utilisateurs.
 Ouvrir une session localement Seul l’administrateur.
 Prendre possession des fichiers ou d’autres objets Seul l’administrateur.
 Restaurer des fichiers et des répertoires Seul l’administrateur.
 Sauvegarder des fichiers et des répertoires Seul l’administrateur.
3.3.2 Définition des comptes ouverts sur une station

Dans ce chapitre, la définition des comptes n’est pas faite sur le Contrôleur Principal
de Domaine et donc ces comptes (appelés comptes locaux) sont à définir pour chaque
station.
1.1.1.24 Le compte local : « invité »

Ce compte ne peut pas être détruit. Il possède des droits suffisamment importants pour
le rendre particulièrement attractif pour un pirate. Ce compte doit être désactivé (rendu
inoffensif pour la sécurité). Pour désactiver ce compte :
Ouvrir l’application "gestionnaire des utilisateurs" (Démarrer  Programmes  Outils
d’administration) puis sélectionner Invité dans la liste des noms d'utilisateurs.
Les caractéristiques du compte Invité sont définies par :

Changer le Nom détaillé : mettre un nom banal.
Changer la Description : mettre une description banale.
Changer le Mot de passe : mettre un mot de passe sur 10 caractères au
minimum.
Cocher la case L'utilisateur ne peut pas changer le mot de passe.
Cocher la case Compte désactivé.
Le 06/06/2000 version 1.0 Page 74

 Définir le groupe en cliquant sur la touche Groupes.

Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et
ne pouvant pas utiliser les stations :
 Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
 Bouton Numérotation : Ne pas cocher la case Accorder les
permissions d'appel à l'utilisateur.
 Valider par la touche OK.
 Sélectionner Menu :Utilisateur  Renommer : mettre un nom difficile à deviner.
Le compte Invité est maintenant complètement inhibé.
1.1.1.25 Les autres comptes locaux prédéfinis ou habituels

Deux comptes prédéfinis et impossibles à supprimer sont créés par Windows NT. Tous les
comptes locaux prédéfinis (à l’exception du compte administrateur et éventuellement le
compte du RSSI), sont désactivés de la même manière.
Les administrateurs créent souvent un compte particulier pour effectuer une tâche
particulière (mise à jour de logiciels, sauvegarde, etc.). ces comptes représentent une
faille importante à la sécurité de tout le réseau. Pour effectuer leurs tâches, ces comptes
sont souvent dotés de pouvoirs similaires aux administrateurs. Si une personne s’empare
de ce compte, elle a la possibilité de créer un compte, possédant tous les droits. avec le
droit d’appropriation. Ce compte peut être dissimulé et utilisé pour prendre possession
de tous les fichiers et répertoires des stations et des répertoires de base des utilisateurs.
Dans certaines conditions, les administrateurs seront obligés d’ouvrir des comptes
locaux afin de privilégier la pérennité du service par rapport à la sécurité. Ces conditions
sont exceptionnelles et sont utilisées lorsque le personnel doit pouvoir travailler même si
le Contrôleur Principal de Domaine est tombé. L’authentification des utilisateurs est
assurée par un compte local sur chaque station. Ce mode de fonctionnement présente un
grand risque pour la sécurité. Si un compte local est piraté, une personne peut utiliser les
exécutables afin de tenter une communication directe avec les serveurs et contourner
les sécurités. Il convient de prendre des précautions plus draconiennes pour ce mode de
Le 06/06/2000 version 1.0 Page 75

fonctionnement en supprimant les clés et des exécutables (voir chapitre :

3.4.2 Modification des registres ) :
 Débrancher le lecteur CD-ROM

 Débrancher le lecteur de disquettes
 Supprimer les fichiers POSIX et les fichiers associés.
 Supprimer le programme DHCP et les fichiers associés.
 Supprimer le programme Telnet et les fichiers associés.
 Supprimer la clé concernant le DCOM et les fichiers associés.
 Supprimer la clé concernant le FTP et les fichiers associés.
1.1.1.26 Le compte local : « Administrateur »

Comme le précédent, ce compte ne peut pas être détruit. Il possède des droits
particulièrement dangereux pour la sécurité même du réseau. Ce compte (et
éventuellement le compte du RSSI) doit est conservé sous un aspect banalisé :
Ouvrir l’application Gestionnaire des utilisateurs (Démarrer  Programmes 
Outils d’administration) puis sélectionner Administrateur dans la liste des noms
d'utilisateur.
Les caractéristiques du compte « Administrateur » sont définies par :
Changer le Nom détaillé : mettre un nom banal.
Changer la Description : mettre une description banale.
Changer le Mot de passe : mettre un mot de passe sur 10 caractères au
minimum.
Cocher la case Le mot de passe n'expire jamais, sinon il faudra le
changer périodiquement (sur tous les postes tous les deux mois).
 Bouton Numérotation : ne pas cocher la case Accorder les permissions
d'appel à l'utilisateur.
 Sélectionner menu :Utilisateur  Renommer : mettre un nom difficile à deviner.
Le compte « Administrateur » est maintenant caché.

Consignes associées : cs 3-1, cs 3-2, cs 4-1, cs 7-1, cs 8-1, cs 8-5, cs 9-1, cs 9-2, cs 20-1,
cs 22-2
Les registres sont un ensemble de fichiers contenant des bases de données dont les
enregistrements contrôlent l’ordinateur. Ils décrivent le comportement de Windows NT,
les caractéristiques des accès réseau et aux ressources, les options de démarrage des
applications, etc.
Pour comprendre rapidement les termes employés, faisons un parallèle rudimentaire
entre un disque dur et la ruche (ensemble des registres, clés, rubriques et valeurs) :
Disque dur La ruche

Les noms des partitions Les registres
Le 06/06/2000 version 1.0 Page 76

(volumes)
Les répertoires Les clés
Les fichiers Les rubriques
Les paramètres d’une Les valeurs
application
Les registres contiennent des informations importantes pour le fonctionnement d’une

station. Il est nécessaire de protéger les données de certains registres. La ruche
possèdent cinq registres principaux et un registre fonctionnel (pas toujours présent) :
 HKEY_LOCAL_MACHINE :
Contient les données de la configuration matérielle et informatique du système

local (les types de matériels installés, les paramètres des applications et la
configuration des logiciels).
Ce registre contient les mots de passe chiffrés des utilisateurs locaux. Il faut
absolument que le chiffrement des mots de passe (dont celui de l’administrateur
fait partie) utilise un code robuste. Le programme Syskey installé et activé (voir
chapitre 3.2.1.4) chiffre sur 128 bits les mots de passe enregistrés dans ce
registre. Pour bien comprendre l’importance de ce registre, nous détaillons un peu
plus son contenu :
HARDWARE :
Contient les données matériel de l’ordinateur et des périphériques, des pilotes
détectés par NTDETECT.COM (pour les ordinateurs à base de processeurs
x86) lors du démarrage du système Windows NT. Cette base est rafraîchie à
chaque démarrage de l’OS. Windows NT utilise cette base de données et non
celle du BIOS.
SAM :
Contient toutes les informations concernant la sécurité. Ce sous-arbre est
rempli à l’ouverture de session par une demande adressée au système. Cette
base de données n’est pas consultable (en grisée) par tous les utilisateurs (y
compris pour l’administrateur) pour éviter sa consultation et sa modification.
SECURITY :
Contient les informations concernant la sécurité du système local. Notons que
SECURITY\SAM (lorsqu’il est défini) pointe sur SAM. Son contenu (en grisée)
n’est pas consultable (y compris par l’administrateur).
SOFTWARE :
Contient les informations concernant la configuration logicielle de la station. On
Le 06/06/2000 version 1.0 Page 77

peut y lire notamment les paramètres des applications du Pack Office 97 dans
SOFTWARE\Microsoft\Office. Le sous-registre SOFTWARE\Classes pointe
sur le registre HKEY_CLASSES_ROOT contenant les associations
logiciel/extension. Le sous-registre SOFTWARE\Microsoft\Windows NT
contient les paramètres de configuration de l’OS.
SYSTEM :
Contient toutes les informations concernant le démarrage du système
d’exploitation. On peut y lire les paramètres des périphériques et des services
du système dans le sous-registre SYSTEM\ControlSet. Le sous registre
SYSTEM\CurrentControlSet pointe sur tous les services et paramètres de
SYSTEM\ControlSet en cours d’utilisation.
 HKEY_CLASSES_ROOT :
Pointe vers la partie de HKEY_LOCAL_MACHINE\SOFTWARE\Classes

concernant les associations logiciel/extension pour la compatibilité Windows 3.1 et
Windows NT.
 HKEY_DYN_DATA :
Pointe vers la partie de HKEY_LOCAL_MACHINE concernant les informations des
paramètres dynamiques des périphériques Plug and Play (PnP). Cette clé n’est
pas toujours présente, de plus elle n’est pas utilisée dans certaines configurations.
 HKEY_USERS :
Le 06/06/2000 version 1.0 Page 78

Contient toutes les informations concernant les utilisateurs (profils, les préférences
pour les applications, etc.).
 HKEY_CURRENT_USER :
Pointe vers la partie de HKEY_USERS concernant l’utilisateur en cours de session.

 HKEY_CURRENT_CONFIG :
Contient tous les paramètres de la session en cours. Il pointe vers le sous-registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profile\0001.
Le 06/06/2000 version 1.0 Page 79


Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une
base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde
dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter
les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions
accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes
pour la sécurité du système. Certains documents vous présenteront ces répertoires sous
une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent
l’expression %SystemRoot%\Systel32\Repair. Le répertoire %SystemRoot% est
celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas).
Pour déclarer les permissions (permissions NTFS) des fichiers et répertoires exécuter
Explorer  Click droit sur les répertoires Propriétés  Sécurité, entrer les permissions
du tableau suivant :
Fichiers liés à la ruche :

Répertoires Utilisateurs Administrateur Réseau Système
C:\WINNT\System32\Config Lecture Contrôle total Aucun Contrôle total
C:\WINNT\Repair Aucun Contrôle total Aucun Aucun
C:\WINNT\REPL\IMPORT Aucun Contrôle total Aucun Contrôle total
C:\WINNT\REPL\EXPORT Aucun Contrôle total Aucun Contrôle total
3.4.2 Modification des registres
Certaines clés sont inactivées lors de l’installation de l’OS (par exemple la clé du
protocole DHCP). Les registres sont protégés en écriture afin d’éviter qu’une personne
puisse implanter les programmes, langages ou protocoles correspondants. Pour plus de
sécurité, il est possible de supprimer ces clés des registres. On ajoute l’absence des clés
à l’interdiction de modifier la ruche. Par exemple :
 Suppression du sous-système DOS
Supprimer la rubrique ComSpec
(de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment ainsi
que dans ControlSet002 et dans CurrentControlSet).
Supprimer le fichier correspondant Cmd.exe (dans le répertoire C:\WINNT\System32).
 Suppression du sous-système OS2

Supprimer la rubrique Os2LibPath
(de la clé : HKLM\SYSTEM\ControlSet001\Session Manager\Environment).
Supprimer la rubrique Os2
(de la clé : HKLM\SYSTEM\CurrentControlSet\Session Manager\SubSystem)
Supprimer la clé HKLM\SOFTWARE\Microsoft\OS/2 Subsystem for NT
Supprimer les fichiers correspondants Os2.exe, Os2srv.exe et Os2ss.exe (dans le répertoire
C:\WINNT\System32) et le répertoire des librairie C:\WINNT\System32\OS2.
 Suppression du sous-système POSIX

Supprimer la rubrique Posix
(de la clé : HKLM\SYSTEM\CurentControlSet\Session Manager\SubSystem).
Supprimer les fichiers correspondants Psxss.exe et Posix.exe (dans le répertoire
C:\WINNT\System32).
 Suppression du service DCOM

Supprimer la rubrique EnableDCOM
(de la clé : HKLM\SOFTWARE\Microsoft\Ole).
Supprimer la rubrique DCOM Protocols
(de la clé : HKLM\SOFTWARE\Microsoft\Rpc).
Le 06/06/2000 version 1.0 Page 80

 Suppression du protocole DHCP

Supprimer la clé HKLM\SYSTEM\CurrentControlSet\Services\DHCP.
Supprimer les fichiers correspondants Dhcpsvc.dll, Dhcpapi.dll (dans le répertoire
C:\WINNT\System32) et le répertoire C:\WINNT\System32\DHCP.
1.1.1.27 Modifications de HKEY_LOCAL_MACHINE (HKLM)

Clés utilisées lors de l’ouverture d’une session
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Rubrique LegalNoticeCaption : valeur « INFORMATION SÉCURITÉ » (type REG_SZ)
(création d’une fenêtre avant ouverture de session)
Rubrique LegalNoticeText : valeur :
« Vous utilisez une station de travail du système d’information de l’armée de
terre .
Certains traitements ou données auxquels vous pourriez accéder, directement ou
indirectement, pouvant être classifiés, vous devez posséder l’habilitation
correspondante pour poursuivre l’utilisation.
Si vous ne possédez pas l’habilitation requise, vous êtes succeptible de voir votre
responsabilité engagée sur le fondement de l’article 323-1 et/ou 413-11 du Code
pénal et encourir les peines d’amende et d’emprisonnement correspondantes.»
(type REG_SZ)
(affichage du texte dans la fenêtre précédente)
Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY)
Cette clé peut éventuellement être effacée. Mieux vaut interdire plutôt que de ne pas
donner la possibilité.
(empêche l’ouverture automatique d’une session)
Rubrique CachedLogonsCount : valeur 0 (type REG_SZ)
(l’utilisateur ne peut s’authentifier qu’après une réponse du CPD)
 HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD)
(active le protocole de signature des échanges SMB-S)
 HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD)
(impose que seules les stations sur lesquelles le protocole SMB-S est activé sont autorisées
à établir une connexion avec le serveur)
 HKLM\SYSTEM\CurrentControlSet\Control\LSA
Créer RestrictAnonymous : avec la valeur : 1 (type REG_DWORD)
(empêche l’ouverture d’une session non authentifiée par la commande net use)
Clés utilisées lors de la fermeture d’une session
Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ)
(Interdit l’arrêt de la station sans ouverture d’une session)
 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement
Le 06/06/2000 version 1.0 Page 81

Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD)

(nettoyage du fichier d’échange d’une session)
Clés utilisées pour la configuration matérielle de l’ordinateur.
 HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname
Rubrique Autorun avec la valeur : 0 (type REG_DWORD)
(empêche le démarrage en autorun du lecteur de CD-ROM)
Clés utilisées pour la configuration de logiciels.
 HKLM\SYSTEM\CurrentControlSet\Services\CDROM
Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD)
(empêche le compte invité de consulter le journal des événements)
Rubrique SubmitControl : valeur 0 (type REG_DWORD)
(la planification des tâches est utilisable uniquement par l’administrateur)
Rubrique Notification Packages remplacer FPNWCLNT par PASSFILT
(Uniquement sur le CPD améliore le filtrage des mots de passe)
3.4.3 Sécurisation des registres

Jusqu’à maintenant, nous avons vu la manière de protéger les fichiers de la Ruche. Nous
décrivons ici les opérations nécessaires pour protéger les registres, les clés et leurs
valeurs pendant une session. Lors des déclarations des permissions, l’administrateur
vérifiera qu’il n’est pas possible d’éditer les clés de registres via le réseau. Ce
verrouillage est assuré par la présence de la rubrique et de sa valeur :
 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winr
eg
(la créer si elle n’existe pas)
Attribuer la valeur Registry Server ou Serveur de registre (type REG_SZ) à la rubrique :
Description (la créer si elle n’existe pas).
 La sous-clé AllowedPaths
(la créer si elle n’existe pas)
Permet de spécifier les emplacements du registre échappant à ces restrictions.
Pour sécuriser un registre, une rubrique et sa clé, il faut ouvrir la ruche avec
REGEDT32.EXE, modifier les permissions des clés (Sécurité  Permissions) puis décrire
les permissions. Les chapitres suivant décrivent les permissions accordées sur les registres
(Attention pour certaines clés, il faut cocher la case Remplacer la permission des sous-
clés existantes ) :
Afin d’éviter qu’un utilisateur curieux modifie les registres en testant les éditeurs de
registres, il est préférable d’effacer certains fichiers exécutables :
Nom du programme Fonction

C:\WINNT\System32\regedt32.exe Éditeur des registres
C:\WINNT\System32\Regedit.exe Éditeur des registres
Le 06/06/2000 version 1.0 Page 82

L’effacement de ces fichiers exécutables n’est en aucune façon une protection des registres.
Il suffit de copier ces programmes pour pouvoir les utiliser de nouveau. Cette consigne est
une précaution contre des accidents involontaires.
Nous récapitulons ici les MODIFICATIONS des permissions apportées
et NON
les permissions complètes pour chaque clé.
1.1.1.28 Permissions sur HKEY_CLASSES_ROOT (HKCR)
 HKCR
(et ses sous-clés)
Tout le monde Accès spécial (Retrouver la valeur, Énumérer les sous-clés,
Notifier, Lecture du contrôle).
1.1.1.29 Permissions sur HKEY_LOCAL_MACHINE (HKLM)

Attention certaines modifications entraînent des messages d’erreur (plus exactement :
de mise en garde). Ne tenez pas compte de ces messages et poursuivez en validant.
 HKLM\HARDWARE
(et toutes ses sous-clés)
(cette clé contient la description matérielle de l’ordinateur)
 HKLM\SOFTWARE
(certaines sous-clés sont modifiées dans la suite de ce chapitre)
(Cette clé autorise l’installation de nouvelles applications).
 HKLM\SOFTWARE\Microsoft\RPC
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\AeDebug
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Compatibility
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Embedding
Le 06/06/2000 version 1.0 Page 83

 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Fonts
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontsSubstitutes
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontDrivers
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontMapper
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\FontCache
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\GRE_Initialize
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\MCI Extensions
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\PerfLib
(les deux déclarations suivantes permettent à la personne présente sur le poste, du
groupe Interactif, de lire ce registre, mais celles qui interrogent la station via le réseau
ne pourront pas lire le registre)
Notifier).
Groupe Interactif Accès spécial (Retrouver la valeur, Énumérer les sous-clés,
Notifier).
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Port
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList
 HKLM\SOFTWARE\Windows3.1MigrationStatus
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Type1Installer
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WOW
Le 06/06/2000 version 1.0 Page 84

(et ses sous-clés)

(et ses sous-clés)
(cette clé contient les paramètres exécutable à l’ouverture d’une session)
Administrateur Contrôle total.
Créateur propriétaire Contrôle total.
Système Contrôle total.
Tout le monde Lecture.
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(cette clé contrôle les applications exécutées au démarrage d’une session)
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
(cette clé est presque similaire à la précédente)
 HKLM\System\CurrentControlSet\Control\LSA
Tout le monde Lecture.
 HKLM\System\CurrentControlSet\Services\Rdr\Parameters
(et ses rubriques)
 HKLM\System\CurrentControlSet\Control\SecurePipe server\WinReg
(Voir en tête du chapitre)
Tout le monde Aucun accès.
 HKLM\System\CurrentControlSet\Services
(et ses sous-clés)
(cette clé contient les paramètres des clés pour les services de la station : DHCP, DCOM,
UPS, etc.)
1.1.1.30 Permissions sur HKEY_USERS (HKU)
 HKU\Default
Le 06/06/2000 version 1.0 Page 85

3.5 Configuration des permissions d'accès (partage et sécurité)

aux ressources locales
Permissions accordées aux utilisateurs :
Administrate Créateur
Répertoires Utilisateurs Système
ur système propriétaire
Z:\ Modifier Contrôle total (remarque 1) Contrôle total
C:\ Lecture Contrôle total (remarque 1) Contrôle total
C:\WINNT Lecture Contrôle total (remarque 1) Contrôle total
C:\WINNT\System32 Lecture Contrôle total (remarque 1) Contrôle total
C:\WINNT\System32\Drivers Lecture Contrôle total Contrôle total Contrôle total
C:\WINNT\System32\Spool Lecture Contrôle total Contrôle total Contrôle total
C:\WINNT\System32\Config Lecture Contrôle total Contrôle total Contrôle total
C:\WINNT\Profiles Lecture Contrôle total Contrôle total
C:\WINNT\Repair Aucun Contrôle total Contrôle total
C:\WINNT\System32\Repl Aucun Contrôle total Contrôle total Contrôle total
C:\WINNT\System32\repl\Impor
Aucun Contrôle total Contrôle total Contrôle total
t
C:\WINNT\System32\Repl\Expor
Aucun Contrôle total Contrôle total Contrôle total
t
Lecture et
Les applications (remarque 2) Contrôle total Contrôle total Contrôle total
Exécution
Remarque 1 : Le créateur propriétaire est l’administrateur système. Cet

administrateur possède le contrôle total, il est inutile de redéfinir ses
droits sous un autre nom Créateur propriétaire.
Remarque 2 : Si toutes les applications implantées sur la station, sont
rangées dans le répertoire C:\Program Files,. alors la dernière ligne de
ce tableau s’applique à ce répertoire.
3.6 Configuration de l’audit

Les journaux des audits contiendront les événements apparus à l’ouverture et pendant
une session. Ils servent à détecter une attaque ainsi qu’une simple erreur de
manipulation. Les événements de l’audit concerneront les points protégés et ceux
pouvant présenter un risque pour le bon fonctionnement de la station.
Les journaux d’audit sont les traces des anomalies apparues sur le réseau,
l’administrateur doit posséder une méthodologie de gestion des journaux (contre les
journaux trop volumineux, un archivage et une sauvegarde). Ils informent aussi les
utilisateurs du domaine des dysfonctionnements d’une station. Nous traiterons :
 Les événements de l’audit.
 La gestion des journaux d’audits.
Le 06/06/2000 version 1.0 Page 86

3.6.1 Les événements de l’audit
1.1.1.31 Audit sur les sessions
Pour inscrire les événements d’une session, ouvrir le Gestionnaire des utilisateurs
(Démarrer  Programmes  Outils d'administration). Accéder au menu : Stratégie
d’audit puis activer l’audit (bouton Auditer ces événements).
Créer les audits pour les auditeurs :

 Menu des événements de l’audit présente plusieurs événements avec les options
Succès et/ou Échec :
• Ouverture et fermeture d’une session :
Enregistre les ouvertures et les fermetures des sessions.
• Accès fichier et objet :
Enregistre les accès aux objets (par exemple l’accès à un fichier) soumis aux
listes du contrôle ou aux permissions d’accès d’un partage.
• Utilisation des droits de l’utilisateur :
Enregistre les actions faisant appel à un droit des utilisateurs (sauf
Sauvegarder et Restaurer).
• Gestion des utilisateurs et groupes :
Enregistre les actions modifiant la gestion des comptes et des groupes
(ajouter, supprimer, modifier). Seul l’administrateur est autorisé à les gérer.
• Modification stratégie sécurité :
Enregistre les actions modifiant la stratégie d’audit ou de l’affectation de
nouveaux droits d’utilisateurs. Seul l’administrateur est autorisé à gérer les
permissions de la sécurité.
• Redémarrage, arrêt et système :
Enregistre les arrêt et les redémarrage de la station.
• Suivi de processus :
Enregistre les événements système concernant les processus.
 Attribuer l’audit des événements suivants :
Le 06/06/2000 version 1.0 Page 87

• Ouverture et fermeture d’une session :

 Succès (en cas de présomption d’attaques des comptes du
domaine)
 Échecs
• Accès fichier et objet :
 Échecs
• Utilisation des droits de l’utilisateur :
 Succès
 Échecs
• Gestion des utilisateurs et groupes :
 Succès
 Échecs
• Modification stratégie sécurité :
 Succès
 Échecs
• Redémarrage, arrêt et système :
 Succès
 Échecs
• Suivi de processus :
 Échecs
1.1.1.32 Audit sur les fichiers et répertoires
Les événements d’audit sur les accès à des fichiers ou des répertoires (Access Control
List) proviennent des sécurités NTFS. Pour les mettre en œuvre cliquer droit sur le fichier
ou le répertoire, puis accéder Propriétés  Sécurité  Avancé la fenêtre Paramètre
du contrôle d’accès pour <nom du fichier ou répertoire> s’ouvre. Cliquer sur
l’onglet Audit, puis sur le bouton Ajouter sélectionner Administrateur (ou le groupe
administrateur) et valider.
Le 06/06/2000 version 1.0 Page 88

 Le menu des événements de l’audit présente plusieurs options dont certaines

avec le choix Succès et/ou Échec :
• Remplacer l’audit des sous-répertoires :
Attribue le même jeu d’événements inscrit dans les journaux des audits
aux sous-répertoires du répertoire. Utiliser cette option pour les
répertoires importants (exemple : ceux contenant les fichiers des
registres).
• Remplacer l’audit sur les fichiers existants :
Attribue le même jeu d’événements inscrits dans les journaux des audits
aux fichiers du répertoire (même remarque que précédemment).
• Lire :
Informe l’utilisateur d’une tentative de lecture du contenu d’un fichier ou
de l’affichage du contenu d’un répertoire. Cet audit est utilisé pour laisser
une trace dans les journaux des tentatives de lecture des fichiers et les
répertoires importants (exemple : le répertoire et les fichiers des
registres).
• Écrire :.
Informe la création et la modification d’un fichier ou d’un sous-répertoire.
• Exécuter :
Informe l’utilisateur de l’exécution de certains programmes contenus
dans le répertoire spécifié.
• Supprimer :
Informe l’utilisateur de la suppression de fichiers ou de répertoires. Cet
audit est utilisé pour prévenir et éviter des accidents involontaires sur les
fichiers et les répertoires du disque système...
• Modifier les permissions :
Informe l’utilisateur d’une tentative de changement des permissions NTFS
sur l’objet (ce droit est réservé dans tous les cas à l’administrateur).
• Appropriation :
Le 06/06/2000 version 1.0 Page 89

Informe l’utilisateur d’une tentative de contrôle d’un objet par une

personne non habilitée (ce droit est réservé à l’administrateur).
Le 06/06/2000 version 1.0 Page 90

Les modifications des fichiers et répertoires devant laisser une trace dans les journaux
d’audits sont :
Rempl.
Modif.
Répertoires Sous rép. Écrire Suppr. Appro.
Perm.
et fich.
oui Échec Échec Échec Échec
C:\WINNT\system32\Config
Réussie Réussie Réussie
C:\WINNT\system32\Repair
Échec Échec Échec
C:\WINNT\system32\Drivers
Réussie Réussie
C:\WINNT\system32\Spool
Réussie Réussie
C:\WINNT\system32\Import
oui Échec Échec Échec
C:\WINNT\system32\Export
Réussie Réussie
C:\WINNT\Repair
C:\Program Files\Office\Macros
Réussie Réussie
C:\Program Files
Réussie Réussie
La dernière ligne du tableau permet de laisser des traces dans les journaux d’audits pour toutes
modifications des logiciels installés sur la station. Elle sera efficace uniquement si toutes les
applications installées, sont copiées dans le répertoire C:\Program Files.
Modif.
Fichiers Écrire Exécuter Suppr. Appro.
Perm.
Échec Échec Échec Échec
C:\WINNT\system32\Config\*.*
Réussie Réussie Réussie Réussie
C:\WINNT\system32\Repair\*.*
C:\WINNT\system32\Drivers\*.*
Réussie Échec Échec
C:\WINNT\Poledit.exe
Réussie Réussie
C:\WINNT\Regedit.exe
Réussie Réussie
C:\WINNT\system32\addgrpw.exe
Réussie Réussie
C:\WINNT\System32\addusrw.exe
Réussie Réussie
C:\WINNT\System32\at.exe
Le 06/06/2000 version 1.0 Page 91


C:\WINNT\System32\Ftp.exe
C:\WINNT\System32\Net.exe
Réussie Réussie
C:\WINNT\System32\Net1.exe
Réussie Réussie
C:\WINNT\System32\regedt32.exe
Réussie Réussie
C:\WINNT\System32\Restore.exe
Réussie Réussie
C:\WINNT\System32\telnet.exe
C:\Program Files\Microsoft Échec Échec Échec Échec
Office\Modèles Réussie Réussie Réussie Réussie
C:\Program Files\Communicator
1.1.1.33 Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche
avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit
– Clé de registre (Sécurité  Audit). Créer les audits et les auditeurs :
 Bouton Ajouter.
 Choisir les utilisateurs : Groupe administrateur, Utilisateurs du domaine.
 Menu des événements de l’audit pour chaque personne :
• Retrouver la valeur :
(Simple lecture de la valeur d’une clé)
• Positionner la valeur
(Tente de définir une rubrique dans une sous-clé)
• Créer une sous-clé :
(Tente de créer une nouvelle clé dans le registre. Cette manipulation est
réservée à l’administrateur)
• Énumérer les sous-clés :
(Tente d’identifier toutes les clés)
• Notifier :
(Tente de recevoir les notifications d’audit générés par une clé)
• Créer la liaison :
(Tente de créer des liaisons symboliques avec une sous-clé. Cette
manipulation est réservée à l’administrateur)
• Supprimer :
(Tente de supprimer une sous-clé. Cette manipulation est réservée à
l’administrateur)
• Écrire le DAC :
(Tente de modifier la liste de Contrôle d’Accès Discrétionnaire d’une clé.
Cette manipulation est réservée à l’administrateur)
• Lecture de contrôle :
Le 06/06/2000 version 1.0 Page 92

(Tente de lire les informations relatives à la sécurité dans une clé)

 Répéter cette méthode sur les clés contenant toutes les informations sur le
matériel et sur les utilisateurs. Par prudence, les utilisateurs seront avertis des
modifications des registres. Les manipulations des clés :
HKEY_LOCAL_MACHINE, HKEY_CURRENT_CONFIG et HKEY_USERS devront
laisser une trace dans les journaux d’audits :
• HKEY_LOCAL_MACHINE/SOFTWARE
 Positionner la valeur :
Utilisateur : Succès Échecs
Administrateur : Succès Échecs
 Créer une sous-clé :
 Notifier :
 Créer la liaison :
 Supprimer :
 Écrire le DAC :
• HKEY_LOCAL_MACHINE/SYSTEM
 Notifier :
 Supprimer :
• HKEY_CURRENT_CONFIG
 Notifier :
 Supprimer :
Le 06/06/2000 version 1.0 Page 93

• HKEY_USERS
 Notifier :
 Supprimer :
 Fermer la ruche.
3.6.2 La gestion des journaux d’audits
1.1.1.34 Tailles des journaux d’événements
Il convient d’adapter les tailles respectives des journaux aux conditions d’emploi de la
station de travail. Si un ordinateur est utilisé couramment ou par des personnes
curieuses de connaître l’informatique, les journaux risquent de devenir très volumineux.
Il est nécessaire de limiter ces tailles. A contrario, il est inutile de prévoir des tailles trop
importantes et d’utiliser qu’une partie de l’espace réservé. Les tailles allouées pour les
journaux sont modifiables dans le menu : Démarrer  Programmes  Outils
d’administration  Observateur d’événements  Journal  Paramètres du
journal  Taille Maximale du journal. Elle sont toujours des multiples de 64 ko. Les
dimensions retenues dans la mise en œuvre correspondent à une durée de 2 semaines
entre chaque consultation :
 Journal sécurité 1024 ko.
 Journal système 1024 ko.
 Journal applications 1024 ko.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser
les plus anciens événements. Il suffit de cocher la case Écraser les événements si
nécessaire de la même fenêtre.
 Journal sécurité Écraser les événements si nécessaire.
 Journal système Écraser les événements si nécessaire.
 Journal applications Écraser les événements si nécessaire.
Le 06/06/2000 version 1.0 Page 94

1.1.1.35 Sauvegarde des journaux d’événements

Les informations contenues dans les journaux des événements doivent impérativement
être consultées et comparées pour détecter :
 Une attaque éventuelle.
 Les problèmes matériels.
 Les problèmes informatiques.
Les journaux de la station
seront consultés chaque semaine (de préférence le lundi matin afin de découvrir une
attaque pendant les deux jours de la fin de semaine). Il est recommandé de consulter les
journaux chaque jour pour détecter immédiatement toute tentative d’intrusion. Suivant
les possibilités, la personne qui consultera les journaux sera :
 Un utilisateur (celui qui se connecte le plus souvent à la station).
 Un responsable de la section.
 L’administrateur (si personne ne peut assurer cette vérification).
Tous les mois, les journaux seront sauvegardés dans un sous répertoire <nom de la
section>\<nom de la machine>\<type du journal> (remplacer <nom de la
section> par le nom de la section et <type du journal> par Sécurité, Système ou
Applications suivant le cas) et créés sur le serveur de fichiers \\SFI. Ils seront nommés :
« aammjj ». Cette consigne impose que le répertoire, les sous-répertoires et les fichiers
de sauvegarde du serveur de fichiers, soient partagés avec la permission Modifier pour
tous les membres de la section.
Le 06/06/2000 version 1.0 Page 95

Après la sauvegarde des journaux sur le serveur de fichiers, les journaux présents sur la
station sont effacés et de nouveaux journaux des événements vierges sont exploités. Les
anciens journaux enregistrés sur le serveur de fichiers (de plus de 6 mois) seront effacés.
Les journaux du domaine
seront sauvegardés tous les mois sur le serveur de fichiers (sur la partition réservée aux
Administrateurs (Journaux\<type du journal>) ou sur un ordinateur non connecté au
réseau. Les noms des fichiers de sauvegardes seront : aammjj. Si aucune erreur grave
n’est détectée, les journaux des administrateurs seront détruits après chaque
sauvegarde et de nouveaux journaux des événements vierges sont exploités. Les
sauvegardes des journaux conservés sur le serveur de fichiers pendant 6 mois au
minimum puis seront effacés.
Si un utilisateur remarque une anomalie,
il devra alerter immédiatement l’administrateur en charge de la sécurité.
L’archivage
permet de garder, comparer et analyser les journaux. Ils permettent un examen à long
termes des problèmes. Seuls les journaux des administrateurs seront archivés sur CD-
ROM ou sur disquettes, tous les 6 mois ou tous les ans suivant le volume d’informations
collectées ou le nombre de stations connectées au réseau.
Ces supports seront conservés sous clé et classés chronologiquement par
l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de
déterminer rapidement si des événements anormaux correspondent à une attaque ou à
des problèmes périodiques du réseau.
Si un utilisateur remarque une anomalie, il devra alerter immédiatement l’administrateur
de la sécurité. Ce qui oblige que les administrateurs de la sécurité à un laxisme relatif vis
à vis des erreurs des utilisateurs. Il est préférable d’être au courant de tous les
problèmes afin d’éviter qu’une attaque déguisée en erreur ne soit cachée par un
utilisateur.
Le 06/06/2000 version 1.0 Page 96

3.7 Configuration des applications

3.7.1 Les registres des applications

Les applications bureautiques ne doivent pas entrer en conflit avec les consignes de
sécurité adoptées jusqu’à présent. Les sous-clés protégeant les applications du Pack
Office 97sont dans le registre HKEY_LOCAL_MACHINE :
 HKLM\SOFTWARE\Microsoft\Office
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\VBA
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\Internet Explorer
(et ses sous-clés)
 HKLM\SOFTWARE\Microsoft\Windows
(et ses sous-clés)
 HKLM\SOFTWARE\Data Fellows\F-Secure
(et ses sous-clés)
Tout le monde Accès spécial (Retrouver la valeur, Notifier).
3.7.2 Les documents antérieurs

Les utilisateurs doivent être en mesure de contrôler la cohérence des documents ouvert
pendant leurs sessions. Pour permettre cette vérification, les 9 derniers documents
ouverts (le maximum) seront disponibles dans la rubrique Fichier dans la barre des
menus de chaque application.
Application Méthode valeur

Word Outils  Options  Général  Derniers fichiers 9
utilisés
Excel Outils  Options  Général  Derniers fichiers 9
Le 06/06/2000 version 1.0 Page 97

utilisés
PowerPoint Outils  Options  Général  Derniers fichiers 9
utilisés

Les sauvegardes (volontaires et automatiques) des documents des utilisateurs seront
faites sur le serveur de fichier.
Application Intitulés valeur

Outils  Options  Dossiers par défaut
Documents Sur le serveur SFI
Fichiers d’images Sur le serveur SFI
Modèles utilisateurs Sur le serveur SFI
Modèles groupe de travail Vide
Word
Options utilisateur Vide
Récupération automatique de fichiers Vide
Outils
Fichier de démarrage C:\Program Files\Microsoft
Office\Office\DEMARRE
Outils  Options  Général
Excel Dossier par défauts Sur le serveur SFI
Autre dossier de démarrage Vide
Outils  Options
Autoarchivage  Fichier archive par Sur le serveur SFI
défaut :
Outlook Express
Journal  Autoarchiver les entrées du Sur le serveur SFI
journal  Autoarchivage  Déplacer les
anciens éléments vers:
Options
Répertoire de démarrage Z:
Répertoire d’extraction par défaut. Z:
WinZip Répertoire d’ajout par défaut. Z:
Répertoire de travail C:\TEMP
Répertoire de contrôle de base C:\TEMP
Répertoire temporaire Z:
Outils  Options  Options avancées
PowerPoint
Emplacement du fichier par défaut : Sur le serveur SFI
Le 06/06/2000 version 1.0 Page 98

Word utilise deux méthode de sauvegardes des documents. L’enregistrement rapide de

Word crée un fichier contenant les modifications apportées au texte. Cette méthode
permet de copier à la suite toutes les modifications et ainsi de diminuer les accès disque
nécessaires aux changements du passage concerné. Cette opération est plus rapide
qu'un enregistrement normal (surtout sensible pour des documents très volumineux).
Cette rapidité accrue se fait au détriment du volume. La taille de ce fichier est beaucoup
plus importante. Il faut désactiver l’option Autoriser les enregistrements rapides
(onglet Outils  Options  Enregistrement).
3.7.4 Les protections contre les virus de macros

Les virus de macros sont indécelables par tous les logiciels et notamment par les
applications de Microsoft Office (Word, Excel et PowerPoint). La seule option disponible
est la mise en garde à l’ouverture d’un document contenant une macro instruction.
L’utilisateur pourra choisir d’ouvrir le document avec ou sans macros. Cette mise en
garde n’est pas suffisante et il convient de sensibiliser les utilisateurs aux risques des
virus de macros. Pour activer l’affichage du message d’alerte :
Application Méthode Valeur

Word Protection contre les virus contenus Cocher la case
dans les macros
Excel
Activer l’alerte macro Cocher la case
Outils  Options
PowerPoint Protection contre les virus contenus Cocher la case
dans les macros
Certains virus de macros sont écrit en Visual Basic ou ActiveX. Ces langages sont
implémentés par défaut dans la majorité des logiciels de Microsoft Office (notamment
pour créer et exécuter des macros instructions). Il faut interdire ces langages dès
l’installation de Microsoft Office en ne cochant pas les cases correspondant à
Visual Basic.
Le 06/06/2000 version 1.0 Page 99

3.7.5 Paramétrage d’Internet Explorer

Internet Explorer inclus des assistances, des aides et des fichiers temporaires qui sous-
entendent parfois la divulgation d’informations personnelles. Il est donc très important
d’effacer tous les fichiers créés par Internet Explorer (enregistrés dans le répertoire
Temporary Internet Files).
Click droit de la souris sur Internet Explorer  Propriétés puis :

Général :
- Limiter le nombre de jours pendant lesquels ces pages sont
conservées à 5 jours (suivant les besoins).
- Paramètres (de Temporary Internet Files)  Déplacer le
dossier  choisir C:\WINNT\Profiles\« le nom de
l’utilisateur »\Temporary Internet Files.
Sécurité :
- Initialiser les choix avec un niveau de sécurité élevé
(Personnaliser le niveau  choisir Élevé du menu Rétablir
puis cliquer sur Rétablir et valider).
Le 06/06/2000 version 1.0 Page 100

- Interdire l’exécution automatique des commandes ActiveX. Ce

langage peut ouvrir une multitude de fenêtres et provoquer un
déni de service en saturant les ressources de la station. Click
droit de la souris sur Internet Explorer  Propriétés 
Sécurité  Personnaliser le niveau…, puis désactiver :
Contrôles ActiveX reconnus sûrs pour l’écriture de
scripts.
Contenu :
- Ne jamais remplir : Informations personnelles  Profil.
- Désactiver : semi-auto…  Noms d’utilisateurs et mots de
passe sur les formulaires et Demander l’enregistrement
des mots de passe (de Utiliser la saisie semi-
automatique pour).
Avancées :
- Désactiver : Activer les éléments disponibles hors
connexion à synchroniser (du chapitre Navigation).
- Désactiver : Vérifier automatiquement les mises à jour de
Internet Explorer (du chapitre Navigation).
- Désactiver : Fortezza et SSL 2.0 (du chapitre Sécurité).
- Activer : Ne pas enregistrer les pages cryptées sur le
disque (du chapitre Sécurité).
- Activer : Vider le dossier Temporary Internet Files
lorsque le navigateur est fermé (du chapitre Sécurité).
3.7.6 Paramétrage de Communicator V4

La fenêtre es paramètres de Communicator sont réglables par le menu Edition 
Préférences…. Les paramètres importants sont :
Navigator :
Le 06/06/2000 version 1.0 Page 101

- Conserver un Historique de 5 jours maximum.

- Ne pas afficher une page extérieure au réseau lors du démarrage du
navigateur. Le champ Page d’accueil est laissé vierge ou remplit avec le
nom d’une page locale.
- Sous menu Applications :
• Éviter l’utilisation du langage Visual Basic en supprimant Fichier
script VBscript de la liste.
• Éviter l’utilisation du langage Java en supprimant JavaScript
Program de la liste.
• Éviter les appels des macros instructions. Supprimer de la liste
Raccourci macro Microsoft Access.
Courrier et Forums :
- Identité : laisser tous les champs de l’identité et les champs
supplémentaires (bouton Modifier la carte …) vides.
- Serveur de courrier : tous les messages seront stockés sur un serveur
POP si ce serveur existe. Accéder à Modifier, puis cocher la case Laisser
les messages sur le serveur.
Copies et dossiers :
- Vider tous les champs et enlever les options sélectionnées.
Espace disque :
- Cocher la case Ne pas stocker localement les messages qui
dépassent 0 Ko.
Serveur L-DAP et HTTP : (uniquement si l’un de ces serveurs existe)
- Accès distant  Activer l’accès itinérant pour ce profil : ne pas
cocher cette case pour éviter qu’un utilisateur puisse lancer
Communicator depuis toutes les machines du réseau.
Le 06/06/2000 version 1.0 Page 102

- Accès distant  Se souvenir de mon mot de passe pour l’accès

itinérant : ne pas cocher cette case pour éviter de stocker le mot de
passe localement.
- Sélection d’une rubrique  Accepter uniquement :
• Signet.
• Filtres du courrier.
• Carnet d’adresses.
• Préférences de l’utilisateur.
Avancées :
- Désactiver les options : Activer Java, Activer JavaScript (en
désactivant aussi Activer JavaScript pour le courrier et les forums).
Le 06/06/2000 version 1.0 Page 103

Cache :
- Mettre 0 pour le Cache en mémoire (attention tous les accès se feront

au travers du serveur). Il est possible de vider cette mémoire en
appuyant sur le bouton Vider le cache en mémoire.
- Mettre 0 pour le Cache sur disque (attention toutes les pages seront
rechargées à chaque fois). Il est possible de vider cette mémoire en
appuyant sur le bouton Vider le cache sur disque.
- Cocher la case Ne pas stocker de fichier SSL (les messages SSL, sont
stocker en clair dans le cache sur disque).
SmartUpdate :
- Ne pas cocher Activer SmartUpdate.
3.7.7 Protection contre les virus (F-Secure)

L’installation du logiciel antivirus de l’armée de terre F-Secure doit être effectuée par un
répertoire partagée du réseau qui a été crée par l’administrateur avec des options de
sécurité pour éviter une mauvaise manipulation du logiciel par les utilisateurs et sa
désactivation
Le scan des disques durs doit être effectué tous les jours ouvrables
Click droit sur scan de disque dur en veille puis :
Général : « choisir comme cible tous les disques durs »
Avancé :
Méthode F-PROT +AVP
Le 06/06/2000 version 1.0 Page 104

Chercher Cocher les deux cases « Virus et Chevaux de Troie et Virus

macro de document »
Dans Cocher les trois cases « Exécutables et documents,
Archives (ZIP, LZH), et Secteur de Boot »
Action Désinfecter
Lancement du logiciel en double cliquant sur l’icône violet dans la barre des tâches
Onglet Editer  Préférences puis :
Protection :
- Valider la protection dynamique en cochant la case « valider
F-Secure Gatekeeper
- L’action « désinfecter » doit être choisi pour l’action sur un
fichier infecté.
Restriction : « en mode utilisateur »
Invalider la modification ou la création de tâches
Invalider le scan réseau en mode utilisateur
Administration :
Cacher à l’utilisateur « les restrictions, la mise à jour,
le réseau et administration »
L’installation en réseau permet une mise à jour régulière des fichiers de signatures
depuis le poste administrateur et la distribution sur les stations clientes.
Le 06/06/2000 version 1.0 Page 105

ANNEXE
Annexe A : Schéma d’un réseau Windows NT 4.0
Annexe B : Permissions/Droits et Sécurité/Partage
Annexe C : Les profils
Le 06/06/2000 version 1.0 Page 106

A. SCHÉMA D’UN RÉSEAU WINDOWS NT

4.0
Cette annexe donne une vision simple des comptes globaux et locaux, ainsi que la portée
des éléments associés à ces comptes.
Portée de :
- l ’Administrateur du domaine
- les utilisateurs du domaine
- les invités du domaine
- les groupes du dom aine
Les utilisateurs définis

sur le CPD sont défin is
sur le domaine entier Poste Serveur de
fichiers
Portée de : CPD
- l ’administrateur local
- l ’Utilisateur local
- l ’Invité local
Poste Serveur
Imprimante partagée
Windows NT 4.0
Portée de : Portée de :
Imprimante locale
- l ’Administrateur local - l ’Administrateur local
- l ’Utilisateur local - l ’Utilisateur local
- l ’Invité local - l ’Invité local
Poste Client NT 4.0
Workstation
Portée de :
Poste Client NT 4.0
- l ’Administrateur local
Workstation
- l ’Utilisateur local
- l ’Invité local
Poste Client NT 4.0
Workstation
Le terme local indique un caractère lié à la station et donc non reconnu par le réseau.
Le terme global indique un caractère lié au réseau et donc commun à toutes les stations
sauf dans un cas explicitement précisé (par le profil de l’utilisateur).
Les caractéristiques définies sur la station sont donc locales (administrateur local) et les
caractèristiques définies sur le Contrôleur Principal de Domaine sont donc globales
(administrateur global ou du réseau ou du domaine).
Le 06/06/2000 version 1.0 Page 107

Réseau
Les utilisateurs définis

su r le CPD sont définis
su r le domaine entier
Contient : Contient :
- les fichiers utilisateurs - les répertoires de base
- la stratégie système - les répertoires partagés
- les définitions des - les profiles errants
m achines vues du réseau
CPD Serveur de fichiers
Section 2 Contient :
Contient : Section 1
- les profiles com muns - les profiles com muns
- les applications - les applications
- les définitions des - les définitions des
m achines autonomes m achines autonomes
Poste Client NT 4.0 Poste Client NT 4.0

Workstation Workstation
Poste Client NT 4.0 Poste Client NT 4.0

Workstation Workstation
Ce dessin présente la localisation des fichiers, profils et répertoires communs.

L’ouverture d’une session permet de transférer les différentes informations vers la
station utilisée.
Le 06/06/2000 version 1.0 Page 108

A. PERMISSIONS/DROITS ET
SÉCURITÉ/PARTAGE
A.1 Les Permissions NTFS

Les permissions de la sécurité sont intrinsèquement liées au système de fichiers NTFS.
Cette remarque prend tout son sens lorsqu’on compare les permissions d’un partage
avec les permissions de la sécurité :
 Les permissions d’un partage : Elles portent sur les permissions accordées aux
utilisateurs. Elles sont généralement appelées droits.
 Les permissions de la sécurité : Elles sont attribuées aux objets. Elle sont
généralement appelées permissions par opposition aux droits.
C’est en jouant sur ces deux séries de critères que l’on obtient les possibilités et les
interdictions voulues pour un utilisateur. Les permissions de la sécurité sont accessibles
par :
 Click droit sur l’objet  Propriétés  Sécurité
 Ces permissions se déclinent en Permissions standards et en Permissions

spéciales. La liste déroulante du Type d’accès présente ces permissions pour
le type d’utilisateur sélectionné dans la fenêtre supérieure (voir figure
suivante).
Le 06/06/2000 version 1.0 Page 109

Les permissions standards :

Accès standards à un répertoire
Permet de supprimer les sous-répertoires vides

Affiche le propriétaire et les permissions
Permet de s’attribuer des permissions

Afficher les noms des sous-répertoires
Permet de créer des sous-répertoires

Permet l’accès aux sous-répertoires
Permet de modifier les permissions

Permet de supprimer le répertoire
Permet de modifier les attributs
Affiche les attributs
Permissions d’accès spécial à un

répertoire
Aucun accès
Annule toutes les autres permissions
(Aucun) (Aucun)
Lister
(RX) (Non spécifié)
Lire
(RX) (RX)
Ajouter
(WX) (Non spécifié)
Ajouter et Lire
(RWX) (RX)
Modifier
(RWXD) (RWXD)
Contrôle total
Donne toutes les permissions
(Tous) (Tous)
Le 06/06/2000 version 1.0 Page 110

fichier
Le 06/06/2000
Lire
Modifier
(RX) (RX)
Aucun accès
(Tous) (Tous)
Contrôle total
(Aucun) (Aucun)
(RWXD) (RWXD)
Accès standards à un fichier
version 1.0


Page 111
Les permissions spéciales pour un répertoire :

 Les Permissions spéciales sont accessibles en fin de liste des permissions.
Elles reprennent les permissions standards en les regroupant différemment :
Accès spécial d’un répertoire à un répertoire





répertoire
Aucun accès
(Aucun) (Aucun)
Lister
Lire
(RX) (RX)
Ajouter
Ajouter et Lire
(RWX) (RX)
Modifier
(RWXD) (RWXD)
Contrôle total Donne toutes les permissions
Le 06/06/2000 version 1.0 Page 112

(Tous) (Tous)
Contrôle total
(Tous) (Tous)
Le 06/06/2000 version 1.0 Page 113

Accès spécial d’un répertoire à un fichier
fichiers Affiche le propriétaire et les permissions des
Permet de modifier les permissions du fichier

Permet de modifier les attributs des fichiers

Exécute les fichiers programmes
Afficher les attributs des fichiers
Permet de supprimer le fichier

Afficher le contenu des fichiers
Afficher les noms des fichiers
Permet de modifier le fichier

répertoire
Aucun accès
(Aucun) (Aucun)
Lister
Lire
(RX) (RX)
Ajouter
Ajouter et Lire
(RWX) (RX)
Modifier
(RWXD) (RWXD)
Contrôle total
(Tous) (Tous)
Le 06/06/2000 version 1.0 Page 114

Le 06/06/2000 version 1.0 Page 115

Lire
Écrire
Prendre
Exécuter
Supprimer
possession
permissions
Le 06/06/2000
Changer des
P
X
R
Permissions d’accès
O
W
spécial à un répertoire
Affiche les noms des fichiers contenus
Permet d’ajouter des fichiers ou des sous-répertoires
version 1.0

Les permissions spéciales pour un fichier :

Page 116
Contrôle RWXDPO
total
Le 06/06/2000 version 1.0 Page 117

Accès standards
Règles générales pour la partition de travail (Z: sur la station) :
Pour les fichiers Pour les répertoires
Contrôle total Uniquement l’administrateur
Modifier Utilisateurs
Lire
Ajouter
Écriture
Règles générales pour la partition du système (C: sur la station) :

Pour les fichiers Pour les répertoires
Contrôle total Uniquement l’administrateur
Modifier
Lire Utilisateurs
Ajouter
Écriture
Le 06/06/2000 version 1.0 Page 118

A.2 Les permissions d’un partage

Les permissions d’un partage ne sont pas vues à partir du fichier mais à partir des
utilisateurs. Ces permissions sont données pour un utilisateur ou un groupe. Chaque
partage porte un nom unique sur le réseau. L’utilisateur verra ce partage en accédant au
répertoire ou au fichier par le voisinage réseau. Cependant, si le nom du partage se
termine par &, l’utilisateur pourra accéder à ce partage mais sera invisible par le
voisinage réseau.
Cliquer sur le bouton Permissions
Le 06/06/2000 version 1.0 Page 119

Remarques :
 Aucun accès : cette option prime sur toutes les autres permissions. Si
l’utilisateur fait partie de 2 groupes. L’un possède le Contrôle total sur ce fichier
ou répertoire et l’autre Aucun accès, alors il n’aura pas accès.
 Le Contrôle total n’est donné qu’à l’administrateur. Les utilisateurs ne doivent
jamais posséder le droit de prendre possession, ou de partager. Les fichiers
seront uniquement échangés au travers du serveur de fichiers.
A.3 Exemples
A.3.1 Partage d’une imprimante locale

Une imprimante connectée à un ordinateur est créée non partagée par défaut. Pour que
plusieurs stations utilisent cette imprimante, l’administrateur doit créer une permission
de sécurité sur l’imprimante.
 Clique droit sur l’imprimante  Propriétés  Sécurité  Permissions.
 Ajouter comme pour des permissions sur un répertoire les utilisateurs et les
permissions accordées.
 Les permissions accordées sont :
Contrôle total pour l’administrateur.
Imprimer pour les utilisateurs.
 Les groupes ne devant pas utiliser l’imprimante sont précisés avec la
permission Aucun accès.
A.3.2 Partage et sécurité sur des fichiers et répertoires
Le 06/06/2000 version 1.0 Page 120

Le tableau suivant présente un résumé de la manière d’attribuer les permissions de la

sécurité. Il n’y a pas une méthode générale pour déterminer les couples
utilisateurs/permissions. Cependant des réflexe permettent de simplifier la tâche :
 Enregistrer toutes les applications sous le répertoire Program Files.
 Laisser les utilisateurs organiser à leur façon la partition étendue.
 Les données sont copiées uniquement sur la partition étendue.
 Attribuer les permissions pour des groupes.
 Éviter l’attribution des permissions pour des utilisateurs.
Le 06/06/2000 version 1.0 Page 121

Dans ce schéma d’organisation, les permissions d’accès sont :
Permissions d’accès standard

Pour les applications Pour les données
Type d’utilisateur
Fichiers Répertoires Fichiers Répertoires
Contrôle Contrôle Contrôle Contrôle
Administrateur
total total total total
Système
Lire Lire Modifier Modifier
Groupes du domaine (parfois
Ajouter)
Permissions d’accès spécial

Pour les applications Pour les données
Type d’utilisateur
Fichiers Répertoires Fichiers Répertoires
Administrateur
Système
Exécuter Lire, Lire, Écrire, Lire, Écrire,
Groupes du domaine Exécuter Exécuter, Exécuter,
Supprimer Supprime
Le 06/06/2000 version 1.0 Page 122

B. LES PROFILS
Les profiles sont enregistrés sur le disque dur dans le répertoire dans
C:\WINNT\Profiles. Le profile complet d’un utilisateur est composé d’une partie
commune à toutes les personnes et d’une partie spécifique à cet utilisateur. La première
partie est résidente sur la station et propose généralement les applications présentes sur
le disque dur local. La seconde partie du profile est dénommée profile errant (puisque
dans notre cas il est importé sur la station à l’ouverture d’une session). Le nom de son
répertoire est celui de l’utilisateur. La station utilise la variable appelée %USERNAME%
pour créer et gérer les profils.
Répertoire du profile de All Users
Répertoire du profile de %USERNAME% (sur la figure suivante %USERNAME%=“Sec1_Util1”)
Le 06/06/2000 version 1.0 Page 123

Le menu démarrer se décompose en 2 groupes d’applications, plus le groupe contenant

Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de
localiser sur le disque dur et il donne la portée de ces deux groupes :
Nouveau document
office Local
Contenu dans All Users\Menu Démarrer
Ouvrir un document
office
Programmes  Voir le sous menu suivant
Documents  Contenu de %USERNAME%\Recent Global
Paramètres  Contenu dans C:\Panneau de configuration Local
Rechercher  Exécute certaines applications locales et globales
Aide Exécute WINHLP32.EXE Local
Exécuter Renvoi la variable ComSpec (Poste de travail Propriété Local
Environnement
Arrêter… Sert à arrêter l’ordinateur. Local
Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés

par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur
et il donne la portée de ces deux groupes :
Accessoires 
Démarrage 
Mes outils d’administration Concerne le profil %USERNAME%

Globa
Startup 
l
Documents en ligne Contenu de %USERNAME%\Menu
Explorateur Windows NT Démarrer\Programmes
Internet Explorer
Invite de commandes
Démarrage 
Outils d’administration 
Microsoft Access Concerne le profil All USERS
Microsoft Excel
Local
Microsoft Outlook
Microsoft Photo Editor Contenu dans All USERS\Menu Démarrer\Programmes
Microsoft PowerPoint
Microsoft Word
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes

rend cette application disponible par tous les utilisateurs.
Le raccourci d’une application copié dans %USERNAME
%\Menu Démarrer\Programmes rend cette application disponible pour un seul
utilisateur.
Le profile Default User est utilisé pour des clients DHCP ou pour une personne inconnue
(ces deux utilisateurs sont interdits sur le réseau).
Le 06/06/2000 version 1.0 Page 124

Station de Travail

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Station de Travail

Transféré par

Droits d'auteur :

Formats disponibles

SÉCURISATION DU SI

Manuel Windows NT 4.0

sous Windows NT 4.0 Workstation

VERSION DATE MODIFICATIONS NOM

1 23/08/2000 Validation du document LCL PHILIPPOT

Le 06/06/2000 version 1.0 Page i

PAGES DESCRIPTION DES MODIFICATIONS INTRODUITES

Le 06/06/2000 version 1.0 Page ii

Le 06/06/2000 version 1.0 Page iii

3.3 Définition des comptes ..................................................................................65

Le 06/06/2000 version 1.0 Page iv

Manuel Windows NT 4.0 Workstation Station

Le 06/06/2000 version 1.0 Page 1

1.2 Objectifs recherchés

1.3 Structure du document

Le 06/06/2000 version 1.0 Page 2

1.4 Recommandations, symboles et conventions

1.4.1 Le niveau d’exigence

1.4.2 Le niveau de gêne

Le niveau de gêne occasionnée se décline en trois niveaux :

 Le paramétrage n'introduit pas de gêne à l'exploitation du poste.

 Le paramétrage est susceptible de gêner faiblement l'utilisateur lors

 Le paramétrage est susceptible de gêner l'utilisateur lors d'opérations

1.4.3 Conventions de signes et de polices

Le 06/06/2000 version 1.0 Page 3

1.5 Considérations générales

1.5.1 Contexte de référence

Locaux à accès contrôlé

Réseau T CP/IP sur ETHERNET

Poste Client NT 4.0

Poste Client NT 4.0

Figure 1 Architecture de référence pour un site

Hypothèses retenues pour un site donné :

Le 06/06/2000 version 1.0 Page 4

 Ce serveur assure également la fonction de serveur de noms IP (DNS).

1.5.2 Configuration matérielle et logicielle

Le poste de travail à sécuriser est supposé être dans l'état suivant :

1.5.3 Plan d'adressage et plan de nommage

Le plan d'adressage doit être conforme au plan « IP Défense ».

1.5.4 Personnes concernées, rôles et responsabilités

Le 06/06/2000 version 1.0 Page 5

Le 06/06/2000 version 1.0 Page 6

2.1 Protection de la configuration matérielle du poste

2.1.1 Protection physique du poste

cs 1-1 : Protéger l’intégrité physique du poste.

cs 1-2 : Audit de l’intégrité physique du poste.

Niveau d'exigence : Niveau de gêne : 

Le 06/06/2000 version 1.0 Page 7

2.1.2 Protection de la configuration matérielle

cs 2-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.

Niveau d'exigence : Niveau de gêne : 

cs 2-2 : N’autoriser que le périphérique C dans la séquence de Boot.

Niveau d'exigence : Niveau de gêne : 

Le 06/06/2000 version 1.0 Page 8

cs 2-3 : Interdire l’utilisation des ports série.

cs 2-4 : Inhiber les ports USB.

Le 06/06/2000 version 1.0 Page 9

2.2 Protection de l’accès local au poste

cs 3-1 : Présentation d’un message de mise en garde à l’ouverture d’une session.

Niveau d'exigence : Niveau de gêne : 

cs 3-2 : Présentation d’un message de mise en garde pendant la veille du poste.

Niveau d'exigence : Niveau de gêne : 

Le 06/06/2000 version 1.0 Page 10

cs 3-3 : Présentation d’un message de mise en garde sur le poste.