Vous êtes sur la page 1sur 14

Editions ENI

Les stratégies
de groupe (GPO) sous
Windows Server 2008
Implémentation,
fonctionnalités, dépannage

Collection
Expert IT

Extrait
207

Chapitre 6
Stratégies de groupe et sécurité

1. Introduction
Dans le domaine informatique, la sécurité est un des éléments les plus sen-
sibles. Le terme sécurité est large et il englobe une multitude de concepts.
La sécurité physique des données de l'entreprise, l'intégrité des données
informatiques, leur disponibilité et leur sauvegarde contribuent au main-
tien de l'existence de l'entreprise. La majorité des réseaux d'entreprise sont
aujourd'hui connectés à Internet. Il existe deux grandes catégories : la sécu-
rité domestique et la sécurité extérieure.
La sécurité domestique relève de toutes les manipulations maladroites ou
intentionnelles qui peuvent nuire à l'intégrité du réseau local. La sécurité
extérieure doit empêcher les attaques, virus et autres programmes malveil-
lants d'agir. Ceux-ci sont majoritairement issus de l'extérieur de l'entreprise.
Ces intrusions proviennent le plus souvent d'Internet ou de supports
amovibles.
Maîtriser les stratégies de groupe dans les environnements Windows, c'est
augmenter la capacité de sécurisation de l'entreprise. D'innombrables para-
mètres de stratégies liées à la sécurité des postes de travail et des serveurs
ainsi que des données du réseau sont configurables avec les GPO.
208 Les stratégies de groupe (GPO)
sous Windows Server 2008

Les politiques de sécurité varient d'une organisation à une autre, selon les
besoins définis et l'activité de celles-ci. Une fois le niveau de sécurité déter-
miné, il est possible de configurer les stratégies de groupe correspondantes.
Lister et détailler toutes les options de sécurité et leur impact n'est pas
l'objet de cet ouvrage. Nous allons plutôt nous concentrer sur les éléments
principaux inhérents à la sécurité de Windows grâce aux stratégies de
groupe.
Dans ce chapitre, nous présenterons les paramètres de sécurité considérés
comme les plus importants. Nous expliquerons leurs actions et explorerons
les différents niveaux des stratégies de sécurité.

2. Création du domaine et stratégies par défaut


Dans un domaine existant, les administrateurs habilités sont seuls respon-
sables de la création de nouvelles stratégies de groupe, de leurs liaisons aux
sites, aux domaines ou aux unités d'organisations et des paramètres qu'elle
modifie.
Lors de la création d'un nouveau domaine, certaines opérations sont exécu-
tées automatiquement dont la création des stratégies de groupe par défaut.
Initialement, lors de la promotion d'un serveur à contrôleur de domaine,
l'unité d'organisation Domain Controllers est créée dans Active Directory.
C'est dans cette unité d'organisation que seront hébergés les objets contrô-
leur de domaine par défaut.

© Editions ENI - Toute reproduction interdite


La stratégie de groupe Default Domain Policy est ensuite créée et liée au
niveau du domaine. Cette GPO est la stratégie de domaine par défaut. Les
paramètres définis s'appliquent à tous les objets contenus dans Active
Directory.
Pour finir, la stratégie de groupe Default Domain Controllers Policy est
créée et liée à l'unité d'organisation Domain Controllers. Cette GPO définit
les paramètres de stratégies qui s'appliquent aux contrôleurs de domaine de
l'entreprise.
Stratégies de groupe et sécurité
Chapitre 6
209
Microsoft recommande de modifier uniquement les paramètres de sécurité
de ces stratégies de groupe. Pour toute modification n'ayant aucun lien
avec la sécurité, il est préférable de créer des GPO exclusives. Il est ensuite
possible de les lier au niveau du domaine si nécessaire.

n Remarque
Attention : si l'intégrité des stratégies de groupe Default Domain Policy et
Domain Controllers Policy est altérée, il est très difficile de revenir en
arrière !

2.1 La stratégie Default Domain Policy


La stratégie Default Domain Policy est par défaut liée au domaine Active
Directory.
Le but principal de cette stratégie est de définir les politiques utilisées pour
les comptes utilisateurs du domaine.
Voici les trois paramètres de stratégie qui nous intéressent :
- Politiques de mot de passe
- Stratégies de verrouillage du compte
- Stratégies des comptes Kerberos
Ces trois paramètres définissent la façon dont les comptes utilisateurs vont
fonctionner dans le réseau. Vous pouvez modifier directement la stratégie
de groupe Default Domain Policy ou créer une nouvelle GPO pour configu-
rer les paramètres de comptes utilisateurs de votre organisation. Une fois la
GPO terminée, il suffit de la lier au domaine pour qu'elle fonctionne de la
même façon que la stratégie par défaut Default Domain Policy.
L'utilisation de cette option garantit l'intégrité de la stratégie Default
Domain Policy et ne prend pas plus de temps à configurer. Dans ce cas, il
est impératif de prendre en compte les principes de précédence des GPO.
210 Les stratégies de groupe (GPO)
sous Windows Server 2008

2.1.1 Les paramètres de stratégie du domaine


Il existe cinq paramètres de stratégie qui, une fois modifiés, ne prennent
effet que si la GPO est liée au niveau du domaine. Voici la liste de ces para-
mètres et leurs fonctions :
- Forcer la déconnexion des comptes… : il est possible de définir les plages
horaires pendant lesquels les comptes Active Directory des utilisateurs
fonctionnent. Passée la limite, les utilisateurs sont automatiquement
déconnectés de leurs sessions.
- Comptes : Renommer le compte administrateur local : vous pouvez
renommer le nom du compte administrateur local du poste.
- Comptes : Renommer le compte invité : vous pouvez l'utiliser pour
renommer le compte invité sur les postes de travail.
- Comptes : Statut du compte administrateur : cette option fonctionne à
partir des versions Windows Server 2003 et supérieures. Vous pouvez
désactiver le compte administrateur local sur les postes de travail.
- Comptes : Statut du compte invité : cette option fonctionne à partir des
versions Windows Server 2003 et supérieures. Vous pouvez désactiver le
compte invité sur les postes de travail.

n Remarque
Ces paramètres de stratégie ne fonctionnent que s'ils sont appliqués au
domaine entier.

2.1.2 Modifier la Default Domain Policy ou en créer une nouvelle


Il est possible de modifier directement la Default Domain Policy pour

© Editions ENI - Toute reproduction interdite


configurer le comportement des comptes utilisateurs du domaine ou de
créer une stratégie à part entière et de la lier au niveau du domaine.
Si vous choisissez de créer une nouvelle GPO pour configurer les comptes
utilisateurs, le problème de la précédence des GPO se pose. Or, dans le cha-
pitre Gérer les stratégies avec la console GPMC 2.0 (Gérer les GPO avec la
console de gestion des stratégies de groupes - GPMC 2.0), nous avons indi-
qué que la dernière GPO qui s'applique "gagne". Il faudra donc changer la
précédence de la stratégie des comptes utilisateurs pour qu'elle s'applique
en dernier, après la Default Domain Policy. Sinon, les paramètres de confi-
guration des comptes utilisateurs ne prendront pas effet sur les postes de
Stratégies de groupe et sécurité
Chapitre 6
211
travail car ils seront annulés et remplacés par ceux de la Default Domain
Policy.
Il est recommandé de modifier la Default Domain Policy directement pour
les paramètres de stratégies des comptes utilisateurs. Il faut penser à lui
attribuer le niveau de précédence le plus élevé, et éviter l'apparition de con-
flit car elle aura la priorité sur les autres GPO du domaine.

2.2 Stratégie Default Domain Controllers Policy


Dans un domaine Active Directory, tous les serveurs promus au rang de
contrôleurs de domaine sont automatiquement intégrés à l'Unité d'Organi-
sation Domain Controllers.
La stratégie Default Domain Controllers Policy créée par défaut à la mise
en place du domaine définit les paramètres de stratégie qui s'appliquent à
tous les contrôleurs de domaine contenus dans l'Unité d'Organisation
Domain Controllers.
Vous pouvez également créer une nouvelle GPO pour configurer les contrô-
leurs de domaine et lui attribuer le plus haut niveau de précédence pour
qu'elle s'applique après la stratégie par défaut. Mais il est recommandé
d'utiliser la Default Domain Controllers Policy disponible à cet effet.

2.3 Réparer les stratégies par défaut (Default Domain Policy


et Default Domain Controllers Policy)
Il arrive que les stratégies de groupe soient corrompues et ne fonctionnent
plus correctement. Il est recommandé d'utiliser les sauvegardes des straté-
gies par défaut faites idéalement avant les premières modifications.
Si aucune sauvegarde n'a été effectuée, Windows Server 2008 propose des
outils en ligne de commande qui permettent de restaurer les stratégies de
groupe à leur état initial. Ces commandes fonctionnent à partir de la ver-
sion 2003 de Windows Server et offre les fonctionnalités suivantes : restau-
ration de la stratégie Default Domain Policy ou de Default Domain
Controllers Policy ou les deux ensembles.
212 Les stratégies de groupe (GPO)
sous Windows Server 2008

Pour effectuer une restauration des stratégies de domaine par défaut, il faut
être connecté au serveur contrôleur de domaine principal avec les droits
d'administration requis.
Une fois authentifié, éditez une fenêtre de commande DOS et tapez la
commande DCGPOFIX en choisissant un des paramètres suivants :
DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.
DCGPOFIX /Target:DC pour restaurer la Default Domain Controllers
Policy.
DCGPOFIX /Target:BOTH pour restaurer les deux.
Toutefois, DCGPOFIX ne fonctionne pas si le schéma Active Directory a
subi des modifications depuis l'installation du contrôleur de domaine.
Dans ce cas, utilisez la commande suivante :
GPOFIX /ignoreschema pour ignorer les modifications du schéma.

n Remarque
Astuce : pour restaurer les GPO par défaut d'un contrôleur de domaine
Windows Server 2000, vous pouvez télécharger l'outil RecreateDefPol sur le
site de Microsoft.

3. Configurer la Default Domain Policy


Comme évoqué précédemment dans ce chapitre, la Default Domain Policy

© Editions ENI - Toute reproduction interdite


comporte trois paramètres principaux qu'il est intéressant de configurer.
Nous rappelons que ces paramètres concernent la sécurité et plus particu-
lièrement la gestion des comptes utilisateurs du domaine.
Les objets de stratégie sont localisés dans le nœud Configuration ordina-
teur - Stratégies - Paramètres Windows - Stratégie de comptes.
Dans ce paragraphe, nous allons définir et mettre en place une politique de
gestion des comptes utilisateurs du domaine.
Editions ENI

Windows Server 2008 R2


Administration avancée

Collection
Expert IT

Extrait
201

Chapitre 5
Mise en place des services
réseaux d'entreprise

1. Introduction
Ce chapitre est consacré à la définition et la configuration des composants néces-
saires au bon fonctionnement d'un réseau d'entreprise basé sur Windows
2008/2008 R2.
Les composants IP, DNS, DHCP, WINS, ainsi que la mise en place de la quaran-
taine réseau sur DHCP, IPSEC et 802.1x seront abordés.

2. L’implémentation d'un système d'adressage IP


La mise en place de toute architecture réseau passe par l’analyse des réseaux exis-
tants. Il est souvent difficile de modifier l’ensemble en une seule fois. La migration
se fait donc souvent en implémentant un nouvel adressage réseau et une cohabita-
tion avec les réseaux existants. La modification de l’adressage IP est souvent vue
comme une modification coûteuse, n’apportant que peu d’avantages
supplémentaires.
Le changement d’un domaine DNS est encore plus compliqué, surtout lorsque ce
domaine DNS sert de support à un domaine Active Directory. Dans ce cas, une
migration représente une étude particulière qui sort du cadre de cette présentation.
202 Windows Server 2008 R2
Administration avancée

2.1 Le choix de l'architecture réseaux


Deux point précis sont à étudier à ce niveau :
- le choix de la zone DNS ;
- le choix de la classe réseau.

2.1.1 La zone DNS


Deux aspects sont importants lors du choix de la zone DNS.
Le nom de la zone DNS choisi doit correspondre à l’intégralité de l’entité (Entre-
prise, Groupe, etc.) que l’on souhaite gérer. Ce nom doit pourvoir être accepté par
toutes les entités dépendantes qui vont se retrouver dans cette zone. Le problème
est beaucoup plus politique que technique !
Si une entité n’entre pas dans ce cadre, cela veut dire qu’une zone DNS spécifique
devra lui être affectée.
Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément pu-
blic et enregistré, c'est-à-dire utilisant une extension reconnue de type " .FR, .COM
.INFO... " !
En revanche, pour un réseau interne, le domaine peut être public ou privé. Le
choix le plus courant est alors d’utiliser un domaine DNS local avec une extension
inconnue sur Internet. L’extension .local est très souvent utilisée sous la forme
MaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile à
sécuriser. En revanche, l’utilisation d’un même nom suppose une double adminis-
tration, donc plus complexe, de serveurs DNS différents pour ne rendre visible sur
Internet que ce qu’il est souhaitable de montrer.

2.1.2 La classe réseau


Pour tous les réseaux internes, le choix se portera évidemment toujours sur les

© Editions ENI - Toute reproduction interdite


classes réseaux privées. Si l’on ne peut pas toujours modifier l’intégralité des
réseaux existants pour des raisons souvent historiques, on peut au moins créer
tous les nouveaux réseaux en suivant cette règle.
La classe du réseau se choisit en fonction du nombre de machines présentes sur le
réseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représente
souvent le bon choix initial. Il est toujours possible de changer de classe, de réseau
ou même surtout d’utiliser plusieurs réseaux en fonction des besoins.
L’usage de TCPIPv6 n’est pas encore bien développé mais deviendra nécessaire
dans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local,
il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devrait
évoluer très rapidement !
Mise en place des services réseaux d'entreprise
Chapitre 5
203

2.2 L’installation d’un serveur DHCP


Si le service DHCP permet de mettre en place rapidement le réseau choisi, il per-
met aussi de modifier rapidement et globalement une série de paramètres. Il reste
encore quelques irréductibles qui n’utilisent pas ce service, c’est maintenant
rarissime.
Parmi les nombreux composants de Windows 2008/2008 R2, le service DHCP est
un rôle.

2.2.1 Définition
Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir une
adresse IP et un masque à tout périphérique réseau (station, serveur ou autre) qui
en fait la demande. Selon la configuration, d’autres paramètres tous aussi impor-
tants seront transmis en même temps : les adresses IP de la route par défaut, des
serveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine, pour ne citer
que les principaux.
DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servir
qu’exceptionnellement aux serveurs.

2.2.2 L’installation
Comme pour tous les composants Windows, l’installation peut se faire graphique-
ment ou en mode commande sans avoir besoin d’insérer le moindre média.
servermanagercmd –install DHCP

n Remarque
Attention, le service devra être mis en démarrage automatique !

sc \\%COMPUTERNAME% config DHCPServer start= auto

Le service peut ensuite être démarré de manière classique :


NET START DHCPSERVER

Le démarrage du service permet de le rendre accessible et configurable.


Pour que le service DHCP commence à distribuer des adresses, il est indispensable
de configurer et d’activer une étendue.
Attention, si le serveur qui héberge DHCP fait partie d’une forêt Active Directory,
il doit en plus avoir été autorisé par des administrateurs membres du groupe
« Administrateurs de l’entreprise » ou ayant reçu les droits d’administration
DHCP.
204 Windows Server 2008 R2
Administration avancée

Le service DHCP comme les autres services réseaux de références (DNS, WINS)
devraient toujours être installés sur des serveurs disposant d’adresses IP fixes.

2.2.3 La configuration
La console d’administration DHCP est automatiquement installée en même temps
que le service, mais peut aussi être lancée à partir de toute autre machine possé-
dant cette console.
Même sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs) que
vous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique-
ment.

s Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autori-
sés, puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.
Les serveurs autorisés apparaissent avec une flèche verte.

© Editions ENI - Toute reproduction interdite


Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pour
chaque réseau IP.
Mise en place des services réseaux d'entreprise
Chapitre 5
205
Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant le
masque standard 255.255.255.0 !

La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin de
laisser de la place pour les serveurs, les adresses IP réservées pour les imprimantes.
La route par défaut fait partie des paramètres habituels liés à l’étendue.
Les options au niveau du serveur contiennent les paramètres qui sont valables glo-
balement sur toutes les étendues.
206 Windows Server 2008 R2
Administration avancée

Les options Serveurs (005,006,015,046) servent de valeur par défaut, mais sont
remplacées par les options de l’étendue qui ont priorité.
- La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de
recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes de
recherche.
- Le Type de Nœud avec la valeur 0x8 configure le mode de résolution hybride.
C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera faite en premier,
avec bascule en mode Broadcast en cas d’échec.
Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes à
configurer.
Par exemple, lorsque la zone Tentatives de détection de conflit est configurée
avec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi-
ner l’existence éventuelle d’une machine sur cette adresse.

© Editions ENI - Toute reproduction interdite


La mise à jour dynamique des DNS est un élément particulièrement important à
gérer.