Guide de sécurité Windows Server 2003

  • Article

Présentation

Dernière mise à jour le 27 décembre 2005

La mise à jour du Guide de sécurité Windows Server 2003 comporte des recommandations spécifiques pour le renforcement des ordinateurs qui exécutent Microsoft® Windows Server™ 2003 avec le Service Pack 1 (SP1) dans trois environnements d'entreprise distincts : un premier dans lequel les systèmes d’exploitation anciens, tels que Windows NT® 4.0 et Windows® 98 doivent être pris en charge ; un deuxième dans lequel Windows 2000 est la version la plus récente du système d'exploitation Windows et enfin un troisième dans lequel la sécurité est si importante que la perte de fonctionnalités et de souplesse de gestion est considérée comme un compromis acceptable pour bénéficier de la sécurité maximale. Ces trois environnements sont appelés Client hérité (LC), Client Entreprise (EC) et Sécurité spécialisée – Fonctionnalité limitée (SSLF) dans ce guide.

Les conseils relatifs au renforcement des ordinateurs dans ces trois environnements sont fournis en fonction d'un groupe de rôles de serveur distincts. Les contre-mesures décrites et les outils fournis supposent que chaque serveur a un rôle unique. Si vous devez combiner des rôles pour certains serveurs de votre environnement, vous pouvez personnaliser les modèles de sécurité qui sont inclus dans la version téléchargeable qui accompagne ce guide, afin de créer la combinaison appropriée d'options de services et de sécurité. Parmi les rôles de serveur mentionnés dans ce guide, citons :

  • Les contrôleurs de domaine qui fournissent également des services DNS

  • Les serveurs d'infrastructure qui fournissent des services WINS et DHCP

  • Serveurs de fichiers

  • Serveurs d’impression

  • Serveurs Web tels que Microsoft Internet Information Services (IIS)

  • Serveurs Internet Authentication Services (IAS)

  • Serveurs Certificate Services

  • Bastions Internet

Nous nous sommes efforcés de présenter nos recommandations de façon aussi claire que possible, pour vous permettre de trouver rapidement les informations dont vous avez besoin et de déterminer les paramètres les mieux adaptés aux ordinateurs de votre entreprise. Ce guide a été conçu pour les grandes entreprises. Cependant, il contient des informations qui conviennent à toutes les organisations, quelle que soit leur taille.

Pour bénéficier pleinement de ce guide, nous vous conseillons de le lire dans son intégralité. Il est également recommandé de consulter le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP, qui est disponible sur le site http://go.microsoft.com/fwlink/?LinkId=15159.

Sur cette page

À qui s'adresse ce guide
Présentation du guide
Ressources associées
Vos commentaires
Services de conseils et d'assistance

À qui s'adresse ce guide

Ce guide s'adresse avant tout aux consultants, aux spécialistes en sécurité, aux architectes système et aux professionnels de l'informatique responsables des phases de planification du développement d'applications ou d'infrastructures et du déploiement de Windows Server 2003. Ce guide ne concerne pas les utilisateurs particuliers.

Les spécialistes de la sécurité et architectes informatiques pourront avoir besoin d'informations plus détaillées concernant les paramètres de sécurité abordés dans ce guide. Vous trouverez plus d'informations dans le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP à l'adresse http://go.microsoft.com/fwlink/?LinkId=15159.

Haut de page

Présentation du guide

Chapitre 1 : Présentation du guide de sécurité Windows Server 2003

Ce chapitre effectue une synthèse du Guide de sécurité Windows Server 2003 et inclut un bref aperçu de chaque chapitre. Il décrit également les environnements Client hérité, Client Entreprise et Sécurité spécialisée – Fonctionnalité limitée, ainsi que les ordinateurs qui appartiennent à ces derniers.

Chapitre 2 : Mécanismes de renforcement de Windows Server 2003

Ce chapitre fournit un aperçu général des principaux mécanismes de renforcement de Windows Server 2003 avec SP1 : l'Assistant Configuration de la sécurité (SCW) et la stratégie de groupe Active Directory. Il explique comment l'Assistant SCW met en place un cadre interactif pour créer, gérer et tester les stratégies de sécurité pour les ordinateurs basés sur Windows Server 2003 recourant à des rôles de serveur différents. Il évalue aussi les privilèges de SCW dans le contexte des trois environnements décrits dans le chapitre 1.

La section suivante de ce chapitre fournit des descriptions de haut niveau de la structure d'Active Directory, des unités d'organisation (UO), des objets de stratégie de groupe (GPO), de groupe d'administration et de stratégie de domaine. Ces sujets sont abordés dans le contexte des trois environnements décrits dans le chapitre 1 pour mettre en place l'environnement sécurisé idéal.

Ce chapitre se termine par une analyse détaillée de la façon dont ce guide associe les meilleures fonctionnalités de SCW et les approches traditionnelles de type GPO pour renforcer Windows Server 2003 avec SP1.

Chapitre 3 : Stratégie de domaine

Ce chapitre porte sur les paramètres de modèle de sécurité et les contre-mesures supplémentaires relatives aux stratégies de niveau du domaine dans les trois environnements décrits dans le chapitre 1. Ce chapitre ne porte pas sur un rôle de serveur spécifique, mais sur les stratégies et les paramètres qui sont utiles pour les stratégies de domaine au plus haut niveau.

Chapitre 4 : Stratégie de base des serveurs membres

Ce chapitre porte sur la mise en place d'une stratégie de base des serveurs membres (MSBP) pour les rôles de serveur qui sont abordés plus loin dans ce guide.

Chapitre 5 : Stratégie de base du contrôleur de domaine

Le rôle du serveur de contrôleur de domaine est l’un des rôles les plus importants à sécuriser dans tout environnement Active Directory pour les ordinateurs qui exécutent Windows Server 2003 avec SP1. Toute atteinte à l’intégrité d’un contrôleur de domaine ou la perte de ce dernier pourrait avoir des conséquences graves pour les clients, serveurs et applications s’appuyant sur les contrôleurs de domaine pour l’authentification, la stratégie de groupe et un annuaire LDAP (Lightweight Directory Access Protocol) central. Dans les trois environnements qui sont définis dans ce guide, les contrôleurs de domaine fournissent également des services DNS.

Chapitre 6 : Rôle du serveur d'infrastructure

Dans ce chapitre, le rôle du serveur d'infrastructure fournit des services DHCP ou WINS. Vous disposez d'informations sur la façon dont les serveurs d'infrastructure Windows Server 2003 avec SP1 de votre environnement peuvent bénéficier de paramètres de sécurité non appliqués par la Stratégie de base des serveurs membres (MSBP).

Chapitre 7 : Rôle du serveur de fichiers

Ce chapitre explique comment renforcer des ordinateurs qui fonctionnent en tant que serveurs de fichiers et pourquoi il est difficile de les renforcer. Les services les plus importants des serveurs de fichiers nécessitent des protocoles de type NetBIOS Windows et SMB (Server Message Block) et CIFS (Common Internet File System). Les protocoles SMB et CIFS sont généralement utilisés pour ménager un accès aux utilisateurs authentifiés. Cependant, lorsqu'ils sont mal sécurisés ils risquent également de divulguer des informations précieuses à des utilisateurs ou des attaquants non authentifiés. Cette menace entraîne souvent la désactivation de ces protocoles dans les environnements sous haute sécurité. Ce chapitre indique comment les serveurs de fichiers exécutant Windows Server 2003 avec SP1 peuvent bénéficier de paramètres de sécurité non appliqués par la stratégie MSBP.

Chapitre 8 : Rôle du serveur d'impression

Ce chapitre porte sur les serveurs d'impression. Comme pour les serveurs de fichiers, les services essentiels des serveurs d'impression impliquent l'usage de protocoles Windows NetBIOS et de protocoles SMB et CIFS. Comme indiqué précédemment, les protocoles SMB et CIFS sont souvent désactivés dans les environnements haute sécurité. Ce chapitre indique comment les paramètres de sécurité du serveur d'impression de Windows Server 2003 avec SP1 peuvent être renforcés sous une forme non appliquée par la stratégie MSBP.

Chapitre 9 : Rôle du serveur Web

Ce chapitre indique en quoi la sécurité totale des sites Web et des applications nécessite un serveur IIS entier (y compris tous les sites Web et applications s’exécutant sur le serveur IIS) pour être protégé contre les ordinateurs clients de votre environnement. Les sites Web et les applications doivent également être protégés des autres sites Web et applications exécutés sur le même serveur IIS. Les pratiques permettant de s'assurer que ces mesures sont appliquées par les serveurs IIS de Windows Server 2003 avec SP1 dans votre environnement sont décrites dans ce chapitre.

Chapitre 10 : Rôle du serveur IAS

Les serveurs IAS (Internet Authentication Service) fournissent des services RADIUS (Remote Authentication Dial-in User Service), un protocole standard d'authentification conçu pour vérifier l'identité de clients qui accèdent aux réseaux à distance. Ce chapitre indique comment les serveurs IAS exécutant Windows Server 2003 avec SP1 peuvent bénéficier de paramètres de sécurité non appliqués par la stratégie MSBP.

Chapitre 11 : Rôle du serveur de services de certificats

Les services de certificat fournissent les services de cryptographie et de gestion des certificats nécessaires à l’élaboration d’une infrastructure à clé publique (PKI) dans votre environnement de serveur. Ce chapitre indique comment les serveurs de service de certificats qui exécutent Windows Server 2003 avec SP1 peuvent bénéficier de paramètres de sécurité non appliqués par la stratégie MSBP.

Chapitre 12 : Rôle du serveur bastion Internet

Les clients peuvent accéder aux serveurs bastion par l'intermédiaire d'Internet. Ce chapitre explique comment ces systèmes en accès public sont susceptibles de se faire attaquer par de nombreux utilisateurs qui peuvent rester complètement anonymes s'ils le souhaitent. Dans la mesure où de nombreuses entreprises n'étendent pas leur infrastructure de domaine jusqu'à Internet, ce chapitre porte sur le renforcement des ordinateurs autonomes qui exécutent Windows Server 2003 avec SP1, mais n'appartiennent pas à un domaine de type Active Directory.

Chapitre 13 : Conclusion

Le dernier chapitre de ce guide revient sur les points importants abordés au cours des chapitres précédents.

Annexe A : Outils de sécurité et formats

Le Guide de sécurité Windows Server 2003 porte essentiellement sur l'utilisation de l'Assistant SCW afin de créer des stratégies converties ensuite en modèles de sécurité et objets de stratégie de groupe, mais vous disposez également de divers outils et formats de fichier qui peuvent compléter ou remplacer cette méthode. Cette annexe fournit la liste des principaux outils et formats.

Annexe B : Paramètres clés à prendre en considération

Le Guide de sécurité Windows Server 2003 aborde de nombreuses contre-mesures et de nombreux paramètres de sécurité, mais il est essentiel de comprendre que certains d'entre eux sont particulièrement importants. Cette annexe présente les paramètres qui auront le plus d'impact sur la sécurité des ordinateurs qui exécutent Windows Server 2003 avec SP1.

Annexe C : Résumé des paramètres du modèle de sécurité

Cette annexe présente le classeur Microsoft Excel® « Windows Server 2003 Security Guide Settings » (Paramètres du Guide de sécurité de Windows Server 2003) qui est inclus avec les outils et les modèles dans la version téléchargeable de ce guide à l'adresse http://go.microsoft.com/fwlink/?LinkId=14846. Cette feuille de calcul fournit une référence complète sous une forme compacte et pratique de tous les paramètres recommandés pour les trois environnements définis dans ce guide.

Annexe D : Test du guide de sécurité Windows Server 2003

Le Guide de sécurité Windows Server 2003 fournit une quantité significative d'informations sur la manière de renforcer les serveurs qui exécutent Windows Server 2003 avec SP1. Néanmoins, le lecteur doit toujours garder à l'esprit qu'il faut tester et valider systématiquement les paramètres proposés avant de les mettre en œuvre dans un environnement de production.

Cette annexe fournit des instructions sur la manière de créer un environnement de laboratoire de test permettant d'assurer la mise en œuvre des paramètres recommandés dans un environnement de production. Ceci aide les utilisateurs à procéder à la validation nécessaire et à minimiser la quantité de ressources requises à cette fin.

Outils et modèles

Cette section regroupe les modèles de sécurité, les scripts et les outils supplémentaires qui sont inclus avec la version téléchargeable de ce guide pour aider votre organisation à évaluer, tester et mettre en œuvre les contre-mesures recommandées. Les modèles de sécurité sont des fichiers texte qui peuvent être importés dans des stratégies de groupe basées sur le domaine ou appliquées localement avec le composant logiciel enfichable Configuration de sécurité MMC (Microsoft Management Console). Ces procédures sont détaillées dans le chapitre 2, "Mécanismes de renforcement de Windows Server 2003". Les scripts inclus dans ce guide incluent des scripts de création et de liaison des objets Stratégie de groupe, ainsi que les scripts de test permettant de tester les contre-mesures recommandées.

Haut de page

Ressources associées

Pour plus d'informations concernant les paramètres de sécurité recommandés dans ce guide, téléchargez le guide compagnon, Menaces et contre-mesures : Paramètres de sécurité dans Windows Server 2003 et Windows XP à l'adresse http://go.microsoft.com/fwlink/?LinkId=15160 et le Guide de sécurité de Windows XP à l'adresse http://go.microsoft.com/fwlink/?LinkId=14840. Vous pouvez lire les autres solutions de sécurité de l'équipe Microsoft Solutions for Security and Compliance (MSSC) à l'adresse www.microsoft.com/technet/community/columns/sectip/st0805.mspx.

Haut de page

Vos commentaires

L'équipe Microsoft Solutions for Security and Compliance (MSSC) aimerait avoir votre avis sur ce sujet et d'autres solutions de sécurité.

Une opinion ? Partagez-là sur le blog des solutions de sécurité des professionnels de l'informatique.

Ou envoyez vos commentaires par courrier électronique à l'adresse suivante : SecWish@microsoft.com. Nous répondons souvent aux commentaires envoyés à cette adresse.

Nous les attendons avec impatience.

Haut de page

Services de conseils et d'assistance

De nombreux services sont disponibles pour aider les entreprises à sécuriser leurs environnements. Utilisez les liens suivants pour accéder aux services dont vous avez besoin :

Pour les partenaires agréés Microsoft Gold Certified Partners, les Microsoft Certified Technical Education Centers, les partenaires agréés Microsoft Certified Partners et les produits des fournisseurs de logiciels indépendants (ISV) utilisant les technologies Microsoft, effectuez une recherche dans l'annuaire des ressources Microsoft (Microsoft Resource Directory) à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=43094.

Pour trouver les conseils et l'assistance correspondant exactement aux besoins de votre entreprise, visitez le site Microsoft Services à l'adresse : http://www.microsoft.com/france/grandes-entreprises/vos-projets/microsoft-services/default.mspx.

Téléchargement

Obtenir le Guide de sécurité Windows Server 2003

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions

Haut de page