DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 885409 - Dernière mise à jour: samedi 14 mai 2011 - Version: 3.0

Sommaire

Résumé

Microsoft, le Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) et le National Institute of Standards and Technology (NIST) ont publié des « guides de configuration de la sécurité » pour Microsoft Windows.

Les niveaux de sécurité élevés spécifiés dans certains de ces guides peuvent limiter de manière considérable les fonctionnalités d'un système. Par conséquent, il est conseillé d'effectuer des tests approfondis avant de déployer ces recommandations. Nous recommandons de prendre des précautions supplémentaires lors des opérations suivantes :
  • modification de listes de contrôle d'accès (ACL) pour les fichiers et clés de Registre ;
  • activation de Client réseau Microsoft : communications signées numériquement (toujours) ;
  • activation de Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe ;
  • activation de Cryptographie système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature ;
  • désactivation du service Mises à jour automatiques ou Service de transfert intelligent en arrière-plan (BITS) ;
  • désactivation du service Accès réseau ;
  • activation de NoNameReleaseOnDemand.
Microsoft soutient vivement les efforts du secteur industriel ayant pour but d'offrir des directives en matière de déploiement dans des zones à sécurité élevée. Toutefois, vous devez tester minutieusement les directives dans l'environnement cible. Si vous avez besoin de paramètres de sécurité autres que les paramètres par défaut, nous vous conseillons vivement de consulter les guides publiés par Microsoft. Ces guides peuvent servir de point de départ pour les exigences de votre organisation. Pour toute question ou assistance concernant un guide tiers, contactez son éditeur.

Introduction

Ces dernières années, plusieurs organisations, parmi lesquelles Microsoft, le Center for Internet Security (CIS), la National Security Agency (NSA), la Defense Information Systems Agency (DISA) et le National Institute of Standards and Technology (NIST), ont publié des « guides de configuration de la sécurité » pour Windows. Comme pour toute directive en matière de sécurité, la sécurité supplémentaire requise a souvent un effet adverse sur la facilité d'utilisation.

Plusieurs de ces guides, y compris ceux publiés par Microsoft, le CIS et le NIST, contiennent plusieurs niveaux de paramètres de sécurité. Ces guides peuvent inclure des niveaux destinés aux aspects suivants :
  • interopérabilité avec des systèmes d'exploitation antérieurs ;
  • environnements d'entreprise ;
  • sécurité améliorée qui procure des fonctionnalités limitées.

    Remarque Ce niveau est souvent appelé « niveau de sécurité spécialisé à fonctionnalité limitée » ou niveau « Sécurité élevée ».
Il est destiné spécifiquement aux environnements extrêmement hostiles sujets à un risque d'attaque très élevé. Il permet de protéger les informations les plus précieuses et sensibles, telles que celles requises par certains systèmes gouvernementaux. Le niveau Sécurité élevée de la plupart de ces guides publics est inadapté à la grande majorité des systèmes qui exécutent Windows. Nous déconseillons l'utilisation du niveau Sécurité élevée sur les stations de travail ordinaires. Nous recommandons l'utilisation du niveau Sécurité élevée uniquement sur les systèmes sur lesquels une sécurité compromise pourrait entraîner la mort, la perte d'informations extrêmement précieuses ou la perte d'une somme d'argent importante.

Plusieurs groupes ont travaillé avec Microsoft à la rédaction de ces guides de la sécurité. Dans de nombreux cas, ils concernent tous des menaces similaires. Toutefois, chaque guide est légèrement différent pour des raisons juridiques, fonctionnelles et de stratégie locale. Les paramètres peuvent donc varier d'un ensemble de recommandations à un autre. La section « Organisations qui publient des guides de la sécurité accessibles au public » contient un résumé de chaque guide de la sécurité.

Plus d'informations

Organisations qui publient des guides de la sécurité accessibles au public

Microsoft Corporation

Microsoft fournit des directives sur la façon de protéger ses propres systèmes d'exploitation. Nous avons développé les trois niveaux de paramètres de sécurité suivants :
  • client Entreprise ;
  • autonome ;
  • sécurité spécialisée à fonctionnalité limitée.
Nous avons soumis ces directives à des tests rigoureux dans de nombreux scénarios différents. Elles conviennent à toute organisation désireuse de renforcer la sécurité de ses ordinateurs Windows.

Nous assurons une prise en charge complète de ces guides car ils ont été soumis à des tests approfondis dans nos laboratoires de compatibilité des applications. Pour télécharger nos guides, reportez-vous aux sites Web de Microsoft aux adresses suivantes :Si vous rencontrez des problèmes ou si vous souhaitez nous faire part de vos commentaires après avoir implémenté les Guides de la sécurité Microsoft, envoyez-vous un message électronique à l'adresse secwish@microsoft.com (mailto:secwish@microsoft.com) .

Le Center for Internet Security

CIS a développé des tests d'évaluation destinés à fournir des informations permettant aux organisations de prendre des décisions informées en matière de sécurité. Il existe trois niveaux de tests d'évaluation de sécurité :
  • Hérité
  • Entreprise
  • Sécurité élevée
Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les paramètres de test d'évaluation CIS, envoyez un message électronique au CIS à l'adresse win2k-feedback@cisecurity.org (mailto:win2k-feedback@cisecurity.org) .

Remarque Les guides du CIS ont été modifiés depuis la publication initiale de cet article (3 novembre 2004). Les guides actuels du CIS ressemblent à ceux fournis par Microsoft. Pour plus d'informations sur les guides fournis par Microsoft, lisez la section « Microsoft Corporation », plus haut dans cet article.

Le National Institute of Standards and Technology

NIST est responsable de la création de guides de la sécurité pour le gouvernement fédéral des États-Unis. Il a créé quatre niveaux de directives de sécurité utilisés par les agences fédérales des États-Unis et des organisations privées et publiques :
  • SoHo
  • Hérité
  • Entreprise
  • Sécurité spécialisée à fonctionnalité limitée
Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les modèles de sécurité du NIST, envoyez un message électronique au NIST à l'adresse itsec@nist.gov (mailto:itsec@nist.gov) .

Remarque Les guides du NIST ont été modifiés depuis la publication initiale de cet article (3 novembre 2004). Les guides actuels du NIST ressemblent à ceux fournis par Microsoft. Pour plus d'informations sur les guides fournis par Microsoft, lisez la section « Microsoft Corporation », plus haut dans cet article.

La Defense Information Systems Agency

DISA crée des guides destinés spécialement au Ministère de la Défense. Les utilisateurs du Ministère de la Défense des États-Unis qui rencontrent des problèmes ou qui souhaitent faire part de leurs commentaires après avoir implémenté les directives de configuration du DISA peuvent envoyer un message électronique à l'adresse fso_spt@ritchie.disa.mil (mailto:fso_spt@ritchie.disa.mil) .

Remarque Les guides de la DISA ont été modifiés depuis la publication initiale de cet article (3 novembre 2004). Les guides actuels de la DISA sont similaires ou identiques à ceux fournis par Microsoft. Pour plus d'informations sur les guides fournis par Microsoft, lisez la section « Microsoft Corporation », plus haut dans cet article.

La National Security Agency (NSA)

La NSA a publié des directives ayant pour but de sécuriser les ordinateurs extrêmement exposés du Ministère de la Défense des États-Unis. Elle a développé un niveau de directives unique qui correspond plus ou moins au niveau Sécurité élevée produit par d'autres organisations.

Si vous rencontrez des problèmes ou si vous souhaitez faire part de vos commentaires après avoir implémenté les Guides de la sécurité pour Windows XP de la NSA, envoyez un message électronique à l'adresse XPGuides@nsa.gov (mailto:XPGuides@nsa.gov) . Pour fournir des commentaires concernant les guides pour Windows 2000, envoyez un message électronique à l'adresse w2kguides@nsa.gov (mailto:w2kguides@nsa.gov) .

Remarque Les guides de la NSA ont été modifiés depuis la publication initiale de cet article (3 novembre 2004). Les guides actuels de la NSA sont similaires ou identiques à ceux fournis par Microsoft. Pour plus d'informations sur les guides fournis par Microsoft, lisez la section « Microsoft Corporation », plus haut dans cet article.

Problèmes liés aux guides de la sécurité

Comme mentionné plus haut dans cet article, les niveaux de sécurité élevée décrits dans certains de ces guides ont été conçus pour restreindre de manière considérable la fonctionnalité d'un système. Étant donné cette restriction, il est conseillé d'effectuer des tests approfondis sur un système avant de déployer ces recommandations.

Remarque Aucun effet adverse sur les fonctionnalités des systèmes n'a été signalé pour les directives de sécurité fournies pour les niveaux Hérité, SoHo et Entreprise. Cet article de la Base de connaissances est axé principalement sur les directives associées au niveau de sécurité le plus élevé.

Nous soutenons vivement les efforts du secteur industriel ayant pour but d'offrir des directives en matière de déploiement dans des zones à sécurité élevée. Nous continuons de collaborer avec des groupes de normalisation de la sécurité en vue de développer des guides de renforcement utiles ayant subi des tests complets. Les directives de sécurité publiées par des organisations tierces sont toujours accompagnées d'avertissements conseillant vivement à l'utilisateur de tester ces directives dans des environnements cibles à sécurité élevée. Toutefois, ces avertissements ne sont pas toujours pris en compte. Assurez-vous de tester rigoureusement toutes les configurations de la sécurité dans votre environnement cible. Tout paramètre de sécurité qui diffère de ceux que nous recommandons peut invalider les tests de compatibilité des applications effectués dans le cadre du processus de test de système d'exploitation. De plus, Microsoft et les tierces parties déconseillent vivement d'appliquer les directives préliminaires dans un environnement de production plutôt que dans un environnement test.

Les niveaux élevés de ces guides de sécurité incluent plusieurs paramètres qui doivent être évalués soigneusement avant d'être implémentés. Bien qu'ils puissent procurer des avantages supplémentaires en termes de sécurité, ces paramètres peuvent avoir un effet adverse sur la facilité d'utilisation du système.

Modification des listes de contrôle d'accès du système de fichiers et du Registre

Les autorisations système ont été considérablement resserrées dans Windows Vista, Microsoft Windows XP et Microsoft Windows Server 2003. Par conséquent, il n'est pas nécessaire d'apporter des modifications étendues aux autorisations par défaut.

Toute modification supplémentaire des listes de contrôle d'accès peut invalider tout ou une partie des tests de compatibilité des applications effectués par Microsoft. Bien souvent, des modifications telles que celles-ci n'ont pas subi les tests approfondis effectués par Microsoft sur d'autres paramètres. Les cas de support technique et l'expérience pratique ont révélé que les modifications des listes de contrôle d'accès changent le comportement fondamental du système d'exploitation, fréquemment de manière non intentionnelle. Ces modifications affectent la compatibilité et la stabilité des applications et réduisent les fonctionnalités, à la fois en termes de performances et de capacités.

Voilà pourquoi nous vous déconseillons de modifier les listes de contrôle d'accès du système de fichiers sur les fichiers fournis avec le système d'exploitation sur les systèmes de production. Nous recommandons d'évaluer toute modification supplémentaire des listes de contrôle d'accès par rapport à une menace connue afin de comprendre les avantages potentiels offerts à une configuration spécifique par ces modifications. Par conséquent, nos guides ne proposent que des modifications mineures des listes de contrôle d'accès, et uniquement dans Windows 2000. Pour Windows 2000, plusieurs modifications mineures sont requises. Ces modifications sont décrites dans le Windows 2000 Security Hardening Guide.

Les modifications d'autorisations étendues qui sont propagées dans tout le Registre et le système de fichiers ne peuvent pas être annulées. Les nouveaux dossiers, tels que les dossiers de profils utilisateur qui étaient absents lors de l'installation d'origine du système d'exploitation, peuvent être affectés. Par conséquent, si vous supprimez un paramètre de Stratégie de groupe qui effectue des modifications de listes de contrôle d'accès ou si vous appliquez les paramètres système par défaut, vous ne pouvez pas rétablir les listes de contrôle d'accès d'origine.

Toute modification des listes de contrôle d'accès du dossier %SystemDrive% peut avoir les conséquences suivantes :
  • La Corbeille ne fonctionne plus comme prévu et les fichiers ne peuvent pas être récupérés.
  • Une réduction de la sécurité qui permet aux utilisateurs non-administrateurs d'afficher le contenu de la Corbeille de l'administrateur.
  • Le dysfonctionnement des profils utilisateur.
  • Une réduction de la sécurité qui donne aux utilisateurs interactifs un accès en lecture à tout ou une partie des profils utilisateur configurés sur le système.
  • Problèmes de performances lorsque de nombreuses modifications des listes de contrôle d'accès sont chargées dans un objet Stratégie de groupe qui inclut de longues durées d'ouverture de session ou redémarrages répétés du système cible.
  • Problèmes de performances (y compris ralentissement du système) toutes les 16 heures environ, c'est-à-dire lors de la réapplication des paramètres de Stratégie de groupe.
  • Problèmes de compatibilité des applications ou blocage d'applications.
Pour vous aider à annuler les conséquences les plus fâcheuses de telles autorisations de fichiers et de Registre, Microsoft s'engage à fournir des efforts raisonnables du point de vue commercial et conformes à votre contrat de support technique. Toutefois, à l'heure actuelle, il est impossible d'annuler ces modifications. Nous ne pouvons garantir que la restauration des paramètres d'usine recommandés grâce au reformatage du disque dur et à la réinstallation du système d'exploitation.

Par exemple, les modifications apportées aux listes de contrôle d'accès du Registre affectent une grande partie des ruches du Registre et peuvent provoquer un dysfonctionnement du système. La modification de la liste de contrôle d'accès sur une clé de Registre unique est moins problématique pour de nombreux systèmes. Toutefois, nous vous conseillons d'évaluer et de tester soigneusement ces modifications avant de les implémenter. Là encore, nous ne pouvons garantir la restauration des paramètres d'usine recommandés que grâce au reformatage de votre disque dur et à la réinstallation du système d'exploitation.

Client réseau Microsoft : communications signées numériquement (toujours)

Lorsque vous activez ce paramètre, les clients doivent signer le trafic SMB (Server Message Block) lorsqu'ils contactent des serveurs qui ne requièrent pas la signature SMB. Cela rend les clients moins vulnérables aux attaques de détournement de session. Cela peut se révéler très utile, mais si une modification semblable n'est pas appliquée sur le serveur de façon à activer Serveur réseau Microsoft : communications signées numériquement (toujours) ou Client réseau Microsoft : communications signées numériquement (lorsque le client l'accepte), le client ne sera pas en mesure de communiquer correctement avec le serveur.

Sécurité réseau : ne pas stocker de valeurs de hachage de niveau Lan Manager sur la prochaine modification de mot de passe

Lorsque vous activez ce paramètre, la valeur de hachage de LAN Manager (LM) pour un nouveau mot de passe n'est pas stockée en cas de modification du mot de passe. Le hachage LM est relativement faible et vulnérable aux attaques comparé au hachage Microsoft Windows NT. Bien que ce paramètre procure une sécurité supplémentaire étendue en assurant une protection contre de nombreux utilitaires de piratage de mots de passe, il peut empêcher certaines applications de démarrer ou de fonctionner correctement.

Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature

Lorsque vous activez ce paramètre, Internet Information Services (IIS) et Microsoft Internet Explorer utilisent uniquement le protocole TLS (Transport Layer Security) 1.0. Si ce paramètre est activé sur un serveur IIS, seuls les navigateurs Web qui prennent en charge le protocole TLS 1.0 peuvent se connecter. Si ce paramètre est activé sur un client Web, celui-ci peut se connecter uniquement aux serveurs qui prennent en charge le protocole TLS 1.0. Cette exigence peut affecter la capacité d'un client à visiter des sites Web qui utilisent le protocole SSL (Secure Sockets Layer). Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811834  (http://support.microsoft.com/kb/811834/ ) PROBLÈME : Impossible de visiter des sites SSL après avoir activé la cryptographie compatible FIPS

De plus, lorsque vous activez ce paramètre sur un serveur qui utilise les services Terminal Server, les clients sont obligés d'utiliser le client RDP version 5.2 ou ultérieure pour se connecter.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811833  (http://support.microsoft.com/kb/811833/ ) Les effets de l'activation du paramètre de sécurité « Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » de Windows XP et des versions ultérieures de Windows

Le service Mises à jour automatiques ou le Service de transfert intelligent en arrière-plan (BITS) est désactivé

L'un des piliers de la stratégie de sécurité de Microsoft consiste à s'assurer que les systèmes sont à jour. L'un des composants clés de cette stratégie est le service Mises à jour automatiques. Windows Update et les services de mises à jour logicielles (SUS, Software Update Services) utilisent tous deux le service Mises à jour automatiques. Celui-ci repose sur le Service de transfert intelligent en arrière-plan (BITS). Si ce service est désactivé, l'ordinateur ne sera plus en mesure de recevoir des mises à jour de Windows Update par le biais des Mises à jour automatiques, des services SUS ni de certaines installations Microsoft Systems Management Server (SMS). Ce service doit être désactivé uniquement sur les ordinateurs qui disposent d'un système de distribution de mises à jour efficace qui ne repose pas sur le service BITS.

Le service Accès réseau est désactivé

Si vous désactivez le service Accès réseau, une station de travail ne fonctionne plus correctement en tant que membre d'un domaine. Ce paramètre peut convenir à certains ordinateurs qui n'appartiennent à aucun domaine, mais il doit être soumis à une évaluation minutieuse avant d'être déployé.

NoNameReleaseOnDemand

Ce paramètre empêche un serveur de céder son nom NetBIOS s'il entre en conflit avec un autre ordinateur du réseau. Il constitue une bonne mesure de prévention contre les attaques de type Refus de service visant les serveurs de noms et autres rôles de serveurs critiques.

Lorsque vous activez ce paramètre sur une station de travail, celle-ci refuse de céder son nom NetBIOS même s'il entre en conflit avec celui d'un système plus important, tel qu'un contrôleur de domaine. Ce scénario peut désactiver une fonctionnalité de domaine importante. Microsoft soutient vivement les efforts du secteur industriel ayant pour but d'offrir des directives en matière de déploiement dans des zones à sécurité élevée. Toutefois, vous devez tester minutieusement les directives dans l'environnement cible. Nous recommandons vivement aux administrateurs système qui requièrent des paramètres de sécurité autres que les paramètres par défaut d'utiliser les guides publiés par Microsoft comme point de départ pour les exigences de leur organisation. Pour toute question ou assistance concernant un guide tiers, contactez son éditeur.

Références

Pour plus d'informations sur les paramètres de sécurité, consultez le guide Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP .. Pour télécharger ce guide, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet.microsoft.com/fr-fr/library/dd162275.aspx (http://technet.microsoft.com/fr-fr/library/dd162275.aspx)
Pour plus d'informations sur les effets de certains paramètres de sécurité clés supplémentaires, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823659  (http://support.microsoft.com/kb/823659/ ) Incompatibilités entre les clients, les services et les programmes lorsque vous modifiez des paramètres de sécurité et des attributions des droits d'utilisateurs
Pour plus d'informations sur les effets de la demande d'algorithmes compatibles FIPS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
811833  (http://support.microsoft.com/kb/811833/ ) Les effets de l'activation du paramètre de sécurité « Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » de Windows XP et des versions ultérieures
Microsoft fournit des informations de contact de sociétés tierces destinées à vous aider à trouver l'assistance technique nécessaire. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les sociétés tierces. Pour plus d'information sur la façon de contacter des fournisseurs tiers, cliquez sur le numéro approprié ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
65416  (http://support.microsoft.com/kb/65416/ ) Liste des fournisseurs tiers de matériels et de logiciels, A-K (en anglais)

60781  (http://support.microsoft.com/kb/60781/ ) Liste des fournisseurs tiers de matériels et de logiciels, L-P (en anglais)

60782  (http://support.microsoft.com/kb/60782/ ) Liste des fournisseurs tiers de matériels et de logiciels, Q-Z (en anglais)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Édition Intégrale
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbsectools kbhowto kbsecurity KB885409
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store