Introduction

Cet article présente la manière de sécuriser un serveur Windows 2000 qui vient d’être installé sur un réseau.

Le système de fichier

Afin d’assurer la sécurité locale des données, il est impératif de ne formater aucune partition du serveur en FAT ou FAT32. Le système de fichier à utiliser est NTFS. Pour vérifier le système de fichier de vos partitions, faites un clic-droit sur le poste de travail et sélectionnez gérer :

L’idéal est de TOUJOURS FORMATER EN NTFS lors de l’installation.

Si vous avez des partitions en FAT32, utilisez la commande convert pour passer en NTFS, ainsi, pour convertir votre lecteur F de FAT32 vers NTFS, lancez une invite MS-DOS et tapez :

convert f: /fs:ntfs

La conversion se fera après un redémarrage si la partition est verrouillée.

Utiliser FIXACLS si vous convertissez une partition en NTFS .

Le fait de convertir une partition ne donne pas les mêmes résultats que si vous la formatez en NTFS lors de l’installation. En effet, le système va appliquer des ACLs (Access Control Lists) automatiquement sur les fichier, chose qui ne se produira pas si vous effectuez une conversion a posteriori. Pour résoudre ce problème, utilisez l’utilitaire FIXACLS du kit de ressources technique Windows.

Mot de passe de l’administrateur

La qualité du mot de passe de l’administrateur est très importante pour la sécurité du réseau. Nous vous proposons une règle qui comporte 3 propriétés importantes :

– Utilisez au moins 9 caractères – Mettez au moins un caractère de ponctuation dans les 7 premiers caractères – Mettez au moins 3 chiffres

Désactivez les services que vous n’utilisez pas

Après l’installation de Windows 2000 Server, il est important de désactiver tout les services qui ne sont pas nécessaire à la fonction de votre serveur. En particulier il faut veiller à ce que seuls les composants de IIS qui vous sont utiles soit installé ainsi que si le service SERVER (partage de fichier et d’impression) est utile.

Vous devez éviter l’installation de tout logiciel qui ne sont pas absolument nécessaire à l’activité du serveur (ex : Client e-mail, Logiciel de bureautique, …).

Désactiver ou supprimer tout les comptes qui ne sont pas essentiel

Une vérification de l’ensemble des comptes du system à l’aide du composant Gestion de l’ordinateur est nécessaire. Ainsi les comptes qui ne sont plus nécessaire peuvent être désactivé ou supprimé.

Protéger les fichiers et les répertoires

A l’aide des ACL du système de fichier NTFS, il est possible de restreindre de façon très précise les actions que pourront effectuer les utilisateurs sur les fichiers et les repertoires.

Exemple pour les fichiers:

Assurez vous que le compte invité est bien désactivé

Par défaut le compte invité est désactivé sous Windows 2000 Server. Si le compte invité est activé, désactivé le.

Protéger l’accès à la base de registre des accès anonymes

Les permissions de base limite l’accès distant à la base de registre aux membres des groupes Administrateurs et Opérateurs de sauvegarde. Pour changer ces permissions d’accès à la base de registre via le réseau :

1. Ajouter la valeur suivante au registre :

Ruche HKEY_LOCAL_MACHINE \SYSTEM
Clé \CurrentControlSet\Control\SecurePipeServers
Valeur \winreg

2. Sélectionnez winreg et dans le menu Sécurité, cliquez sur Autorisations

3. Définissez les permissions du groupe Administrateurs à Contrôle Total et assurez vous qu’aucun autre groupes ou utilisateurs soit listé.

Restreindre l’accès aux informations public (LSA)

Vous devez être capable d’identifier tous les utilisateurs de votre système, il est donc nécessaire de restreindre l’accès aux utilisateurs anonymes afin que la quantité d’information qu’il soit possible de récupérer à partir de l’autorité de sécurité locale du system 2000 soit réduite.

Afin d’implémenter cette protection créer ou modifier la valeur suivante:

Ruche HKEY_LOCAL_MACHINE \SYSTEM
Clé CurrentControlSet\Control\LSA
Nom de la Valeur RestrictAnonymous
Type REG_DWORD
Valeur 1

Définir une stratégie de compte restrictive

A l’aide de l’outil d’administration stratégie de sécurité du domaine ou local modifiez les valeurs suivantes:

– Longueur min : 8 Caractères – Durée minimum de validité d’un mots de passes : Entre 1 et 7 jours – Durée maximum d’un mots de passes : Pas plus de 42 jours – Historique des mots de passes : 6 mots de passes

Cacher une machine du réseau.

Afin d’éviter à des employés de parcourir le réseau à l’aide du Voisinage réseau, il et possible de retirer la présence du contrôleur de domaine.

Ruche HKEY_LOCAL_MACHINE \SYSTEM
Clé CurrentControlSet\Services\LanmanServer\Parameters
Nom de la valeur Hidden
Type REG_DWORD
Valeur 1

Stratégie de blocage des comptes

Il est possible de désactiver un compte après trois à cinq tentative infructueuse, réinitialiser le compteur après un minimum de 30 minutes et définissez la durée à « Pour toujours : tant que l’administrateur débloque le compte »

L’utilitaire passprop.exe du kit de ressource technique vous permet d’ajuster certaine propriété de compte qui ne sont pas accessible par l’outil de gestion normal. Cet outil permet de désactiver le compte administrateur grâce à l’option /adminlockout.

Configuration du compte administrateur

Comme le compte administrateur est intégré d’origine sur toutes les versions de Windows 2000, il est une cible de choix pour les tentatives d’attaques des hackers. fin de rendre plus difficile les attaques sur le compte administrateur, il suffit de réaliser la procédure suivante sur tout les comptes administrateur de domaine ainsi que sur les comptes administrateurs local des machines.

– Renommer le compte administrateur par un nom n’étant pas évocateur de sont rôle.

– Créer un compte administrateur sa&ns privilège et définissez un audit sur les tentatives d’ouvertures de sessions sur ce compte.

– Désactiver le véritable compte administrateur à l’aide de l’utilitaire passprop.exe

Désactiver tout les partages de fichiers inutiles

Tout les partages de fichiers inutiles sur le system doivent être supprimer afin prévenir toutes récupération d’information confidentiel et d’empêcher tout usage malicieux utilisant cette accès comme porte d’entrée sur le system local.

Définir des autorisations appropriées sur tous les partages de fichiers.

Attention ! Par défaut tous les nouveaux partages sont créés avec Control Total pour le groupe Tout le monde. Il est nécessaire que chaque partage soit définit avec le niveau de sécurité adéquat pour chaque groupe et utilisateur.

Pour une sécurité maximum il est possible de désactiver la création des partages administratifs à l’aide de la clé de registre suivante:

Ruche HKEY_LOCAL_MACHINE \System
Clé CurrentControlSet\Services\lanmanserver\parameters
Nom de la valeur AutoShareServer
Type REG_DWORD
Valeur 0

REMARQUE: Les autorisations NTFS permettent d’affiner la sécurité pour chaque fichier ou répertoire contenu.

Installation post-configuration

Installer un logiciel anti-virus: Il est impératif d’installer un logiciel Anti-virus avec les dernières mises à jour en date. Plus d’info sur: https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/virus.asp

Installez les services packs Chaque service pack pour Windows inclus toutes les mises à jour de sécurité des service pack antérieurs. Il est recommandé de maintenir à jour les versions des services pack sur les serveurs Windows 2000. Le dernier service pack peut être télécharger sur le site de Microsoft.

Installez les fix post-services packs

Informations complémentaires Il est disponible sur le site de Microsoft une page traitant de toutes les solutions permettant de mettre en place un environnement sécuritaire: https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/wn2ksec.asp.