Serveur de Fichiers Et D'impression

SÉCURISATION DU SI
BUREAUTIQUE
DE L'ARMÉE DE TERRE
GUIDE DE PARAMETRAGE
Manuel Windows NT 4.0 Server

Serveur de fichiers et d'impression
sous Windows NT 4.0 Server
Ce document est la propriété de l’Armée de Terre, il ne peut être communiqué à des tiers sans autorisation
préalable.
Manuel Windows NT 4.0 Server Serveur de fichiers et d'impression
SUIVI DU DOCUMENT
VERSION DATE MODIFICATIONS NOM
1 23/08/2000 Validation du document LCL PHILIPPOT

CEN BOURGES
SUIVI DU DOCUMENT
Le 30 août 2000 version 1.0 Page i

PAGES DESCRIPTION DES MODIFICATIONS INTRODUITES

MODIFIÉES DEPUIS LE DOCUMENT PRÉCÉDENT
Le 30 août 2000 version 1.0 Page ii

Sommaire
1. Introduction.....................................................................................................2
1.1 Objet...............................................................................................................................................................2
1.2 Objectifs recherchés.....................................................................................................................................2
1.3 Structure du document.................................................................................................................................2
1.4 Recommandations, symboles et conventions.............................................................................................3
1.4.1 Le niveau d’exigence...............................................................................................................................3
1.4.2 Le niveau de gêne....................................................................................................................................3
1.4.3 Conventions de signes et de polices........................................................................................................3
1.5 Considérations générales..............................................................................................................................4
1.5.1 Contexte de référence..............................................................................................................................4
1.5.2 Configuration matérielle et logicielle.....................................................................................................5
1.5.3 Plan d'adressage et plan de nommage.....................................................................................................5
1.5.4 Personnes concernées, rôles et responsabilités.......................................................................................6
2. Consignes de sécurité......................................................................................7
2.1 Protection matérielle du SFI.......................................................................................................................8
2.1.1 Protection du local du SFI.......................................................................................................................8
2.1.2 Protection physique du SFI.....................................................................................................................8
2.1.3 Protection de la configuration matérielle................................................................................................9
2.2 Protection de l’accès local du SFI.............................................................................................................11
2.2.1 Protection des ressources locales..........................................................................................................11
2.2.1.1 Protections informatiques...............................................................................................................11
2.2.1.2 Protections en l’absence du personnel...........................................................................................12
2.2.1.3 Plan de reprise................................................................................................................................13
2.2.2 Protection de l’accès à SFI....................................................................................................................14
2.2.2.1 Présentation de mises en garde......................................................................................................14
2.2.2.2 Protection contre les comptes avec pouvoirs.................................................................................15
2.2.2.3 Protection contre les dépassements d’espace disque.....................................................................15
2.3 Protection du SFI vis-à-vis des accès distants..........................................................................................16
2.3.1 Protection vis-à-vis des accès hors réseau local (modem)...................................................................16
2.3.1.1 Protection des ports........................................................................................................................16
2.3.1.2 Protection contre certains services.................................................................................................16
2.3.2 Protection vis-à-vis des accès réseau....................................................................................................17
2.3.2.1 Partage réseau des répertoires et des fichiers................................................................................17
2.3.2.2 Échange dynamique de données entre applications......................................................................18
2.3.2.3 Accès distant pour les utilisateurs..................................................................................................18
2.3.2.4 Protection des échanges sur le réseau............................................................................................18
2.4 Protéger la configuration système............................................................................................................20
2.4.1 Protéger les paramètres systèmes..........................................................................................................20
2.4.2 Restriction des modifications des pilotes..............................................................................................23
2.4.3 Protection de l'intégrité des données et des applications.....................................................................23
2.5 Protection des comptes...............................................................................................................................24
2.5.1 Protection des comptes ouverts sur le domaine....................................................................................25
2.5.2 Protection des comptes locaux..............................................................................................................29
2.5.2.1 Protection du compte "Invité"........................................................................................................30
2.5.2.2 Protection des comptes "administrateur".......................................................................................30
2.6 Points divers................................................................................................................................................31
2.6.1 Points divers pour tous les administrateurs...........................................................................................31
2.6.2 Points divers pour l’administrateur système.........................................................................................32
2.7 Audit.............................................................................................................................................................32
2.7.1 Date et heure..........................................................................................................................................32
2.7.2 Protection de l’audit..............................................................................................................................33
2.7.3 Événements de sécurité des audits........................................................................................................35
3. Mise en œuvre................................................................................................37
3.1 Protection matérielle du SFI.....................................................................................................................37
3.1.1 Protection physique du poste.................................................................................................................37
Le 30 août 2000 version 1.0 Page iii

3.1.2 Configuration du SETUP du BIOS.......................................................................................................38

3.1.3 Configuration des disques durs.............................................................................................................39
3.1.3.1 Création de la partition principale "Système"...............................................................................40
3.1.3.2 Création de la partition étendue "Administrateurs".......................................................................40
3.1.3.3 Création de la partition étendue "Privée"......................................................................................41
3.1.3.4 Création de la partition étendue "Public"......................................................................................41
3.1.3.5 Remarques......................................................................................................................................42
3.1.3.6 Le disque miroir.............................................................................................................................42
3.1.4 Reprise après une défaillance d’exploitation........................................................................................43
3.2 Configuration de Windows NT 4.0 Server...............................................................................................44
3.2.1 Les Service Packs..................................................................................................................................44
3.2.2 Les ports.................................................................................................................................................44
3.2.3 Les services............................................................................................................................................47
3.2.4 Les modifications du comportement de Windows NT.........................................................................53
3.2.4.1 Message de mise en garde à l’ouverture d’une session.................................................................53
3.2.4.2 Verrouillage du SFI pour inactivité...............................................................................................54
3.2.4.3 Fermeture de la session après ¼ heure de verrouillage.................................................................56
3.2.4.4 Interdire l’arrêt du système sans ouverture de session..................................................................57
3.3 Protections du système d’exploitation......................................................................................................58
3.3.1 Les antivirus...........................................................................................................................................58
3.3.2 Disquette de réparation..........................................................................................................................58
3.3.3 Remarques sur le gestionnaire des tâches.............................................................................................58
3.3.4 Protection des ressources locales..........................................................................................................59
3.4 Protections relative à la sécurité sur le domaine.....................................................................................60
3.4.1 Protection des communications sur le domaine....................................................................................60
3.4.2 Verrouillage du compte administrateur sur le domaine.......................................................................62
3.4.3 Gestion des absences des administrateurs.............................................................................................62
3.5 Les comptes.................................................................................................................................................63
3.5.1 Les comptes du domaine.......................................................................................................................63
3.5.1.1 Création des comptes sur le domaine............................................................................................64
3.5.1.2 Les comptes administrateurs du domaine......................................................................................65
3.5.1.3 Le profil des utilisateurs.................................................................................................................66
3.5.1.4 Le répertoire de base des utilisateurs.............................................................................................66
3.5.1.5 Les scripts de démarrage................................................................................................................67
3.5.2 Les comptes locaux...............................................................................................................................68
3.5.2.1 Le compte local Invité....................................................................................................................68
3.5.2.2 Les comptes locaux prédéfinis.......................................................................................................69
3.5.2.3 Le compte local Administrateur.....................................................................................................69
3.6 Protection des registres..............................................................................................................................70
3.6.1 Modifications des registres....................................................................................................................70
3.6.2 Sécurisation des fichiers de registres....................................................................................................71
3.7 Audit.............................................................................................................................................................72
3.7.1 Événements de sécurité des audits........................................................................................................73
3.7.1.1 Audit sur les sessions......................................................................................................................73
3.7.1.2 Audit sur les registres.....................................................................................................................73
3.7.2 La gestion des journaux d’audits...........................................................................................................74
3.7.2.1 Tailles des journaux d’événements................................................................................................74
3.7.2.2 Sauvegarde des journaux d’événements........................................................................................74
A. Schéma d’un réseau Windows NT 4.0..........................................................2
B. Les profils........................................................................................................5
Le 30 août 2000 version 1.0 Page iv

SÉCURISATION DU SI BUREAUTIQUE
DE L'ARMÉE DE TERRE
Manuel Windows NT 4.0 Server Serveur de

fichiers et d'impression
Le 30 août 2000 version 1.0 Page 1

1. INTRODUCTION
1.1 Objet
Ce document présente les directives de sécurisation d'un serveur de fichiers et
d’impression sous Windows NT.
Les caractéristiques spécifiques des autres serveurs et des stations de travail sont
traitées dans d'autres documents.
Cependant, nous serons obligés de parler de certains autres serveurs. Certains points de
sécurité, impliquant le serveur de fichiers et d’impression, sont mis en œuvre au niveau
du Contrôleur Principal de Domaine. Citons pour exemple le chemin d’accès aux
répertoires de base des utilisateurs (localisés sur le Serveur de Fichiers et définis sur le
Contrôleur Principal de Domaine). Ces points de sécurité seront traités dans ce document
en précisant le nom du serveur (en caractères gras et soulignés : CPD).
1.2 Objectifs recherchés

L'objectif est de fournir les directives standardisées de configuration des paramètres de
sécurité du système hors ajout des logiciels applicatifs, logiciels spécifiques ou matériels
supplémentaires.
Ces directives sont destinées à satisfaire les besoins généraux de sécurité de la
bureautique de l'Armée de Terre.
Ce document ne concerne que le paramétrage de la sécurité d’un SFI (Serveur de
Fichiers et d’Impression).
1.3 Structure du document

Ce document comprend deux parties et une annexe.
La première partie rassemble l'ensemble des consignes de sécurité (actions et valeur des
paramètres) qui doivent être pris en compte.
La deuxième partie décrit la mise en œuvre (les modalités pratiques) des consignes
définies précédemment.
La correspondance entre les consignes de sécurité (cs) et les fiches de mise en œuvre
est réalisée par un référencement croisé.
La dernière partie contient une annexe décrivant le cheminement des fichiers lors de
l’ouverture d’une session.

1.4 Recommandations, symboles et conventions

Les recommandations faites dans ce guide sont caractérisées par le niveau d'exigence et
par le niveau de gêne sur l'utilisation du serveur de fichiers et d’impression ainsi que sur
l’accès depuis une station.
1.4.1 Le niveau d’exigence

Le niveau d'exigence se décline en trois catégories, suivant leur impact sur la sécurité.
Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire

Obligatoire de le positionner à la valeur recommandée afin de garantir la sécurité du
système.
Le paramètre affecté devrait être réglé à la valeur recommandée, mais
Obligatoire ce réglage peut rendre inopérants certains services déjà existants. C'est
sauf au RSSI (Responsable Sécurité du Système d’Information) de juger si les
! contrainte incompatibilités engendrées par le réglage peuvent être résolues ou non
technique par d'autres moyens. Dès disparition des logiciels/matériels générant le
conflit, le paramètre doit être réglé conformément aux préconisations de
ce guide.
Niveau le plus faible correspondant à une préconisation. Le paramètre
peut dépendre de la politique de sécurité locale mise en place. On
i Préconisé
indiquera simplement une valeur minimale à respecter pour garantir un
niveau de sécurité satisfaisant.
1.4.2 Le niveau de gêne

Le niveau de gêne occasionnée se décline en trois niveaux :
 Le paramétrage n'introduit pas de gêne à l'exploitation du serveur.
 Le paramétrage est susceptible de gêner faiblement l'administrateur du

serveur lors d'opérations particulières identifiées mais peu fréquentes.
 Le paramétrage est susceptible de gêner l'administrateur du serveur lors

d'opérations courantes identifiées ou non.
1.4.3 Conventions de signes et de polices

 Indique les étapes successives d’une mise en œuvre effectuée par la souris.
cs Acronyme de consigne de sécurité. La consigne cs 10-3 désigne la 3ème
consigne du 10ème groupe de consignes de ce manuel.
Gras Indique le titre d’un menu, d’un onglet ou d’un bouton lors d’une mise en
œuvre.
Souligné Indique une mise en garde ou une restriction importante.

1.5 Considérations générales

Les hypothèses suivantes sont faites sur la configuration matérielle et sur les
responsabilités.
1.5.1 Contexte de référence

L'architecture dans laquelle le poste est destiné à s'intégrer est représentée sur la figure
suivante.
Locaux à accès contrôlé

Serveur NT 4.0 Serveur NT 4.0
Contrôleur Principal Contrôleur Secondaire
de Domaine Serveur de fichiers de Domaine
et serveur DNS (primaire) et d ’impressions et serveur DNS (secondaire)
(NT 4.0 Server)
Réseau TCP/IP sur ETHERNET
Section 1 Section 2
Poste Client NT 4.0

Workstation
Poste Client NT 4.0 Imprimante partagée
Workstation
Imprimante partagée Impriman
dédiée
Figure 1 Architecture de référence pour un site
Poste Client NT 4.0
Hypothèses retenues pour un site donné : Poste Client NT 4.0
Workstation
 Le réseau local est un réseau ethernet. Workstation
 Les protocoles réseau sont IP V4 et IPX. Poste Client NT 4.0
Workstation
 Les postes individuels de travail sont des machines récentes à base de processeur
Intel avec le système d'exploitation "Windows NT 4.0 Workstation".
 Il y a nécessairement un Contrôleur Principal de Domaine (serveur NT 4.0).
 Ce serveur assure également la fonction de serveur de noms IP (DNS).

 Il y a un serveur de fichiers et d'impression. Ce serveur est :

• soit un serveur NT 4.0 (SP 5),
• soit un serveur Netware 4.11 (SP 7),
• soit un serveur SAMBA mis en œuvre sous UNIX.
 Les imprimantes partagées sont directement raccordées au réseau.
 Certaines imprimantes (dédiées) sont directement rattachées au poste de travail
et sont éventuellement partagées entre les postes d’un même bureau à l’aide d’un
commutateur de liaison. Ces imprimantes ne sont pas accessibles à partir du
réseau.
 Il peut y avoir un Contrôleur Secondaire de Domaine (en redondance du Contrôleur
Principal de Domaine, la configuration de ce serveur est hors du champ de
l'étude).
1.5.2 Configuration matérielle et logicielle

Le serveur Contrôleur Principal de Domaine à sécuriser est supposé être dans l'état
suivant :
 Windows NT 4.0 Server est installé sur SFI.
 Windows NT 4.0 Workstation est installé sur les stations de travail.
 Le système d'exploitation Windows NT 4.0 (Server et Workstation) a été installé et
mis à jour avec le SP 5.
 Les composants réseau ont été installés lors de l'installation de Windows NT.
 L’antivirus de l’armée de terre en réseau est installé sur toutes les machines.
1.5.3 Plan d'adressage et plan de nommage

Le plan d'adressage doit être conforme au plan « IP Défense ».
Les règles de nommage retenues sont les suivantes :
 Structure retenue pour les identifiants des utilisateurs (20 caractères au plus) :
Par principe et pour faciliter l’administration des comptes, l’identifiant désigne la
fonction remplie au sein de l’organisation.
<Nom de la fonction ou acronyme>-<Nom de la section>
Utilisateur : "F-S"
 Structure retenue pour les noms de domaine NT (15 caractères au plus) :
<Nom du site>
Domaine NT : "SITE"
 Structure retenue pour les équipements communs à un site (15 caractères au plus)
:
<type de machine ou de fonction><Numéro de séquence>
Nom du Contrôleur Principal de Domaine: "CPD"
Nom du serveur de fichiers et d'impression : "SFI"
 Structure retenue pour les équipements associés à une section (15 caractères au
plus) :
<nom de la section>-<type de machine><Numéro de séquence>
Nom des imprimantes : S-IMPi

Nom des postes de travail : S-ORDi
Nom du domaine IP "SITE.DCTEI"
Noms des hôtes IP :

 CDP.SITE.DCTEI
 SFI.SITE.DCTEI
 S-IMPi.SITE.DCTEI
 S-ORDi.SITE.DCTEI
1.5.4 Personnes concernées, rôles et responsabilités

On retient 3 rôles (plus un rôle explicatif) :
 L’administrateur de comptes du domaine (2 fonctions)
L’administrateur de comptes est responsable de l’ouverture et de la gestion des
comptes des utilisateurs et des groupes d’utilisateurs pour le domaine. De plus,
il prend en charge l’exploitation des événements de sécurité apparus sur le
réseau (fonction d’administrateur de la sécurité).
 L'administrateur système du domaine

L'administrateur système est responsable de la configuration initiale du serveur
Contrôleur Principal de Domaine et de son évolution.
 Le RSSI
Responsable de la politique SSI, de son application et de son contrôle.
 Un utilisateur d’un poste de travail

Il n’a pas d’accès physique au Serveur de Fichiers et d’Impression, mais doit
figurer dans ce manuel afin de présenter les points de sécurité associés à la
création de son répertoire de base sur le Serveur de Fichiers et d’Impression.

2. CONSIGNES DE SÉCURITÉ
Les consignes de sécurité sont rassemblées par thèmes :
1. Protection de la configuration matérielle :
Il s’agit des consignes relatives au SETUP du BIOS et aux équipements
physiques.
2. Protection de l’accès local au Serveur de Fichiers et d’Impression :
Il s’agit de la protection des comptes présents sur le Serveur de Fichiers et
d’Impression.
3. Protection du Serveur de Fichiers et d’Impression vis-à-vis des accès distants :
Regroupe les consignes de sécurité pour les accès au Serveur de Fichiers et
d’impression (modem et réseau).
4. Protéger la configuration système :
Il s’agit des consignes de protection de la configuration du système vis-à-vis
d’un utilisateur (un administrateur dans notre cas).
5. Administration des comptes :
Il s’agit d’un rappel des consignes relatives à la gestion des comptes et des
groupes des utilisateurs du domaine et des administrateurs (locaux et sur le
domaine).
6. Protection des ressources locales :
Il s’agit des consignes relatives à la gestion locale des ressources du Serveur de
Fichiers et d’Impression.
7. Points divers :
Regroupe des consignes de sécurité supplémentaires.
8. Audit :
Concerne les événements à inscrire dans les audits et les consignes d’utilisation
des journaux.
NB : pour ne pas alourdir le texte de ce manuel, nous remplaçons l’expression ‘Serveur de

Fichiers et d’impression’ par ‘SFI’.

2.1 Protection matérielle du SFI
2.1.1 Protection du local du SFI

Groupe de consignes : 1
cs 1-1 : Restriction accrue de l'accès au local du SFI.
Niveau d'exigence : Niveau de gêne : 

Objectif : Parer au manque de surveillance pendant les absences des
administrateurs.
Remarque : Le SFI est utilisé exclusivement par les administrateurs ou par le RSSI. Un
utilisateur (et a fortiori une tierce personne) n’a pas la possibilité
physique de pénétrer ou de rester seul dans le local du SFI.
Mise en œuvre : 3.1.1 Protection physique du poste
2.1.2 Protection physique du SFI

cs 2-1 : Protéger l’intégrité physique du SFI.
Niveau d'exigence :
i Niveau de gêne : 
Objectif : Rendre impossibles le remplacement et le vol. Protéger la configuration
matérielle du SFI en empêchant l'installation de composants physiques
(disque, carte réseau, carte modem, carte d'entrées/sorties, etc.).
Remarque : L’ordinateur hébergeant le SFI doit être équipé d’un antivol (un câble par
exemple). Il doit relier le support de l’ordinateur à l’unité centrale ainsi
qu’au capot de l’ordinateur. Il empêchera le déplacement de l’ordinateur
et l’accès à ses composants internes (cartes, disques durs, etc.). Les clés
de ces antivols seront sous la responsabilité de l’administrateur système.
Il sera le seul à pouvoir déplacer un ordinateur et à modifier sa
configuration physique interne.
Cet antivol limite toutes les tentatives de piratage par vol, par ajout d’un
disque dur, par raccordement du SFI à un réseau externe via un modem
et par effacement des données présentes en mémoire non volatile (mot
de passe BIOS en particulier).
cs 2-2 : Audit de l’intégrité physique du SFI.

Objectif : Alerter visuellement l’administrateur de la sécurité, d’une tentative
d’attaque de la configuration matérielle du SFI ou de sa mémoire non
volatile.
Remarque : Le SFI doit impérativement posséder des étiquettes d’inviolabilité. Elles
seront apposées à cheval sur les jonctions du capot et du boîtier
(imposant leur déchirure lors de l’ouverture de l’unité centrale). Deux

étiquettes seront collées au minimum. L’une sur la façade et l’autre à

l’arrière du boîtier. Les deux étiquettes seront contrôlées lors de la
vérification visuelle hebdomadaire des stations de travail. Certains
ordinateurs peuvent imposer l’utilisation d’un plus grand nombre
d’étiquettes (les tours géantes). Il faudra veiller à ce qu’une étiquette au
moins soit déchirée lors de l’ouverture du capot (Attention : le panneau
peut être tordu, l’étiquette est collée sur le capot et une pièce détachable
du boîtier, etc.).
2.1.3 Protection de la configuration matérielle

cs 3-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.

Objectif : Protéger la configuration des paramètres de bas niveau.
Remarque : Le mot de passe doit être modifié lors du changement d’un des
administrateurs et périodiquement (une fois tous les 6 mois).
A priori, il n’est pas nécessaire de fixer un « mot de passe utilisateur »
car ce dernier serait demandé de façon systématique à l’administrateur
lors du démarrage de la machine avant le chargement du système
d’exploitation. Il serait redondant avec le mot de passe Administrateur.
Le fait que le BIOS soit présent en mémoire flash permet de le mettre à
jour, voire de charger un nouveau BIOS à partir d’un fichier. Selon le type
de carte mère, le flashage du BIOS se fait avec ou sans positionnement
de cavaliers sur la carte.
Par ailleurs, il existe un mot de passe « universel » par fournisseur de
BIOS qui permet d’outrepasser tous les mots de passe « Administrateur ».
Et selon les constructeurs, le contrôle du mot de passe n'est pas effectué
quand la vérification de la somme de contrôle des paramètres du BIOS
est erronée (erreur sur checkSum).
En conséquence, les protections envisageables par l’intermédiaire des
options du BIOS doivent être considérées comme des mesures
contournables qui sont seulement destinées à empêcher des maladresses
de la part d’utilisateurs peu expérimentés ou de pirates occasionnels.
Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS
cs 3-2 : N’autoriser que le périphérique C:\ dans la séquence de Boot.

Objectif : Cette consigne interdit de démarrer le SFI en contournant les protections
de Windows NT par l’installation d’un autre système d’exploitation
présent sur une autre partition ou un support amovible (disquette ou CD-
ROM, etc.).
Remarque : Le disque dur de l’ordinateur contenant le système doit être déclaré
comme maître et connecté sur le port IDE 0 (premier port IDE de la carte
mère) afin d’éviter l’implantation d’un système multi-boots sur un second
disque dur.


cs 3-3 : Interdire l’utilisation des ports série.
Niveau d'exigence :
! Niveau de gêne : 
Objectif : Cette interdiction empêchera l’utilisation d’un modem (raccordé sur le
port série) qui serait susceptible d’ouvrir une brèche dans l’architecture
de sécurité du site (cas d’une intrusion à distance).
Remarque : Cette consigne suppose que la souris est raccordée via un port spécifique
(port souris).
cs 3-4 : Inhiber les ports USB.
Niveau d'exigence :
Objectif : Ceci empêchera l’utilisation d’un modem (raccordé sur le port USB) qui
serait susceptible de servir pour une intrusion à distance.
Remarque : Cependant, la future généralisation des claviers et des souris USB, et la
disparition progressive des ports spécifiques (clavier et souris) rendront
impossible cette restriction.
2.2 Protection de l’accès local du SFI
2.2.1 Protection des ressources locales
2.2.1.1 Protections informatiques
cs 4-1 : Mise en œuvre du système de fichiers NTFS.

Objectif : Bénéficier des contrôles d'accès aux fichiers et aux répertoires mis en
œuvre par NTFS.
Remarques : La partition devra être formatée avec le système de fichiers NTFS afin
de mettre en œuvre les contrôles d'accès aux répertoires et aux fichiers
natifs du système de fichiers NTFS.
Mise en œuvre : 3.1.3.1 Création de la partition principale "Système",
3.1.3.5 Remarques

cs 4-2 : Protection antivirale.
Niveau d'exigence : Niveau de gêne : 

Objectif : Éviter la perte de données ou les dénis de services.
Remarque : Plus un site est sensible, plus il est nécessaire de se prémunir contre les
attaques de virus, virus de macros et vers. Il est impératif d’installer
l’antivirus de l’Armée de Terre sur le SFI et d’effectuer une mise à jour
mensuelle au minimum. Il est fortement recommandé d’effectuer cette
mise à jour tout les15 jours. Rappelons qu’il est fortement conseillé de
mettre en place une station de test dite station blanche avec un antivirus
différent sur un ordinateur non sensible. Elle est choisie parmi les
ordinateurs souvent utilisés par un grand nombre de personnes afin de
tester un maximum de fichiers et de provenances.
Mise en œuvre : 3.3.1 Les antivirus
2.2.1.2 Protections en l’absence du personnel
cs 5-1 : Arrêter le SFI pendant les périodes de congés.
Niveau d'exigence :
Objectif : Éviter qu’une période prolongée (vacances et fin de semaine) soit mise à
profit par un pirate pour attaquer le SFI.
Remarque : Seul un administrateur peut arrêter le SFI. Cette consigne implique la
présence d’un administrateur :
 après le départ du dernier utilisateur le vendredi soir,
 avant l’arrivée du premier utilisateur le lundi matin.
Il est possible de remédier à cette contrainte, en branchant le SFI sur le
secteur via un programmateur hebdomadaire. Windows NT assurera la
reprise des services après la coupure brutale du courant par le
programmateur. Cette solution est dangereuse et sera mise en œuvre
uniquement en l’absence d’un onduleur.
Ce programmateur sera dans la pièce du SFI et sera protégé par les
restrictions d’accès au local. Cette programmation est à corréler avec
celle du CPD. Le CPD doit être en fonction avant le SFI. De plus, cette
méthode impose l’absence de mot de passe du BIOS verrouillant de
l’ordinateur.
Mise en œuvre : 3.4.3 Gestion des absences des administrateurs

2.2.1.3 Plan de reprise
cs 6-1 : Créer une disquette de réparation d’urgence pour le SFI.

Objectif : Assurer la pérennité du service en cas de panne du SFI.
Remarque : Windows NT permet de créer une disquette de réparation d’urgence par
la commande rdisk du répertoire C:\WINNT\System32. Le programme
rdisk copie la ruche et certains fichiers sur une disquette. Il est impératif
de mettre à jour ou de recréer cette disquette à chaque modification de la
configuration matérielle ou logicielle du SFI. Pour se garantir contre tout
problème, un jeu de deux disquettes au minimum, est utilisé pour la
création de la disquette de réparation d’urgence. Elles sont utilisées à
tour de rôle, afin de conserver une copie de la version précédente de la
ruche.
L’administrateur système conservera ces disquettes dans un meuble
fermant à clé (il suffirait de copier une configuration personnelle sur cette
disquette, pour prendre possession du SFI lors de sa restauration).
Mise en œuvre : 3.3.2 Disquette de réparation
cs 6-2 : Prévoir un plan de reprise en cas de panne du SFI.

Objectif : Éviter la perte des informations et minimiser le temps de remplacement
du SFI en cas de panne.
Remarque : En cas de panne du SFI, les utilisateurs pourront sauver leurs documents
sur le disque dur local de la station. Les seules gênes éprouvées par les
utilisateurs seront :
 Ils utiliseront le profil par défaut de la station.
 Ils ne pourront pas importer et exporter des fichiers.
 Tous les transferts entre utilisateurs seront impossibles.
Le plan de reprise doit prévoir la copie des informations contenues sur le
disque dur et la promotion d’un nouveau SFI.
Mise en œuvre : 3.1.3 Configuration des disques durs,
3.4.3 Gestion des absences des administrateurs

2.2.2 Protection de l’accès à SFI
2.2.2.1 Présentation de mises en garde
cs 7-1 : Présentation permanente d’un message de mise en garde sur le SFI.

Objectif : Message d’intimidation à destination des tiers non habilités.
Remarque : Une étiquette est collée sur le SFI, de manière très ostensible (sur le
cadre de l’écran en général). Elle informe l’utilisateur du niveau de
sensibilité de cette machine et de son niveau de confidentialité.
cs 7-2 : Présentation d’un message de mise en garde à l’ouverture d’une session.

Remarque : Permet de présenter un message de mise en garde à l’écran juste après
l’ouverture d’une session (protection minimale contre une erreur de
configuration des sécurités). Deux clés de registre réalisent cette option
et devront être protégées ainsi que les fichiers de ces registres.
Paramètres : le registre, les clés et les valeurs sont les suivants :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current
Version\Winlogon
Écrire la valeur : « Titre de la fenêtre du message de l’Armée de
Terre » à la rubrique LegalNoticeCaption.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current
Version\Winlogon
Écrire la valeur : « Message de mise en garde de l’Armée de Terre »
à la rubrique LegalNoticeText.
Mise en œuvre : 3.2.4.1 Message de mise en garde à l’ouverture d’une session ,
3.6.1 Modifications des registres
cs 7-3 : Présentation d’un message de mise en garde pendant la veille du SFI.

Remarque : Ce message de mise en garde est visible à l’écran lorsque l’ordinateur est
en veille. Ce message fournit une protection minimale contre une erreur
de la sécurisation physique du serveur. Lors de l’éveil de la station,

l’administrateur devra s’authentifier en entrant son mot de passe. Ce

message sert uniquement à éviter qu’une personne non habilitée utilise
le SFI et prétende ignorer son caractère sensible.
Paramètres : Démarrer  Paramètres  Panneau de configuration  Affichage
 Écran de veille
Sous la rubrique écran de veille : Message
Paramètres « Message de l’Armée de Terre »
Choisir la vitesse la plus lente, un fond et une police de caractères
adéquats (de préférence un fond sombre pour éviter de fatiguer l’écran).
Protéger en écriture les clés, le programme et les fichiers des registres
correspondants.
Mise en œuvre : 3.2.4.2 Verrouillage du SFI pour inactivité
2.2.2.2 Protection contre les comptes avec pouvoirs
cs 8-1 : Création d’un compte avec pouvoirs minimums et d’un compte avec pleins
pouvoirs pour l’administrateur.

Objectif : L’administrateur utilisera un compte avec des pouvoirs restreints pour
son travail usuel sur le SFI. L’utilisation ponctuelle du véritable compte
administrateur le protégera d’autant mieux contre le vol de mot de passe.
Remarque : Ces deux comptes administrateur sont très différents. Le premier (le
véritable compte administrateur) possédera tous les pouvoirs et
permissions. Le second sera très similaire à un compte utilisateur. Ces
deux comptes permettront à l’administrateur d’effectuer l’administration
du SFI (compte avec pleins pouvoirs) et des travaux ne nécessitant pas
les droits étendus d’Administrateur du domaine (compte avec pouvoirs
minimums). Ces comptes seront banalisés.
Mise en œuvre : 3.5.1.2 Les comptes administrateurs du domaine (CPD)
2.2.2.3 Protection contre les dépassements d’espace disque
cs 9-1 : Limiter l’espace disque disponible par la création de partitions.

Objectif : Garantir la pérennité des services offert par SFI, malgré la saturation
d’une partition (des répertoires utilisateurs, des profiles ou des
répertoires communs).
Remarque : La saturation d’une des partitions entraînera la perte du service associé à
cette partition. Par exemple, la saturation de l’espace disque attribué aux
répertoires communs (partition Public) empêchera les échanges entre
tous les utilisateurs, mais autorisera les modifications des profiles
(partition Administrateur) et l’enregistrement des travaux personnels
(partition Privé). De plus la partition contenant le système (partition

Système) sera protégée contre une saturation des répertoires employés

par les utilisateurs.
Mise en œuvre : 3.1.3 Configuration des disques durs
2.3 Protection du SFI vis-à-vis des accès distants
2.3.1 Protection vis-à-vis des accès hors réseau local (modem)
2.3.1.1 Protection des ports
cs 10-1 : Inhiber la gestion des ressources partagées telles que Com1.
Niveau d'exigence :
Objectif : Éviter un accès à risque sur le SFI.
Remarque : Cette interdiction traitée plus haut (cs 2-3) doit être effectuée une
nouvelle fois sous Windows NT server. En effet, NTDETECT.COM est
exécuté au chargement du système d’exploitation. Ce programme
explore tous les périphériques présents pour dresser une liste des
matériels installés sur l’ordinateur. Windows NT utilise cette liste et non
celle du BIOS pour son fonctionnement. La liste obtenue lors de
l’exécution du BIOS sera utilisée par des applications particulières (après
un redémarrage sous DOS, etc.).
Mise en œuvre : 3.5.1.1 Création des comptes sur le domaine (CPD)
cs 10-2 : Inhiber le port USB.
Niveau d'exigence :
Objectif : Empêchera l’utilisation d’un modem raccordé sur le port USB.
Remarque : Même remarque que précédemment. Cette interdiction déjà traitée (cs 2-
4) doit être effectuée une nouvelle fois sous Windows NT server.
Mise en œuvre : 3.5.1.1 Création des comptes sur le domaine (CPD)
2.3.1.2 Protection contre certains services
cs 11-1 : Inhiber le service Remote Access Server et certains protocoles.
Niveau d'exigence :
Objectif : Éviter la prise de contrôle du SFI au travers du réseau.

Remarque : La méthode des Nœuds Distants est utilisée par le service d’accès distant
« Remote Access Server » de Windows NT. Ce service permet d’accéder à
des ordinateurs (dont le SFI dans notre cas) par le réseau. Beaucoup
d’attaques utilisent ce service. L’association d’un modem sur le réseau et
de ce service constitue une faille très importante de la sécurité. Il est
donc impératif de désactiver le service RAS.
Mise en œuvre : 3.2.3 Les services
cs 11-2 : Inhiber les services et les ports TCP/IP inutiles.
Niveau d'exigence :
Objectif : Éviter de programmer le lancement de services aux effets incontrôlables.
Remarque : Plusieurs services assurent des tâches inutiles et parfois dangereuses
pour la sécurité. Citons pour l’exemple le service Planning. Lorsqu’il est
associé à la commande "at", il permet d’exécuter des scripts à des
moments prédéfinis. Il convient donc de supprimer ce service si aucune
application (de sauvegarde automatique, de contrôles de disques durs,
etc.), n’est mise en œuvre via le service planning. Il en est de même pour
certains autres services.
Une liste des principaux services associés au sein de l’environnement
système Windows NT est disponible dans le fichier Services (du
répertoire %SystemRoot%\system32\drivers\etc).
Le service TCP/IP installé par défaut n’effectue aucun filtrage de paquet.
Tous les protocoles sont permis et tous les ports sont ouverts. La liste des
ports et des protocoles disponibles au sein de l’environnement système
Windows NT et définis par le RFC 1060 sont rassemblés dans le fichier
Protocol (situé dans le même répertoire).
Mise en œuvre : , 3.2.2 Les ports ,
3.2.3 Les services
2.3.2 Protection vis-à-vis des accès réseau
2.3.2.1 Partage réseau des répertoires et des fichiers
cs 12-1 : Interdire le partage réseau sur le SFI.

Objectif : Empêcher qu’un utilisateur crée un partage de fichiers ou de répertoires
sur le disque dur local. Les échanges entre utilisateurs se feront en
copiant les documents dans des répertoires particuliers.
Remarque : L’ordinateur assurant la fonction de SFI est dédié à la gestion de
répertoires spécifiques à un utilisateur ou à un groupe. Les partages de
répertoires entre différents utilisateurs sont à proscrire. Les seules
partages autorisés sont ceux mis en place par l’administrateur pour
chaque section ou ensemble de sections.
Mise en œuvre : 3.5.1 Les comptes du domaine

2.3.2.2 Échange dynamique de données entre applications
cs 13-1 : Interdire les services DDE sur le réseau.
Niveau d'exigence :
! Niveau de gêne : 
Objectif : Interdire les Échanges Dynamiques de Données sur le réseau. Cet
échange est autorisé uniquement entre des documents présents sur le
SFI et utilisés par un seul administrateur.
Remarque : Il est préférable d’interdire le service DDE sur le réseau afin d’éviter
qu’un fichier (appartenant à un administrateur), lié à un autre par un
DDE, soit transmis à un utilisateur. Dans ce cas de figure, il est difficile de
prévoir, de manière précise, les transactions de mise à jour automatique
(par DDE) des données.
Mise en œuvre : 3.2.3 Les services
2.3.2.3 Accès distant pour les utilisateurs
cs 14-1 : Contrôler les accès réseau au SFI.

Objectif : Les utilisateurs n’accèdent qu’à certains répertoires du SFI.
Remarque : Seuls les administrateurs peuvent ouvrir une session sur SFI. Les
utilisateurs accéderont au SFI par le réseau. Ils disposeront d’un
répertoire personnel, d’un répertoire de groupe et d’un répertoire de site.
Ces deux derniers répertoires seront partagés respectivement par le
Groupe et par les Utilisateurs du domaine.
3.5.1 Les comptes du domaine
2.3.2.4 Protection des échanges sur le réseau
cs 15-1 : Interdire les sécurités apportées par Lan-Manager.
Niveau d'exigence :
Objectif : Interdire l’utilisation d’un mot de passe compatible Lan-Manager de bas
niveau en tant que requête.
Remarques : Windows NT prend en charge deux protocoles d’authentification par un
processus de challenge : Windows NT Challenge Response et Lan-
Manager Challenge Response. Le protocole de chiffrement Lan-Manager
est plus simple que celui de Windows. Un pirate peut renifler le réseau
pour intercepter et casser le hachage du mot de passe de Lan-Manager.

Sans l’interdiction explicite de ce protocole, Windows NT tentera

l’établissement d’une connexion via les deux protocoles. Ce protocole
sera interdit par défaut.
Notons que le protocole Lan-Manager apportera une sécurité minimale
lorsqu’un serveur, utilisant Netware, est connecté au réseau. Une clé de
registre autorise ou interdit l’emploi des 2 protocoles simultanément et
une seconde clé indique le protocole utilisé (cas des 2 protocoles interdits
simultanément). La sécurisation des échanges par Lan-Manager est
désactivée sauf nécessité absolue. Si un serveur sous Netware est
connecté au réseau, vous trouverez les modifications des clés pour les
stations dans le manuel consacré à Netware.
Mise en œuvre : 3.4.1 Protection des communications sur le domaine
cs 15-2 : Contrôler et protéger les communications client/serveur.

Objectif : Sécuriser les échanges avec une station en signant et en chiffrant.
Remarque : La structure de base des réseaux Microsoft en environnement
Windows NT s’appuie sur le protocole SMB (Server Message Block). Les
services SMB (NetBIOS lorsque TCP/IP est exécuté et NetBEUI dans le cas
contraire) sont implémentés par les services Serveur et Station de
travail de Windows NT. Les ports d’accès utilisés par SMB (ports 135-139
sous TCP/IP) présentent une faille importante de la sécurité notamment si
un serveur UNIX travaillant sous SAMBA (implémentation du protocole
SMB sous UNIX), est connecté au réseau. Une version plus performante
des services offerts par SMB appelée protocole CIFS (Common Internet
File Sharing) est disponible sur Internet et dans le SP 3. Ce SP 3 fournit
aussi le protocole de signature SMB-S (Server Message Block Signing)
pour authentifier les paquets et empêcher les attaques du type Men-in-
the-Middle. SMB-S (services Serveur et Station de travail) doit être
activé sur le SFI pour bénéficier des sécurités de signature. L’activation
de ce service (Station de travail) est effectué en modifiant la valeur des
clés de registre correspondante.
Paramètres : Créer et modifier la valeur de la clé du registre HKLM :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanm
anServer\Parameters
EnableSecuritySignature valeur 1 (type REG_DWORD)
(active le protocole SMB-S)
RequireSecuritySignature valeur 1 (type REG_DWORD)
(seules les stations sur lesquelles le protocole SMB-S est activé seront
autorisées à établir une connexion avec le SFI. Il faut une conformité
globale stations/serveurs pour employer ces 2 valeurs de rubriques. Se
reporter à la mise en œuvre pour plus d’informations)
Mise en œuvre : 3.4.1 Protection des communications sur le domaine

2.4 Protéger la configuration système
2.4.1 Protéger les paramètres systèmes

cs 16-1 : Seul l’administrateur système peut modifier les registres.

Objectif : Éviter que les registres soient modifiés par l’administrateur de comptes.
Remarque : Il est nécessaire de découpler les rôles de l’administrateur système et de
l’administrateur de comptes pour éviter tout chevauchement des
attributions. La modification des registres sera uniquement accessible à
l’administrateur système. Notons qu’il n’est pas suffisant d’effacer les
deux éditeurs de registres (REGEDIT.EXE et REGEDT32.EXE) pour
interdire l’accès aux registres de l’ordinateur. La copie d’un de ces deux
exécutables sur le disque dur, permet de les utiliser et de modifier les
registres. Il est impératif de protéger les registres par des permissions
NTFS.
Mise en œuvre : 3.6.2 Sécurisation des fichiers de registres
cs 16-2 : Seul l’administrateur système peut modifier les paramètres du fichier

d’échange de la mémoire virtuelle.
Niveau d'exigence :
Objectif : Éviter d’occuper inutilement la mémoire virtuelle du système local.
Remarque : En environnement Windows NT, la mémoire virtuelle locale utilise un
fichier d’échange (fichier C:\pagefile.sys). Seul l’administrateur système
peut posséder le droit de créer un fichier d’échange statique. Un mauvais
choix des paramètres de ce fichier risque de saturer le système
d’exploitation et de le bloquer. La taille de ce fichier fait 120 % environ de
la taille de la mémoire RAM (75 Mo pour 64 Mo de RAM). Son minimum
doit être supérieur à 64 Mo et à la taille recommandée (champ affiché
dans la fenêtre). Ces réglages sont généralement effectués une seule
fois, à l’installation de Windows NT. Les valeurs usuelles de la taille
minimale et de la taille maximale sont identiques.
Paramètres : Les réglages sont effectués par le menu Mémoire virtuelle (clique droit
sur l’icône Poste de travail  Propriétés  Performances 
Modifier  cliquer sur le lecteur  Taille initiale (Mo) et Taille
maximale (Mo), entrer les valeurs  Fixer la valeur). Ce menu permet
de régler la taille maximum du fichier des registres (120 % environ
de la Taille actuelle du registre). La clé correspondante devra être
protégée en écriture :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio
n Manager\Memory Management
La valeur de la rubrique PagingFiles contient le nom du fichier, la taille
minimale et maximale. Par exemple : C:\pagefile.sys 75 75 (Type
REG_MULTI_SZ)

Mise en œuvre : 3.6.2 Sécurisation des fichiers de registres

cs 16-3 : Seul l’administrateur système peut modifier les priorités de planification.

Objectif : Ce paramétrage est uniquement de l’attribution de l’administrateur
système. Une modification malheureuse de cette priorité peut provoquer
un déni de service.
Remarque : Si une priorité trop importante est accordée à un processus par rapport à
un autre, le système peut refuser d’exécuter le processus de faible
priorité par manque de temps système. Si une priorité est trop
importante, le système peut allouer la totalité des ressources de la
machine pour ce processus et se bloquer.
Paramètres : Lors de la définition des permissions (Gestionnaire des utilisateurs 
Stratégie des droits de l’utilisateur), le droit Augmenter la priorité
de planification est sélectionné uniquement pour l’administrateur
système.
cs 16-4 : Seul l’administrateur système peut modifier les performances système.

Objectif : Réserver l’emploi des outils d’analyse de performances aux seuls
administrateurs concernés.
Remarques : Les performances système sont optimisées par plusieurs outils dont
dispose l’administrateur système. Ces outils peuvent donner des
indications très utiles pour connaître le moment approprié à une attaque :
« pourcentage du temps total de l’utilisateur », « nombre de sessions
fermées pour inactivité », etc.
Stratégie des droits de l’utilisateur), le droit Régler les
performances système est accordé uniquement pour l’administrateur
système.
cs 16-5 : Seul l’administrateur système peut optimiser les processus.

Objectif : Éviter des conflits système sur le CPD après un paramétrage incorrect de
l’optimisation des processus.
cs 16-6 : Seul l’administrateur système peut modifier les valeurs d’environnement de

microprogrammation.

Objectif : Éviter de compromettre le bon fonctionnement de certaines applications

du SFI.
Remarques : Les valeurs d’environnement de microprogrammation sont des variables
prédéfinies pour des programmes qui permettent à l’ordinateur de
s’initialiser lors de certaines actions. Donnons comme exemple la variable
ComSpec de la boîte de dialogue Propriété du Système. Elle pointe
par défaut sur CMD.EXE qui permet d’exécuter des commandes DOS.
Cette variable pourrait être modifiée pour pointer sur un programme
créant un nouveau compte avec les droits de l’administrateur de
comptes. Ce droit est réservé à l’administrateur système.
2.4.2 Restriction des modifications des pilotes

cs 17-1 : Seul l’administrateur système peut installer un pilote de périphériques.

Objectif : Maîtriser la configuration du SFI et découpler les fonctions
d’administrateur système et administrateur de compte.
Remarques : Le SFI est un ordinateur dédié. Pour éviter une indisponibilité
momentanée de l’ordinateur, nous recommandons fortement de limiter
les périphériques aux besoins du SFI (graveur et lecteur de CD-ROM,
sauvegarde sur bandes, etc.). Afin de séparer les fonctions des
administrateurs système et de celles de l’administrateur de comptes, la
gestion des pilotes est du ressort de l’administrateur système. De plus, si
l’accès physique au SFI ne présente pas toutes les garanties de sécurité
suffisantes, il sera judicieux de désactiver le lecteur de disquette ainsi
que l’autorun du CD-ROM.
2.4.3 Protection de l'intégrité des données et des applications

cs 18-1 : Consignes applicables aux permissions NTFS d’accès aux fichiers et aux
répertoires.

Objectif : Gérer les accès à certains répertoires (dont les répertoires de base et de
groupes) et fichiers susceptibles de présenter une faille de sécurité
importante.
Remarques : L’accès en écriture à certains fichiers (par exemple : le fichier de la
ruche) permet de contourner les sécurités mises en place par
l’administrateur système. Il est très important de protéger ces fichiers ou
leurs répertoires pour éviter le piratage de l’ordinateur par une personne
(possédant l’accès au compte administrateur avec pouvoirs minimums
par exemple).
3.1.3.5 Remarques

2.5 Protection des comptes

cs 19-1 : Ne pas afficher le nom du dernier utilisateur dans l’écran d’ouverture de

session.

Objectif : Évite qu’une personne puisse lire le nom du compte administrateur.
Remarque : Seul les administrateurs sont autorisés à ouvrir une session sur le SFI.
Leurs comptes sont protégés et banalisés afin de rendre difficile la tâche
des pirates. Ces précautions seraient inefficaces, si le SFI affichait le nom
du dernier utilisateur (l’administrateur) dans la fenêtre de déverrouillage.
Mise en œuvre : 3.6.1 Modifications des registres
cs 19-2 : Interdire l’ouverture d’une session automatique.

Objectif : S’assurer qu’un administrateur est bien présent lors de l’ouverture d’une
session.
cs 19-3 : Vider la corbeille entre l’ouverture de deux sessions.

Objectif : Empêcher la consultation des fichiers supprimés par l’administrateur lors
de l’ouverture d’une session par une autre personne.
Remarque : Cette consigne de sécurité évite aussi de conserver des corbeilles trop
volumineuses sur le SFI. Il est possible d’écrire un script (voir le CPD) qui
sera exécuté à l’ouverture de session des administrateurs. Il effacera le
contenu de la corbeille et des fichiers temporaires.
Mise en œuvre : 3.5.1.5 Les scripts de démarrage
cs 19-4 : Vider le fichier paginé de mémoire temporaire entre les sessions.

Objectif : Évite de conserver un fichier inutile sur le disque dur du SFI.
Remarque : Le fichier paginé de mémoire temporaire ou d’échange de Windows NT se
comporte comme une mémoire virtuelle. Ce fichier peut contenir des
informations sensibles de la session précédente (celle d’un second
administrateur). Il doit être effacé du disque dur lors de la fermeture de la
session pour éviter qu’une personne possédant un accès même limité (le

compte avec pouvoirs minimums de l’administrateur par exemple),

consulte ce fichier.
Paramètres : Modifier la valeur de la rubrique de la clé du registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sessio
n Manager\Memory Management
(avec un espace devant le mot Management)
Attribuer la valeur 1 (Type REG_DWORD) à la rubrique
ClearPageFileAtShutdown. Le fichier d’échange sera nettoyé lors de la
fermeture de la session.
2.5.1 Protection des comptes ouverts sur le domaine

cs 20-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.

Objectif : Empêcher l’appropriation d’une session lors de l’absence de
l’administrateur.
Remarque : L’administrateur règle fréquemment des problèmes, en consultant l’écran
de l’ordinateur. Le SFI reste souvent inactif pendant que l’administrateur
annote sur un papier ses remarques. Cette constatation nous amène à ne
pas pénaliser l’administrateur en réduisant le temps d’inactivité avant
verrouillage.
cs 20-2 : Fermeture de la session après un délai d’inactivité de 30 minutes
Niveau d'exigence :
Objectif : Interdire l’appropriation d’une session laissée ouverte sans surveillance
par l’administrateur.
Remarque : Ce second niveau de sécurité a pour objectif de ne pas laisser une session
verrouillée, sans surveillance. Il suffirait qu’un pirate active l’ordinateur
(<Ctrl>+<Alt>+<Suppr>) pour que la fenêtre de déverrouillage
dévoile le nom du compte administrateur. Une session ouverte sur le SFI
(par un administrateur), sera fermée automatiquement après 30 minutes
d’inactivité. La chronologie des évènements est verrouillage de la station
après 15 minutes, suivit de la fermeture de la session 15 minutes après.
Mise en œuvre : 3.2.4.3 Fermeture de la session après ¼ heure de verrouillage
(CPD)
cs 20-3 : Cloisonner les utilisateurs par l’intermédiaire des groupes.

Objectif : Éviter que des utilisateurs cumulent les permissions d’accès à des
répertoires sur le SFI. La gestion de ces utilisateurs deviendrait
impossible à surveiller.
Remarque : L’administrateur devra élaborer un schéma des utilisateurs du réseau afin
de classer tous les utilisateurs dans des groupes disjoints. Chaque groupe
comprendra la liste des utilisateurs, le profil type et les stations d’une
seule section. Un groupe particulier sera créé pour les administrateurs
(ce groupe est créé par défaut). L’administrateur de comptes s’abstiendra
de créer des utilisateurs en dehors d’un groupe. Il évitera de créer des
groupes spéciaux pour des utilisateurs particuliers.
Lorsque cette consigne est parfaitement respectée, la gestion des
utilisateurs est fortement facilitée, apportant ainsi un cloisonnement des
sections et une meilleure sécurité des informations détenues.
Mise en œuvre : 3.5.1 Les comptes du domaine (CPD)
cs 20-4 : Respecter le cloisonnement des groupes pour la gestion des répertoires de

base.

Objectif : Éviter une incohérence des permissions d’accès à des répertoires
partagés du SFI.
cs 20-5 : Utiliser des profils errants pour tous les utilisateurs.

Objectif : Évite qu’une personne puisse lire des informations confidentielles sur un
compte en consultant un profil.
Remarque : Les profils résidents sur le disque dur du SFI seront le profil
administrateur local, All Users et le profil de l’utilisateur qui a ouvert une
session. Un répertoire nommé Profils du disque dur du SFI contiendra
tous les profils des utilisateurs. Lors de l’ouverture d’une session par un
utilisateur, son profil sera transféré du SFI vers la station. À la fermeture
de la session, son profil sera recopié sur le SFI et détruit du disque dur de
la station. Ces profils (délocalisés sur le réseau) sont appelés Profils
errants.
L’administrateur de compte créera un profil type par groupe. Ils suffira de
recopier le profil d’un groupe, en changeant le nom du répertoire par
celui de l’utilisateur pour créer le profil de cet utilisateur.
L’administrateur de comptes disposera de tous les profils regroupés sur
un seul ordinateur : SFI.
cs 20-6 : Respecter le cloisonnement des groupes pour la gestion des profils.

Objectif : Éviter une incohérence de la définition des profils sur le SFI.


cs 20-7 : Appliquer les consignes concernant les comptes des administrateurs dans le
document du Contrôleur Principal de Domaine.
Niveau d'exigence : Niveau de gêne : 

Objectif : Éviter une incohérence des profils, des droits des utilisateurs et des
permissions d’accès à des répertoires partagés du serveur de fichiers et
d’impression (\\SFI).
Remarque : Rappelons ces consignes de sécurité :
 durée maximale du mot de passe à 60 jours,
 durée minimale de validité du mot de passe à 5 jours,
 interdiction de réutiliser les 6 derniers mots de passe,
 longueur minimale du mot de passe à 8 caractères (au minimum
pour les administrateurs),
 verrouillage du compte après 5 tentatives échouées,
 attente de 60 minutes après 4 tentatives échouées,
 limitation des heures d’utilisation du réseau,
 limitation des droits,
 limitation des stations utilisables,
 limitation des applications du menu Démarrer.
cs 20-8 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les
travaux usuels.

Objectif : Limiter l’utilisation des véritables comptes administrateurs.
Remarque : Tous les administrateurs disposent de deux comptes (l’un avec des
pouvoirs, l’autre similaire aux utilisateurs). Ces seconds comptes ont pour
fonction de dissimuler le plus possible les véritables comptes
administrateurs (compte administrateur avec pleins pouvoirs). Si un
administrateur utilise uniquement son compte avec pleins pouvoirs sur le
SFI, le nom du compte serait affiché dans la fenêtre d’ouverture de
session la fois suivante (avant l’ouverture de la session et
l’enregistrement dans le journal des événements). Il ne servirait à rien de
le banaliser puisqu’il suffirait d’éveiller le SFI (en bougeant la souris par
exemple) après l’administrateur pour connaître le nom de ce compte.
Nous recommandons aux administrateurs de se connecter sous le compte
avec pouvoirs restreints puis de fermer la session après l’utilisation du
compte administrateur avec pleins pouvoirs. Seul le nom de
l’administrateur avec pouvoirs restreints sera affiché.
Les administrateurs doivent impérativement utiliser les comptes avec
pouvoirs minimums pour les travaux usuels sur le SFI.
Le compte avec les pleins pouvoirs de l’administrateur du domaine est le
compte administrateur du domaine.

2.5.2 Protection des comptes locaux

cs 21-1 : Verrouillage du SFI après un délai d’inactivité de 15 minutes.

Objectif : Empêcher l’appropriation d’une session lors de l’absence de
l’administrateur.
Remarque : Cette consigne est identique à la consigne cs 20-1.
cs 21-2 : Appliquer les consignes concernant les comptes des administrateurs dans le
document du Contrôleur Principal de Domaine.
Niveau d'exigence : Niveau de gêne : 

Objectif : Éviter une incohérence des profils, des droits des utilisateurs et des
permissions d’accès à des répertoires partagés du serveur de fichiers et
d’impression (\\SFI).
Remarque : Les consignes de sécurité pour un administrateur local (identiques à
celles d’un administrateur du domaine) sont :
 durée maximale du mot de passe à 60 jours,
 durée minimale de validité du mot de passe à 5 jours,
 interdiction de réutiliser les 6 derniers mots de passe,
 longueur minimale du mot de passe à 8 caractères au minimum,
 verrouillage du compte après 5 tentatives échouées,
 attente de 60 minutes après 4 tentatives échouées,
 limitation des heures d’utilisation du réseau,
 limitation des droits,
 limitation des stations utilisables,
 limitation des applications du menu Démarrer.
Mise en œuvre : 3.5.2.3 Les comptes locaux Administrateurs
cs 21-3 : N’autoriser que les administrateurs à ouvrir une session locale sur SFI.

Objectif : Seuls les administrateurs peuvent utiliser SFI.
Remarque : Le SFI est un serveur dédié. Aucun utilisateur (sauf les administrateurs)
peut ouvrir une session sur SFI. Il en est de même pour les sessions
locales. Rappelons que tous les administrateurs disposent de deux
comptes (l’un avec des pouvoirs, l’autre similaire à un utilisateur). Ces
seconds comptes ont pour fonction de dissimuler le plus possible les
véritables comptes administrateurs (compte administrateur avec pleins
pouvoirs).

Les administrateurs doivent impérativement utiliser les comptes avec

pouvoirs minimums pour les travaux usuels sur le SFI.
Le compte avec les pleins pouvoirs de l’administrateur du domaine est le
compte administrateur du domaine.
2.5.2.1 Protection du compte "Invité"
cs 22-1 : Inhiber le compte "Invité".

Objectif : Empêcher l'utilisation de ce compte prédéfini par un tiers.
Remarque : Ce compte est créé par défaut par Windows NT, et ne peut pas être
supprimé. Il possède un mot de passe et des droits prédéfinis qui peuvent
être utilisés pour pénétrer le SFI en se déclarant "Invité".
Paramètres : Changer le nom du compte, changer le mot de passe (14 caractères),
retirer le compte du groupe invité, verrouiller ce compte.
Mise en œuvre : 3.5.2.1 Le compte local Invité,
3.5.2.2 Les comptes locaux prédéfinis
2.5.2.2 Protection des comptes "administrateur"
cs 23-1 : Changer les noms des comptes administrateurs.

Objectif : Éviter que le nom de ce compte soit trop facilement reconnaissable. Le
compte administrateur serait la cible évidente de toutes les attaques (le
mot de passe serait la seule inconnue de ce compte).
cs 23-2 : Les administrateurs utiliseront un compte avec pouvoirs minimums pour les
travaux usuels.

Objectif : Limiter l’utilisation des véritables comptes administrateurs.
Remarque : Les administrateurs disposent de trois comptes pour ouvrir une session
sur SFI :
• Compte Administrateur local.

• Compte administrateur du domaine.

• Compte administrateur avec pouvoirs restreints.
Ces comptes ont chaqu’un une fonction particulière. Les comptes des
administrateurs du domaine permettent la gestion du réseau. Les
comptes des administrateurs locaux permettent l’administration locale du
SFI. Les comptes des administrateurs avec pouvoirs restreints servent à
effectuer les travaux usuels et à cacher les noms des autres comptes des
administrateurs.
Afin de dissimuler les comptes administrateurs locaux et avec pouvoirs,
l’administrateur qui a ouvert une session sur SFI avec l’un de ces deux
comptes, doit se reloguer sous le compte avec pouvoirs restreints, une
fois son travail terminé, puis fermer cette session. C’est le nom de
l’administrateur avec pouvoirs restreints qui apparaîtra à l’écran.
2.6 Points divers
2.6.1 Points divers pour tous les administrateurs

cs 24-1 : Seuls les administrateurs peuvent sauvegarder des fichiers et des répertoires.

Objectif : Seuls les administrateurs auront une copie des répertoires ou fichiers du
disque dur de SFI.
Remarques : Ce sont généralement les Opérateurs de Sauvegarde (si cette fonction est
créée) qui gèrent les sauvegardes et restaurations.
cs 24-2 : Seuls les administrateurs peuvent restaurer des fichiers et des répertoires.

Objectif : Permettre de restaurer des fichiers d’anciennes versions (notamment
ceux concernant les registres et la sécurité du SFI).
Remarques : Les droits de Restaurer des fichiers et Restaurer des répertoires
sont généralement attribués aux Opérateurs de Sauvegarde (si cette
fonction est créée). Ils leurs permettent d’ajouter et de remplacer des
fichiers détruits par inadvertance. Ces droits sont exécutés en passant
outre la consultation des Listes de Contrôles d’Accès (les ACL). Ces
administrateurs ont donc des droits qui échappent aux contrôles de
sécurité de Windows NT. Le groupe des utilisateurs possédant ce droit est
restreint au groupe administrateur.

2.6.2 Points divers pour l’administrateur système

cs 25-1 : Seul l’administrateur système peut modifier l’heure système.

Objectif : Assurer la cohérence temporelle de la datation des événements de
sécurité et des macros instructions (date et heure automatiques de mise
à jour ou d’impression de Word, etc.).
Remarques : Choisir le fuseau horaire Paris, afin d'assurer la cohérence des dates et
des heures dans les journaux.
cs 25-2 : Seul l’administrateur système peut prendre possession de fichiers ou d’objets.

Objectif : Séparer les fonctions administrateur système et de la sécurite, afin
d’assurer une surveillance mutuelle.
Remarques : Ce droit est l’un des plus dangereux pour la sécurité des informations
stockées sur le SFI et pour la configuration du système d’exploitation. Il
permet de s’approprier des fichiers (les tables SAM par exemple).
L’administrateur système peut éventuellement s’approprier et cumuler
tous les droits. Cette prise de pouvoir laissera une trace dans les journaux
d’événements. L’administrateur de la sécurité détectera immédiatement
cette prise de contrôle en consultant les journaux.
Stratégie des droits de l’utilisateur), le droit Prendre possession
des fichiers ou d’autres objets est accordé uniquement à
l’administrateur système.
2.7 Audit
2.7.1 Date et heure

cs 26-1 : Assurer la cohérence de datation des événements de sécurité.

Objectif : Garantir que le journal des événements présente les messages d’audit
dans un ordre chronologique.
Remarque : L’Administrateur de la sécurité aura la certitude qu’aucun événement
récent ne soit dissimulé parmi les événements consultés auparavant. Il
est primordial de suivre la chronologie des alertes pour comprendre et

réagir correctement vis à vis d’une attaque. C’est en accordant des droits
complémentaires à l’administrateur système (modification de l’heure) et
à l’administrateur de la sécurité (consultation des journaux), qu’un
contrôle croisé permet d’assurer la sécurité globale du réseau.
Paramètres : Ne pas accorder l’option Modifier l’heure système dans le
Gestionnaire des utilisateurs  Stratégie des droits de
l’utilisateur.
2.7.2 Protection de l’audit

cs 27-1 : Écraser les événements les plus anciens en cas de débordement de la taille des
journaux.

Objectif : Éviter que des journaux saturés n’enregistrent pas les événements
récents.
Remarques : Des cas particuliers peuvent provoquer un accroissement considérable
des événements enregistrés dans les journaux. Il est nécessaire de
prévoir le traitement des nouveaux événements lorsque la taille
maximale de ces journaux est atteinte. L’option retenue consiste à
écraser les événements les plus anciens, chaque journal se comporte
comme un buffer tournant.
Paramètres : Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité,
des applications et du système) dans le menu :
Observateur d’événements  Journal  Paramètres du journal 
Bouclage du journal des événements , cliquer sur Écraser les
événements si nécessaire.
Mise en œuvre : 3.7.2.1 Tailles des journaux d’événements
cs 27-2 : Éviter les journaux trop volumineux.

Objectif : L’administrateur de la sécurité doit s’astreindre à dépouiller les journaux
avant que les fichiers ne deviennent trop importants.
Remarques : Pour des raisons particulières, les tailles allouées à chaque journal
risquent d’être trop faibles. Il convient d’adapter les tailles respectives de
chaque journal (par multiple de 64 ko) aux besoins. Les dimensions
retenues dans la mise en œuvre correspondent à 50 machines environ et
pour une durée de 2 semaines.
Paramètres : Modifier les valeurs des tailles des fichiers (pour les journaux de sécurité,
des applications et du système) dans le menu :
Observateur d’événements  Journal  Paramètres du journal 
Taille Maximale du journal
 Le journal de sécurité : 2 à 4 Mo.
 Le journal des applications : 1 à 2 Mo.

 Le journal système : 1 à 2 Mo.

Mise en œuvre : 3.7.2.1 Tailles des journaux d’événements

cs 27-3 : Sauvegarde des journaux de l’audit.

Objectif : Les informations contenues dans les journaux des événements doivent
impérativement être consultées et comparées pour assurer une bonne
réactivité contre une attaque éventuelle du SFI.
Remarques : Tous les journaux du réseau sont sauvegardés chaque mois sur le serveur
de fichiers (sauf cas d’une sauvegarde sur un ordinateur non connecté au
réseau). Ils sont enregistrés dans un sous-répertoire appelé
<Jounaux>\<type du journal>. Les noms des fichiers de sauvegardes
sont : aammjj. Ces lettres signifient : 2 chiffres pour l’année (aa), 2
chiffres pour le mois (mm) et 2 chiffres pour le jour (jj). Cette
dénomination permet d’obtenir un classement chronologique des
journaux.
Après chaque sauvegarde, les journaux sont effacés et de nouveaux
journaux des événements vierges sont exploités.
Mise en œuvre : 3.7.2.2 Sauvegarde des journaux d’événements
cs 27-4 : Gérer l’archivage des sauvegardes des journaux d’événements.

Objectif : L’archivage permet de garder et de comparer les journaux avec ceux des
mois ou années précédentes.
Remarque : Les journaux des administrateurs sont gravés sur CD-ROM (ou enregistrés
sur disquettes) tous les 6 mois ou tous les ans suivant le volume des
fichiers. Ces supports seront conservés sous clé et classés
chronologiquement par l’Administrateur de sécurité. Ces archives
permettront de comparer les anomalies et de déterminer rapidement si
des événements anormaux correspondent à une attaque ou à des
problèmes épisodiques du réseau.
Mise en œuvre : 3.7.2.2 Sauvegarde des journaux d’événements
2.7.3 Événements de sécurité des audits

cs 28-1 : Auditer l’accès aux objets système internes.

Objectif : L’administrateur de la sécurité est informé des erreurs de configuration
ou des attaques du système.
Mise en œuvre : 3.7.1 Événements de sécurité des audits

cs 28-2 : Messages d’exceptions du fonctionnement d’une station.

Objectif : L’administrateur de la sécurité doit être en mesure de tracer tous les
événements inhabituels ou à risques, survenant pendant l’utilisation d’un
compte ou de droits spécifiques.
Remarque : L’audit de sécurité doit fournir à l’Administrateur de la sécurité les
informations suivantes :
 les événements d’ouvertures de sessions,
 l’accès à certains objets (les profils par exemple),
 les événements de connexion,
 l’utilisation de privilège,
 la modification des registres.
Mise en œuvre : 3.7.1 Événements de sécurité des audits

3. MISE EN ŒUVRE
La mise en œuvre décrit les actions concrètes qui doivent être réalisées. Elle présente les
différents panneaux de configuration et les actions associées qui permettent aux
administrateurs d'appliquer les consignes définies précédemment.
Les actions sont présentées dans un ordre chronologique, afin de donner une vision
simple des éléments abordés à chaque étape
Le schéma suivant permet de définir la portée des comptes créés sur le domaine et
localement. Il apporte une meilleure compréhension des consignes et de leurs rôles.
Réseau : le domaine
Comptes locaux : Comptes locaux :

- les administrateurs - les administrateurs
Comptes globaux : Comptes globaux :
- les pseudo-administrateurs - les pseudo-administrateurs
CPD SFI
Comptes locaux : Section 1 Section 2 Comptes locaux :

- les utilisateurs de la section 1 - les utilisateurs de la sectio
Poste Client NT 4.0 Poste Client NT 4.0

Workstation Workstation
3.1 Protection matérielle du SFI

3.1.1 Protection physique du poste

Consignes associées : cs 1-1, cs 2-1, cs 2-2, cs 7-1
Le SFI est l’un des principaux serveurs du réseau, les administrateurs veilleront à le
protéger de la même manière que le CPD. Ils devront respecter les règles suivantes :
 il est utilisé exclusivement par les administrateurs ou par le RSSI,
 la porte du local est toujours fermée à clé en l’absence des administrateurs,
 les fenêtres du local sont condamnées,

 si une personne (autre que les administrateurs) doit pénétrer dans le local
(électricien, etc.), elle ne pourra entrer qu’avec la permission et la surveillance
d’un administrateur.
Une étiquette collée ostensiblement sur le cadre de l’écran du SFI indiquera son degré de
sensibilité et son niveau de confidentialité. Les fonctions des personnes autorisées à
ouvrir une session sur cette machine (appelées : Administrateur, sans préciser les
noms) et les risques encourus de son utilisation frauduleuse peuvent figurer sur cette
étiquette.
Le SFI devra posséder un verrou condamnant l’ouverture physique de l’ordinateur et
empêchant son déplacement (câble et cadenas reliant le capot, le boîtier et le bureau).
Cependant, les verrous offrent une résistance peu fiable. Le verrou peut être ouvert (en
forçant la serrure sans l’endommager), puis refermé après ouverture du capot de
l’ordinateur. Il faut être en mesure de détecter a posteriori l’ouverture d’un poste.
La pose de scellés ou d’étiquettes d’inviolabilité entre le capot et le boîtier de
l’ordinateur dévoile immédiatement une ouverture de l’unité centrale. Elles seront
collées sur la façade et sur l’arrière de l’ordinateur au minimum. Certains ordinateurs
peuvent nécessiter un nombre plus important d’étiquettes. Généralement, elles sont
apposées sur toutes les jonctions entre le (ou les) capot et le boîtier et espacées d’une
vingtaine de centimètres. La vérification périodique des scellés apposés sur l’unité
centrale fournira aux administrateurs une bonne garantie de l’intégrité physique du
poste de travail. Cette vérification sera faite chaque semaine.
3.1.2 Configuration du SETUP du BIOS

Consignes associées : cs 3-1, cs 3-2, cs 3-3, cs 3-4_Hlk472138476
Le BIOS (Basic Input Output System) exécute un programme d’acquisition du profil
matériel de l’ordinateur. Si deux disques durs bootables sont présents, la carte mère
exécutera le boot du premier disque maître rencontré. Elle testera le premier port IDE
puis le second. Il faut éviter qu’une personne puisse booter sur un disque dur personnel
(possédant un système d’exploitation compatible NTFS) afin de lire le disque installé par
l’administrateur. Il est nécessaire que le disque dur, installé par l’Administrateur, soit
déclaré maître (par le cavalier à l’arrière du disque) et connecté sur le port IDE 0 de la
carte mère.
Le BIOS présent en mémoire flash du poste de travail permet, lors de la séquence de
démarrage, de configurer les possibilités de la station. Les fonctionnalités supportées par
le BIOS dépendent du constructeur.
En général, il est possible d’activer le BIOS en pressant la touche <Suppr> ou la touche
<F1> ou [<Ctrl> et <ESC>] au démarrage.
Option d’amorçage : n’autoriser l’amorçage qu’à partir du disque dur C:\ et uniquement
sur ce périphérique (lorsque cette option existe).
Paramètres avancés ou Configuration des périphériques : désactiver les ports
série et le port USB.
Paramètres de sécurité : définir un mot de passe administrateur pour les machines. Il
répond aux critères suivants :
 7 caractères au minimum.
 Il est changé à chaque changement d’administrateur.
 Il est changé une fois tous les 6 mois (généralement au début des vacances d’été
pour garder une marge temporelle en cas de problèmes).
Un second mot de passe permet de verrouiller l’ordinateur à la fin de l’exécution du
BIOS. Aux vues des consignes de sécurité concernant la pérennité du service (arrêt et
démarrage automatique pendant les congés), cette option ne sera pas mise en œuvre.

3.1.3 Configuration des disques durs

Le schéma suivant présente la solution adoptée pour le plan de reprise après incident
des disques durs du SFI :
Disque
Partition G:\ Partition F:\ Partition E:\ Partition C:\

des administrateurs des sections des utilisateurs Windows NT 4
(Administrateurs) (Public) (Privé) (Système)
1 à 1.5 Go
Mise en miroir des partitions
Disque m
Partition G:\ Partition F:\ Partition E:\ Partition C:\

des administrateurs des sections des utilisateurs Windows NT 4
(Administrateurs)
Ce schéma permet (Public)
de mieux comprendre le but suivi (Privé)
pour la mise en œuvre des 2 (Système)
disques durs de SFI. Le premier disque dur contiendra : 1 à 1.5 Go
 La partition Système, contenant le système d’exploitation.
 La partition Administrateurs, contenant les profils des utilisateurs, les profils types,
les scripts de démarrage et éventuellement les applications en libre service.
 La partition Public, contenant un répertoire partagé par tous les utilisateurs d’une
même section. Elle contient aussi un répertoire commun à tous les utilisateurs du
domaine.
 La partition Privé, contenant les répertoires de base de tous les utilisateurs.
Le second disque dur contiendra les mêmes partitions que le disque objet. Cette
configuration permet de simplifier le plan de reprise et de sécuriser les fichiers liés à
chaque utilisateur (documents et profils). En cas de problème d’un disque dur, il suffira
de briser le miroir et d’utiliser le second disque (ancien disque miroir) pour rétablir le SFI.
Les partitions occuperont :
 1 à 1.5 Go pour la partition système et les applications.
 Compter 25 Mo en moyenne pour chaque profil.
 Compter 100 Mo environ par répertoire de base.
 Compter 100 Mo environ par répertoire commun à chaque section.
 Compter 100 Mo environ pour le répertoire commun au site.
 L’espace réservé aux applications en libre service (partition Administrateurs)
sera estimée par l’administrateur système.

Pour un site de 100 utilisateurs, répartis en 10 sections et 1 Go réservé aux applications.

Les partitions occuperont 16.6 Go :
 Partition Système : 1.5 Go.
 Partition Administrateurs : 3 Go (100 profils plus 500 Mo pour les applications).
 Partition Public : 2.1 Go (10 sections plus une section pour le site).
 Partition Utilisateurs : 10 Go (100 répertoires de base).
L’administrateur créera 4 partitions (commande Fdisk du DOS) :
 La partition Système.
 La partition Administrateurs.
 La partition Public.
 La partition Privé.
Ces partitions ont pour but :
 D’éviter la fragmentation de la partition système.
 De garantir la disponibilité de l'espace disque nécessaire.
 De conserver un espace disque "propre" où se trouve le système.
 De garantir une zone propre pour l’antivirus de l’Armée de Terre.
 D’associer une partition à la gestion des profils.
 D’associer une partition à la gestion des répertoires de base.
 D’éviter l’écrasement du système par des répertoires de base trop volumineux.
 D’éviter l’écrasement des profils par des répertoires de base trop volumineux.
3.1.3.1 Création de la partition principale "Système"
Consignes associées : cs 4-1

La partition C:\ (appelée Système) sera déclarée primaire. Elle accueillera l’OS
(Operating System : système d’exploitation) Windows NT. Cette partition du disque dur
devra être suffisante (1 à 1.5 Go) pour accueillir l’OS et ses applications serveur. SFI
étant un poste dédié, la taille de la partition système ne tiendra pas compte des
possibilités d’implantation de nouvelles applications.
Installer l’OS sur cette partition avant de créer les autres partitions. Elle sera définie et
formatée NTFS au cours de l'installation de Windows NT 4.0 Server (voir
3.1.3.4 Remarque de ce chapitre). Elle contient toutes les ressources système (boot,
informations de configuration matérielle, pilotes de périphériques, utilitaires système
divers, etc.).
Les partitions suivantes seront créées étendues pour interdire le multi-boot (une partition
primaire pourrait accueillir un nouveau système capable de lire les fichiers des autres
partitions).
3.1.3.2 Création de la partition étendue "Administrateurs"
Il s'agit de créer une partition (G:\, "Administrateurs") dans laquelle, l’administrateur

de comptes créera les profils des utilisateurs. Cette partition est créée par le
Gestionnaire de disques du windows NT. Elle est créée étendue et NTFS.
Les profils seront regroupés suivant les sections :
 Un répertoire par section.

 Tous les profils des utilisateurs d’une section sont dans le répertoire de la section.
 Chaque section contiendra un profil standard, qui sera utilisé à la création de
chaque nouvel utilisateur de la section.
 Un répertoire spécifique pour les administrateurs contiendra les profils de tous les
administrateurs.
 Un profil par défaut (créé dans le répertoire des administrateurs) sera attribué à
tous les utilisateurs d’une section, lors de sa création.
Les actions à mener pour la création de cette partition sont :
 Redémarrer l’ordinateur pour terminer l’installation .de Windows NT 4.0.
 Accéder à l’Administrateur de disques (Démarrer  Programmes  Outils
d’administration  Administrateur de disques).
 Sélectionner l’espace disque restant.
 Créer une partition "étendue" (Menu Partitions  créer une partition
étendue).
 Créer un lecteur logique (D:\) dans la partition "étendue" en lui attribuant 13 %
environ de l'espace disponible (Menu : Partitions  créer puis Partitions 
appliquer les changements maintenant).
 Formater cette partition. (Outils  Formater).
 Sélectionner NTFS comme système de fichier.
 Donner le nom Administrateurs au volume.
 Valider en cliquant sur le bouton Démarrer.
3.1.3.3 Création de la partition étendue "Privée"
Il s'agit de créer une partition (E:\, "Privée") dans laquelle chaque utilisateur du domaine
possédera un répertoire personnel (appelé répertoire de base). Cette partition logique
occupera la majeure partie du disque dur.
Les répertoires partagés seront regroupés suivant les sections :
 Un répertoire par utilisateur dans le répertoire de sa section.
 Un répertoire spécifique pour les administrateurs.
 Un répertoire par administrateur dans le répertoire des administrateurs.
 Sélectionner la partition non formatée.
 Créer une partition logique (F:\) en lui attribuant le restant de l’espace disque
disponible (Menu Partitions  créer puis Partitions  appliquer les
changements maintenant).
 Donner le nom Privée au volume.
3.1.3.4 Création de la partition étendue "Public"

Il s'agit de créer une partition (F:\, "Public") dans laquelle dans laquelle chaque section
du domaine possédera un répertoire partagé.
Les répertoires partagés seront regroupés suivant les sections :
 Un répertoire partagé par toutes les sections sera créé.
 Un répertoire spécifique pour les administrateurs.
 Sélectionner la partition non formatée.
 Créer une partition logique (E:\) en lui attribuant le restant de l’espace disque
disponible (Menu Partitions  créer puis Partitions  appliquer les
changements maintenant).
 Donner le nom Public au volume.
3.1.3.5 Remarques
Consignes associées : cs 4-1, cs 18-1

Pendant l’installation de Windows NT, certains choix sont proposés. Notamment le choix
entre le système de fichiers utilisé FAT 16 (File Allocation Table 16 bits) et NTFS (NT Files
System) au formatage du disque dur. Sélectionner le système NTFS afin de profiter des
contrôles d’accès aux fichiers et aux répertoires. Ces contrôles d’accès sont natifs au
système de fichiers NTFS. Ils prennent en charge :
 La protection des fichiers et des répertoires.
 La gestion d’un fichier journal de l’activité de l’ordinateur pour assurer les reprises
après un arrêt brutal de l’ordinateur (coupure de courant).
 La compression des fichiers.
 L’interdiction de l’accès aux fichiers par d’autres systèmes d’exploitation.
Cette dernière remarque doit être complétée par les possibilités d’accès aux fichiers
NTFS par d’autres OS :
 Sur un même ordinateur, les tentatives de lecture de fichiers en NTFS par des
commandes des systèmes d’exploitation MS-DOS, Windows 95 et Windows 98
échoueront.
 Par un accès réseau, les tentatives d’accès aux fichiers NTFS par les systèmes
d’exploitation MS-DOS, UNIX ou Macintosh seront possibles.
Les possibilités inverses (l’accès à des fichiers par l’OS NTFS) sont :
 Sur un même ordinateur, les tentatives de lecture de fichiers FAT 32 de
Windows 95, OEM SR-2, Windows 98 et HPFS (Hight Performance File System) de
OS/2 par des commandes du systèmes d’exploitation NTFS échoueront.
Il sera donc nécessaire de formater le disque en NTFS pour chaque partition, afin d’éviter
le risque qu’un utilisateur crée un disque multi-boot (option prise en charge par
Windows NT) sur l’une des partitions et accède aux fichiers.
3.1.3.6 Le disque miroir
Windows NT permet de créer simplement un disque miroir :

 Accéder à l’Administrateur de disques (Démarrer  Programmes  Outils

 Créer 4 partitions de tailles identiques aux partitions Système, Administrateurs,
Privé et Public du premier disque.
 Sélectionner la partition à dupliquer Système du premier disque.
 Garder appuyer la touche CTRL et cliquer sur la partition correspondante du
second disque dur (elles seront dénommées par la même lettre).
 Sélectionner Mettre en miroir dans le menu Tolérance de pannes.
 Suivre la même procédure pour les partitions Administrateurs, Privé et Public.
Windows NT dupliquera toutes les écritures de chaque partition sur les partitions mises
en miroir. Le disque miroir remplacera le disque principal en cas de panne de ce dernier.
3.1.4 Reprise après une défaillance d’exploitation

Le schéma suivant présente la connexion des disques objet et miroir sur la carte mère :
Carte mère
Premier contrôleur Second contrôleur
IDE IDE
Première nappe
Seconde nappe
Cette technique dite de partition en miroir permet de résoudre efficacement les pannes
Disque objet Disque miroir
dues à l’électronique (d’un contrôleur IDE ou du disque dur). Elle évite de multiplier par 2
les temps d’accès disque (miroir sur un même disque dur).
En cas de panne de l’un des deux disques :
 Avant d’enlever le disque en panne, vous devez briser le miroir. Accéder à
l’Administrateur de disques (Démarrer  Programmes  Outils
 Sélectionner Briser le miroir dans le menu Tolérance de pannes.
 Recréer le disque en panne (avec ou sans la partition système).
 Remplacer le disque défaillant.
 Créer une nouvelle relation de miroir du disque opérationnel vers le nouveau
disque.
 Redémarrer l’ordinateur.

3.2 Configuration de Windows NT 4.0 Server

Nous considérons que l’ordinateur est dans l’état suivant :
 Les disques durs sont formatés et mis en miroir.
 Le système d'exploitation Windows NT 4.0 Server est chargé.
 Les composants réseaux ont été installés.
L’étape suivante consiste à mettre à niveau le système d’exploitation.
3.2.1 Les Service Packs

Les Service Packs (SP) sont des mises à jours disponibles sur le site de Microsoft. Ils sont
presque cumulatifs (le SP 5 ne contiendrait pas toutes les mises à jour du SP 4). Ils
contiennent _Hlk472138476des correctifs aux protocoles, des modifications des logiciels
et des applications spécifiques. Notamment des applications à destination des
administrateurs.
Pour éviter un travail fastidieux aux administrateurs système qui devraient, en toute
rigueur, appliquer ces SP les uns après les autres, il est fortement recommandé de faire
une image disque sur un CD-ROM. Cette image servira en cas de panne grave des disque
durs.
3.2.2 Les ports

Consignes associées : cs 11-2_Hlk472138476 _Hlk472138476
Windows NT 4.0 présente plusieurs failles de sécurité contre des agressions via le
réseau. Ces attaques provoquent un ralentissement du temps de réponse du SFI (allant
jusqu’au déni de service). Les SP 2 et 3 permettent de se protéger contre les attaques les
plus connues :
Nom de l’attaque Remède
Telnet vers des ports inconnus Appliquer le SP 2
Ping of death Appliquer le SP 2
Ping of death 2 Appliquer le SP 3
SYN Flood Appliquer le SP 2
Out-of-Band Appliquer le SP 3
Attaque sur port RPC de TCP/IP Appliquer le SP 3
Land Appliquer le SP 3
Teardrop, Teardrop 2, Bonk et Boink Appliquer le SP 3
Pour améliorer la sécurité face à une attaque réseau, il est recommandé de restreindre
les ports ouverts. Par défaut Windows NT n’effectue aucun filtrage de paquets. Tous les
ports sont ouverts et tous les protocoles sont acceptés. La liste des ports et des
protocoles disponibles au sein de l’environnement système Windows NT (définis par le
RFC 1060) est décrite dans le fichier Protocol au format ASCII (dans le répertoire
%SystemRoot%\system32\drivers\etc).
La liste des ports utilisés par les applications est très difficile à établir. Cette liste dépend
des options d’installation des applications. Si vous connaissez les ports utilisés pour la
configuration particulière de votre domaine, vous pouvez effectuer un filtrage de paquets
par la méthode suivante :
 Accéder au menu : Sécurité TCP/IP (Panneau de configuration  Réseau 
Protocoles).
 Sélectionner le protocole TCP/IP.
 Cliquer sur le bouton Propriétés….

 Ouvrir le menu Adresse IP en Cliquant sur le bouton Avancé.
 Cocher Activer la sécurité  Configurer...

 Valider les trois boutons (ports TCP, UDP et Protocoles IP) Autoriser seulement à
la place du choix par défaut (Autoriser tous).

 Entrer les numéros de ports actifs suivant les protocoles.

 Valider.
Le tableau suivant donne les numéros des ports et protocoles (détectés
expérimentalement) utilisés dans l’environnement Windows NT 4.0. L’utilisation de
certains ports est mal connue (exemple : les ports RPC 530 et 111 en tcp , ainsi que 111
en udp).
Ports TCP Ports UDP Protocoles IP

7 Port Echo (utilisé à 7 Port Echo (utilisé à 5 Protocole Stream (si une
l’allumage de l’allumage de machine UNIX est
l’ordinateur). l’ordinateur). connectée au réseau).
9 Port Discard (utilisé à 9 Port Discard (utilisé à 6 Protocole TCP.
l’allumage de l’allumage de 17 Protocole UDP.
l’ordinateur). l’ordinateur). 23 Protocole TRUNK-1 pour
13 Port Daytime (utilisé à 13 Port Daytime (utilisé à les messageries.
l’allumage de l’allumage de 24 Protocole TRUNK-2 pour
l’ordinateur). l’ordinateur). les messageries.
17 Port QOTD (utilisé à 17 Port QOTD (utilisé à 80 Protocole ISO IP pour
l’allumage de l’allumage de toutes les machines
l’ordinateur). l’ordinateur). (Imprimantes-Serveur,
19 Port Chargen (utilisé à 19 Port Chargen (utilisé à etc.) connectées au
l’allumage de l’allumage de réseau.
l’ordinateur). l’ordinateur).
20 Port FTP-data (utilisé 53 Port Domain (utilisé pour
pour le transfert de le service DNS).
fichiers). 161 Port snmp (utilisé pour
21 Port FTP (utilisé pour les des commandes
contrôles d’un transfert d’administration).
de fichier). 162 Port snmp-trap (utilisé
53 Port Domain (utilisé pour pour des commandes
le service DNS). d’administration).
101 Port HOSTNAME (si le
protocole Lan-Manager
est utilisé).
102 Port ISO-TSAP (utilisé
pour la messagerie
X and Mail).
103 Port X400 (utilisé pour
les messageries).
104 Port X400-SND (utilisé

pour les messageries).

137 Port NetBIOS Name
Service.
138 Port NetBIOS DataGraM
service.
139 Port NetBIOS SesSioN
service.
170 Port Print-SRV (utilisé
pour les impressions
PostScript via UNIX sur le
réseau).
515 Port Printer (utilisé pour
les impressions
PostScript sur le réseau
via UNIX).
Chaque application nécessite l’ouverture de certain ports IP dans certaines conditions

(transfert de fichiers, avertissement pour un fichier déjà ouvert, synchronisation, etc.).
Les administrateurs seront amenés à compléter ou modifier la liste ci-dessus.
3.2.3 Les services

Consignes associées : cs 11-1, cs 11-2, cs 13-1
Par défaut, Windows installe un nombre important de services sur le SFI. Certains de ces
services peuvent être dangereux pour l’intégrité du réseau ou du SFI. La liste des
services et leur état est consultable par le Panneau de configuration en double
cliquant sur Services :
 Double cliquez sur Services. La liste des services (nom, état et type de
démarrage) apparaît dans une fenêtre. Elle est modifiable :
La colonne État indique si ce service est en fonctionnement (Démarré) ou à l’arrêt

(vide). La colonne Démarrage indique son mode de lancement :
 Automatique : ce service démarre à l’allumage de l’ordinateur.
 Manuel : ce service démarre lorsqu’il est sollicité.

 Désactivé : ce service est arrêté même après le redémarrage de la

station.
Pour modifier l’état actuel du service, cliquez sur le bouton à droite qui correspond à
votre désir (Démarrer, Arrêter, Suspendre ou Reprendre). Pour modifier l’état de ce
service au prochain allumage de l’ordinateur, double cliquez sur son nom (ou sur le
bouton Démarrage...) pour faire apparaître la fenêtre de modification. Choisissez son
mode d’activation (Type de démarrage) :
Certains services s’appuient sur l’activation d’un autre service. La figure suivante
présente la dépendance des services sur une station de travail :

DSDM DDE Station de Serveur Aide TCP/IP

réseau travail NetBIOS
Duplicateur de Explorateur
répertoires d’ordinateurs
DDE
réseau
Messagerie Avertissement
Accès réseau
Album
Revenez à la fenêtre précédente en validant par OK. Procédez de cette manière pour
modifier les services qui suivent :
 Service réseau
Ce service assure l'authentification indirecte d’un compte lors de l’ouverture d’une
session sur le domaine. Il assure également la synchronisation des tables de sécurité du
domaine entre le SFI et les Contrôleurs Secondaires de Domaine.
Fichier exécutable : module de “services.exe”
Configuration : Démarrer, Automatique.
 Agent du moniteur réseau
Ce service écoute le réseau. Il permet de capturer toutes les trames. Il peut être activé
uniquement sur le Contrôleur Principal de Domaine. Seul l’administrateur système peut
l’utiliser. Il l’activera à sa convenance.
Fichier exécutable : “nmagent.exe”
Configuration : Désactivé.
 Aide TCP/IP NetBIOS
Exécute le service Assistant de TCP/IP NetBIOS (NetBIOS fournit aux applications un
ensemble de commandes permettant de demander les services de niveau inférieur
requis pour établir des sessions entre des nœuds de réseau, pour transmettre des
informations).

 Album
Ce service Album autorise les opérations Copier/Coller sur le réseau. Il prend en charge
le gestionnaire d’album pour le transporter sur le réseau. Il permet aux albums distants
d’accéder et de visualiser des pages. Il peut également être démarré grâce à la
commande net start album.
Fichier exécutable : “clipsrv.exe”
 Avertissement
Notifie aux utilisateurs et ordinateurs sélectionnés lorsqu'une alerte administrative se
produit sur un ordinateur. Il peut également être démarré grâce à la commande net
start avertissement. Les messages d'alerte signalent les problèmes de sécurité et
d'accès, ainsi que les problèmes de session d'utilisateur. Ces messages sont envoyés
sous forme de messages Windows NT du serveur vers l'ordinateur d'un utilisateur. Si ce
service n’est pas mis en œuvre par l’administrateur, il peut être désactivé.
Configuration : Activer uniquement si des stations doivent recevoir des alertes.
 COM+ Event System
Service supplémentaire (absents sur les stations) pour la gestion des événements.
Fichier exécutable : “Sens.exe”
Configuration : Ne pas modifier.
 DDE réseau
Le service DDE (Dynamic Data Exchange) réseau assure le transport réseau et la sécurité
sur le réseau des échanges dynamiques de données. Il utilise le service DDE DSDM. Les
échanges dynamiques de données (mise à jour automatique entre différents documents)
peuvent induire des problèmes d’intégrité si un document lié d’un utilisateur est
transmis à un autre utilisateur. Pour éviter d’ouvrir une faille de sécurité au niveau de la
confidentialité des documents, ce service ne doit pas être activé.
Fichier exécutable : module de “netdde.exe”
 Détecteur d’appel RPC
Le service Détecteur d'appel RPC (Remote Procedure Call) permet aux applications
distribuées d'utiliser le service de Noms Microsoft RPC. Le client de l'application interroge
le service Détecteur d'appel RPC pour trouver les applications serveur compatibles
actuellement disponibles.
Fichier exécutable : “locator.exe”
 DSDM-DDE réseau
Le service DSDM DDE réseau (Dynamic Data Exchange Share Database Manager réseau)
est un gestionnaire de bases de données pour un partage DDE. Il gère les conversations
DDE partagées sur le réseau. Il est utilisé par le service DDE réseau. Ce service peut
également être démarré grâce à la commande Net start "DSDM DDE réseau". Pour
les mêmes raisons de confidentialité que pour le service DDE réseau, ce service ne doit
pas être désactivé.
Fichier exécutable : module de “netdde.exe”
 Duplicateur de répertoires
Duplique des répertoires et les fichiers qu'ils contiennent d’une station vers une autre.
Ce service peut également être démarré grâce à la commande net start "duplicateur

de répertoires". Ce service est mis en œuvre pour sauvegarder des données. Pour
éviter tous risques de duplication entre des stations (contraire aux règles de sécurité), ce
service n’est pas mis en œuvre.
Fichier exécutable : “lmrepl.exe”
 Enregistrement d'événements
Enregistre les événements dans les journaux système, sécurité et application. Ce service
peut également être démarré grâce à la commande net start "enregistrement
d'événements", mais ce service doit être activé avant de vous servir de l'Observateur
d'événements pour afficher les événements enregistrés.
 Explorateur d'ordinateurs
Gère et conserve une liste des ordinateurs constamment mise à jour. Fournit cette liste
aux applications qui la demandent. Ce service peut également être démarré grâce à la
commande net start "Explorateur d'ordinateurs". Pour conserver l’invisibilité des
stations entre elles et assurer un cloisonnement des ressources, il est préférable de ne
pas activer ce service.
 Fournisseur de support de sécurité NT Lan-Manager
Fournit la sécurité Windows NT aux programmes d’appels de procédures à distance RPC
(Remote Procedure Call) qui utilisent des canaux autres que les canaux nommés (le
fichier %SystemRoot%\system32\drivers\etc\Networks contient un modèle de
fichier LMHOST compatible NT Lan-Manager). Les services DNS et WINS (service de noms
Internet Windows) utilise ce service.
 Licence Logging Service
Permet l’enregistrement, la vérification et la gestion des licences d’exploitation des
applications présentes localement. L’activation de ce service dépend des consignes du
RSSI.
Fichier exécutable : “llssrv.exe”
Configuration : Suivant les circonstances.
 Messagerie
Ce service prend en charge l’émission et la réception des messages envoyés par les
administrateurs ou par le service Avertissement.
Configuration : Uniquement si le service Avertissement est activé.
 Service Planning
Ce service permet de programmer l'exécution de commandes et de programmes sur un
ordinateur à une date et à une heure spécifiée au moyen de la commande at. Il peut être
démarré grâce à la commande net start planning. Le service Planning est configuré
initialement dans le compte système de la station locale qui dispose d’un accès intégral
à l’ensemble du système d’exploitation. Si un pirate découvre un point de vulnérabilité
de la mise en œuvre de ce service, il risque de pouvoir obtenir l’accès au compte
système local.

Les tâches assurées par ce service ont un accès réseau limité, du fait que le compte
système local du SFI est inconnu des autres ordinateurs. Cependant, il peut être
configuré afin qu'il exécute sa tâche via un compte utilisateur (un administrateur pour le
SFI). Les tâches exécutées par le service Planning sont alors gérées par l'accès réseau du
compte ce qui présente un risque très important.
Ce service est désactivé pour éviter que des tâches soient effectuées sans l’accord de
l’administrateur concerné (généralement l’administrateur système ou l’administrateur de
sauvegarde si la fonction est créée).
Fichier exécutable : “atsvr.exe”
Configuration : Non démarré et Désactiver
 Plug and Play
Ce service prend en charge la reconnaissance et le chargement des pilotes des
périphériques nouvellement installés. Pour éviter qu’un matériel (carte, modem, etc.) soit
installé à l’insu de l’administrateur, il convient de désactiver ce service.
Configuration : Non démarré et Désactiver
 Serveur
Le service Serveur est le complément du service Station de travail pour les serveurs.
Configuration : Démarré et Automatique.
 Service d'appel RPC
Le Service d'appel RPC (Remote Procedure Call) est le sous-système RPC pour Microsoft
Windows NT. Il comprend notamment le service de mappage de la base de données des
points de sortie (le fichier %SystemRoot%\system32\drivers\etc\Networks contient
la correspondance des noms/numéros des mappages réseau). Le service d'appel RPC
autorise des applications distribuées à utiliser des points de sortie dynamiques. La partie
serveur de l'application distribuée enregistre un point de sortie avec le service d'appel
rpc service. La bibliothèque de liens dynamiques de l'application cliente interroge le
service d'appel rpc pour obtenir des informations sur ce point de sortie. Pour déterminer
si une application distribuée utilise le service de mappage de point de sortie, consultez la
documentation de cette application. Ce service peut également être démarré grâce à la
commande net start "service d'appel RPC".
Fichier exécutable : “RpcSs.exe”
 Service Téléphonique
Ce service gère les liaisons téléphoniques et donc celles des modems. Il présente une
des plus importantes failles de sécurité puisqu’il autorise un accès extérieur au réseau. Il
est important qu’il apparaisse désactivé.
Fichier exécutable : “tapisrv.exe”
Configuration : Non démarré et Désactiver.
 Spooler
Permet de fournir les services de spooleur d’impression. Sa mise en œuvre est
nécessaire si une imprimante est connectée à l’ordinateur.
Fichier exécutable : “spool.exe”
 Station de travail
Le service Station de travail permet à un ordinateur de se connecter aux ressources
réseau et à les utiliser.


 Tasks cheduler
Service de planificateur de tâche. Il est contrôlé par le dossier tâches planifiées.
Fichier exécutable : “mstask.exe”
 UPS
Démarre le service Alimentation de secours (correspondant à l'icône Alim. de secours du
Panneau de configuration). Lorsque la station reçoit un signal d’alarme de l’alimentation
de secours, elle sauvegarde toutes ses données et s’arrête. Ce service sera configuré
uniquement si une alimentation de secours est installée. Il ne sera pas autorisé dans tous
les autres cas.
3.2.4 Les modifications du comportement de Windows NT
3.2.4.1 Message de mise en garde à l’ouverture d’une session

Pour informer des risques encourus par une personne accédant à l’ordinateur,
Windows NT propose de créer une fenêtre juste avant la demande du mot de passe. La
création de cette fenêtre est obtenue en modifiant deux valeurs d’une clé du registre
HKEY_LOCAL_MACHINE :
 Lancer l’éditeur de registres : C:\WINNT\system32\regedt32.
 Accéder au registre : HKEY_LOCAL_MACHINE
 Dérouler l’arborescence pour atteindre la clé :
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
 Créer le titre de la fenêtre en exécutant :
Double cliquer sur : LegalNoticeCaption, écrire la valeur : « Titre de
l’Armée de Terre »
 Créer le texte apparaissant dans la fenêtre :
Double cliquer sur : LegalNoticeText, écrire la valeur : « Message de
l’Armée de Terre »

3.2.4.2 Verrouillage du SFI pour inactivité
Consignes associées : cs 7-3, cs 20-1, cs 21-1_Hlk472138476 _Hlk472138476

Si la session d’un administrateur reste ouverte sans surveillance, un pirate peut tenter de
s’approprier le compte et de piéger l’ordinateur. Si un cheval de Troie, copiant le mot de
passe sur le disque dur d’une station distante, est installé, la sécurité globale du réseau
est compromise. Il est impératif de :
 prévenir que seuls les administrateurs peuvent utiliser le SFI.
 empêcher qu’un pirate s’approprie la session d’un administrateur.
Il faut donc afficher un message de mise en garde et verrouiller la station quand un
administrateur s’absente. La méthodologie est :
 Démarrer  Paramètres  Panneau de configuration  double cliquer sur
Affichage  Écran de veille.

 Cochez la case Protégé par un mot de passe.

 Écrire 15 minutes dans le champ Attente.
 Choisir : Message dans la fenêtre déroulante.
 Cliquer sur Paramètres… pour ouvrir la fenêtre de configuration du message.
 Cochez : Centré de l’option Position.

 Choisir : Lente de l’option Vitesse.
 Choisir une couleur de fond foncée dans la fenêtre déroulante Couleur de fond :
noir ou bleu foncé par exemple (pour éviter de fatiguer l’écran).
 Écrire la phrase : « Message de l’Armée de Terre » dans la plage Texte. La
couleur et la police sont définissables en cliquant sur la touche Format texte…
(choisissez une couleur voyante par rapport à la couleur du fond d’écran afin
d’attirer l’œil).

 Sortir en validant par OK à chaque fois.

 Protéger les rubriques de la clé (voir 3.6 Protection des registres ) correspondant au
choix de cet écran de veille :
HKEY_CURRENT_USER\Control Pannel\Desktop. Les points suivants décrivent
les rubriques associées à cette clé :
 Activation de l’économiseur d’écran :
Valeur de la rubrique ScreenSaveActive : 1 (type REG_SZ)
 Programme exécuté par l’écran de veille :
Valeur de la rubrique SCRNSAVE :
« C:\WINNT\System32\ssmarque.scr » (Type REG_SZ)
 Activation de la protection par un mot de passe :
Valeur de la rubrique ScreenSaverIsSecure : 1 (Type REG_SZ)
 Temps d’attente avant l’activation de l’écran de veille :
Valeur de la rubrique ScreenSaverTimeOut (en secondes) : 900 (Type
REG_SZ)
 Protéger la clé (voir 3.6 Protection des registres ) correspondant à ce programme :
HKEY_CURRENT_USER\Control Pannel\Screen Saver.Marquee

 Protéger en écriture le programme correspondant :
C:\WINNT\System32\ssmarque.scr
3.2.4.3 Fermeture de la session après ¼ heure de verrouillage

Le verrouillage de l’ordinateur implique que l’utilisateur (l’administrateur ici) ne
s’absentera pas longtemps et qu’il reviendra pour ouvrir ou clore sa session. L’absence
prolongée d’un administrateur ne doit pas provoquer un verrouillage indéfini du SFI. Une
session ouverte sur SFI et inactive, doit être fermée après 30 minutes (¼ après le
verrouillage). La durée de temps est choisie lors de la définition des stratégies de
comptes sur le CPD (Démarrer  Programmes  Outils d’administration  Éditeur
de stratégie système).
Créer les stations, les serveurs (dont le SFI), les groupes et les utilisateurs. Double
cliquer sur le SFI pour afficher le menu Propriétés de « nom de l’ordinateur ».
Cocher la case correspondante et entrer le temps en minutes.

3.2.4.4 Interdire l’arrêt du système sans ouverture de session
Le dernier point de cette liste de mesures de sécurité contrôlant l’accès au SFI, décrit la
méthode pour empêcher une personne d’éteindre l’ordinateur sans s’être authentifié.
Ainsi, seuls les administrateurs pourront éteindre le SFI. Cette mesure évite un déni de
service, causé par l’arrêt du SFI pendant les heures ouvrables. Un administrateur devra
être présent après le départ de tous les utilisateurs pour éteindre le SFI.
Dans la pratique, beaucoup d’administrateurs profitent des fonctionnalités du système
de fichiers NTFS. Ils éteignent l’ordinateur avec le bouton d’arrêt du secteur, sans sortir
proprement. À l’allumage, Windows NT contrôle le disque dur et utilise le journal de
l’ordinateur pour revenir à son état précédant. Toutefois, cette solution est fortement
déconseillée car elle risque d’entraîner des pertes d’informations de configuration ou de
données.
Pour imposer l’ouverture d’une session avant l’arrêt du système, il faut modifier la clé
suivante :
 Lancer l’éditeur de registres : C:\WINNT\system32\regedt32.
 Dérouler l’arborescence pour atteindre la clé :
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft\WindowsNT\CurrentVersion/
Winlogon
 Double cliquer sur : ShutdownWithoutLogon, entrer la valeur : 0 (Type :
REG_SZ).

3.3 Protections du système d’exploitation
3.3.1 Les antivirus

Le SFI est impérativement protégé par l’antivirus de l’Armée de Terre. L’administrateur
de la sécurité veillera impérativement à :
 mettre à jour mensuellement les logiciels antivirus.
 se tenir au courant de l’apparition des virus (presse, site Web, etc.).
L’administrateur de la sécurité devra mettre en place :
 une station dite Station blanche avec un antivirus différent servira de station
témoin. Cette station (autre que le SFI) sera choisie pour son caractère non
sensible, sa fréquence d’utilisation et la diversité des provenances des fichiers lus.
 effectuer une rotation de la Station blanche parmi les stations.
3.3.2 Disquette de réparation

Windows NT propose la création d’une disquette ERD, de réparation d’urgence (ERD,
Emergency Repair Disk) par la commande rdisk (dans le répertoire
C:\WINNT\System32). Cet exécutable copie la ruche dans un format compressé ainsi
que certains fichiers.
Il impératif de créer une disquette de réparation d’urgence pour le SFI. À chaque
modification de la configuration matérielle ou logicielle, la disquette sera mise à jour ou
recréée par le programme rdisk.
Les administrateurs utiliseront à tour de rôle deux disquettes. La première contiendra la
configuration de SFI et la seconde la configuration précédente. Ainsi les administrateurs
possèderont une disquette de la configuration actuelle du SFI et une autre de sa
configuration antérieure.
Ces disquettes sont conservées par l’administrateur système, dans un meuble fermant à
clé. Il suffit de copier une configuration particulière sur les disquettes, pour prendre
possession du SFI lors de sa restauration.
3.3.3 Remarques sur le gestionnaire des tâches

Windows NT permet de lancer des services sans pour autant les rendre visibles dans le
menu Services (Panneau de configuration, double cliquer sur Services). Il suffit
d’ouvrir une fenêtre DOS et d’exécuter le programme correspondant au service. Ils sont
activés en tâche de fond. Cette manière de procéder serait inoffensive, si ces services
étaient parfaitement contrôlés.
L’une des principales causes d’attaques réussies est l’exécution d’un cheval de Troie en
arrière tâche. Ce programme écoute le travail et se réveille dans certaines conditions.
Généralement, il duplique le mot de passe lors de son changement et envoie une copie
vers une station espion. Le pirate récupère ainsi les mots de passe des Administrateurs.
Il prend possession du réseau sans être découvert. Windows NT ne permet pas de
contrôler facilement les processus exécutés sur le SFI. Le Gestionnaire des tâches est
la seule manière de découvrir les programmes espions (chevaux de Troie). En vérifiant la
liste des processus exécutés (<CTRL> <ALT> <SUPP>  Gestionnaire des tâches,
onglet Processus), on peut découvrir la présence d’un processus pirate. Toutefois si le
processus est lancé au niveau noyau ou par intermittence, il peut très bien être invisible
dans la liste des processus Le nom des programmes associés aux services est disponible
dans le chapitre 3.2.3 Services.

Certains chevaux de Troie remplacent un programme associé à un service. Ils assument

les fonctions de ce service en même temps qu’ils piratent l’ordinateur. Ce type d’attaque
est rendue presque impossible si les fichiers associés aux services sont protégés en
écriture (bouton droit de la souris  Propriétés  Sécurité).
3.3.4 Protection des ressources locales

Chaque partition correspond à la fonction d’un administrateur :
 La partition Système (C:\) est gérée par l’administrateur système.
 La partition Privé (E:\) est gérée par l’administrateur de comptes.
 La partition Public (F:\) est gérée par l’administrateur de compte.
 La partition Administrateurs (G:\) est gérée par l’administrateur de comptes.
Les partitions possèdent par défaut des partages pour des raisons administratives
(utilisés pour l’administration et le système). Notamment pour les répertoires racines de
chaque disque dur, ainsi que pour le répertoire principal du système Windows NT Server
(C:\WINNT). Ces partages sont cachés (le nom est suivi d’un $, exemple C$ pour le
répertoire racine de C:\). Ce $ permet de ne pas le laisser apparaître dans la liste des
répertoires disponibles sur une station. Ils correspondent à des besoins du système.
Seuls les administrateurs ont accès aux partages des répertoires système. Ces partages
pour des raisons administratives pourraient être désactivés (Attention cette méthode est
un exemple. Elle est irréversible, la clé ne doit jamais être modifiée au risque de perdre
tous les partages) en modifiant la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\
Attribuer la valeur 0 à la Rubrique AutoShareServer : (Type : REG_BINARY).
Une approche cohérente de la sécurisation des fichiers et répertoires, passe par une
déclaration des partages et leur sécurisation par des permissions NTFS.
Les tableaux suivants présentent les partages des répertoires de ces partitions
(attention, il ne s’agit pas de ces partitions).
Permissions accordées aux administrateurs :

Fonction de Adm. Adm. de Adm. de la
Partition System
la partition système compte sécurité
Contient le
Système
système Contrôle total Modifier Modifier Contrôle total
(C:\)
d’exploitation
Contient les
Privée
répertoires de Contrôle total Modifier Modifier
(E:\)
base
Contient les
Public
répertoires des Contrôle total Modifier Modifier
(F:\)
sections
Administrateurs Contient les
Contrôle total Modifier
(G:\) profils
Permissions de partage accordées aux utilisateurs du domaine :

Fonction de
Partition Chaque section Une section Un utilisateur
la partition
Contient le
Système
système Aucun Aucun Aucun
(C:\)
d’exploitation
Contient les Modifier
Privée
répertoires de (son répertoire de
(E:\)
base base)

Modifier Modifier Modifier

Contient les
Public (le répertoire (le répertoire (le répertoire
répertoires des
(F:\) partagé de toutes partagé de cette partagé de sa
sections
les sections) section) section)
Modifier
Administrateurs Contient les
(répertoire de son
(G:\) profils
profil)
3.4 Protections relative à la sécurité sur le domaine
3.4.1 Protection des communications sur le domaine

Consignes associées : cs 15-1, cs 15-2_Hlk472138476
Le protocole SMB (Server Message Block) assume la structure de base des réseaux
Microsoft sous environnement Windows NT (NetBIOS lorsque TCP/IP est exécuté et
NetBEUI dans le cas contraire). SMB authentifie un utilisateur auprès d’un serveur (dont
le SFI), par « challenge ». Le demandeur de l’authentification envoie une requête et
attend en retour une réponse dépendant de la carte d’identité de l’utilisateur. La
cohérence challenge/carte d’identité avec la réponse détermine l’authentification. De
plus, ce protocole est sous-jacent aux partages de fichiers ou d’imprimantes sous
Windows NT.
Le challenge proposé à l’ouverture d’une session permet de garantir la confidentialité du
mot de passe sur le réseau, mais pas contre une attaque du type Men-in-the-Middle ou
par interception/modification des messages. De plus, les ports d’accès utilisés par SMB
(ports 135-139 sous TCP/IP) présentent une faille importante de la sécurité notamment si
un serveur UNIX travaillant sous SAMBA (implémentation du protocole SMB sous UNIX)
est connecté au réseau. Le SP 3 introduit une version plus performante des services
offerts par le protocole SMB en incluant un protocole de signature SMB-S
(Server Message Block Signing).
Le protocole de signature SMB-S, également dénommé protocole de partage de fichiers
CIFS (Common Internet File Sharing), n’évite pas l’écoute des paquets sur le réseau. Lors
du changement du mot de passe par l’utilisateur auprès du SFI, la confidentialité de la
chaîne est protégée par le protocole Windows NT CR (Challenge Response) et/ou le
protocole de hachage de LM (Lan-Manager). Ce dernier est moins performant que
Windows NT CR. Certaines configurations du réseau nécessitent l’emploi du protocole de
hachage de LM. Notamment si un serveur utilisant Netware est connecté sur le réseau.
Les services Serveur et Station de travail de Windows NT (Démarrage 
Paramètres  Panneau de configuration  Services) assurent les fonctionnalités du
protocole SMB. Ces services sont disponibles sur toutes les machines sous Windows NT
du domaine.
Les services SMB-S (services Serveur et Station de travail) devront être activés sur le
SFI. Suivant la configuration du réseau, deux cas de figure se présentent et deux
solutions appropriées sont nécessaires. Utiliser l’éditeur de registre Regedit.exe ou
Regdt32.exe (dans le répertoire C:\WINNT\system32) pour créer la rubrique et
modifier la valeur.
 Utiliser l’éditeur de registre Regedit32.exe (dans le répertoire
C:\WINNT\System32).

Dérouler l’arborescence pour atteindre la clé décrite plus loin. Puis créer les rubriques en
ouvrant le menu Edition  Ajouter une valeur  entrer le nom de la rubrique et son
type. En cliquant sur OK la rubrique est créée puis attend la valeur (donnée ici en
Décimal).
 Aucun serveur ne nécessite le protocole LM.
Tous les serveurs et les stations du réseau utiliseront le protocole Windows NT CR
et uniquement celui-ci. Les valeurs des rubriques des clés de registres pour LM
doivent ne pas accepter ce protocole sur le réseau et refuser de répondre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Pa
rameters

 Attribuer la valeur 1 (type REG_DWORD) à la rubrique :

EnableSecuritySignature
(1 implique que la signature SMB-S est activée).
 Attribuer la valeur 1 (type REG_DWORD) à la clé : RequireSecuritySignature
(1 implique que seules les stations sur lesquelles le protocole SMB-S est activé
sont autorisées à établir une connexion avec le serveur).
 Au moins un serveur nécessite le protocole LM.
Il existe au moins un serveur ou une station sur le réseau utilisant Netware et
nécessitant le protocole LM.
3.4.2 Verrouillage du compte administrateur sur le domaine

Le compte administrateur du domaine est le seul compte impossible à verrouiller. En
effet, s’il était possible de le verrouiller, il serait alors possible de verrouiller tous les
comptes et d’interdire ainsi complètement l’accès au réseau. L’exécutable
Passprop.exe (du Kit de ressources) permet de verrouiller (en réalité, il est non reconnu
au niveau du réseau) le compte administrateur sur le réseau. Toutefois, le compte
administrateur n’est jamais verrouillé localement.
Si un trop grand nombre de tentatives infructueuses d’accès au compte administrateur
est détecté, il est particulièrement utile de disposer de cet exécutable.
Tous les administrateurs ne disposent pas du Kit de ressources. L’installation
(uniquement l’installation) de Passprop.exe est recommandée mais pas impérative.
3.4.3 Gestion des absences des administrateurs

Consignes associées : cs 5-1, cs 6-2_Hlk472138476
Un pirate qui dispose de suffisamment de temps, peut prendre possession, élément par
élément, du SFI. La seule protection efficace (celle qui est mise en œuvre ici) consiste à
laisser au pirate un laps de temps, très inférieur au temps nécessaire au piratage du
réseau.
Pour réduire ce temps, le SFI sera arrêté pendant les périodes de congés (vacances et fin
de semaine). Les administrateurs sont obligés d’arriver les premiers et de partir les
derniers. Cette exigence est difficile à respecter (impératifs horaires, déplacement, etc.).
Pour remédier à cette contrainte, le SFI peut être branché sur le secteur via un
programmateur hebdomadaire (Cette solution est loin d’être la meilleure, ce pis-aller
peut provoquer de graves problèmes). Windows NT assurera la reprise du
fonctionnement du SFI après la coupure brutale du courant par le programmateur, en
consultant le journal de l’ordinateur. Ce programmateur sera dans la pièce du SFI, il
bénéficiera des restrictions d’accès au local. Si le CPD et le SFI disposent du même
programmateur, des problèmes de durées de reprises entre ces deux ordinateurs
peuvent apparaître (le SFI entrant en service avant le CPD). Le temps de démarrage de
Windows NT est réglé de façon que le CPD se mette en service avant le SFI. La
méthodologie est la suivante :
 Accéder à l’Explorateur Windows NT (Démarrer  Programmes 
Explorateur Windows NT).
 Modifier les attributs du fichier C:\boot.ini (clique droit sur le fichier  Propriétés
 supprimer Lecture seule).
 Valider.
 Éditer le fichier boot.ini (l’enregistrement du fichier par le traitement de texte
sera faite en ASCII).
 Modifier le fichier (dans l’exemple suivant le temps avant démarrage est de 5
secondes (voir 10 secondes), et 2 modes d’affichage écran sont utilisés).

 Régler les temps d’attente sur le CPD et le SFI afin de démarrer dans l’ordre désiré
les deux serveurs et en fonction des créneaux horaires.
3.5 Les comptes

Rappelons qu’il existe 2 types de comptes :
 Les comptes du domaine :
(Déclaration d’un compte ouvert sur le CPD et ayant une portée sur le domaine)
 Comptes locaux :
(Déclaration d’un compte ouvert sur le SFI et ayant une portée sur le SFI
uniquement)
3.5.1 Les comptes du domaine

Consignes associées : cs 12-1, cs 14-1, cs 20-3, cs 20-4, cs 20-5, cs 20-6
Les comptes définis sur le domaine utilisent des répertoires et des fichiers enregistrés
sur le SFI. Le schéma suivant présente la structure de ces éléments sur le SFI :
Partition G:\ Partition F:\ Partition E:\

des profils des sections des utilisateurs
(Administrateurs) (Public) (Privé)
D i s q u e : A d m i n is t r a t e u r sD is q u e : P u b l ic D is q u e : P r i v é
( l e s p r o fi ls ) ( le s r é p e r t o i r e s c o m m u( l ne s ) r é p e r t o i r e s d e b a s e )
P r e m i è r e s e c t i o n R é p e r t o i r e s d e s s e c t i o n Ps r e m iè r e s e c t io n
( to u s l e s p r o f i ls d e l a s( r e é c p t ei o r n t o) i r e c o m m u n p ( a t or u s se c l et i o r né p) e r t o i r e s d e l a s e c t i o
P r e m i è r e u t i li s a t e u r P r e m iè r e s e c t io n P r e m iè r e u ti l is a t e u r
p r o f il d e l 'u t i li s a t e u r ( r é p e r t o i r e c o m m u n ) d e l a p r e m i è r e s e c t io n
S e c o n d u t i li s a t e u r S e c o n d e s e c t io n S e c o n d u ti l is a t e u r
p r o f il d e l 'u t i li s a t e u r ( r é p e r t o i r e c o m m u n ) d e l a p r e m i è r e s e c t io n
S e c o n d e s e c t i o n S e c t i o n s u iv a n t e S e c o n d e s e c t i o n
( to u s l e s p r o f i ls d e l a s e c t i o n ) ( t o u s l e r é p e r t o i r e s d e l a s e c t i o
R é p e r t o ir e c o m m u n
P r e m i è r e u t i li s a t e u r à p lu s ie u r s s e c t i o n s P r e m iè r e u ti l is a t e u r
p r o f il d e l 'u t i li s a t e u r d e la s e c o n d e s e c t i o n
R é p e r t o ir e c o m m u n
S e c o n d u t i li s a t e u r à t o u t e s le s s e c t i o n s S e c o n d u ti l is a t e u r
p r o f il d e l 'u t i li s a t e u r d e la s e c o n d e s e c t i o n
S e c t i o n s s u i v a n t e s S e c t io n s u iv a n t e
( t o u s l e r é p e r t o i r e s d e l a s e c t i o
T y p e s d e p r o f ils
( l e s p r o fi ls t y p e s )
P r e m i è r e Ss e e c c t o i o n n d e Ss e c t i o n s s u iv a n t e s

3.5.1.1 Création des comptes sur le domaine
Consignes associées : cs 10-1, cs 10-2_Hlk472138476 _Hlk479068181

Seuls les comptes administrateurs peuvent ouvrir une session sur SFI. Cette restriction
est assurée par le choix des stations attribuées aux utilisateurs du domaines. Lors de la
déclaration d’un utilisateur, SFI ne doit jamais figurer dans les champs des stations
utilisables (Démarrer  Programmes  Outils d’administration  Gestionnaire
des utilisateurs pour le domaine  ouvrir la fenêtre Caractéristiques de
l’utilisateur en double cliquant sur l’utilisateur  Accès depuis). L’exemple suivant
présente l’erreur à ne pas commettre :
Erreur à ne pas commettre pour un utilisateur
Les administrateurs accéderont au SFI (et à toutes les stations) via le réseau, comme le
montre la fenêtre Accès depuis pour un administrateur :
Pour un Administrateur

La définition des caractéristiques de chaque utilisateur du domaine, est effectuées sur le

CPD. C’est sur ce serveur que l’administrateur de comptes interdira aux utilisateurs les
points suivants :
 Les ports de communications (COM1, etc.).
 Les ports UBS.
 Le partage réseau.
 Les services DDE sur le réseau.
Toutes ces restrictions sont applicables à tous les ordinateurs (sous l’OS Windows NT).
Ces limitations sont donc appliquées aussi au SFI. Cette protection en amont est
renforcée par la restriction des utilisateurs du domaine pouvant ouvrir une session sur le
SFI (uniquement les administrateurs).
3.5.1.2 Les comptes administrateurs du domaine
Consignes associées : cs 8-1, cs 16-3, cs 16-4, cs 16-5, cs 16-6, cs 17-1, cs 20-

7_Hlk479068226 , cs 20-8, cs 24-1, cs 24-2, cs 25-1, cs 25-2, cs 26-1
La définition des comptes Administrateur du domaine, est effectuée sur le CPD. La
répartition des droits entre les administrateurs est différente suivant la fonction. La liste
suivante présente les droits possédés uniquement par l’administrateur système (définis
sur le CPD) :
 Peut ouvrir une session localement.
 Peut modifier les performances système.
 Peut optimiser les processus.
 Peut modifier les valeurs d’environnement de microprogrammation.
 Peut installer et désinstaller des pilotes.
 Peut modifier l’heure système.
 Peut modifier les priorités de planification.
 Peut prendre possession de fichiers et objets.
Tous les administrateurs possèdent des droits interdits pour les utilisateurs :

 Peut sauvegarder des fichiers et des répertoires

 Peut restaurer des fichiers et des répertoires
Les contraintes pour tous les administrateurs sont indépendantes des fonctions :
 Durée maximale du mot de passe : 60 jours.
 Durée minimale de validité du mot de passe : 5 jours.
 Interdiction de réutiliser les 6 derniers mots de passe.
 Longueur minimale du mot de passe : 10 caractères.
 Attente de 60 minutes après 4 tentatives échouées.
Les administrateurs, voulant effectuer un travail ne nécessitant aucun droits et
permissions particuliers, accèderont au SFI en s’authentifiant avec leur compte avec
pouvoir minimum (voir le manuel du CPD). Ils utiliseront leur compte avec pleins
pouvoirs (le véritable compte administrateur) uniquement si c’est nécessaire. Cette
consigne permet de réduire l’utilisation des comptes important et ainsi de minimiser les
risques de vols de session ou de piratage des mots de passe administrateur.
3.5.1.3 Le profil des utilisateurs
Lors de la création des utilisateurs, le profil est déclaré errant (attaché au domaine et
non à chaque ordinateur). Ils sont enregistrés dans le répertoire <Nom de l’utilisateur>
du répertoire Profils créé sur la partition Administrateurs du SFI. Il suffit de remplir le
champ Chemin du profil de l’utilisateur avec « \\SFI\Profils\%USERNAME% » (voir le
manuel sur le CPD) pour que ce répertoire soit créé. La variable %USERNAME% sera
remplacée par le contenu de la variable Utilisateur (Delage.Logistique dans notre cas)
lors de la création de ce répertoire.
 Valider par la touche OK.

_Hlk472138476
3.5.1.4 Le répertoire de base des utilisateurs
Lors de la création des utilisateurs, le répertoire de base créé sur la partition Privée du
SFI. Il suffit de remplir le champ Chemin du profil de l’utilisateur avec « \\SFI\Profils\

%USERNAME% » (voir le manuel sur le CPD) pour que ce répertoire soit créé. La variable
%USERNAME% sera remplacée par le contenu de la variable Utilisateur
(Delage.Logistique dans notre cas) lors de la création de ce répertoire.

 Créer le répertoire de base dans le répertoire de la section correspondante de la
partition Privée et lui attribuer les droits suivants :
• Modifier pour l’utilisateur.
• Contrôle total pour l’administrateur de compte.
3.5.1.5 Les scripts de démarrage
Consignes associées : cs 19-3_Hlk472138476

Si des scripts de démarrage sont utilisés, ils seront enregistrés dans le répertoire
%SystemRoot%\System32\REPL\Import\Scripts\ sur le CPD. Lors de la création des
utilisateurs, le champ script est rempli avec la localisation du script :

Remplacer <Champ pour le script> par :

 %Username% dans le cas d’un script portant le nom de l’utilisateur.
 \<Nom de la section> dans le cas d’un script commun à une section.
 \<Nom de la section>\%Username% dans le cas d’un script rangé dans un
répertoire portant le nom de la section et portant le nom de l’utilisateur.
L’exemple suivant de script de commandes (.BAT dans notre cas) permet de vider la
corbeille et de supprimer les fichiers temporaires résiduels (de type *.tmp) du disque dur
c:\. Il est écrit avec un éditeur de texte (EDIT.COM sous DOS) :
3.5.2 Les comptes locaux
3.5.2.1 Le compte local Invité

Ce compte local ne peut pas être détruit. Ce compte doit être désactivé (rendu inoffensif
pour la sécurité). Pour désactiver ce compte :

Ouvrir l’application "gestionnaire des utilisateurs" sur le SFI (Démarrer  Programmes

 Outils d’administration) puis sélectionner Invité dans la liste des noms
d'utilisateurs.
Les caractéristiques du compte Invité sont définies par :
Changer le Nom détaillé : mettre un nom banal.
Changer le Mot de passe : mettre un mot de passe sur 10 caractères au
minimum.
Cocher la case L'utilisateur ne peut pas changer le mot de passe.
Cocher la case Compte désactivé.
 Définir le groupe en cliquant sur la touche Groupes.

Ce compte ne fait partie d’aucun groupe, sans possibilité d’accès téléphonique et
ne pouvant pas utiliser les stations :
 Bouton Groupes : Retirer l'utilisateur Invité du groupe Invités.
 Bouton Numérotation : Ne pas cocher la case Accorder les
permissions d'appel à l'utilisateur.
 Sélectionner Menu :Utilisateur  Renommer : mettre un nom difficile à deviner.
Le compte Invité est maintenant complètement inhibé.
3.5.2.2 Les comptes locaux prédéfinis

Plusieurs comptes prédéfinis et impossibles à supprimer sont créés par Windows NT.
Tous les comptes prédéfinis, à l’exception du compte administrateur, sont désactivés de
la même manière que le compte Invité local.
3.5.2.3 Le compte local Administrateur

Comme le compte Invité local, ce compte ne peut pas être détruit. Ce compte (et
éventuellement le compte du RSSI) est conservé sous un aspect banalisé :

Ouvrir l’application Gestionnaire des utilisateurs (Démarrer  Programmes 

Outils d’administration) puis sélectionner Administrateur dans la liste des noms
d'utilisateur.
Les caractéristiques du compte « Administrateur » sont définies par :
Changer le Nom détaillé : mettre un nom banal.
Changer la Description : mettre une description banale.
Changer le Mot de passe : mettre un mot de passe sur 10 caractères au
minimum.
Cocher la case Le mot de passe n'expire jamais, sinon il faudra le changer
périodiquement.
 Bouton Numérotation : ne pas cocher la case Accorder les permissions
d'appel à l'utilisateur.
 Sélectionner menu :Utilisateur  Renommer : mettre un nom difficile à deviner.
Le compte « Administrateur » est maintenant caché.
Les caractéristiques de ces comptes locaux sont identiques à celles définies sur le
domaine :
 Durée maximale du mot de passe : 60 jours.
 Durée minimale de validité du mot de passe : 5 jours.
 Interdiction de réutiliser les 6 derniers mots de passe.
 Longueur minimale du mot de passe : 10 caractères.
 Attente de 60 minutes après 4 tentatives échouées.
3.6 Protection des registres

Pour plus de détails sur les registres, vous pouvez lire le manuel du CPD. Rappelons
simplement que c’est un ensemble de fichiers contenant des bases de données dont les
enregistrements contrôlent l’ordinateur.
Ils se composent de :
 Clés.
 Rubriques.
 Valeurs.
Les registres sont :
 HKEY_LOCAL_MACHINE (HKLM)
 HKEY_CLASSES_ROOT (HKCR)
 HKEY_DYN_DATA (HKDD)
 HKEY_USERS (HKU)
 HKEY_CURRENT_USER (HKCU)
 HKEY_CURRENT_CONFIG (HKCC)
3.6.1 Modifications des registres

Clés utilisées lors de l’ouverture d’une session

 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Rubrique LegalNoticeCaption : valeur « Titre de l’Armée de Terre » (type REG_SZ)
(active une fenêtre à l’ouverture de session)

Rubrique LegalNoticeText : valeur « Message de l’Armée de Terre » (type REG_SZ)
(écrit un texte dans la fenêtre, à l’ouverture de session)

Rubrique AutoAdminLogon : valeur 0 (type REG_BINARY)
(empêche l’ouverture automatique d’une session)
Rubrique CachedLogonsCount : valeur 0 (type REG_SZ)
(l’utilisateur ne peut s’authentifier qu’après une réponse du SFI)
 HKLM\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
Créer EnableSecuritySignature avec la valeur : 1 (type REG_DWORD)
(active le protocole de signature des échanges SMB-S)
Créer RequireSecuritySignature avec la valeur : 1 (type REG_DWORD)
(impose que seules les stations sur lesquelles le protocole SMB-S est activé sont
autorisées à établir une connexion avec le serveur)
 HKLM\SYSTEM\CurrentControlSet\Control\LSA
Rubrique RestrictAnonymous : valeur 1 (type REG_DWORD)
(empêche l’ouverture d’une session non authentifiée par la commande net use)
Clés utilisées lors de la fermeture d’une session
 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Rubrique ShutdownWithoutLogon : valeur 0 (type REG_SZ)
(Interdit l’arrêt de l’ordinateur SFI sans ouverture d’une session).
Rubrique DontDisplayLastUserName : valeur 1 (type REG_SZ)
(n’affiche plus le nom du dernier utilisateur (un administrateur) à l’ouverture de session).
Rubrique AllocateFloppies avec la valeur 1 (type REG_DWORD)
(Désactive le lecteur de disquette sur un SFI difficilement sécurisable)
 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
Rubrique ClearPageFileAtShutdown : valeur 1 (type REG_DWORD)
(Nettoyage du fichier d’échange d’une session)
Clés utilisées pour la configuration matérielle de l’ordinateur.
 HKLM\SYSTEM\CurrentControlSet\Services\EventLog\logname
Rubrique Autorun avec la valeur : 0 (type REG_DWORD)
(Empêche le démarrage en autorun du lecteur de CD-ROM)
Clés utilisées pour la configuration de logiciels.
 HKLM\SYSTEM\CurrentControlSet\Services\CDROM
Créer RestrictGuestAccess avec la valeur : 1 (type REG_DWORD)
(sécurité supplémentaire, empêchant le compte invité de consulter le journal des
événements)
Rubrique SubmitControl : valeur 0 (type REG_DWORD)
(la planification des tâches est utilisable uniquement par l’administrateur)
Rubrique Notification Packages, remplacer FPNWCLNT par PASSFILT
(amélioration du filtrage des mots de passe)
3.6.2 Sécurisation des fichiers de registres

Consignes associées : cs 16-1, cs 16-2

Le SFI est un ordinateur dédié. Seul l’administrateur système pourra modifier les
registres.
Le registre HKEY_LOCAL_MACHINE et ses clés et valeurs sont enregistrées dans une
base de données (fichiers du répertoire C:\WINNT\Config plus une copie de sauvegarde
dans C:\WINNT\System32\Repair). Certains répertoires servent à importer ou exporter
les registres (C:\WINNT\REPL\IMPORT, et C:\WINNT\REPL\EXPORT). Les permissions
accordées sur ces fichiers ou plus exactement sur ces deux répertoires sont importantes
pour la sécurité du système. Certains documents vous présenteront ces répertoires sous
une autre écriture. A la place de C:\WINNT\System32\Repair, vous trouverez souvent
l’expression %SystemRoot%\System32\Repair. Le répertoire %SystemRoot% est
celui contenant les fichiers du système d’exploitation (C:\WINNT dans notre cas).
Le SFI est un ordinateur dédié. Les administrateurs l’utilisent uniquement pour la gestion
des profils et des répertoires de base. Seul l’administrateur système peut modifier le
comportement du SFI et donc les clés. L’administrateur système et le système
posséderont le Contrôle total sur les registres.
Les fichiers liés à la ruche sont :
Administrate Chaque
Répertoires Réseau Système
ur système section
C:\WINNT\System32\Conf Contrôle total Aucun Contrôle total Aucun
ig
C:\WINNT\Repair Contrôle total Aucun Lister Aucun
C:\WINNT\REPL\IMPORT Contrôle total Aucun Contrôle total Aucun
C:\WINNT\REPL\EXPORT Contrôle total Aucun Contrôle total Aucun
De la même manière, tous les registres gardés en mémoire pendant une session sont
protégés.
 Ouvrir la ruche avec REGEDIT.EXE ou REGEDT32.EXE.
 Modifier les permissions des clés (Sécurité  Permissions).
 Ajouter l’administrateur système avec le Contrôle total pour tous les registres.
 Ajouter l’administrateur de comptes en Lecture pour tous les registres.
3.7 Audit
Les journaux des audits servent à détecter une attaque éventuelle sur le SFI. Les
événements de l’audit concerneront les points protégés et ceux pouvant présenter un
risque pour le bon fonctionnement des ordinateurs.
Les journaux d’audit sont les traces des anomalies apparues sur le réseau,
l’administrateur doit posséder une méthodologie de gestion des journaux (contre les
journaux trop volumineux, pour un archivage et une sauvegarde). Nous traiterons :
 Les événements de l’audit du SFI.
 La gestion des journaux d’audits.

3.7.1 Événements de sécurité des audits

3.7.1.1 Audit sur les sessions
Pour inscrire les événements d’une session dans les journaux d’audits, ouvrir le
Gestionnaire des utilisateurs (Démarrer  Programmes  Outils
d'administration). Accéder au menu : Stratégie d’audit puis activer l’audit (bouton
Auditer ces événements). Créer les audits pour :
 Enregistrer les événements de l’audit suivants :
• Ouverture et fermeture d’une session :

 Administrateur de la sécurité : Échecs
• Accès fichier et objet :
• Utilisation des droits de l’utilisateur :
 Administrateur de la sécurité : Succès Échecs
• Gestion des utilisateurs et groupes :
• Modification stratégie sécurité :
•Redémarrage, arrêt et système :
3.7.1.2 Audit sur les registres
Pour générer l'audit d'un registre, d'une rubrique et de sa clé, il suffit d’ouvrir la ruche
avec REGEDIT.EXE ou REGEDT32.EXE, sélectionner la clé puis accéder au menu Audit
– Clé de registre (Sécurité  Audit). Créer les audits et les auditeurs :
 Bouton Ajouter.
 Choisir Administrateur de la sécurité.
 Le SFI étant le serveur important, les manipulations de sa ruche seront inscrites
dans les journaux.
• Les clés :
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_CLASS_ROOT
• Les événements de l’audit :
 Positionner la valeur :
Administrateur de la sécurité : Succès
Échecs
 Créer une sous-clé :
Échecs
 Créer la liaison :
Échecs
 Supprimer :


Échecs
 Écrire le DAC :
Échecs
 Fermer la ruche.
3.7.2 La gestion des journaux d’audits
3.7.2.1 Tailles des journaux d’événements

Il est nécessaire de limiter les tailles des journaux pour éviter une saturation des
partitions. A contrario, il est inutile de prévoir des tailles trop importantes et de n’utiliser
qu’une partie de l’espace réservé. Les tailles allouées pour les journaux sont modifiables
dans le menu : Démarrer  Programmes  Outils d’administration  Observateur
d’événements  Journal  Paramètres du journal  Taille Maximale du journal.
Elle sont toujours des multiples de 64 ko. Les dimensions retenues dans la mise en
œuvre correspondent à une durée de 2 semaines entre chaque consultation :
 Journal sécurité 2 à 4 Mo.
 Journal système 1 à 2 Mo.
 Journal applications 1 à 2 Mo.
Dans le cas de journaux exceptionnellement trop volumineux, il est possible d’écraser
les plus anciens événements. Il suffit de cocher la case Écraser les événements si
nécessaire de la même fenêtre.
 Journal sécurité Écraser les événements si nécessaire.
 Journal système Écraser les événements si nécessaire.
 Journal applications Écraser les événements si nécessaire.
3.7.2.2 Sauvegarde des journaux d’événements

Les informations contenues dans les journaux des événements doivent impérativement
être consultées et comparées pour détecter :
 Une attaque éventuelle.
 Les problèmes matériels.
 Les problèmes informatiques.
Les journaux du domaine seront enregistrés tous les mois sur le serveur de fichiers, sur
la partition Administrateurs (dans un répertoire (Journaux\<type du journal>) ou
sur un ordinateur non connecté au réseau. Les noms des fichiers de sauvegardes seront :
aammjj (2 chiffres pour l’année, 2 chiffres pour le mois et 2 chiffres pour le jour). Si
aucune erreur grave n’est détectée, les journaux des administrateurs seront détruits
après chaque sauvegarde et de nouveaux journaux des événements vierges seront
exploités. Les sauvegardes des journaux seront conservées sur le serveur de fichiers
pendant 6 mois au minimum puis seront effacées.
L’archivage
Il permet de garder, comparer et analyser les journaux. Ils permettent un examen à long
terme des problèmes. Seuls les journaux des administrateurs (les journaux des
utilisateurs, enregistrés sur SFI ne sont pas conservés) seront archivés sur CD-ROM ou
sur disquettes, tous les 6 mois ou tous les ans suivant le volume d’informations
collectées ou le nombre de stations connectées au réseau.
Ces supports seront conservés sous clé et classés chronologiquement par
l’Administrateur de sécurité. Ces archives permettront de comparer les anomalies et de
déterminer rapidement si des événements anormaux correspondent à une attaque
(concernant l’administrateur de la sécurité) ou à des problèmes périodiques du réseau
(concernant l’administrateur système).

ANNEXE
Annexe A : Schéma d’un réseau Windows NT
Annexe B : Les profils

A. SCHÉMA D’UN RÉSEAU WINDOWS NT 4.0

Cette annexe donne une vision simplifiée des comptes du domaine et locaux, ainsi que la portée
des éléments associés à ces comptes.
Portée de :
- l ’Administrateur du domaine
- les utilisateurs du domaine
- les invités du domaine
- les groupes du domaine
Les utilisateurs définis

sur le CPD sont définis
sur le domaine entier Poste Serveur de
fichiers
Portée de : CPD
- l ’administrateur local
- l ’Utilisateur local
- l ’Invité local
Poste Serveur
Imprimante partagée
Windows NT 4.0
Portée de : Portée de :
- l ’Administrateur local Imprimante locale
- l ’Administrateur local
- l ’Utilisateur local - l ’Utilisateur local
- l ’Invité local - l ’Invité local
Poste Client NT 4.0
Workstation
Portée de :
Le terme local
- l indique un caractère
’Administrateur local Poste
lié à la station et donc non reconnu par Client NT 4.0
le réseau.
- l ’Utilisateur Workstation
localcaractère lié au réseau et donc commun à toutes les stations sauf dans
Le terme global indique un
- l ’Invité local
un cas explicitement précisé (par le profil
Poste Client de
NT l’utilisateur).
4.0
Les caractéristiques définies surWorkstation
la station sont donc locales (administrateur local) et les
caractéristiques définies sur le SFI sont donc globales (administrateur global ou du réseau).

Réseau
Les utilisateurs définis

sur le CPD sont définis
sur le domaine entier
Contient : Contient :
- les fichiers utilisateurs - les répertoires de base
- la stratégie système - les répertoires partagés
- les définitions des - les profiles errants
machines vues du réseau
CPD Serveur de fichiers
Contient : Section 2 Contient :

Section 1
- les profiles communs - les profiles communs
- les applications - les applications
- les définitions des - les définitions des
machines autonomes machines autonomes

Ce dessin présente la localisation des fichiers, profils et répertoires communs. L’ouverture d’une
session permet de transférer lesPoste
différentes
Client NTinformations vers la station utilisée.
Poste Client NT 4.0
4.0

Réseau : le domaine
Comptes locaux : Comptes locaux :

CPD SFI
Comptes locaux : Section 1 Section 2 Comptes locaux :

- les utilisateurs de la section 1 - les utilisateurs de la section 2

Ce schéma présente la localisation des fichiers et répertoires communs. L’ouverture d’une session
permet de transférer les différentes
Posteinformations
Client NT 4.0 vers la station utilisée. Poste Client NT 4.0

B. LES PROFILS
Les profils sont enregistrés sur le disque dur dans le répertoire dans C:\WINNT\Profils.
Le profil complet d’un utilisateur est composé d’une partie commune à toutes les
personnes et d’une partie spécifique à cet utilisateur. La première partie est résidente
sur la station et propose généralement les applications présentes sur le disque dur local.
La seconde partie du profil est dénommée profil errant (puisque dans notre cas il est
importé sur la station à l’ouverture d’une session). Le nom de son répertoire est celui de
l’utilisateur. La station utilise la variable appelée %USERNAME% pour créer et gérer les
profils.
Répertoire du profil de All Users
Répertoire du profil de %USERNAME% (sur la figure suivante %USERNAME

%=“Sec1_Util1”)

Le menu Démarrer se décompose en 2 groupes d’applications, plus le groupe contenant

Arrêter…. Ils sont séparés par une barre horizontale grise. Le schéma suivant permet de
localiser sur le disque dur et il donne la portée de ces deux groupes :
Nouveau document Contenu dans All Users\Menu Démarrer Local

office
Ouvrir un document
office
Programmes  Voir le sous menu suivant
Documents  Contenu de %USERNAME%\Recent Global
Paramètres  Contenu dans C:\Panneau de configuration Local
Rechercher  Exécute certaines applications locales et globales
Aide Exécute WINHLP32.EXE Local
Exécuter Renvoi la variable ComSpec (Poste de travail Propriété Local
Environnement
Arrêter… Sert à arrêter l’ordinateur. Local

Le sous-menu Programmes se décompose en 2 groupes d’applications Ils sont séparés

par une barre horizontale grise. Le schéma suivant permet de localiser sur le disque dur
et il donne la portée de ces deux groupes :
Accessoires  Concerne le profil %USERNAME%

Démarrage 
Mes outils d’administration
 Contenu de %USERNAME%\Menu Globa
Startup  Démarrer\Programmes l
Documents en ligne
Explorateur Windows NT
Internet Explorer
Invite de commandes
Démarrage  Concerne le profil All USERS
Outils d’administration 
Microsoft Access
Microsoft Excel Contenu dans All USERS\Menu Démarrer\Programmes Local
Microsoft Outlook
Microsoft Photo Editor
Microsoft PowerPoint
Microsoft Word
Le raccourci d’une application copié dans All USERS\Menu Démarrer\Programmes

rend cette application disponible par tous les utilisateurs.
Le raccourci d’une application copié dans %USERNAME
%\Menu Démarrer\Programmes rend cette application disponible pour un seul
utilisateur.
Le profil Default User est utilisé pour des clients DHCP ou pour une personne inconnue
(ces deux utilisateurs sont interdits sur le réseau).

Serveur de Fichiers Et D'impression

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Serveur de Fichiers Et D'impression

Uploaded by

Copyright:

Available Formats

SÉCURISATION DU SI

Manuel Windows NT 4.0 Server

sous Windows NT 4.0 Server

VERSION DATE MODIFICATIONS NOM

1 23/08/2000 Validation du document LCL PHILIPPOT

Le 30 août 2000 version 1.0 Page i

PAGES DESCRIPTION DES MODIFICATIONS INTRODUITES

Le 30 août 2000 version 1.0 Page ii

Le 30 août 2000 version 1.0 Page iii

3.1.2 Configuration du SETUP du BIOS.......................................................................................................38

Le 30 août 2000 version 1.0 Page iv

Manuel Windows NT 4.0 Server Serveur de

Le 30 août 2000 version 1.0 Page 1

1.2 Objectifs recherchés

1.3 Structure du document

Le 30 août 2000 version 1.0 Page 2

1.4 Recommandations, symboles et conventions

1.4.1 Le niveau d’exigence

Le paramètre n'introduit pas d'incompatibilités connues. Il est nécessaire

1.4.2 Le niveau de gêne

 Le paramétrage n'introduit pas de gêne à l'exploitation du serveur.

 Le paramétrage est susceptible de gêner faiblement l'administrateur du

 Le paramétrage est susceptible de gêner l'administrateur du serveur lors

1.4.3 Conventions de signes et de polices

Le 30 août 2000 version 1.0 Page 3

1.5 Considérations générales

1.5.1 Contexte de référence

Locaux à accès contrôlé

Réseau TCP/IP sur ETHERNET

Poste Client NT 4.0

Le 30 août 2000 version 1.0 Page 4

 Il y a un serveur de fichiers et d'impression. Ce serveur est :

1.5.2 Configuration matérielle et logicielle

1.5.3 Plan d'adressage et plan de nommage

Le 30 août 2000 version 1.0 Page 5

Nom des postes de travail : S-ORDi

Nom du domaine IP "SITE.DCTEI"

Noms des hôtes IP :

1.5.4 Personnes concernées, rôles et responsabilités

 L'administrateur système du domaine

 Un utilisateur d’un poste de travail

Le 30 août 2000 version 1.0 Page 6

NB : pour ne pas alourdir le texte de ce manuel, nous remplaçons l’expression ‘Serveur de

Le 30 août 2000 version 1.0 Page 7

2.1 Protection matérielle du SFI

2.1.1 Protection du local du SFI

cs 1-1 : Restriction accrue de l'accès au local du SFI.

Niveau d'exigence : Niveau de gêne : 

2.1.2 Protection physique du SFI

cs 2-1 : Protéger l’intégrité physique du SFI.

cs 2-2 : Audit de l’intégrité physique du SFI.

Niveau d'exigence : Niveau de gêne : 

Le 30 août 2000 version 1.0 Page 8

étiquettes seront collées au minimum. L’une sur la façade et l’autre à

2.1.3 Protection de la configuration matérielle

cs 3-1 : Fixer un mot de passe « Administrateur » pour le SETUP du BIOS.

Niveau d'exigence : Niveau de gêne : 

cs 3-2 : N’autoriser que le périphérique C:\ dans la séquence de Boot.

Niveau d'exigence : Niveau de gêne : 

Le 30 août 2000 version 1.0 Page 9

Mise en œuvre : 3.1.2 Configuration du SETUP du BIOS

Le 30 août 2000 version 1.0 Page 10

cs 3-3 : Interdire l’utilisation des ports série.