Embed Size (px)
Citation preview
APT _ Windows 7 sécurité et GPO Guide de Travail
Objectifs(ce que vous allez
apprendre)Configuration de la sécurité et des GPO
Pré-Requis(ce que vous devez déjà savoir et/ou savoir faire)
Interface Windows 7Le panneau de configuration Windows 7
Supports et matériels
(ce que vous utilisez pour travailler)
Ordinateur
Consignes de travail
(ce que vous avez à faire)Lire le document ressource
Ressources(ce qui peut vous aider dans
votre travail)
FormateurSite internet
Evaluation(comment / quand va-t-on
évaluer vos acquis)-
MDF _ Industrie_IR
APT _ Windows 7 sécurité et GPO
Configuration de la sécurité et introduction aux GPO.
Sommaire1 Le centre de maintenance....................................................................................................1
1.1 Surveillance des fonctions de sécurité du système.......................................................11.2 Paramétrage..................................................................................................................2
2 Windows Defender.............................................................................................................32.1 Présentation..................................................................................................................32.2 Configuration...............................................................................................................3
2.2.1 Paramètres d’analyse automatique........................................................................32.2.2 Actions par défaut.................................................................................................42.2.3 Protection en temps réel........................................................................................42.2.4 Fichiers et dossiers exclus.....................................................................................42.2.5 Types de fichiers exclus........................................................................................42.2.6 Paramètres avancés...............................................................................................42.2.7 Administrateur......................................................................................................4
2.3 Utilisation de la communauté Microsoft Spynet..........................................................52.4 Visualisation et modification des logiciels autorisés ou mis en quarantaine...............52.5 Analyse.........................................................................................................................6
3 Outil de suppression d’applications malveillantes..............................................................64 Stratégies de groupe de sécurité..........................................................................................7
4.1 Introduction..................................................................................................................74.2 Les nouveautés par rapport à Windows XP.................................................................8
4.2.1 Nouveau format....................................................................................................84.2.2 Diagnostics............................................................................................................8
5 Activités..............................................................................................................................95.1 TP.................................................................................................................................9
MDF _ Industrie_IR
APT _ Windows 7 sécurité et GPO Document Ressource
1 Le centre de maintenance1.1 Surveillance des fonctions de sécurité du systèmeLe Centre de maintenance remplace le Centre de sécurité Windows qui a été introduit dans Windows XP SP2. En plus de reporter l’état des différents composants de sécurité et de maintenance, il permet de regrouper les messages système et alertes provenant des composants de sécurité et de maintenance et de les consolider dans un emplacement unique. Cela permet en un seul coup d’œil de savoir si une fonctionnalité importante de sécurité est manquante ou mal installée. De plus, tous les messages importants relatifs à ces fonctionnalités sont affichés dans la même fenêtre, et tant qu’un message subsiste sans aucune action corrective réalisée, l’icône de centre de maintenance (sous forme de drapeau) s’affiche dans la barre des tâches. En cliquant dessus, les messages en attente sont affichés. Une fois qu’une correction a été apportée, le message disparaît.Pour ouvrir le centre de maintenance :Cliquez sur l’icône de notification.Puis cliquez sur Ouvrir Centre de maintenance.
Il est également accessible depuis le Panneau de configuration.Le panneau de droite présente de manière synthétique l’ensemble des messages en attente pour lesquels une action est attendue. Les messages sont regroupés en deux catégories, les messages relatifs à la sécurité et les messages relatifs à la maintenance.En vert s’affichent les paramètres qui sont conformes à un niveau de sécurité standard, en jaune s’affiche le paramétrage jugé imprudent et en rouge le paramétrage jugé dangereux.
En plus d’afficher les messages jugés comme importants ou critiques, l’état des principaux composants est également accessible lorsque vous agrandissez la section.Microsoft fournit un jeu d’API (des fonctions écrites par Microsoft qui peuvent être utilisées par n’importe quelle application) qui permet aux développeurs des logiciels de sécurité de s’intégrer avec le centre de maintenance pour que celui-ci reconnaisse et soit capable d’interroger leur logiciel pare-feu, antivirus ou logiciel contre les codes malveillants. Ces API permettent également de fournir un statut au centre de maintenance et de l’informer si une application de sécurité est correctement configurée ou non. De plus, les développeurs d’applications de sécurité peuvent s’intégrer au mécanisme de notification et publier leurs messages informatifs dans le Centre de maintenance.D’un point de vue utilisateur, cela lui permet d’avoir une zone de notification unique pour les messages de sécurité, même s’il possède des solutions logicielles provenant de différents éditeurs. Il peut par exemple savoir depuis cet emplacement si
MDF _ Industrie_IR 1
APT _ Windows 7 sécurité et GPO Document Ressource
la signature de son logiciel antimalwares ou antivirus n’est plus à jour ou si son pare-feu n’est pas actif, même s’ils proviennent d’éditeurs différents.En face de chaque message, une action corrective est proposée. Ainsi, s’il manque un correctif de sécurité, le bouton d’action propose de se connecter à Windows Update, si le logiciel contre les malwares ou le logiciel antivirus n’est pas à jour, il propose de se connecter à une URL pour le mettre à jour, etc.
La partie Sécurité du centre de maintenance affiche les messages relatifs aux applications de sécurité et reporte le statut des applications et fonctionnalités suivantes :Pare-feu du réseauWindows UpdateProtection antivirusProtection contre les logiciels espionsParamètres de sécurité InternetContrôle de compte utilisateurProtection d’accès réseau
Dans la catégorie Maintenance, la sauvegarde, la recherche de mises à jour ainsi que la fonctionnalité de résolution de problèmes sont surveillées. Leur état ainsi que leurs derniers messages importants et leur statut actuel sont reportés. Vous êtes ainsi alerté visuellement des actions à entreprendre. Ici Windows Update n’est pas accessible et l’ordinateur ne peut donc pas se mettre à jour.Lorsqu’une action a été effectuée pour un message donné, celui-ci disparaît de la zone de messages du Centre de maintenance.Pour consulter les messages archivés, cliquez sur Afficher les messages archivés.
1.2 ParamétrageWindows interroge régulièrement les différents composants pour déterminer s’il y a un problème de configuration et lorsque cette situation se présente, vous affiche un message dans la zone de notification.Vous pouvez choisir manuellement quels messages doivent être remontés dans le Centre de maintenance.Il est possible d’activer ou désactiver les remontées de message pour chacun des composants de sécurité et de maintenance.Pour configurer le Centre de maintenance, dans le panneau de gauche, cliquez sur Modifier les paramètres du Centre de maintenance.
MDF _ Industrie_IR 2
APT _ Windows 7 sécurité et GPO Document Ressource
2 Windows Defender2.1 PrésentationWindows Defender est un logiciel gratuit inclus dans Windows 7 qui vous protège contre les logiciels espions et les logiciels indésirables. Il s’adresse en priorité aux particuliers car bien que partiellement administrable par stratégies de groupes, il n’y a pas de console centrale d’administration et de déploiement. Pour adresser le marché d’entreprise, Microsoft propose Forefront Client Security, une suite logicielle complète comprenant entre autres antivirus et antispyware.Windows Defender est un antispyware gratuit inclus dans Windows 7 disponible en version 32 bits et 64 bits. Activé par défaut, il protège en temps réel l’ordinateur contre les logiciels espions et indésirables en agissant avant même que ceux-ci ne se soient installés sur le système d’exploitation. Il permet également de lancer une analyse manuelle du système pour essayer de détecter des applications malveillantes ou encore de planifier des analyses pour qu’elles s’exécutent de manière périodique. Basé sur des fichiers de signatures, Windows Defender télécharge régulièrement ses mises à jour. Il dispose également d’un moteur dit heuristique pour tenter de découvrir de nouveaux logiciels espions ou malveillants.Windows Defender regroupe ses utilisateurs dans une communauté virtuelle en ligne appelée Spynet. Celle-ci peut être vue comme une base de données centrale de référence qui permet aux utilisateurs de signaler la présence de nouveaux logiciels espions ainsi que de reporter automatiquement un maximum d’informations techniques à son sujet. Lorsqu’une nouvelle application potentiellement dangereuse est reportée, le choix des utilisateurs qui ont déjà été confrontés à ce problème est consigné. Cela permet de guider le choix des prochains utilisateurs qui seront confrontés à la même situation.Ainsi, face à une menace inconnue, détectée de manière heuristique, Windows Defender alerte et affiche les décisions de blocage ou d’utilisation des autres utilisateurs qui ont déjà été exposés au nouveau problème rencontré. Si vous acceptez de vous connecter et d’utiliser la communauté Spynet, vos propres décisions sont également envoyées pour enrichir la base de connaissance.Windows Defender est activé par défaut à l’installation de Windows 7. Il est installé en tant que service et planifié pour s’exécuter de manière périodique et automatique à deux heures du matin. Il protège donc tous les utilisateurs et ne requiert pas qu’ils soient administrateurs de l’ordinateur pour fonctionner correctement. Il y a cependant une interface utilisateur qui permet de paramétrer Windows Defender. Attention si vous installez Microsoft Security Essentials (MSE) Windows Defender est désactivé car contenu dans MSE. Pour y accéder, cliquez sur Menu Démarrer.Recherchez le mot Defender.Puis effectuez un clic de souris sur Windows Defender.Vous pouvez également y accéder depuis le Panneau de configuration.Cliquez sur Panneau de configuration.Recherchez Defender.Puis cliquez sur le lien Windows Defender.La fenêtre suivante se présente à l’utilisateur.
Cette fenêtre d’accueil présente le statut actuel de l’application et indique la date de dernière analyse du système ainsi que la version actuelle du fichier de définitions. Il vous rappelle si la protection en temps réel est activée et les heures de planification automatique.Cette fenêtre principale vous alerte également lorsqu’un problème est détecté. Ici en l’occurrence, il indique que la dernière analyse du système est trop ancienne et qu’il est conseillé d’analyser maintenant le système.
2.2 ConfigurationPour configurer Windows Defender, cliquez le lien de menu Outils.La fenêtre de configuration apparaît.Effectuez alors un clic de souris sur le lien Options.
2.2.1 Paramètres d’analyse automatiquePar défaut Windows Defender exécute automatiquement tous les jours à 2 heures du matin une analyse rapide. L’analyse rapide scanne les emplacements courants du disque dur connus pour être la cible des applications malveillantes. L’analyse complète vérifie le disque dur en entier ainsi que les applications résidantes en mémoire. Il est conseillé de planifier une analyse rapide tous les jours et de n’exécuter manuellement une analyse complète qu’en cas de soupçons.L’analyse, complète ou rapide, peut n’être effectuée que lorsque le système est inactif, ceci afin de ne pas affecter les performances lors du scan. Pour cela, cliquez sur la case à cocher Exécuter une analyse uniquement lorsque le système est inactif.
Windows Defender s’appuie sur Windows Update pour mettre à jour son fichier de définitions. Ainsi, dès qu’une mise à jour est disponible, elle est proposée en téléchargement sur le site Windows Update et installée sur les ordinateurs (en fonction du paramétrage de Windows Update sur les postes client). Dans les options d’analyse automatique, il est également possible de demander à Windows Defender de vérifier et d’installer automatiquement toute nouvelle version de son fichier de définition en cochant la case Rechercher les définitions mises à jour avant l’analyse.S’il est déployé en entreprise, le fichier de définition peut être récupéré depuis un serveur WSUS au lieu d’être téléchargé depuis Internet.
MDF _ Industrie_IR 3
APT _ Windows 7 sécurité et GPO Document Ressource
2.2.2 Actions par défautLors de la vérification du système, Windows Defender peut réaliser des actions par défaut comme supprimer automatiquement un logiciel indésirable si celui-ci est détecté. Il faut pour cela que l’option Appliquer les actions recommandées soit cochée.
Les logiciels malveillants ou potentiellement dangereux détectés par Windows Defender sont classés par niveau d’alerte. À une alerte correspond une action par défaut. Il existe cinq niveaux d’alerte : Grave, Elevé, Moyenne, Faible, Non classifié.En fonction du niveau d’alerte, vous avez le choix de supprimer, mettre en quarantaine ou autoriser un logiciel qui aurait été détecté comme potentiellement dangereux. Il n’y a pas d’action par défaut pour le niveau d’alerte non classifié : il faut choisir manuellement une action à effectuer après avoir revu les informations disponibles sur le logiciel suspect.Supprimer supprime le logiciel de l’ordinateur.Autoriser ajoute le logiciel à la liste des logiciels autorisés et l’autorise à s’exécuter sur votre ordinateur. Windows
Defender cessera de vous alerter à son sujet.Quarantaine déplace le logiciel dans un emplacement temporaire et empêche son exécution jusqu’à ce que vous
l’autorisiez.
2.2.3 Protection en temps réelPar défaut, l’option de protection en temps réel est activée. Il est conseillé de la laisser activée. Elle protège les zones de démarrage automatique (menus démarrage, clés de registre machine et utilisateur Run, Runonce, etc.) où sont configurées les applications autorisées à s’exécuter au démarrage de la machine et des sessions utilisateur et alerte l’utilisateur lorsqu’une application tente de les modifier afin de pouvoir démarrer automatiquement avec le boot de la machine. Cette zone de démarrage est particulièrement sensible. En effet un code malveillant pour persister à travers un reboot va tout faire pour essayer de démarrer automatiquement lors du boot et en particulier essayer de s’inscrire dans les zones de démarrage automatique.La protection temps réelle protège également les paramètres de sécurité du système contre toute modification applicative. De même, il contrôle les services et pilotes de périphérique, l’installation d’applications tierces et l’activité d’Internet Explorer (téléchargements, installation de modules complémentaires, etc.) afin de se prémunir le plus efficacement possible contre l’installation et l’exécution de logiciels indésirables provenant d’Internet.Lorsqu’une application tente de réaliser une opération contrôlée, par exemple lors d’une installation d’un logiciel (espion ou non), Windows Defender alerte l’utilisateur et lui présente une boîte de dialogue dans laquelle il doit prendre une décision : Accepter, Refuser, Mettre en quarantaine ou supprimer l’application.
La configuration du moteur temps réel a été simplifiée par rapport à la version précédente. Maintenant il vous est simplement proposé d’analyser les fichiers téléchargés depuis Internet ainsi que de surveiller l’exécution des programmes.
2.2.4 Fichiers et dossiers exclusDes listes d’exclusion peuvent être spécifiées afin d’exclure certains répertoires du Scan. Cela peut s’avérer nécessaire lorsque vous constatez d’importantes dégradations de performances d’une application donnée dues à l’interaction avec Windows Defender ou pour pallier une incompatibilité connue avec une application.
2.2.5 Types de fichiers exclusDe la même manière, vous pouvez forcer Windows Defender à ne pas scanner certains types de fichiers.Il est important de noter qu’ils sont détectés en fonction de leur type d’extension de fichier (et non pas d’après leur contenu MIME).
2.2.6 Paramètres avancésLa section Paramètres avancés permet de configurer un certain nombre de paramètres supplémentaires :
- Les fichiers archivés (ZIP, CAB, etc.) doivent-ils être surveillés et scannés ?- Les messages électroniques doivent-ils être scannés ?- Les lecteurs amovibles tels que les clés USB doivent-ils être analysés ?- Le moteur heuristique (activé par défaut) doit-il être activé ou désactivé ?- Créer un point de restauration : si cette option est activée, un retour arrière est possible en cas de modification
réalisée par Windows Defender.Par défaut, les messages électroniques ne sont pas scannés ni les lecteurs amovibles.Il est recommandé d’activer toutes ces options et de n’en désélectionner que si des problèmes de performance avérés sont détectés.
2.2.7 AdministrateurWindows Defender peut être activé ou désactivé depuis la section Administrateur.Pour désactiver Windows Defender, décochez la case Utiliser ce programme.Afficher les éléments de tous les utilisateurs de cet ordinateur
MDF _ Industrie_IR 4
APT _ Windows 7 sécurité et GPO Document Ressource
Pour des raisons de confidentialité, par défaut, les informations de mise en quarantaine des fichiers des autres utilisateurs sont masquées.Pour obtenir un historique complet sur le système en question, il faut que cette case soit cochée.
2.3 Utilisation de la communauté Microsoft SpynetComme expliqué précédemment, il existe différents niveaux d’alertes : Grave, Elevé, Moyen, Faible ou Non classifié. Les logiciels non sollicités détectés par Windows Defender et non encore référencés dans les fichiers de signature sont placés dans la catégorie Non classifié. Afin d’éviter toute erreur d’interprétation ou choix erronée, Windows Defender ne prend pas de décision automatiquement pour ces applications non classifiées. Une intervention manuelle de l’utilisateur est alors nécessaire pour effectuer un choix, c’est-à-dire autoriser ou bloquer leur exécution.En rejoignant la communauté Microsoft Spynet, vous bénéficiez de l’expertise des membres de cette communauté et des décisions qu’ils ont prises face à tel ou tel logiciel. Vos propres actions sont également reportées dans la base de données de référencement de cette communauté afin d’enrichir son expérience.Lorsqu’un nombre important d’utilisateurs reporte le même comportement face à une application donnée, Microsoft peut alors l’analyser à l’aide des données collectées et mettre à jours son fichier de signatures s’il s’avère que c’est effectivement un logiciel malveillant. Face à un nouveau logiciel au comportement douteux et non référencé dans le fichier de signature, Windows Defender vous informe des choix réalisés par les autres membres afin de vous aider à prendre votre décision.Par défaut, l’utilisation de la communauté Microsoft Spynet n’est pas activée. Deux niveaux d’abonnement sont disponibles. Dans l’abonnement de base, des informations succinctes sont envoyées en plus de vos décisions lorsque vous êtes confronté à une application non classée. Dans l’abonnement avancé, des informations supplémentaires sur le fonctionnement de l’application sont également collectées et envoyées (noms de fichiers, emplacements, etc.). Cependant, aucune donnée confidentielle n’est envoyée.
- Pour vous abonner, dans le menu Outils de Windows Defender, effectuez un clic de souris sur Microsoft Spynet.- Choisissez le niveau d’abonnement désiré : Prendre l’abonnement de base ou Prendre un abonnement avancé.- Puis appuyez sur le bouton Enregistrer.
Le bouclier présent sur le bouton Enregistrer signifie qu’il faut des privilèges d’administration pour réaliser l’opération. Cela déclenchera donc une élévation de privilèges.
2.4 Visualisation et modification des logiciels autorisés ou mis en quarantaine
Lorsque Windows Defender détecte une application suspecte, celui-ci affiche des renseignements au sujet de l’application : description de la menace, évaluation des risques, emplacement de l’application et action par défaut recommandée. Le logiciel peut être désinstallé, autorisé ou mis en quarantaine pour l’empêcher de s’exécuter sur l’ordinateur. Il est conseillé de placer temporairement l’application en question en quarantaine avant de la supprimer totalement de l’ordinateur. De même, lorsque Windows Defender suspecte une application d’être un logiciel espion et que la communauté Spynet ne possède encore aucune référence à propos de cette application, il est utile de la placer en quarantaine le temps d’obtenir plus d’informations sur l’application en question.Vu que Windows Defender est intégré avec le Centre de maintenance, lorsque celui-ci détecte une action suspecte, il notifie l’utilisateur par le biais du Centre de maintenance. L’action de l’application est bloquée tant que vous ne l’avez pas autorisée.
Lorsque vous cliquez sur l’icône du Centre de maintenance, Windows Defender vous demande de prendre une décision.
Si, par exemple, le niveau d’alerte est Grave, Windows Defender propose par défaut de supprimer le fichier.
Pour visualiser les éléments en quarantaine dans Windows Defender, cliquez sur le menu Outils puis cliquez sur le lien Quarantaine.
La liste des éléments en quarantaine s’affiche.Pour chacun d’eux, vous pouvez réaliser une action telle que Supprimer ou Restaurer (ce qui signifie Autoriser à s’exécuter, le fichier est alors recopié à son emplacement d’origine).Évitez cependant d’autoriser une application qui a un niveau d’alerte élevé car le risque est grand que cette application ait un effet négatif soit en ralentissant votre ordinateur, soit en risquant de compromettre votre vie privée et vos données sensibles.L’historique des actions de Windows Defender peut être visualisé dans le menu Historique.Toutes les informations sont répertoriées :
- le nom du fichier,- la date d’opération,- l’action réalisée,- des informations complémentaires sont loguées, telles que par exemple le nom du site web d’où a été téléchargé
le fichier suspect.
Chaque événement est également logué dans les journaux d’événements dans le journal dédié de Windows Defender.Chaque détection de logiciel, chaque action réalisée sur les fichiers en quarantaine déclenche l’écriture d’un événement.
MDF _ Industrie_IR 5
APT _ Windows 7 sécurité et GPO Document Ressource
Il est ensuite plus aisé pour un administrateur de retrouver la trace d’une activité suspecte sur son parc.
2.5 AnalyseWindows Defender offre la possibilité d’analyser manuellement le système d’exploitation de manière rapide, complète ou personnalisée. Il est pertinent d’exécuter manuellement une analyse du système lorsqu’il y a un doute quant à l’intégrité du système, une première fois après l’installation du système ou lors de la première activation de Windows Defender.L’analyse rapide est planifiée tous les jours par défaut à deux heures du matin. L’analyse complète scanne tout le disque ainsi que la mémoire et est par conséquent beaucoup plus lente que l’analyse rapide. L’analyse personnalisée permet de spécifier les répertoires qui doivent être analysés et présente peu d’intérêt. En cas de doute, mieux vaut lancer une analyse complète.
3 Outil de suppression d’applications malveillantesL’outil de suppression de logiciels malveillants est une application complémentaire à Windows Defender, non destinée à remplacer un antivirus. En effet, cet outil ne détecte pas les logiciels espions, raison pour laquelle il ne se substitue pas à Windows Defender. De plus, il n’est utilisé que pour nettoyer un ordinateur infecté par un virus ou un ver des plus courants. À la différence d’un antivirus classique, il ne protège pas contre une infection virale.Microsoft a initialement écrit cette application parce que certains virus ou vers empêchaient les mises à jour automatiques par Windows Update et générait un mécontentement des utilisateurs. Microsoft a donc intégré cet outil dans le processus de mises à jour mensuel : il est mis à jour et téléchargé sur l’ordinateur par Windows Update. Il s’exécute alors en tâche de fond et supprime automatiquement les vers ou virus détectés qu’il connaît afin que ceux-ci ne puissent pas empêcher l’application des patches de sécurité. L’outil de suppression de logiciels malveillants ne détecte aujourd’hui que 145 virus, vers ou chevaux de Troie, les plus courants et les plus virulents. La fiche technique Microsoft Kb890830 (http://support.microsoft.com/kb/890830/fr), régulièrement mise à jour, liste tous les logiciels malveillants qu’il détecte.La façon la plus simple d’exécuter cet outil est d’activer les mises à jour automatiques. Il sera mis à jour automatiquement tous les mois et exécuté en tâche de fond. Dans ce mode d’exécution, l’utilisateur n’a pas besoin d’être administrateur de sa machine, puisque c’est le service Windows Update qui le lance. Il est possible également de le lancer manuellement, mais cela nécessite des privilèges d’administration. L’exécutable s’intitule mrt.exe et réside dans le répertoire System32. Après son exécution manuelle ou automatique, des fichiers de log sont sauvegardés dans le répertoire %WINDIR%\DEBUG (mrt.log et mrteng.log). Lorsque mrt.exe est lancé par Windows Update, il s’exécute en mode d’analyse rapide. Il est possible de le lancer également en mode d’analyse complet (très lent) ou personnalisée pour indiquer les répertoires à analyser. Mrt.exe peut être lancé en ligne de commande. Il possède 4 options :/Q pour le mode silencieux. Aucune fenêtre n’est affichée./? pour afficher l’aide./N pour le mode de détection seule./F pour le mode d’analyse complet./F:Y pour le mode d’analyse complet avec nettoyage automatique des fichiers infectés.Lors d’une exécution automatique, si un logiciel malicieux est détecté, le prochain administrateur qui se loguera sur le système sera notifié par un message dans la zone de notification. S’il est lancé manuellement, un résultat d’analyse est affiché à la fin de l’exécution de l’application.
Lorsqu’un logiciel malveillant est détecté, l’outil de suppression de logiciels malveillants invite à procéder à une analyse complète du système. Il est conseillé de la réaliser pour plus de sûreté. Attention, certains logiciels malveillants sont utilisés pour cacher d’autres virus, vers, trojan,
MDF _ Industrie_IR 6
APT _ Windows 7 sécurité et GPO Document Ressource
etc. Dans le cas d’une infection avérée, il est conseillé dans la foulée de procéder également à une analyse complète avec un antivirus et un logiciel anti-espion.Mrt.exe reporte à Microsoft les logiciels malveillants détectés, tout en prenant garde de ne pas envoyer de données personnelles ou confidentielles pouvant mettre en cause le respect de la vie privée. Ces informations transmises permettent à Microsoft de déterminer la vitesse de propagation d’un virus et éventuellement lui permettre de réagir plus rapidement en accélérant le cycle de développement d’un patch de sécurité spécifique. Cependant, dans le cas d’un déploiement par WSUS, aucune information n’est remontée à Microsoft.Cet outil de suppression de logiciels malveillants est utilisable en entreprise et peut être déployé par Windows Update, WSUS (Windows Server Update Service = Serveurs de mises à jour), SMS ou par script d’ouverture de session déployé par stratégie de groupe. La fiche technique 891716 fournit un exemple de script et de diagnostics pour assister un administrateur à intégrer cet outil dans la stratégie d’entreprise.
4 Stratégies de groupe de sécurité4.1 IntroductionLes stratégies de groupe sont un élément essentiel de l’administration des plateformes serveur et clientes de Microsoft. Elles permettent de configurer un grand nombre de paramètres depuis un emplacement commun (l’éditeur de stratégies de groupes), de centraliser leur administration et de maintenir une cohérence de configuration entre les différentes machines.Il existe deux familles de stratégies de groupes : les stratégies de groupe locales et les stratégies de groupe du domaine. Les stratégies locales sont configurées sur le poste de travail ou serveur et appliquées sur la machine en question uniquement. Elles peuvent être utilisées pour les ordinateurs qui ne sont pas membres d’un domaine ou pour définir la configuration initiale des socles d’installation. Il est possible de configurer par cette manière un ensemble de paramètres sur l’image initiale qui va permettre de construire et d’installer tous les ordinateurs de l’entreprise. L’utilisation de stratégies locales présente le désavantage vis-à-vis des stratégies du domaine de ne pas offrir de gestion centralisée ; ainsi, si un paramètre doit être modifié, il faut passer sur tous les ordinateurs.Les stratégies de domaine peuvent être multiples. Une stratégie peut être appliquée sur tous les ordinateurs d’un site particulier (stratégie de groupe liée à un site), elle peut être appliquée à tous les ordinateurs du domaine (stratégie de groupe liée au domaine) ; elle peut également être appliquée à un sous-ensemble d’ordinateur en étant liée uniquement à une unité organisationnelle.Un même paramètre peut être défini dans différentes stratégies de groupe liées à différents emplacements. Dans ce cas, le paramètre en question prend la valeur de la dernière stratégie de groupe appliquée. L’ordre d’application des stratégies est le suivant :
Local Site Domaine OU (Organisational Unit - Unité Organisationnelle).
Un moyen mnémotechnique de s’en souvenir est de mémoriser les premières lettres : L.S.D.OU.
MDF _ Industrie_IR 7
APT _ Windows 7 sécurité et GPO Document Ressource
Lorsque les stratégies de groupe sont réappliquées, les stratégies locales sont appliquées en premier. Ensuite viennent les stratégies de site, puis les stratégies liées au domaine et enfin les stratégies définies sur une unité organisationnelle. Lorsque plusieurs stratégies liées à un même emplacement définissent le même paramètre, il est possible de définir un ordre d’application.Les stratégies de groupe peuvent être appliquées soit à un ordinateur (ainsi tous les utilisateurs qui s’y connectent reçoivent les mêmes paramètres), soit à un utilisateur (ainsi, l’utilisateur reçoit le même paramétrage sur n’importe quel ordinateur). À cet effet, chaque stratégie de groupe est divisée en deux parties, une partie Configuration ordinateur et une partie Configuration utilisateur. Lorsqu’une stratégie de groupe contient des paramètres utilisateurs, ces paramètres s’appliquent à l’utilisateur qui ouvre une session.
La fonctionnalité de stratégies de groupes permet de configurer un grand nombre de paramètres, plus de 2500 dans Windows Vista et Windows 7. Par défaut, elle permet de configurer les paramètres de sécurité, les stratégies d’audit, de déployer et positionner le contenu de groupes, de positionner des permissions sur les fichiers, les services et les clés de registres. Les extensions appelées modèles d’administration permettent de configurer un grand nombre de composants comme par exemple les paramètres d’Internet Explorer, le Panneau de configuration, Windows Media Player, etc.
4.1.1 Nouveau formatTout d’abord, le format des modèles d’administration change à partir de Windows Vista. Dans les versions précédentes, les modèles d’administration étaient des fichiers texte à plat d’extension ADM installés sur les ordinateurs locaux et sur les contrôleurs de domaine. Cela posait des problèmes de localisation puisqu’il fallait gérer un modèle d’administration par langue. Windows Vista adresse ce problème en apportant un nouveau format de modèle d’administration. Le fichier d’extension ADM est maintenant découpé en deux fichiers distincts. Le premier fichier, commun à toutes les langues est le fichier d’extension ADMX. Il contient génériquement des noms de variables. Les chaînes de caractères sont stockées dans des fichiers d’extension ADML qui sont localisés dans toutes les langues disponibles.Les fichiers ADMX sont maintenant stockés dans %SystemRoot%\PolicyDefinitions. Les fichiers localisés ADML sont stockés dans SystemRoot%\PolicyDefinitions\ «LangID », où LangID correspond au code langue, par exemple Fr-fr pour la France.Traditionnellement, le composant logiciel enfichable gpedit.msc est l’éditeur de stratégie locale.
4.1.2 DiagnosticsÀ la différence des versions précédentes des systèmes d’exploitation de Microsoft, l’application des GPO n’est plus maintenant prise en charge par le module Winlogon mais directement par un service. Les informations de diagnostics ne sont plus enregistrées dans le fichier userenv.log mais directement dans les journaux d’événements.La commande gpresult /v lancée dans une invite de commande permet de connaître la liste des GPO qui s’applique sur un poste.La commande gpupdate /force permet quant à elle de forcer la ré-application des GPO.Par défaut les GPO sont appliquées toutes les 90 minutes et la partie sécurité stockée dans le fichier Gpttmpll.inf dans le Sysvol est réappliquée toutes les 16 heures.À la différence de Windows XP et Windows 2003, lorsqu’un poste Windows 7 boote et ne parvient pas à contacter un contrôleur de domaine, les GPO sont appliquées dès que la connectivité revient alors que sous Windows XP et Windows 2003 les GPO étaient appliquées à l’expiration du délai par défaut (90 minutes et 16 heures). La connectivité au contrôleur de domaine est assurée par NLA (Network Location Awareness) alors que dans les versions précédentes, c’était assuré par l’envoi d’un ping ICMP.Pour diagnostiquer les problèmes de paramétrages déployés par GPO, la commande rsop.msc ( Resultant Set Object Policy) permet d’afficher les paramètres actuellement activés, et pour chaque paramètre, de déterminer de quelle stratégie la valeur provient.Pour cela, lancez rsop.msc.Positionnez-vous sur le paramètre de GPO à analyser.Effectuez un clic droit sur le paramètre en question et cliquez sur Propriétés.Sélectionner l’onglet Priorité.
La stratégie la plus haute dans la fenêtre est celle d’où provient la valeur du paramètre.
MDF _ Industrie_IR 8
APT _ Windows 7 sécurité et GPO Document de Travail
5 Activités
5.1 TP
Créer une GPO pour :
Empêcher de modifier le fond d’écran. Empêcher de modifier le thème WindowsInterdire à l’utilisateur de changer les paramètres de connexion d’internet explorer
A vous de trouver d’autre paramètres intéressants notez les et présentez-les au formateur.
MDF _ Industrie_IR 9
APT _ Windows 7 sécurité et GPO Correction Commentée
MDF _ Industrie_IR 10
