Paramètres de sécurité de l'administration Windows
Les tableaux suivants fournissent les paramètres d'administration recommandés, disponibles sous un système Microsoft Windows afin de renforcer davantage la sécurité.
Consultez la documentation de votre serveur Windows pour plus d'informations sur ces paramètres.
Les paramètres de politique locale sont décrits dans les tableaux suivants :
Politique | Paramètres de sécurité recommandés |
|---|---|
Durée de verrouillage de comptes | 0 |
Seuil de verrouillage de comptes | 3 tentatives de connexion non valides |
Réinitialiser le compteur de verrouillages du compte après | 15 minutes |
Stratégie de mot de passe | Paramètres de sécurité recommandés |
|---|---|
Historique de mot de passe Enforce | 24 mots de passe mémorisés |
Ancienneté maximum des mots de passe | 60 jours |
Ancienneté minimum des mots de passe | 2 jours |
Longueur minimum des mots de passe | 10 caractères |
Le mot de passe doit répondre aux critères de complexité. | Activé |
Stocker les mots de passe à l'aide d'un chiffrement réversible | Désactivé |
Audit local | Paramètres de sécurité recommandés |
|---|---|
Auditer les événements de connexion aux comptes | Réussite, échec |
Auditer la gestion des comptes | Réussite, échec |
Auditer l'accès au service d'annuaire | Réussite, échec |
Auditer les événements de connexion | Réussite, échec |
Auditer l'accès aux objets | Réussite, échec |
Auditer les modifications de stratégie | Réussite, échec |
Auditer l'utilisation des privilèges | Réussite, échec |
Auditer le suivi des processus | Aucun audit |
Auditer les événements système | Réussite, échec |
Attribution des droits utilisateur | Paramètres de sécurité recommandés |
|---|---|
Restaurer les fichiers et les répertoires | Administrateurs, opérateurs de sauvegarde |
Arrêter le système | Administrateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde |
Synchroniser les données du service d'annuaire | |
Prendre possession de fichiers ou d'autres objets | Administrateurs |
Accéder à cet ordinateur à partir du réseau | Tout le monde, administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde |
Agir en tant que partie du système d'exploitation | |
Ajouter des stations de travail au domaine | |
Ajuster les quotas de mémoire pour un processus | Service local, service réseau, administrateurs |
Permettre l'ouverture d'une session locale | Administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde |
Autoriser l'ouverture de session par les services Terminal Server | Administrateurs, utilisateurs de bureau distant |
Sauvegarder des fichiers et des répertoires | Administrateurs, opérateurs de sauvegarde |
Contourner la vérification de parcours | Tout le monde, administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde |
Modifier l'heure du système | Administrateurs, utilisateurs avec pouvoir |
Créer un fichier de page | Administrateurs |
Créer un objet de jeton | |
Créer des objets globaux | Administrateurs, service |
Créer des objets partagés permanents | |
Déboguer les programmes | Administrateurs |
Interdire l'accès à cet ordinateur à partir du réseau | |
Interdire l'ouverture de session en tant que tâche | |
Interdire l'ouverture de session en tant que service | |
Interdire l'ouverture d'une session locale | |
Interdire l'ouverture de session par les services Bureau à distance | |
Permettre à l'ordinateur et aux comptes d'utilisateurs d'être approuvés pour la délégation | |
Forcer l'arrêt à partir d'un système distant | Administrateurs |
Générer des audits de sécurité | Service local, service réseau |
Emprunt d'identité d'un client après l'authentification | Administrateurs, service |
Augmenter la priorité de planification | Administrateurs |
Charger et décharger les pilotes de périphériques | Administrateurs |
Verrouiller des pages dans la mémoire | |
Ouvrir une session en tant que tâche | Service local |
Ouvrir une session en tant que service | Service réseau |
Gérer le journal d'audit et de sécurité | Administrateurs |
Modifier les valeurs de l'environnement du microprogramme | Administrateurs |
Effectuer les tâches de maintenance de volume | Administrateurs |
Processus unique du profil | Administrateurs, utilisateurs avec pouvoir |
Performance système du profil | Administrateurs |
Retirer l'ordinateur de la station d'accueil | Administrateurs, utilisateurs avec pouvoir |
Remplacer un jeton de niveau processus | Service local, service réseau |
Restaurer les fichiers et les répertoires | Administrateurs, opérateurs de sauvegarde |
Arrêter le système | Administrateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde |
Synchroniser les données du service d'annuaire | |
Prendre possession de fichiers ou d'autres objets | Administrateurs |
Options de sécurité | Paramètres de sécurité recommandés |
|---|---|
Comptes : État du compte administrateur | Activé |
Comptes : État du compte invité | Désactivé |
Comptes : restreindre l'utilisation de mots de passe vides par le compte local à l'ouverture de session console | Activé |
Comptes : renommer le compte administrateur | protectdemo |
Comptes : renommer le compte invité | Invité |
Audit : auditer l'accès des objets système globaux | Désactivé |
Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration | Désactivé |
Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité | Désactivé |
Périphériques : autoriser le retrait sans ouverture de session préalable | Activé |
Périphériques : permettre le formatage et l'éjection des médias amovibles | Administrateurs |
Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante | Activé |
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement | Activé |
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement | Activé |
Périphériques : comportement d'installation d'un pilote non signé | Ne pas autoriser l'installation |
Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches | Activé |
Contrôleur de domaine : conditions requises pour la signature de serveur LDAP | Non défini |
Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur | Non défini |
Membre du domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) | Activé |
Membre du domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible) | Activé |
Membre du domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible) | Activé |
Membre du domaine : désactive les modifications de mot de passe du compte ordinateur | Désactivé |
Membre du domaine : ancienneté maximale du mot de passe du compte ordinateur | 30 jours |
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur) | Activé |
Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur | Activé |
Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr. | Désactivé |
Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter | |
Ouverture de session interactive : texte du message pour les utilisateurs essayant de se connecter | Non défini |
Ouvertures de sessions interactives : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de domaine n'est disponible) | 10 ouvertures de sessions |
Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire | 14 jours |
Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail. | Désactivé |
Ouverture de session interactive : carte à puce nécessaire | Désactivé |
Ouverture de session interactive : comportement lorsque la carte à puce est retirée | Forcer la fermeture de session |
Client réseau Microsoft : communications signées numériquement (toujours) | Activé |
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte) | Activé |
Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie | Désactivé |
Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session | 15 minutes |
Serveur réseau Microsoft : communications signées numériquement (toujours) | Activé |
Serveur réseau Microsoft : communications signées numériquement (lorsque le client l'accepte) | Activé |
Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session | Activé |
Accès réseau : permet la traduction de noms/SID anonymes | Désactivé |
Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM | Activé |
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et des partages SAM | Désactivé |
Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau | Désactivé |
Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes | Désactivé |
Accès réseau : les canaux nommés qui sont accessibles de manière anonyme | COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr |
Accès réseau : les chemins de Registre accessibles à distance | System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion |
Accès réseau : les chemins et sous-chemins de Registre accessibles à distance | System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog |