Paramètres de sécurité de l'administration Windows

Les tableaux suivants fournissent les paramètres d'administration recommandés, disponibles sous un système Microsoft Windows afin de renforcer davantage la sécurité.
Consultez la documentation de votre serveur Windows pour plus d'informations sur ces paramètres.
Les paramètres de politique locale sont décrits dans les tableaux suivants :
Paramètres de sécurité > Stratégie de compte > Stratégie de verrouillage de comptes
Politique
Paramètres de sécurité recommandés
Durée de verrouillage de comptes
0
Seuil de verrouillage de comptes
3 tentatives de connexion non valides
Réinitialiser le compteur de verrouillages du compte après
15 minutes
Paramètres de sécurité > Stratégies de comptes > Stratégie de mot de passe
Stratégie de mot de passe
Paramètres de sécurité recommandés
Historique de mot de passe Enforce
24 mots de passe mémorisés
Ancienneté maximum des mots de passe
60 jours
Ancienneté minimum des mots de passe
2 jours
Longueur minimum des mots de passe
10 caractères
Le mot de passe doit répondre aux critères de complexité.
Activé
Stocker les mots de passe à l'aide d'un chiffrement réversible
Désactivé
Paramètres de sécurité > Stratégies locales > Stratégie d'audit
Audit local
Paramètres de sécurité recommandés
Auditer les événements de connexion aux comptes
Réussite, échec
Auditer la gestion des comptes
Réussite, échec
Auditer l'accès au service d'annuaire
Réussite, échec
Auditer les événements de connexion
Réussite, échec
Auditer l'accès aux objets
Réussite, échec
Auditer les modifications de stratégie
Réussite, échec
Auditer l'utilisation des privilèges
Réussite, échec
Auditer le suivi des processus
Aucun audit
Auditer les événements système
Réussite, échec
Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur
Attribution des droits utilisateur
Paramètres de sécurité recommandés
Restaurer les fichiers et les répertoires
Administrateurs, opérateurs de sauvegarde
Arrêter le système
Administrateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Synchroniser les données du service d'annuaire
Prendre possession de fichiers ou d'autres objets
Administrateurs
Accéder à cet ordinateur à partir du réseau
Tout le monde, administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Agir en tant que partie du système d'exploitation
Ajouter des stations de travail au domaine
Ajuster les quotas de mémoire pour un processus
Service local, service réseau, administrateurs
Permettre l'ouverture d'une session locale
Administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Autoriser l'ouverture de session par les services Terminal Server
Administrateurs, utilisateurs de bureau distant
Sauvegarder des fichiers et des répertoires
Administrateurs, opérateurs de sauvegarde
Contourner la vérification de parcours
Tout le monde, administrateurs, utilisateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Modifier l'heure du système
Administrateurs, utilisateurs avec pouvoir
Créer un fichier de page
Administrateurs
Créer un objet de jeton
Créer des objets globaux
Administrateurs, service
Créer des objets partagés permanents
Déboguer les programmes
Administrateurs
Interdire l'accès à cet ordinateur à partir du réseau
Interdire l'ouverture de session en tant que tâche
Interdire l'ouverture de session en tant que service
Interdire l'ouverture d'une session locale
Interdire l'ouverture de session par les services Bureau à distance
Permettre à l'ordinateur et aux comptes d'utilisateurs d'être approuvés pour la délégation
Forcer l'arrêt à partir d'un système distant
Administrateurs
Générer des audits de sécurité
Service local, service réseau
Emprunt d'identité d'un client après l'authentification
Administrateurs, service
Augmenter la priorité de planification
Administrateurs
Charger et décharger les pilotes de périphériques
Administrateurs
Verrouiller des pages dans la mémoire
Ouvrir une session en tant que tâche
Service local
Ouvrir une session en tant que service
Service réseau
Gérer le journal d'audit et de sécurité
Administrateurs
Modifier les valeurs de l'environnement du microprogramme
Administrateurs
Effectuer les tâches de maintenance de volume
Administrateurs
Processus unique du profil
Administrateurs, utilisateurs avec pouvoir
Performance système du profil
Administrateurs
Retirer l'ordinateur de la station d'accueil
Administrateurs, utilisateurs avec pouvoir
Remplacer un jeton de niveau processus
Service local, service réseau
Restaurer les fichiers et les répertoires
Administrateurs, opérateurs de sauvegarde
Arrêter le système
Administrateurs, utilisateurs avec pouvoir, opérateurs de sauvegarde
Synchroniser les données du service d'annuaire
Prendre possession de fichiers ou d'autres objets
Administrateurs
Paramètres de sécurité > Stratégies locales > Options de sécurité
Options de sécurité
Paramètres de sécurité recommandés
Comptes : État du compte administrateur
Activé
Comptes : État du compte invité
Désactivé
Comptes : restreindre l'utilisation de mots de passe vides par le compte local à l'ouverture de session console
Activé
Comptes : renommer le compte administrateur
protectdemo
Comptes : renommer le compte invité
Invité
Audit : auditer l'accès des objets système globaux
Désactivé
Audit : auditer l'utilisation des privilèges de sauvegarde et de restauration
Désactivé
Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité
Désactivé
Périphériques : autoriser le retrait sans ouverture de session préalable
Activé
Périphériques : permettre le formatage et l'éjection des médias amovibles
Administrateurs
Périphériques : empêcher les utilisateurs d'installer des pilotes d'imprimante
Activé
Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement
Activé
Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement
Activé
Périphériques : comportement d'installation d'un pilote non signé
Ne pas autoriser l'installation
Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des tâches
Activé
Contrôleur de domaine : conditions requises pour la signature de serveur LDAP
Non défini
Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur
Non défini
Membre du domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
Activé
Membre du domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
Activé
Membre du domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Activé
Membre du domaine : désactive les modifications de mot de passe du compte ordinateur
Désactivé
Membre du domaine : ancienneté maximale du mot de passe du compte ordinateur
30 jours
Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur)
Activé
Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur
Activé
Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
Désactivé
Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Ouverture de session interactive : texte du message pour les utilisateurs essayant de se connecter
Non défini
Ouvertures de sessions interactives : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de domaine n'est disponible)
10 ouvertures de sessions
Ouverture de session interactive : prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire
14 jours
Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail.
Désactivé
Ouverture de session interactive : carte à puce nécessaire
Désactivé
Ouverture de session interactive : comportement lorsque la carte à puce est retirée
Forcer la fermeture de session
Client réseau Microsoft : communications signées numériquement (toujours)
Activé
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
Activé
Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie
Désactivé
Serveur réseau Microsoft : durée d'inactivité avant la suspension d'une session
15 minutes
Serveur réseau Microsoft : communications signées numériquement (toujours)
Activé
Serveur réseau Microsoft : communications signées numériquement (lorsque le client l'accepte)
Activé
Serveur réseau Microsoft : déconnecter les clients à l'expiration du délai de la durée de session
Activé
Accès réseau : permet la traduction de noms/SID anonymes
Désactivé
Accès réseau : ne pas autoriser l'énumération anonyme des comptes SAM
Activé
Accès réseau : ne pas autoriser l'énumération anonyme des comptes et des partages SAM
Désactivé
Accès réseau : ne pas autoriser le stockage d'informations d'identification ou des passeports .NET pour l'authentification du réseau
Désactivé
Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux utilisateurs anonymes
Désactivé
Accès réseau : les canaux nommés qui sont accessibles de manière anonyme
COMNAP, COMNODE, SQL\QUERY, SPOOLSS, EPMAPPER, LOCATOR, TrkWks, TrkSvr
Accès réseau : les chemins de Registre accessibles à distance
System\CurrentControlSet\Control\ProductOptions, System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion
Accès réseau : les chemins et sous-chemins de Registre accessibles à distance
System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog