Les parametres de securite essentiels¶

Ou sont les parametres de securite ?¶

Si vous avez suivi les chapitres precedents, vous avez pris l'habitude de naviguer dans les Modeles d'administration. C'est la que vous avez configure le fond d'ecran, desactive des fonctionnalites, et ajuste des parametres d'affichage.

Les parametres de securite, eux, vivent ailleurs.

Ouvrez l'editeur de GPO (gpmc.msc, clic droit sur une GPO > Modifier) et naviguez vers :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite

Notez bien : ce n'est pas sous Modeles d'administration. C'est un embranchement completement different de l'arborescence.

Pourquoi cette separation ?¶

La raison est historique et technique. Les Modeles d'administration modifient des valeurs du Registre Windows. Chaque parametre correspond a une cle de registre precise. C'est simple, direct, et facilement reversible.

Les Parametres de securite, en revanche, pilotent des mecanismes beaucoup plus profonds du systeme d'exploitation : la base SAM (Security Account Manager), les ACL du systeme de fichiers, les strategies d'audit du noyau, les privileges systeme...

Pensez a la difference entre changer la couleur de la facade d'un immeuble (Modeles d'administration) et modifier la structure portante (Parametres de securite). Les deux sont importants, mais les consequences d'une erreur ne sont pas les memes.

Ce qu'on trouve dans cette branche¶

Voici les sous-sections que vous allez explorer dans ce chapitre :

Nous allons nous concentrer sur les quatre premieres, qui couvrent 90 % des besoins courants.

Strategie de mot de passe¶

Chemin complet :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite
              └── Strategies de comptes
                    └── Strategie de mot de passe

Le mot de passe est la premiere ligne de defense de votre reseau. Un mot de passe faible, c'est comme une porte blindee avec la cle scotchee dessus. Ca ne sert strictement a rien.

C'est aussi le parametre de securite le plus visible pour les utilisateurs. Ils le subissent a chaque changement de mot de passe. Il est donc crucial de trouver le bon equilibre entre securite et utilisabilite.

Windows offre six parametres pour encadrer la politique de mot de passe. Les voici tous, avec les valeurs recommandees.

Les 6 parametres en detail¶

Pourquoi 14 caracteres ?¶

Le NIST (National Institute of Standards and Technology) et l'ANSSI recommandent desormais des mots de passe longs plutot que complexes. Un mot de passe de 8 caracteres, meme avec des symboles, peut etre casse en quelques heures par force brute. Un mot de passe de 14 caracteres, meme simple, resiste des annees.

L'analogie est celle d'un cadenas. Un cadenas a 4 chiffres offre 10 000 combinaisons. Un cadenas a 8 chiffres en offre 100 millions. La longueur bat la complexite.

Pourquoi une duree de vie minimale de 1 jour ?¶

Sans ce parametre, un utilisateur malin pourrait changer son mot de passe 24 fois de suite en 5 minutes pour epuiser l'historique, puis remettre son ancien mot de passe. La duree minimale de 1 jour oblige a attendre 24 jours avant de pouvoir recycler un mot de passe. C'est le garde-fou de l'historique.

Pourquoi 24 dans l'historique ?¶

Avec une expiration a 90 jours et un historique de 24 mots de passe, un utilisateur devra attendre 24 x 90 = 2 160 jours (presque 6 ans) avant de pouvoir reutiliser un ancien mot de passe. C'est largement suffisant.

Strategie de verrouillage de compte¶

Chemin complet :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite
              └── Strategies de comptes
                    └── Strategie de verrouillage du compte

Meme le meilleur mot de passe du monde ne resiste pas si un attaquant peut essayer un nombre illimite de combinaisons. La strategie de verrouillage coupe court aux tentatives de force brute en bloquant le compte apres un certain nombre d'echecs.

C'est exactement comme une carte bancaire : apres 3 codes PIN errones, la carte se bloque. Ce n'est pas pour vous embeter, c'est pour empecher un voleur de tester toutes les combinaisons.

Par defaut, Windows ne configure aucun verrouillage de compte. Le seuil est a 0, ce qui signifie qu'un attaquant peut tester autant de mots de passe qu'il le souhaite. C'est l'une des premieres choses a corriger.

Les 3 parametres¶

Comment ces parametres interagissent¶

Imaginons un scenario concret avec les valeurs recommandees :

1. Un utilisateur (ou un attaquant) tape 4 mauvais mots de passe. Le compteur est a ⅘.
2. Il attend 30 minutes sans rien faire. Le compteur revient a 0/5.
3. Il tape a nouveau un mauvais mot de passe. Le compteur passe a ⅕.
4. Il tape encore 4 mauvais mots de passe d'affilee. Le compteur atteint 5/5.
5. Le compte est verrouille pendant 30 minutes. Aucune connexion n'est possible, meme avec le bon mot de passe.
6. Apres 30 minutes, le compte se deverrouille automatiquement.

# Unlock a specific user account
Unlock-ADAccount -Identity "u.martin"

Strategie d'audit¶

Chemin complet :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite
              └── Strategies locales
                    └── Strategie d'audit

L'audit, c'est la camera de surveillance de votre systeme d'information. Sans audit, quand un incident se produit, vous n'avez aucune trace, aucun indice, aucun moyen de comprendre ce qui s'est passe. Avec un audit bien configure, vous pouvez remonter le fil des evenements et identifier la source du probleme.

Mais attention : trop d'audit, c'est comme installer 500 cameras dans un couloir. Vous avez tellement de donnees que vous ne trouvez plus rien. L'art de l'audit, c'est de capturer les bons evenements, pas tous les evenements.

Les categories d'audit¶

Windows propose 9 categories d'audit. Chacune peut etre configuree pour auditer les succes, les echecs, ou les deux.

Pourquoi ne pas tout auditer ?¶

Chaque evenement audite genere une entree dans le journal de securite. Sur un poste avec 50 utilisateurs qui accedent a des fichiers toute la journee, activer l'audit des succes sur l'acces aux objets peut generer des dizaines de milliers d'entrees par jour.

Les consequences sont concretes :

• Le journal de securite sature et les anciens evenements sont perdus (rotation automatique)
• Les performances du poste ou du serveur se degradent
• Quand vous cherchez un evenement specifique, c'est comme chercher une aiguille dans une meule de foin

Les evenements a connaitre par coeur¶

Quand vous consulterez les journaux de securite, certains numeros d'evenements reviendront constamment. Voici les incontournables :

Ces numeros sont les memes sur toutes les versions de Windows depuis Server 2008. Notez-les quelque part, ils vous serviront pendant toute votre carriere.

Droits utilisateur¶

Chemin complet :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite
              └── Strategies locales
                    └── Attribution des droits utilisateur

Les droits utilisateur definissent qui a le droit de faire quoi sur un poste ou un serveur. Ce ne sont pas des permissions sur des fichiers (ca, c'est le NTFS). Ce sont des privileges systeme : le droit de se connecter localement, le droit d'eteindre la machine, le droit d'acceder au poste depuis le reseau, etc.

Pensez-y comme les badges d'acces dans un immeuble de bureaux. Tout le monde a un badge pour entrer dans le hall (connexion reseau), mais seuls certains ont le badge pour la salle serveur (connexion locale au serveur).

Les droits les plus importants¶

Il existe une quarantaine de droits utilisateur. Voici ceux que vous configurerez le plus souvent :

Le piege des "Interdire"¶

Les droits "Interdire" sont toujours prioritaires sur les droits "Permettre". Si un utilisateur est membre d'un groupe qui a le droit de se connecter localement et d'un groupe qui se voit interdire la connexion locale, c'est l'interdiction qui gagne.

C'est le meme principe qu'un panneau "Interdit sauf riverains". L'interdiction s'applique d'abord, puis les exceptions.

Voici un scenario concret pour bien comprendre :

1. Le groupe Utilisateurs du domaine a le droit Permettre l'ouverture de session locale.
2. Vous creez un groupe GRP-NoLocalLogon avec le droit Interdire l'ouverture de session locale.
3. L'utilisateur Marie est membre des deux groupes.
4. Resultat : Marie ne peut pas se connecter localement. L'interdiction gagne.

C'est puissant, mais dangereux si on ne fait pas attention.

Comment modifier un droit utilisateur¶

Options de securite¶

Chemin complet :

Configuration ordinateur
  └── Parametres Windows
        └── Parametres de securite
              └── Strategies locales
                    └── Options de securite

Les options de securite regroupent une centaine de parametres divers qui ne rentrent dans aucune autre categorie. C'est un peu le tiroir fourre-tout de la securite Windows, mais il contient des pepites essentielles.

Voici les quatre options les plus importantes a configurer en priorite.

Renommer le compte administrateur¶

Parametre : Comptes : Renommer le compte administrateur

Par defaut, chaque machine Windows possede un compte local appele Administrateur (ou Administrator en anglais). C'est le premier compte que les attaquants visent, car ils connaissent deja le nom d'utilisateur. Il ne leur reste plus qu'a deviner le mot de passe.

En renommant ce compte, vous ajoutez une couche de difficulte. L'attaquant doit deviner a la fois le nom d'utilisateur et le mot de passe.

Message d'avertissement legal¶

Parametres :

• Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
• Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter

Ce parametre affiche un message avant l'ecran de connexion. En France, la CNIL recommande d'informer les utilisateurs que le systeme est surveille. Ce message a aussi une valeur juridique : il peut servir de preuve que l'utilisateur a ete averti de la charte informatique.

Exemple de message :

Titre : Avertissement
Contenu : Ce systeme est reserve aux utilisateurs autorises.
Toute utilisation non autorisee est interdite et peut
faire l'objet de poursuites. L'activite sur ce systeme
est susceptible d'etre enregistree et auditee.

Parametres UAC (Controle de compte d'utilisateur)¶

Plusieurs options de securite controlent le comportement de l'UAC :

• Controle de compte d'utilisateur : Comportement de l'invite d'elevation pour les administrateurs en mode d'approbation d'administrateur — Recommandation : Demander le consentement sur le bureau securise
• Controle de compte d'utilisateur : Comportement de l'invite d'elevation pour les utilisateurs standard — Recommandation : Refuser automatiquement les demandes d'elevation
• Controle de compte d'utilisateur : Executer les comptes d'administrateur en mode d'approbation d'administrateur — Recommandation : Active

Modele de partage et de securite pour les comptes locaux¶

Parametre : Acces reseau : modele de partage et de securite pour les comptes locaux

Ce parametre determine comment Windows traite les connexions reseau effectuees avec un compte local (pas un compte de domaine).

Deux options :

• Classique : les comptes locaux s'authentifient avec leurs propres identifiants. Les permissions NTFS et de partage s'appliquent normalement en fonction du compte utilise. C'est la valeur recommandee pour les environnements de domaine.
• Invite uniquement : tous les acces reseau avec un compte local sont traites comme l'utilisateur Invite, quel que soit le compte utilise. Cela signifie que les permissions specifiques a un compte local sont ignorees. C'est le mode par defaut sur les versions "familiales" de Windows.

Pour un poste en domaine, choisissez toujours Classique. Le mode "Invite uniquement" peut poser des problemes d'acces aux partages et compliquer le diagnostic des permissions.

Recapitulatif des options de securite prioritaires¶

Template : une GPO de securite minimale¶

Il est temps de mettre tout cela en pratique. On va creer une GPO de securite complete qui regroupe les recommandations de ce chapitre.

Vous avez maintenant toutes les connaissances theoriques. Passons a la pratique en creant une GPO complete qui regroupe les parametres de securite les plus importants.

Strategie de nommage¶

En suivant la convention du chapitre 05 :

• Nom : SEC-Postes-BaselineSecurite
• Type : SEC (securite)
• Cible : Postes (ordinateurs du domaine)
• Description : Baseline de securite pour tous les postes

gpupdate /force

Verification avec PowerShell¶

La configuration est terminee. Mais comment etre certain que tout fonctionne ? Ne vous fiez jamais a l'interface graphique seule. Verifiez avec des commandes qui interrogent directement le systeme.

Une fois la GPO appliquee, verifiez les parametres avec ces commandes.

Pour la strategie de mot de passe (configuree dans la Default Domain Policy) :

# Display the domain password policy
Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=labo,DC=local
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 5
MaxPasswordAge              : 90.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 14
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

Pour verifier quelles GPO sont appliquees sur un poste :

# Generate a detailed GPO report for the current machine
gpresult /r

Pour verifier les strategies d'audit actives :

auditpol /get /category:*

Categorie/Sous-categorie                      Parametre
Connexion de compte
  Validation des informations d'identification Succes et echec
Connexion/Deconnexion
  Ouverture de session                         Succes et echec
  Fermeture de session                         Succes
Gestion des comptes
  Gestion des comptes d'utilisateur            Succes et echec

Pour verifier le compte administrateur renomme :

# Check the name of the built-in administrator account (SID ending in -500)
Get-WmiObject Win32_UserAccount | Where-Object { $_.SID -like '*-500' } | Select-Object Name, SID

Les erreurs de securite courantes¶

Meme avec les meilleures intentions, certaines erreurs reviennent encore et encore. Voici les cinq plus frequentes et comment les eviter.

Chacune de ces erreurs semble anodine isolement. Mais combinees, elles creent un terrain de jeu ideal pour les attaquants. Voyons-les une par une.

Erreur n°1 : mot de passe trop court¶

Le probleme : la longueur minimale est laissee a 7 ou 8 caracteres (valeur par defaut historique).

La consequence : un mot de passe de 8 caracteres peut etre casse en quelques heures avec du materiel grand public. Les tables arc-en-ciel et les attaques par dictionnaire rendent les mots de passe courts extremement vulnerables.

La solution : passez a 14 caracteres minimum et encouragez les phrases de passe.

Erreur n°2 : aucune strategie de verrouillage¶

Le probleme : le seuil de verrouillage est laisse a 0 (= pas de verrouillage).

La consequence : un attaquant peut tester des millions de combinaisons sans jamais etre bloque. Les outils de force brute comme Hydra ou Medusa peuvent tester des centaines de mots de passe par seconde.

La solution : configurez un seuil de 5 tentatives avec un verrouillage de 30 minutes.

Erreur n°3 : tout auditer¶

Le probleme : toutes les categories d'audit sont activees en succes et en echec, y compris le suivi des processus et l'acces aux objets.

La consequence : le journal de securite se remplit en quelques heures. Les evenements importants sont noyes dans le bruit. Les anciens evenements sont effaces par rotation avant que quiconque les consulte. En cas d'incident, vous n'avez plus rien.

La solution : suivez les recommandations du tableau d'audit ci-dessus. Moins, c'est mieux. Un audit cible et lisible vaut mieux qu'un audit exhaustif et inexploitable.

Erreur n°4 : garder le nom par defaut du compte administrateur¶

Le probleme : le compte Administrateur (ou Administrator) garde son nom d'origine.

La consequence : les attaquants n'ont besoin de deviner que le mot de passe, pas le nom d'utilisateur. Les scripts d'attaque automatises ciblent systematiquement ce nom.

La solution : renommez le compte via les options de securite. Choisissez un nom neutre qui ne trahit pas son role (evitez Admin, Root ou SuperUser).

Erreur n°5 : desactiver l'UAC¶

Le probleme : l'UAC est desactive "parce que les popups sont agacantes".

La consequence : n'importe quel programme s'execute avec les privileges les plus eleves sans aucune confirmation. Un malware qui atterrit sur le poste a immediatement acces a tout : il peut modifier le systeme, desactiver l'antivirus, installer un keylogger, chiffrer les fichiers...

La solution : gardez l'UAC active. Configurez-le via GPO pour qu'il demande le consentement sur le bureau securise. Si une application legitime a besoin de privileges, ajoutez-la a la liste des exceptions ou ajustez les permissions NTFS.

Recapitulatif des erreurs¶

Tableau recapitulatif¶

Voici l'ensemble des parametres recommandes dans ce chapitre, regroupes dans un tableau de reference unique.

Strategies de comptes (Default Domain Policy)¶

Strategies locales (SEC-Postes-BaselineSecurite)¶

Quiz : les strategies de compte¶

La suite¶

Dans le chapitre 08, nous quitterons la securite pour quelque chose de plus visible : la personnalisation du bureau et du menu Demarrer. Vous apprendrez a imposer un fond d'ecran, verrouiller la barre des taches, configurer le menu Demarrer et deployer une page d'accueil pour le navigateur. C'est le chapitre prefere des administrateurs qui aiment que leurs postes aient une allure professionnelle et coherente.

Mais gardez en tete que la securite reste le socle. Un bureau joli sur un poste non securise, c'est une belle facade sur une maison sans serrure.

Les parametres que vous avez configures dans ce chapitre constituent le minimum vital. Dans un environnement reel, vous les completerez avec des mesures supplementaires : pare-feu Windows, AppLocker, BitLocker, Windows Defender... Mais chaque voyage commence par un premier pas, et ce chapitre est ce premier pas.