Ajouter cette page à votre livre
Retirer cette page de votre livre
Voir ou modifier le livre ( 
Aide
====== Guide de sécurité /référentiel WINDOWS ======
==== 1 - Lister les groupes crées nativement par l'AD, Expliquer les droits attribués à : Remote Desktop users ====
{{:securisation:ad1.png?400|}}
Le groupe Utilisateurs du Bureau à distance sur un serveur Serveur hôte de session Bureau à distance **permet d’octroyer aux utilisateurs et aux groupes l’autorisation de se connecter à distance** à un serveur Serveur hôte de session Bureau à distance.
<note tip>http://technet.microsoft.com/fr-fr/library/cc743161.aspx</note>
==== 2 - Après dcpromo, que devient le compte administrateur local du serveur dc ?====
Après le dcpromo le compte administrateur local du serveur est promu, et devient le compte **administrateur du domaine.**
==== 3 - Quels sont les problèmes fonctionnels liés au verrouillage de compte ?====
Si le compte se verrouille, il faut une opération humaine d'un opérateur, afin de déverrouiller le compte.
Ainsi la production peut être impacté, puisque l'utilisateur ne peut pas ouvrir sa session.
**Une stratégie de déverrouillage de compte au bout de 15 minutes, peut être mit en place, afin de palier à se problème.**
==== 4 - Comment s'effectue cette opération, en cas de de verrouillage, hors plage horaire du service informatique ? Que fait la commande gpupdate ? Pourquoi l'utiliser ?====
gpupdate permet d'actualiser la stratégie de groupe, cette commande peut être utilisée en cas de mise en production sans redémarrage des postes client, gpupdate /force permet de forcer cette actualisation.
gpupdate permet que les objets de stratégies de groupe configurés sur les contrôles de domaine soient appliqués.
Dans tout les cas, toute les 90 minutes la stratégie s'actualise
==== 5 - A quoi sert la commande rsop?====
RSop permet l'affichage des jeu de stratégies de groupes
L'outil en ligne de commande gpresult permet d'afficher le jeu de stratégies résultantes (RSoP). Les paramètres sont les suivants :
/S système: renseigne le système distant auquel se connecter
/U utilisateur: renseigne le contexte utilisateur sous lequel cette commande doit s'exécuter
/P mot _de_passe: renseigne le mot de passe pour le contexte utilisateur
/SCOPE étendue: précise si les paramètres de l'ordinateur doivent être affichés. "USER", "COMPUTER"
/USER utilisateur _cible: renseigne le nom d’utilisateur pour lequel les données RSoP sont affichées
/V: indique que les informations détaillées doivent être affichées
/Z: spécifie que les informations extrêmement détaillées doivent être affichées
**/R : affiche les données résumé**
==== 6 - Qu'est qu'un SID ? A quoi sert-il ?====
Au lieu d’utiliser des noms (non unique), le système d’exploitation Windows utilise des SID (Security Identifiers) pour identifier les entités effectuant des actions. Ce sont des identifiants uniques de sécurité alphanumériques assignés par un contrôleur de domaine qui identifient chaque système, utilisateur ou objet (groupe) dans un réseau ou sur une machine. Certains SID sont identiques sur tous les systèmes.
Windows autorise ou refuse des accès et des privilèges à des ressources en se basant sur des listes de contrôle d'accès.
SID a le format suivant : S-1-5-12–7623811015-3361044348-030300820-1013
<code=shell>
S - La chaîne de caractères est un SID.
1 - Le niveau de révision
5 - The identifier authority value.
12–7623811015-3361044348-030300820 - Identificateur de domaine ou d'ordinateur
1013 – Un identificateur relatif (RID : Relative ID)
</code>
Mandatory Integrity Control définit 4 SID qui correspondent chacun à un niveau de sécurité différent (bas, moyen, haut et système).
<note important>Ainsi, deux sid identiques apportent des problèmes authentification, l'outil sysprep permet la réinitialisation du sid </note>
==== 7 - Où sont stockés les mots de passes sur :====
** Un groupe de travail ** : Les mots de passe des comptes locaux de tous les utilisateurs sont stockés, sous forme chiffrée, dans une "ruche" de la Base de Registres, en l'occurrence le fichier SAM (Security Accounts Manager), et plus précisément la branche HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
** Un domaine ** : Les mots de passe des comptes de domaine ne sont plus stockés dans la base SAM
(%systemroot%\system32\config\SAM),
mais dans la base de données constituée par Active Directory
(%systemroot%\NTDS\ntds.dit).
<note tip>http://www.bellamyjc.fr/howto/pwdnt - {{:securisation:le_site_de_jcb.pdf|}}</note>
==== 8 - Qu'est qu'un HASH LM ?====
LM hash, ou LAN Manager hash est un des formats développés par Microsoft pour stocker les mots de passe utilisateur qui ont moins de 15 caractères dans LAN Manager et Windows.
Ce type de hash est l'unique type de chiffrement utilisé dans LAN Manager et les versions du système d'exploitation Windows jusqu'à Windows Millenium. Il est aussi supporté dans les versions de Windows plus récentes pour permettre une compatibilité descendante.
===Explication du principe de fonctionnement===
Le principe de fonctionnement est le suivant :
Le mot de passe est séparé en deux éléments de 7 caractères. Si le mot de passe a une longueur inférieure à 14 caractères il est complété par des caractères nuls. Le hash de chaque morceau est calculé séparément.
Les deux hashs concaténés forment le hash LM. Par ailleurs, le format LM ne gère pas la casse.
Le niveau de sécurité offert par le format LM est aujourd'hui considéré comme étant très bas : de nombreuses techniques permettent de cracker les hashs LM assez rapidement. Les plus courantes sont basées sur l'utilisation de tables arc-en-ciel ou encore sur des attaques par force brute.
Sur les dernières versions de Windows (XP, 2003, Vista, 2008 et 7), il est recommandé d'utiliser le format NT Lan Manager, plus performant que le format LM en termes de sécurité.
===Pourquoi Préférez le NTLM v2 au NTLM v1===
Ces faiblesses des protocoles "LanManager" et "NTML" font que, quelque soit la politique de sécurité de l'entreprise (sauf dans le cas où cette politique impose un mot de passe d'au moins 15 caractères, ce qui force alors Windows à ne plus utiliser "LanManager"), les mots de passes des comptes Windows ne seront pas sûrs et pourront être volés. Hors, pour des raisons de compatibilités, ces protocoles obsolètes sont toujours supportés par défaut sur Windows NT4, 2000, XP et 2003. Par exemple, un serveur Windows 2003 installé par défaut :
* accepte d'utiliser les protocoles d'authentifications "LanManager" et "NTMLv1" et stocke dans sa base de compte (Active Directory ou SAM) les empreintes "LM" des comptes (en plus des empreintes "NT").
Pour se protéger contre ces faiblesses, il est impératif de configurer les postes clients et les postes serveurs pour :
*refuser d'utiliser une authentification plus ancienne que "NTLM-V2" ne pas stocker les mots de passe chiffrés (dans la base SAM ou l'Active Directory) sous forme de hash "LM"
En effet, les mots de passe ne sont pas stockés en clair, ils sont transformés, par une fonction à sens unique afin de ne garder qu’un condensat (hash), ainsi dans les environnements ayant respecté les règles de bonnes configurations décrites en première partie de cet article (suppression de l'empreinte "LM" et interdiction des protocoles antérieurs à "NTLMv2"), le vol des mots de passe Windows pour un compte de domaine est à priori impossible, si les recommandations suivantes sont appliquées :
* Les mots de passe choisis par les utilisateurs sont complexes (pour résister à des attaques par dictionnaires- bruteforce)
* Ces mots de passe ne sont pas également utilisés dans des environnements moins protégés. Par exemple il n'est pas souhaitable d'utiliser pour son compte de domaine le même mot de passe que pour un compte local (un compte local est plus facile à voler car la compromission d'un poste utilisateur est très souvent beaucoup plus facile que la compromission d'un contrôleur de domaine) ou que le mot de passe de messagerie (qui est souvent enregistré sur le poste de travail).
<note tip>http://www.cert-ist.com/public/fr/SO_detail?code=password_windows - {{:securisation:computer_emergency_response_team_-_industrie_services_et_tertiaire.pdf|}}</note>
===Que penser de l'option "Send unencrypted password third party":===
Ce paramètre est important, il est **obligatoire de le désactiver**, sinon les mots de passe sont autorisés à passés en clair pour les serveurs qui ne prennent pas en charge le chiffrement des mot de passe, lors de l'authentification
{{:securisation:sstic2007-article-secrets_d_authentification_sous_windows-bordes.pdf|}}
==== 9 - Créer un répertoire sur le serveur ====
=== conditions de partage :===
LECTURE/ÉCRITURE pour les OPÉRATEURS
{{:securisation:partage2.png?400|}}
**constat : lecture possible et modification possible**
LECTURE pour les UTILISATEURS
{{:securisation:partage1.png?400|}}
**constat : lecture possible, modification non permise**
INTERDICTION pour les INVITES
{{:securisation:partage.png?400|}}
**constat : aucun accès possible**
===Habilitations NTFS et SMB ===
**NTFS**
Permet d'instaurer des permissions sur les fichiers et dossier
**SMB**
Permet d'instaurer des permissions de partage
** Cohabitation **
Permissions partage / locales
Règle :
ce sont les permissions les plus restrictives qui
s ’appliquent.
//Ex: Soit un répertoire partagé **Solaris**
Permissions au niveau du partage :
Tout le monde : Contrôle total
Permissions NTFS locales :
Olmèques : LIRE
Olmèques ne peut pas créer un fichier, il ne dispose que des droits de lecture//
===TP===
**ntfs :**
* tout refuser pour le groupe invités
* cocher les droits de lecture,exécution et affichage pour le groupe utilisateur
* rajouter les droits de modifications pour le groupe opérateurs
{{:securisation:ntfs.png?400|}}
**smb:**
* tout refuser pour le groupe invité
* Autoriser lecture pour le groupe utilisateurs
* Rajouter la modification pour le groupe opérateurs
{{:securisation:ntfs1.png?400|}}
** Par défaut, un groupe non précisé est denied par défaut, pour plus de sécurité je préfère positionnés le refus pour les comptes externe de l’organisation**
=== Ouverture du firewall en conséquence===
Une règle GPO peut être positionnés en stratégie ordinateurs
Cette règle ouvrira les ports nécessaire au partage
{{:securisation:fw.png?400|}}
==== 10 - Mise à jour ====
Afin de ne pas surcharger le réseaux, en faisant que chaque station de travail télécharge elle même les mise à jour windows.
Un serveur de mise à jour (WSUS) peut être en place, avantages :
* Centralisation des stratégies de mise à jour
* Économie de bande passante
* Approbation des mises à jours
<note tip>http://www.adminreseau.net/2009/09/07/installation-et-configuration-de-wsus-3-0-sp2/</note>
==== I - Sécurisation du BIOS ====
Désactivation de tous les boot sauf le disque système
Désactivation du boot menu
{{:securisation:bios_1.jpg?400|}}
Mot de passe d'administration sur BIOS
{{:securisation:bios.jpg?400|}}
==== II - GPO - Durcissement des comptes ====
- Stratégies de mot de passe des comptes administrateur :
vie maximale : 30 jours
longueur minimale : 36 caractères et qui n'expire jamais
- Stratégies de mot de passe des comptes utilisateurs :
vie maximale : 30 jours au lieu de 42
longueur minimale : 14 au lieu de 7 caractères
verrouillage : après 10 tentatives
conservation : 3
{{:securisation:gpo1.png|}}
<note>Editions ENI: Windows serveur 2008 page 52</note>
<note tip>http://www.ahmedmalek.com/web/fr/doc.asp?docid=1492&mcat=4&mrub=41&msrub=63</note>
==== III - GPO : log ====
L'audit permet de surveiller plusieurs types d'activités :
l’accès aux dossiers et les modifications des objets du service d’annuaire
surveiller les ouvertures de session des utilisateurs d'un domaine an auditant les connexions réussies et échouées
<note>MCTS 70-640- Configuration d'une infrastructure Active Directory - Page 392</note>
Mise en place :
{{:securisation:gpo2.png?400|}}
<note>http://www.ssi.gouv.fr/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf - page 40</note>
Il est nécessaire d'augmenter la taille des journaux d'événements :
{{:securisation:gpo4.png?400|}}
<note>http://www.ssi.gouv.fr/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf - page 12</note>
==== IV - GPO : serveurs ====
===Renommage des comptes administrateurs locaux===
{{:securisation:gpo5.png?400|}}
===Désactivation des comptes invités===
{{:securisation:gpo6.png?400|}}
===Désactivation des services inutiles===
assistance IP : A désactiver si vous n’utilisez pas le protocole IPv6.
enumérateur d'appareil mobile : Met en place une stratégie de groupe pour les périphériques de stockage de masse amovibles. Permet à des applications telles que le Lecteur Windows Media et l’Assistant Importation d’images de transférer et de synchroniser du contenu à l’aide de périphériques de stockage de masse amovibles
audio windows : inutile
spouleur d'impression : a désactiver si le serveur n'ai pas un serveur d'impression
client dhcp : si l'adresse IP su serveur est statique, ce service est inutile
windows update : permet de pas télécharger les mises a jours des serveurs individuellement, les mises à jours seront installées sur le serveur, par un serveur de mises à jours (WSUS)
{{:securisation:gpo7.png?400|}}
===Renforcer la sécurité réseaux :===
Le référentiel ci-dessous permet de renforcer la sécurité réseaux
<note>https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist</note>
Application :
{{:securisation:gpo8.png|}}
{{:securisation:gpo9.png?400|}}
===Activation le Pare-feu :===
création d'une règle pour l'utilisation du bureau à distance uniquement dans le réseaux local
{{:securisation:gpo11.png?400|}}
{{:securisation:gpo12.png?400|}}
{{:securisation:gpo10.png?400|}}
{{:securisation:gpo13.png?400|}}
<note warning>ATTENTION !! Ne pas mettre d'utilisateur ou d'ordianteurs comme dans l'exemple, placés les enregistrements AD dans des groupes de sécurité</note>
{{:securisation:gpo14.png?400|}}
===Affichage d'un d'avertissement au login===
{{:securisation:gpo16.png?400|}}
{{:securisation:gpo17.png?400|}}
==== V - Habilitations pour les membres du groupe opérateur ====
===Autorisation des connexions TSE sur les serveurs===
Attribution des enregistrements au groupes "Utilisateurs du bureau à distance"
{{:securisation:tse1.png?400|}}
{{:securisation:tse2.png?400|}}
Création d'une réglè gpo pour l'autorisation, puis l'ajout du groupe aux utilisateurs du bureau à distance
{{:securisation:tse3.png?400|}}
{{:securisation:tse4.png?400|}}
===Autorisation de l'arrêt des machines à distance===
Création d'une règle gpo pour l'autorisation de l'arrêt
{{:securisation:arret1.png?200|}}
{{:securisation:arret2.png|}}
===Autorisation l'ajout et la suppression des comptes et des des groupes présent dans l' OU UTILISATEURS===
Création d'une délégation de contrôle sur l'OU UTILISATEURS
{{:securisation:deleg1.png|}}
{{:securisation:deleg2.png?400|}}
===Réinitialiser les Mots de passe===
Idem, création d'une délégation de contrôle
{{:securisation:deleg3.png?400|}}
===Admin locaux des postes de travail===
Modifier la le groupe restreint, créer précédemment
{{:securisation:deleg4.png?400|}}
{{:securisation:deleg5.png?400|}}
==== VI - Power Users ====
===Cloisonnement : Créer un compte technique nominatif, membre du groupe "Domain Admin"===
Création d’un utilisateur (technique_1)
Association de cette utilisateur au groupe "Domain Admin"
{{:securisation:admin2.png?400|}}
===Désactivation du compte administrateur du domaine===
{{:securisation:admin1.png?200|}}
Une OU propre au compte administrateur peut être créé afin d'isoler les droits propres à l'OU UTILISATEURS,
Ainsi les opérateurs auront les droits de la délégation de contrôle créée précédemment, les enregistrement du l'OU TECH aura des droits propres
{{:securisation:admin4.png?400|}}
===Création d'une régle GPO qui positionnera notre utilisateur comme administrateur du domaine===
{{:securisation:admin3.png?400|}}
<note important>Cette gpo est importante car elle permettra aussi de supprimer les autres comptes, hors technique_1 </note>
==== VII - Habilitations pour les membres du groupe "UTILISATEURS"====
Afin d'affiner au mieux les stratégies utilisateurs, une gpo doit être créé et positionnée sur l'OU UTILISATEURS
===Supprimer l'invite de commandes===
{{:securisation:util1.png?400|}}
===Bloquer l’accès au panneau de configuration===
{{:securisation:util2.png?400|}}
===Bloquer la configuration réseaux===
{{:securisation:util3.png?400|}}
<note tip>http://technet.microsoft.com/fr-fr/library/cc732613%28v=ws.10%29.aspx</note>
===Désactivation de l'autorun CD/DVD===
{{:securisation:util4.png?400|}}
===Forcer l'écran de veille au bout de 5 minutes d'inactivité. Demander un mot de passe de sortie de veille===
{{:securisation:util5.png?400|}}
==== VIII - Habilitations pour les membres du groupe "INVITES" ====
===Configurer un proxy dans IE===
Considérons que l'entreprise dispose d'un proxy, dans notre cas nous utiliserons le proxy de l'université de Poitiers:
proxy-rectorat.ac-poitiers.fr port 3128
Création d'une règles gpo, pour plus de visibilité une règle sera créée par éléments a superviser
{{:securisation:proxy.png|}}
{{:securisation:proxy1.png?400|}}
===Bloquer la connexion des invités le week-end et en semaine de 18 h à 9 h===
Création d'un script qui modifiera les horaires d’accès, grâce a un export csv de l'OU
script :
<code=shell>
FOR /F "skip=1 tokens=1 delims=," %%i IN (invites.csv) DO (net user %%i /times:L-V,9:00AM-7:00PM;)
</code>
<note important>Exécuter le script en administrateur</note>
{{:securisation:hor3.png?200|}}
{{:securisation:hor2.png|}}
{{:securisation:hor1.png?400|}}
===Proposer une configuration restrictive du bureau et du menu Démarrer===
Cette solution n'est utilisable que pour les sessions invités, en effet elle est trop restrictive pour un utilisateurs dit "classique"
En Effet les gpos appliquées ne permettent une utilisation avancée du poste de tavail.
//Exemple de restrictions de postes de travail//
{{:securisation:menu.png?400|}}
Dans cette exemple, seul la calculatrice en autorisée
{{:securisation:menu3.png?400|}}
Le rapport ci-dessous décrit les différents actions apportés aux profils
{{:securisation:restriction.pdf|}}
===Mise en place des restrictions applicatives===
**Applocker**
Fonctionnalité de verrouillage d’application implémentée par Stratégies de Groupe
**Création de la GPO :**
La configuration d’Applocker se découpe en 3 parties :
* Le verrouillage des exécutables
* Le verrouillage des installations basées sur Windows Installer
* Le verrouillage de l’exécution de scripts
Il est nécessaire de créer un jeu de règles par défaut qui autoriseront certaines exécution.
** Ainsi tout ce qui n'est pas explicitement autorisé est refuser.**
{{:securisation:app.png|}}
==== IX - Expliquer les 4 types de règles disponibles dans les restrictions logicielles====
Les règles sont utilisées en conjonction du niveau de sécurité par défaut définit précédemment et elle s'applique suivant cette priorité
- Règles de Hachage
- Règles de Certificat
- Règles de Chemin d'Accès
- Règles de Zone Internet
** Règle de hachage ** :
autoriser au d'interdire l'accès aux fichiers au fichiers ayant un Hash définit. Le Hash est une formule mathématique s'appliquant sur le contenant d'un fichier pour générer un chiffre le plus unique possible pour identifier le fichier.
** Règle de certificat ** :
Les règles de certificats permettent de restreindre ou non l'accès à des fichiers suivants l'éditeur de ceux ci. Cela correspond au message que vous recevez quand vous tentez d'ouvrir un fichier directement depuis Internet, Internet Explorer vous indique l'éditeur de l'applicatif.
Avant tout, pour appliquer vos règles de certificats, il faut activer la gestion des certificats pour les application sur les postes de travail. Pour cela par exemple sur votre Gpo de restriction logicielle il faut activer se paramètre système local, vous devez vous rendre sur
- Configuration ordinateur>Paramètres Windows>Stratégies locales>Option de sécurité
Et activer le Paramètre système : utiliser règles de certificats avec les exécutables Windows pour les stratégies de restrictions logicielles
Si vous l'utilisez dans le cadre d'un environnement **non restreint** vous pouvez interdire certains programmes non autorisés mais le problème est que pour les virus vous ne pouvez compter sur la présence d'un certificats sur celui ci, l'utilisation de cette règle dans un cadre non restreints n'est vraiment pas utile.
En revanche dans un cadre de configuration **non autorisé** cette règle a toute son importance, car elle vous permet par exemple de vous décharger de toutes les définitions d'application autorisé. En effet vous pouvez parfaitement autoriser Microsoft comme éditeur pour vos applications mais aussi vous pouvez fournir des certificats aux différents développeurs de votre entreprise et ainsi ils signeront les différents exécutables qu'ils créerons. Ainsi, à la différence d'une règle de hachage, il sera moins nécessaire de mettre à jour vos restrictions logicielles vu que les nouvelle version des applications internes seront toujours autorisée car utilisant un certificat défini.
** Règle de chemin d’accès ** :
Pour continuer dans les différentes règles supplémentaire, abordons les règles les plus simple à mettre en place, les règles de chemins d'accès. En effet elles sont plus simple car il suffit juste d'implémenter vos chemins, mais attention si vous mettez des répertoires (par exemple c:\metier\) cette règle (Rejeté/restreint) s'applique au répertoire et à tout les sous répertoires inclus.
Il faut savoir que par défaut vous avez quatre règles de chemin d'accès qui sont implémentés :
Ces règles sont nécessaires pour le bons fonctionnement de votre système d'exploitation, modifiez les à vos risques et périls.
L'application de ces règles dans un environnement non restreints peux être utile pour bloquer l'exécution d'application pour l'utilisateur sur tous les répertoires où il a un accès en écriture (documents personnels, répertoire ouvert par une application) pour ainsi bloquer un trou de sécurité apparent.
L'application de ces règles dans un environnement Rejeté vous permet d'exécuter les script de connexion en indiquant le chemin vers le répertoire de script, d'exécuter des applicatifs métier qui sont installéw dans un répertoire désigné (c:\metier par exemple), de plus comme l'exécution dans program files est autorisée par défaut (voir plus haut) vous pouvez interdire comme dans un environnement non restreints, l'exécution dans le répertoire où l'utilisateur a des droits en écriture tout en indiquant que l'exécutable de l'application de ce répertoire est autorisé, mais dans ce cas particulier le couplage à une règle de hachage (ou encore certificat) serait plus intéressant (grâce au système de priorité).
** Règle de zone de réseau ** :
a dernière règle supplémentaire est la règle de zone Internet, la première chose qui vient à l'esprit est la possibilité de bloquer l'exécution de code venant d'Internet.
Le première chose à faire est de bien se rappeler qu'Internet Explorer est intégré à Windows donc toutes vos zones Internet (Internet, Intranet, Sites de confiance, sites sensibles et Ordinateur local) sont utilisés lors de tout vos accès réseau. Preuve en est que lorsque que vous activez la barre d'état dans votre explorateur vous voyez en bas à droite le nom d'une de vos zone internet.
Il faut savoir que ces zones Internet peuvent être configurées via les GPO aussi (ceci ne sera pas couvert par cet article) et que par défaut si elles ne le sont pas tous les accès réseaux seront considéré comme des accès Internet, ce qui risque de poser un problème si vous avez configuré des restrictions pour l'accès par exemple aux scripts de démarrage ainsi qu'à l'installation d'applications à distance
Ces zones Internet peuvent être configurées indépendamment du mode de restrictions car comme il n'y a que 5 zones Internet, vous pouvez facilement définir des restrictions de bases qui s'appliquent à chacune des possibilités à l'intérieur de votre infrastructure.
Pour intégrer une granularité supplémentaire vous pouvez positionner ces règles de zone Internet et ensuite ajouter des règles de plus grande priorité (voir plus haut) pour calquer le plus possible aux spécificités de votre infrastructure.
{{:securisation:logi.png|}}
<note tip>http://www.labo-microsoft.org/articles/win/strategie_restriction/1/</note>
===Quelles conditions doivent être remplies pour que les restrictions logicielles soient efficaces===
Valider le faite que l'utilisateur n'a pas de droit d'écriture sur programmes files
- Respecter l'ordre de priorité des règles de partage
- Positionnées la bonne option, par exemple pour l'antivirus, pensez qu'il faudrait mieux positionnés l’option "utilisateur standard", par que le scan s'effectue avec les droits administrateur, par exemple
===A quoi correspond les règles positionnés par défaut===
Elles permettent au système de ne pas se fonctionner correctement et de ne pas bloquer les utilisateurs par rapport au système, en effet l'option ** Non restreint ** est positionné
<note tip>http://msdn.microsoft.com/fr-fr/library/cc785321%28v=ws.10%29.aspx</note>
==== X - Quelles préconisations non techniques proposeriez vous en complément des guides de sécurisation LINUX et WINDOWS ?====
* Mise en place d'une politique d’accès au data center
* Communiquer sur les risques psychosociaux (fatigue, burn out,stress,...)
<note tip>{{:securisation:guide_chsct_-_secafi_-_prevention_des_rps_-_juillet2010.pdf|}}</note>
* Mettre en place des formations utilisateurs
* Élaborer une charte informatique cohérence
* Préciser des intitulés de missions et des fiches de postes clair, de façon à précisez les tâches de chacun
* Sensibiliser sur les mauvaises pratiques (post-it sur écran ou sous le clavier)
* Élaborer un PSSI
La politique de sécurité des systèmes d'information est un plan d'actions définies pour maintenir un certain niveau de sécurité.
La PSSI constitue le principal document de référence en matière de sécurité des systèmes d'information ( de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.
{{:securisation:pssi-v1.pdf|}}
* Création d'une Cellule de veille (sécurité, risques, technologique)
10 sites à suivre pour maintenir une veille sur la sécurité informatique
[[http://www.cyber-securite.fr/2010/12/28/les-10-sites-a-suivre-pour-une-veille-infosec/]]
A PCRE internal error occured. This might be caused by a faulty plugin
