En entreprise, il n’est pas rare de définir des stratégies de sécurité, en obligeant par exemple à un utilisateur de définir son mot de passe selon une certaine stratégie (complexité, longueur minimum…) ou en imposant de verrouillage de compte (compte verrouillé après X mauvaises saisies de mots de passe)… bref, tout est paramétrable.

Malgré tout, entre les différents groupes à gérer, les différentes stratégies existantes, on a vite fait de s’emmêler les pinceaux. Pour s’assurer d’une parfaite stratégie de sécurité, voyons comment utiliser les modèles de sécurités, pour les appliquer à nos GPO. Tout d’abord, lançons une nouvelle console msc (Exécuter > mmc).

Utilisation d’un modèle de sécurité sous Windows Server 2012

À cette console, nous allons ajouter deux modules enfichables. Cliquez pour cela dans Fichier > Ajouter / Supprimer un composant logiciel enfichable…, puis ajoutez les modules Configuration et analyse de la sécurité et Modèles de sécurité. Cliquez sur OK.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Occupons-nous tout d’abord du noeud Modèles de sécurité. Déroulez-le, puis effectuez un clic droit sur le dossier Templates, puis sélectionnez Nouveau modèle. Nommez-le, puis cliquez sur OK.

Utilisation d’un modèle de sécurité sous Windows Server 2012
Déroulez-le comme bon vous semble en sélectionnant les noeuds dans le volet de gauche. À titre d’exemple, voici les réglages que j’ai effectués pour la rédaction de ce billet :

Stratégie de compte

  • Stratégie de mot de passe
    • Conserver l’historique des mots de passe : 10 mots de passe
    • Durée de vie maximale du mot de passe : 30 jours
    • Durée de vie minimale du mot de passe : 1 jour
    • Enregistrer les mots de passe en utilisant un chiffrement réversible : désactivé
    • Le mot de passe doit respecter des exigences de complexité : activé
    • Longueur minimale du mot de passe : 8 caractères
  • Stratégie déverrouillage du compte
    • Durée de verrouillage des comptes : 90 minutes
    • Réinitialiser le compteur de verrouillages des comptes après : 80 minutes
    • Seuil de verrouillage du compte : 3 tentatives
  • Stratégie Kerberos
    • Appliquer les restrictions pour l’ouverture de session : activé
    • Durée de vie maximale du ticket de service : 600 minutes
    • Durée de vie maximale du ticket utilisateur : 10 minutes
    • Durée de vie maximale pour le renouvellement d’un ticket utilisateur : 34 minutes
    • Tolérance maximale pour la synchronisation de l’horloge de l’ordinateur : 3 minutes

Utilisation d’un modèle de sécurité sous Windows Server 2012
Pour valider ces réglages, effectuez, dans le volet de gauche, un clic droit sur le nom de votre modèle, puis cliquez sur Enregistrer. Le modèle est enregistré dans un fichier .ini, dont le chemin complet est indiqué sur la ligne au-dessus de votre modèle (ici :C:\Users\Administrateur\Documents\Security\Templates). La prochaine étape consiste à appliquer ce modèle directement sur une GPO. Pour cela, ouvrez votre Gestionnaire de stratégies de groupes, puis ouvrez la GPO qui accueillera les réglages faits ci-dessus.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Déroulez ensuite Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité. Sur le noeud Paramètres de sécurité, effectuez un clic droit, puis sélectionnez Importer une stratégie. Comme vous l’aurez deviné, sélectionnez le fichier .ini du modèle créé précédemment, puis validez.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Magie, les paramètres créés précédemment sont automatiquement insérés.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Malgré tout, des demandes à gauche à droite peuvent faire que l’on modifie machinalement certaines valeurs directement depuis l’éditeur. Pour ce billet, je modifie certaines de ces valeurs importées :

Utilisation d’un modèle de sécurité sous Windows Server 2012

Ces données ne sont plus cohérentes avec celles du modèle (qui devrait donc être utilisé donc). Comment savoir si les paramètres utilisés sont donc cohérents avec ce modèle défini ? Pour cela, retournons dans la console mmc créée tout au début. Cette fois-ci , nous allons nous occuper du module Configuration et analyse de la sécurité.

Effectuez un clic droit dessus, puis sélectionnez Ouvrir une base de données. Entrez manuellement, et sans modifier l’extension, le nom du modèle créé, ici, Modèle administrateurs, puis cliquez sur Ouvrir.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Un fichier .inf apparaît, sélectionnez-le, et cliquer une nouvelle fois sur Ouvrir.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Nous allons à présent comparer le contenu du modèle avec ce qui est appliqué sur le poste. Pour cela, effectuez un clic droit sur le noeud Configuration et analyse de la sécurité, puis sélectionnez Analyser l’ordinateur maintenant.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Laissez par défaut le chemin entré dans la fenêtre suivante (ou modifiez-le si cela vous chante en fait), puis cliquez sur OK.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Observez le résultat : en déroulant les différents noeuds du volet de gauche, vous verrez rapidement quels paramètres appliqués sur le poste sont différents de ceux du modèle : une croix rouge indique une stratégie différente, alors qu’une flèche verte indique des paramètres identiques.

Le rapport indique quels sont les champs paramétrés dans le modèle et comparés à ceux appliqués sur la machine.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Ainsi, il est possible de mettre à jour les champs appliqués sur le poste par ceux du modèle, ci vous estimez qu’ils ne sont pas corrects. Pour cela, effectuez un clic droit sur le noeud Configuration et analyse de la sécurité, puis sélectionnez Configurer l’ordinateur maintenant.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Laissez à nouveau par défaut le chemin indiqué dans la nouvelle fenêtre, puis cliquez sur OK.

Utilisation d’un modèle de sécurité sous Windows Server 2012

Les paramètres de sécurité sont désormais à nouveau identiques à ceux de votre modèle.

Utilisation d’un modèle de sécurité sous Windows Server 2012