Sécurité de base recommandée pour Windows Server 2003

Conseils en matière de
sécurité des TI
Sécurité de base
recommandée pour
Windows Server 2003
mars 2004
ITSG-20

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
Mars 2004

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Avant-propos
Le document Sécurité de base recommandée pour Windows Server 2003 est non classifié, et il
est publié avec l’autorisation du chef, Centre de la sécurité des télécommunications (CST).
Le CST s’est basé sur les documents Windows Server 2003 Security Guide et Threats and
Counter Measures: Security Settings in Windows Server 2003 and Windows XP de Microsoft,
comme ouvrages de référence.
Toute proposition ou modification peut être acheminée par la voie ministérielle habituelle au
Chef, Centre de contact avec la clièntele au CST.
Pour obtenir des copies supplémentaires ou faire modifier la liste de distribution, veuillez vous
adresser au au représentant des Services à la clientèle, CST, affecté à votre ministère.
Centre de contact avec la clièntele
cryptosvc@cse-cst.gc.ca
613-991-8495 (tel)
_______________________________________
Diane Keller
Directrice/I, Architecture et ingénierie
©2004 Gouvernement du Canada, Centre de la sécurité des télécommunications
Il est permis de faire des extraits de cette publication, pourvu que ces extraits servent à l’usage
des ministères du gouvernement du Canada. Pour utiliser ces extraits pour tout usage
commercial, on doit obtenir au préalable la permission écrite du CST.
Avant-propos Mars 2004 i

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
ii Mars 2004 Avant-propos

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
Avant-propos Mars 2004 iii

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Déni de responsabilité
Cet examen de produit a été préparé par le CST à l’intention du gouvernement fédéral. Cet
examen est officieux et de portée limitée. Il ne s’agit pas d’une évaluation exhaustive, et ne
constitue pas une homologation du produit par le CST. Son contenu reflète le meilleur jugement
du CST, compte tenu de l’information au moment de la préparation du rapport. Toute utilisation
de ce rapport par une tierce partie ou toute référence ou décision basée sur celui-ci est la seule
responsabilité de ladite partie. Le CST se dégage de toute responsabilité à l’égard des dommages
encourus par toute tierce partie à la suite de décisions ou d’actions prises sur la base du présent
rapport.
© 2004 Gouvernement du Canada, Centre de la sécurité des télécommunications (CST)
C.P. 9703, Terminus, Ottawa (Ontario), Canada, K1G 3Z4
Cette publication peut être reproduite telle quelle, dans son intégralité et sans frais, à des fins
éducatives et individuelles uniquement. Toutefois, pour utiliser le contenu du document sous
forme modifiée ou d’extrait ou pour tout usage commercial, on doit obtenir au préalable la
permission écrite du CST.
Déni de responsabilité Mars 2004 v

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
vi Mars 2004 Déni de responsabilité

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Registre des modificatifs
Modificatif n o Date Inséré par
Registre des modificatifs Mars 2004 vii

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
viii Mars 2004 Registre des modificatifs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Résumé
Ce guide décrit comment renforcer la sécurité d’un serveur Windows 2003. Le déploiement de
serveurs à sécurité renforcée est essentiel pour protéger les technologies de l’information (TI)
contre les diverses attaques possibles. Grâce à l’information présentée dans ce guide, les
administrateurs de système peuvent installer des modules permettant le déploiement de serveurs
à sécurité renforcée dans leurs environnements.
L’objet de ce guide est de présenter une configuration de base hautement sécurisée. Les
administrateurs de système peuvent ajouter des fonctionnalités, le cas échéant.
Pour aider les administrateurs de système à justement ajouter des fonctionnalités, nous
présentons deux configurations : un serveur d’impression et un serveur de fichiers.
Ce guide est basé sur l’ouvrage de référence Microsoft Windows Server 2003 Security Guide
(référence 1). Le guide de Microsoft a été analysé et testé au CST. Il en est résulté des
instructions détaillées sur les sujets suivants :
• Logiciels nécessaires
• Clés du Registre
• Paramètres de sécurité
• Sécurité du protocole Internet (IPSec)
Résumé Mars 2004 ix

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
x Mars 2004 Résumé

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Table des matières
Avant-propos.................................................................................................................. i
Déni de responsabilité .................................................................................................. v
Registre des modificatifs............................................................................................ vii
Résumé ......................................................................................................................... ix
Table des matières....................................................................................................... xi
Liste des tableaux ....................................................................................................... xv
Liste des figures........................................................................................................ xvii
Liste des abréviations et des acronymes ................................................................ xix
1 Introduction......................................................................................................... 1
1.1 Contexte .................................................................................................... 1
1.2 Objectif....................................................................................................... 1
1.3 Portée ........................................................................................................ 2
1.4 Approche ................................................................................................... 2
1.5 Tests fonctionnels et tests de sécurité....................................................... 2
1.6 Hypothèses................................................................................................ 2
1.7 Documents connexes ................................................................................ 2
1.8 Structure du document............................................................................... 2
1.9 Conventions typographiques ..................................................................... 3
1.10 Documents de référence............................................................................ 4
2 Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003
............................................................................................................................. 5
2.1 Comment utiliser ce document .................................................................. 5
2.1.1 Installation....................................................................................... 5
2.1.2 Configuration................................................................................... 6
2.1.3 Surveillance et application .............................................................. 6
2.2 Hypothèses et restrictions.......................................................................... 6
2.2.1 Installation....................................................................................... 6
2.2.2 Stratégie.......................................................................................... 6
2.2.3 Surveillance et application de la stratégie ....................................... 7
3 Installation automatisée..................................................................................... 9
3.1 Lancement de l’installation automatisée .................................................... 9
3.2 Fichier de configuration et d’installation d’un serveur de domaine............. 9
3.2.1 Winnt.sif (Domaine)....................................................................... 10
3.3 Fichier de configuration et d’installation du serveur du groupe de travail 27
3.3.1 Winnt.sif (Groupe de travail) ......................................................... 27
4 Fichiers de stratégie pour les serveurs.......................................................... 47
4.1 Application des fichiers de stratégie ........................................................ 47
4.1.1 Application de la stratégie dans un domaine................................. 47
4.1.2 Application des stratégies à un groupe de travail.......................... 48
Table des matières Mars 2004 xi

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.2 Détails sur les fichiers de stratégie de base pour les serveurs ................ 49
4.3 Stratégies des comptes ........................................................................... 49
4.3.1 Stratégie des mots de passe......................................................... 49
4.3.2 Stratégie de verrouillage des comptes .......................................... 51
4.3.3 Stratégie Kerberos ........................................................................ 51
4.4 Stratégies locales .................................................................................... 52
4.4.1 Stratégie d’audit ............................................................................ 52
4.4.2 Attribution des droits utilisateur ..................................................... 54
4.4.3 Options de sécurité ....................................................................... 62
4.5 Journaux des événements....................................................................... 76
4.5.1 Taille des journaux........................................................................ 77
4.5.2 Accès des invités .......................................................................... 77
4.5.3 Méthode de conservation.............................................................. 78
4.6 Services du système................................................................................ 78
4.6.1 Services explicitement couverts par le guide Microsoft................. 78
4.6.2 Services non expressément couverts dans le guide Microsoft.... 104
4.7 Paramètres de sécurité additionnels...................................................... 105
4.7.1 Paramètres de sécurité pour contrer les attaques réseau........... 105
4.7.2 Paramètres AFD.SYS ................................................................. 108
4.7.3 Autres paramètres touchant la sécurité....................................... 109
4.7.4 Activités manuelles ..................................................................... 111
4.7.5 Contrôles d’accès........................................................................ 113
4.7.6 Écarts par rapport aux directives Microsoft ................................. 119
5 Stratégies de serveurs basées sur les rôles................................................ 129
5.1 Stratégie IPSec basée sur les rôles....................................................... 129
5.1.1 Chargement de la stratégie IPSec .............................................. 129
5.1.2 Activation de la stratégie IPSec................................................... 129
5.2 Stratégie de sécurité pour les serveurs de fichiers de domaine............. 130
5.2.1 Écarts par rapport au guide Hardening File Servers de Microsoft
.................................................................................................... 130
5.2.2 [Service General Setting] ............................................................ 131
5.2.3 Stratégie IPSec pour le serveur de fichiers de domaine ............. 131
5.3 Stratégie pour les serveurs d’impression de domaine ........................... 133
5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft
.................................................................................................... 133
5.3.2 [Registry Values] ......................................................................... 134
5.3.3 [Service General Setting] ............................................................ 134
5.3.4 Stratégie IPSec pour le serveur d’impression de domaine.......... 134
5.4 Stratégie pour les serveurs de fichiers de groupe de travail .................. 136
5.4.1 Écarts par rapport aux directives Microsoft ................................. 136
5.4.2 [Registry Values] ......................................................................... 136
5.4.3 [Service General Setting] ............................................................ 137
5.4.4 Stratégie IPSec pour le serveur de fichiers du groupe de travail 137
5.5 Stratégie pour les serveurs d’impression de groupe de travail .............. 139
5.5.1 Écarts par rapport aux directives Microsoft ................................. 139
5.5.2 [Registry Values] ......................................................................... 139
xii Mars 2004 Table des matières

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
5.5.3 [Service General Setting] ............................................................ 139
5.5.4 Stratégie IPSec pour les serveurs d’impression de groupe de travail
.................................................................................................... 139
6 Conformité avec la stratégie des serveurs : Inspection et application ..... 143
6.1 Configuration de la console MMC.......................................................... 143
6.2 Chargement d’un fichier de stratégie et configuration de l’ordinateur .... 143
6.3 Comparaison de la stratégie résultante et des paramètres de l’ordinateur
............................................................................................................... 144
Bibliographie ............................................................................................................. 147
Annexe A.................................................................................................................... 149
Table des matières Mars 2004 xiii

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
xiv Mars 2004 Table des matières

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Liste des tableaux
Tableau 1 – Contrôles généraux d’accès aux fichiers................................................. 114
Tableau 2 – Contrôles d’accès généraux au Registre................................................. 117
Tableau 3 – Écarts avec les paramètres de base
pour un serveur membre Microsoft ...................................................................... 119
Tableau 4 – Écarts par rapport à la stratégie locale
des hôtes Bastion de Microsoft ............................................................................ 124
Liste des tableaux Mars 2004 xv

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
xvi Mars 2004 Liste des tableaux

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Liste des figures
Figure 1 – Exemple de structure d’Active Directory ........................................................ 9
Liste des figures Mars 2004 xvii

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
xviii July 2004 Liste des figures

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Liste des abréviations et des acronymes
.NET
AD
ADSI
API
ASCII
ASP
COM
DDE
FTP
Go
GUI
HTTP
HTTPS
IAS
ICF
ICMP
ICS
IIS
IMAPI
IP
IPSec
IPX
ISAPI
Ko
LAN
LM
Mo
MMC
MQDSS
MSMQ
MSN
NNTP
NTLM
Outils Microsoft pour l’environnement de développement
Annuaire Active Directory
Interface ADSI (Active Directory Service Interface)
Interface de programmation d’application (Application Program
Interface)
American Standard Code for Information Interchange
Fonction ASP (Active Server Pages)
Module COM (Component Object Module)
Échange dynamique de données (Dynamic Data Exchange)
Protocole de transferts de fichiers (File Transfer Protocol)
Giga-octet
Interface utilisateur graphique (Graphical User Interface)
Protocole de transfert hypertexte (HyperText Transfer Protocol)
Protocole de transfert hypertexte sécurisé (Secure HyperText
Transfer Protocol)
Service d’authentification Internet (Internet Authentication Service)
Pare-feu de connexion Internet (Internet Connection Firewall)
Protocole ICMP (Internet Control Message Protocol)
Partage de connexion Internet (Internet Connection Sharing)
Serveur d’information Internet (Internet Information Server)
Interface IMAPI (Image Mastering Application Programming
Interface)
Protocole Internet (Internet Protocol)
Sécurité du Protocole Internet (Internet Protocol Security)
Protocole IPX (Internetwork Packet Exchange)
API pour serveurs Internet (Internet Server API)
Kilo-octet
Réseau local (Local Area Network)
Gestionnaire de réseau local (LAN Manager)
Méga-octet
Console de gestion Microsoft (Microsoft Management Console)
Soutien du service des annuaires de file d’attente de messages
(Message Queue Directory Service Support)
File d’attente des messages Microsoft (Microsoft Message Queue)
Réseau Microsoft (Microsoft Network)
Protocole de distribution des nouvelles Usenet (Network News
Transfer Protocol)
Fournisseur de service de sécurité (Security Service Provider)
Liste des abréviations et des acronymes Mars 2004 xix

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
OSPF
Ouverture du chemin d’accès le plus court en priorité (Open
Shortest Path First)
POP3 Protocole POP3 (Post Office Protocol 3)
RAD
Développement accéléré d’application (Rapid Application
Development)
RADIUS
Service d’authentification des utilisateurs d’accès à distance
(Remote Authentication Dial-In Service)
RPC
Appel de procédure à distance (Remote Procedure Call)
SAM
Gestionnaire des comptes de sécurité (Security Accounts Manager)
SID
Identificateur de sécurité (Security Identifier)
SMB
Bloc de message serveur (Server Message Block)
SMTP
Protocole SMTP (Simple Mail Transfer Protocol)
SNMP
Protocole SNMP (Simple Network Management Protocol)
SYN-ACK Accusé de réception de synchronisation (Synchronization
Acknowledgement)
SYN-ATTACK L’attaquant envoie des demandes SYN à un objectif (victime).
L’objectif envoie un SYN ACK en réponse et attend le retour d’un
accusé de réception (ACK) pour terminer l’établissement de la
session.
TCP
Protocole TCP (Transmission Control Protocol)
UI
Interface utilisateur (User Interface)
RPV
Réseau privé virtuel
WHQL
Laboratoire de qualité du matériel Windows (Windows Hardware
Quality Lab)
WMI
Interface de gestion Windows (Windows Management Interface)
WMPOCM Lecteur Windows Media (Windows Media Player)
WPAD
Autodécouverte des proxy Web (Web Proxy Autodiscovery)
WWW
World Wide Web
xx Mars 2004 Liste des abréviations et des acronymes

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
1 Introduction
1.1 Contexte
Les agents de menace exploitent les vulnérabilités d’un système informatique soit pour en
obtenir la maîtrise, soit pour en perturber le fonctionnement. Les experts diffèrent d’avis quant à
la cause première des vulnérabilités informatiques. Certains estiment que les deux causes
principales sont l’exploitation des failles dans les logiciels et l’absence de configurations
sécurisées.
Pour contrer les failles dans leurs logiciels, les fournisseurs produisent des correctifs sous
diverses formes. Ces correctifs visent à régler les erreurs logicielles pour un système
d’exploitation ou une application en particulier. S’ils règlent des problèmes ponctuels, ces
correctifs peuvent néanmoins en créer d’autres. Outre les correctifs, les listes de contrôle
constituent des guides de configuration sécurisée et testée pour les utilisateurs d’ordinateur.
Par le passé, les organismes gouvernementaux 1 ont produit et diffusé des listes de contrôle pour
sécuriser les systèmes informatiques. Toutefois, la façon dont ces listes sont produites a changé.
Les fournisseurs constatent maintenant qu’ils ont avantage à produire des listes de contrôle et de
configuration pour leurs propres produits. Par conséquent, les organismes publics et privés
économisent temps et argent en profitant de ce travail complexe déjà réalisé par les fournisseurs.
1.2 Objectif
L’ITSG-20 offre un ensemble pratique de paramètres de sécurité pour Microsoft Windows
Server 2003 (version anglaise). L’objectif est d’établir et de maintenir un environnement haute
sécurité pour Windows Server 2003.
Cette plate-forme est offerte en deux variantes : le serveur de domaine et le serveur de groupe de
travail. Nous couvrons également deux applications : le serveur d’impression et le serveur de
fichiers. En d’autres mots, nous offrons quatre configurations, soit une pour chaque application
fonctionnant sur chaque plate-forme, comme suit :
1) Serveur de fichiers de domaine
2) Serveur d’impression de domaine
3) Serveur de fichier de groupe de travail
4) Serveur d’impression de groupe de travail
Les présentes directives constituent une configuration de base qui s’applique à tous les serveurs
d’un type donné, qu’il s’agisse d’un serveur de domaine ou d’un serveur de groupe de travail.
Comme la configuration de base assure la sécurité avant les fonctionnalités, on devrait l’utiliser
comme point de départ. Les stratégies des applications (serveur de fichiers et serveur
d’impression) se superposent à la configuration de base. Ainsi, nous offrons un modèle pour
créer des rôles additionnels de serveur basés sur la configuration de base du CST. Les stratégies
1 Notamment le National Institute of Standards and Technology (NIST), la National Security Agency (NSA), le
Center for Internet Security (CIS) et la SANS (SysAdmin, Audit, Network, Security).
Introduction Mars 2004 1

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
des applications, superposées à la configuration de base, permettent au serveur de fonctionner de
la manière prévue.
1.3 Portée
L’ITSG-20 présente des directives pour bâtir des serveurs de domaine haute sécurité et des
serveurs de groupe de travail haute sécurité. Des stratégies additionnelles peuvent être appliquées
afin de prendre en charge divers rôles au sein de votre organismes. Nous offrons deux stratégies
additionnelles de ce type : des directives pour le rôle « serveur de fichiers » et des directives pour
le rôle « serveur d’impression ».
1.4 Approche
Nous nous sommes abondamment basés sur deux documents de référence : Windows Server
2003 Security Guide et Threats and Counter Measures: Security Settings in Windows Server
2003 and Windows XP. Nous avons testé ces documents et y avons ajouté nos propres critères
dans un laboratoire du CST pour produire l’ITSG-20, que vous avez actuellement entre les
mains.
Dans la mesure du possible, une approche automatisée est utilisée dans tout ce document.
1.5 Tests fonctionnels et tests de sécurité
Nous avons vérifié la connectivité en accédant aux services offerts par les systèmes à sécurité
renforcée (partages d’impression de fichiers). Une fois la convivialité des systèmes établie, nous
avons soumis ces derniers à des tests de vulnérabilité et de pénétration. Les résultats de ces tests
ont influé sur la préparation du présent document.
1.6 Hypothèses
Nous supposons que le lecteur a une connaissance approfondie des fonctions de sécurité de
Windows Server 2003. L’ITSG-20 est un guide détaillé s’adressant aux administrateurs de
système.
Nous recommandons aux lecteurs de consulter les documents de référence indiqués à la
section 1.10. Ils seront ainsi en mesure de mieux comprendre l’ITSG-20.
1.7 Documents connexes
Veuillez consulter la section 1.10, en plus de la bibliographie en fin de document.
1.8 Structure du document
Le document est structuré comme suit :
1. Introduction
Cette section explique le document et son contenu.
2 Mars 2004 Introduction

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
2. Aperçu : Conseils en matière de sécurité des TI pour Windows Server 2003
Cette section résume l’approche utilisée dans ce document. Nous expliquons la méthode
employée pour « démarrer en toute sécurité et préserver la sécurité », comme suit :
a) installation;
b) configuration et contrôle;
c) application.
Cette section décrit également en détail les hypothèses et les restrictions utilisées pour les
étapes ci-dessus. Elle comporte une liste de documents de référence, ainsi qu’une description
des tests réalisés à l’égard de l’environnement informatique.
3. Installation automatisée
Cette section contient les paramètres permettant d’effectuer une installation sans surveillance
d’un serveur de domaine ou d’un serveur de groupe de travail. Une telle installation
automatisée assure l’uniformité des systèmes, avec un minimum de prologiciels.
4. Fichiers de stratégie pour les serveurs
Cette section indique les valeurs des paramètres pour les fichiers de stratégie, permettant de
créer un serveur sécurisé dans un environnement de domaine ou un environnement de groupe
de travail.
5. Stratégies pour les serveurs basées sur les rôles
Cette section contient les entrées des fichiers de stratégie utilisées pour modifier la
configuration de base. Ces entrées permettent à un serveur d’exécuter des activités désignées
de type gestion fichier ou impression, y compris la sécurité du protocole Internet (IPSec).
6. Conformité aux stratégies des serveurs : Inspection et application
Cette section décrit en détail une méthode permettant de surveiller et appliquer les stratégies
décrites dans le présent guide. Cette approche utilise les capacités inhérentes du système
d’exploitation Windows Server 20003.
7. Annexe A : Détails sur les fichiers de stratégie pour les serveurs
Cette section contient les fichiers de stratégie, avec commentaires et explications. Dans cette
section, nous expliquons les paramètres plus en détail. Nous indiquons également les
différences avec les recommandations de Microsoft.
1.9 Conventions typographiques
Les conventions typographiques suivantes sont utilisées dans le présent document :
1. Les caractères gras et italiques sont utilisés pour indiquer les paramètres et leurs
valeurs.
EXEMPLE : JoinDomain=”cse.local”
2. [Les crochets droits indiquent les en-têtes des sections de fichier].
EXEMPLE : [Identification]
Introduction Mars 2004 3

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
3. ”Les valeurs entre guillemets anglais doivent être entrées dans le fichier avec les
guillemets”.
EXEMPLE :
JoinDomain=”cse.local”
1.10 Documents de référence
[référence 1] Windows Server 2003 Security Guide
[référence 2] Threats and Counter Measures: Security Settings in Windows Server 2003 and
Windows XP
4 Mars 2004 Introduction

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
2 Aperçu : Conseils en matière de sécurité des TI pour
Windows Server 2003
Le présent guide contient des instructions détaillées pour établir une configuration de base
sécurisée pour Windows Server 2003. Des directives sont fournies pour les serveurs de groupe
de travail et les serveurs de domaine. Vous devriez utiliser la présente configuration de base
comme point de départ pour configurer d’autres services. Afin de vous faciliter la tâche, nous
présentons également les stratégies pour les services d’impression et de fichiers.
2.1 Comment utiliser ce document
Le déploiement d’un serveur sécurisé peut se faire en trois étapes : installation du système
d’exploitation (SE), application de la stratégie de sécurité, puis modifications additionnelles le
cas échéant.
Le guide débute d’abord par la configuration de base pour les serveurs de groupe de travail et de
domaine. L’information est présentée de manière similaire à ce qu’on retrouve dans le document
Windows Security Guide for 2003 Server, ce qui facilitera la consultation de ce guide. Les points
additionnels, qui sont en sus des recommandations de Microsoft, figurent dans une section
séparée.
Les stratégies pour les serveurs d’impression et de fichiers sont également présentées dans une
section distincte. Ces stratégies s’appliquent à la configuration de base du SE installé. Toutes les
modifications additionnelles sont contenues dans les sections traitant de la stratégie pour les
serveurs d’impression et de fichiers.
Les administrateurs de système peuvent remplacer les variables par leurs propres valeurs. Ces
paramètres permettent de personnaliser le module d’installation pour créer un serveur
d’impression ou de fichiers.
Pour appliquer la configuration de base et les stratégies propres à un rôle dans un domaine, on
doit créer les unités d’organisation de l’Active Directory.
Dans un environnement de groupe de travail, les stratégies doivent être appliquées
immédiatement au démarrage du système. Selon la stratégie, le compte d’administrateur intégré
est désactivé par défaut. Assurez-vous de créer un compte d’administrateur propre à votre
installation avant d’appliquer la stratégie.
Outre ces directives sur le déploiement des serveurs sécurisés, le guide contient une section de
maintenance à l’aide de la console MMC de Microsoft.
2.1.1 Installation
L’installation est automatisée grâce à l’utilisation d’un fichier réponse (voir l’annexe A). Ce
fichier réponse dirige le processus d’installation. On peut employer plusieurs approches pour
l’installation. Nous utilisons le fichier Winnt.sif.
Le processus d’installation de Windows lit les fichiers réponses à partir d’une disquette.
L’information locale (nom du système, paramètres TCP/IP, domaine/groupe de travail) est
fournie en fonction des exigences. Il est donc possible d’installer le serveur sans surveillance et
sans interaction avec l’opérateur.
Aperçu Mars 2004 5

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
2.1.2 Configuration
L’ITSG-20 s’appuie sur une approche en couches pour appliquer la stratégie de sécurité. La
première couche est la configuration de base du système d’exploitation. Cette couche vise à
assurer un profil de sécurité offrant une exposition minimale. Les exigences additionnelles en
matière de stratégie de sécurité sont déterminées d’après les rôles. Chaque fichier de stratégie
active des éléments spécifiques qui permettent au serveur d’exécuter une fonction unique
(p. ex., partage de fichiers, partage d’imprimantes, etc.). Pour construire des serveurs
multifonctions, il faut procéder à une analyse et à des tests additionnels.
L’environnement de domaine permet une approche en couches. À cette fin, les stratégies sont
appliquées au niveau du domaine et également au niveau de l’unité d’organisation (UO). Une
granularité plus fine peut être obtenue au sein d’un niveau, permettant ainsi de créer une matrice
des stratégies pour les serveurs et les environnements.
Dans l’environnement de groupe de travail, la stratégie est appliquée dans un ordre prescrit par
l’intermédiaire des fichiers de stratégie. Cette méthode assure un profil de sécurité uniforme et
cohérent pour les serveurs dans un tel environnement.
Comme les « fichiers de stratégie » ne sont en fait que des fichiers texte, vous pouvez les éditer
avec votre éditeur de texte favori. Vous pouvez également copier-coller les exemples de fichiers
de stratégie qui se trouvent à la fin du document.
2.1.3 Surveillance et application
Nous décrivons une méthode manuelle qui permet de vérifier la conformité de base. Cette
approche manuelle limite l’extensibilité de la solution. Dans un environnement de grande taille,
nous vous recommandons d’utiliser une méthode automatisée.
2.2 Hypothèses et restrictions
2.2.1 Installation
Pour installer le SE, veuillez vous assurer que :
a. le lecteur de CD-ROM est lu avant l’unité de disquette, au démarrage de l’ordinateur;
b. il n’y a pas de version précédente de Windows (sinon, l’installation fera une pause);
c. la première partition de disque disponible est réservée au système d’exploitation.
Nous faisons les hypothèses suivantes :
a. le serveur à installer n’est pas membre d’un cluster;
b. le domaine dispose d’une unité d’organisation pour les serveurs;
c. le domaine dispose d’une unité d’organisation pour les serveurs d’impression, sous Servers;
d. le domaine dispose d’une unité d’organisation pour les serveurs de fichiers, sous Servers;
e. l’installation est limitée au contenu de la distribution Microsoft Server 2003.
2.2.2 Stratégie
L’application de la stratégie a les effets suivants :
a. le compte d’invité local (Local Guest) est renommé et désactivé;
b. le compte d’administrateur local (Local Administrator) est renommé et désactivé;
6 Mars 2004 Aperçu

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
c. tous les systèmes sont de génération Windows 2000 ou ultérieure;
d. le système s’arrêtera s’il est incapable de journaliser les événements de sécurité;
e. on ne peut accéder de façon anonyme à aucun partage ni à aucun canal nommé;
f. on ne peut accéder à distance à aucune donnée du Registre;
g. aucun compte n’a le droit de soumettre des travaux par lots;
h. les comptes d’administrateur ne peuvent pas lancer des services (on doit utiliser un compte
SERVICE approprié);
i. la fonctionnalité Plug and Play est désactivée par défaut et activée au besoin;
j. le protocole SNMP est désactivé.
2.2.3 Surveillance et application de la stratégie
Aucune autre hypothèse additionnelle n’est requise pour la surveillance et l’application de la
stratégie.
Aperçu Mars 2004 7

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Page laissée intentionnellement en blanc.
8 Mars 2004 Aperçu

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
3 Installation automatisée
Cette section décrit en détail le contenu des fichiers Winnt.sif. Ces fichiers servent à installer
Windows Server 2003 dans un environnement de domaine ou de groupe de travail. Dans les deux
cas, utilisez les valeurs opérationnelles locales. Les fichiers bruts (c’est-à-dire sans les
commentaires) figurent à l’annexe A.
REMARQUE : Vous devez installer dans votre système les plus récents service packs et les
correctifs logiciels (hot fix). De la sorte, la sécurité de votre système sera
actualisée.
3.1 Lancement de l’installation automatisée
L’installation automatisée se fait avec CD-ROM et disquette, et un fichier Winnt.sif. Pendant le
processus de démarrage, le système détermine si la disquette contient un fichier Winnt.sif. Si ce
fichier est présent, le processus utilisera les paramètres du fichier pour configurer le système.
3.2 Fichier de configuration et d’installation d’un serveur de
domaine
Dans l’arbre Active Directory, la version domaine requiert qu’une unité d’organisation (UO)
« serveurs d’impression » et « serveurs de fichiers » fasse partie de l’UO « serveurs publics »
(voir ci-dessous). Ces trois unités d’organisation sont des espaces réservés pour les stratégies qui
s’appliquent au niveau UO, dans l’arbre d’information de l’annuaire.
Nom de
domaine
domaine.local
Unité
d’organisation
Systèmes
utilisateur
Serveurs
publics
Unité
d’organisation
Serveurs de
fichiers
Serveurs
d’impression
Serveurs
Serveur de
fichiers 1
Serveur de
fichiers 2
Figure 1 – Exemple de structure d’Active Directory
Installation automatisée Mars 2004 9

Non classifié ITSG pour Windows Server 2003
3.2.1 Winnt.sif (Domaine)
3.2.1.1 [Data]
AutoPartition=1
Le paramètre AutoPartition indique l’emplacement où le système d’exploitation Windows est
installé. Avec la valeur « 1 », le système d’exploitation est installé dans la première partition
disponible qui a suffisamment d’espace. Si un système d’exploitation est déjà installé, la
procédure d’installation cessera et attendra d’autres instructions.
MsDosInitiated=0
Le paramètre MsDosInitiated doit être présent et être fixé à « zéro », sinon l’installation
automatisée échouera.
UnattendedInstall=Yes
Avec la valeur « YES », la valeur UnattendedInstall permet la préinstallation de Windows à
l’aide de la méthode de démarrage par CD-ROM.
3.2.1.2 [GuiUnattended]
AdminPassword="A_Str0ng_p@SSw0rd"
Le paramètre AdminPassword définit le mot de passe de l’administrateur local pour le système
en cours d’installation.
REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des
administrateurs.
EncryptedAdminPassword=No
Le paramètre EncryptedAdminPassword détermine si la procédure d’installation chiffre le mot
de passe de l’administrateur. Avec la valeur « Non », le mot de passe n’est pas chiffré. Vous
pouvez activer cette fonction à l’aide de l’outil setupmgr.exe fourni sur le support de distribution
Windows.
OEMSkipWelcome=1
Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage.
Avec la valeur « 1 », cette page n’est pas affichée.
10 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
OEMSkipRegional=1
Le paramètre OEMSkipRegional détermine si la procédure d’installation affichera la page des
paramètres régionaux. Avec la valeur « 1 », cette page n’est pas affichée.
TimeZone=035
Le paramètre TimeZone règle l’horloge du système selon le fuseau horaire local.
004 – Heure normale du Pacifique
010 – Heure normale des Rocheuses
020 – Heure normale des Prairies
025 – Heure normale du Centre (Saskatchewan)
035 – Heure normale de l’Est
050 – Heure normal de l’Atlantique
060 – Heure normale de Terre-Neuve et du Labrador
AutoLogon=No
Le paramètre Autologon détermine si le compte de l’administrateur ouvrira automatiquement
une session, jusqu’à ce que le système soit redémarré. Le paramètre « No » désactive la fonction
AutoLogon (ouverture de session automatique). La valeur AutoLogonCount peut accroître le
nombre de redémarrages requis pour désactiver la fonction AutoLogon.
3.2.1.3 [Identification]
DomainAdmin=administrator
Le paramètre DomainAdmin lance l’installation avec un compte de domaine privilégié.
L’administrateur de domaine (DomainAdmin) peut ajouter le système au domaine.
DomainAdminPassword=" A_Str0ng_p@SSW0RD "
Le paramètre DomainAdminPassword est le mot de passe requis pour le compte DomainAdmin.
REMARQUE : Entrez une valeur locale.
JoinDomain="Department_Name.local"
Le paramètre JoinDomain est le nom du domaine auquel le système se joindra.
REMARQUE : Le nom du domaine local est requis.
Installation automatisée Mars 2004 11

Non classifié ITSG pour Windows Server 2003
MachineObjectOU="OU=File Servers, OU=Public Servers, DC=Department_Name,
DC=local"
Le paramètre MachineObjectOU définit l’unité d’organisation du système dans le domaine.
REMARQUE : Entrez des valeurs de domaine locales.
3.2.1.4 [LicenseFilePrintData]
AutoMode=PerServer
Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer.
REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour
AutoUsers.
AutoUsers=5
Le paramètre AutoUsers détermine le nombre d’utilisateurs concurrents pris en charge par la
licence du type PerServer.
REMARQUE : Vous devez entrer une valeur locale qui reflète la licence achetée pour le
système.
3.2.1.5 [Unattended]
OemPreinstall=No
Le paramètre OEMPreinstall détermine s’il y a des fichiers OEM à installer. La valeur « No »
indique que tous les fichiers se trouvent dans la distribution Windows.
UattendedSwitch=Yes
Le paramètre UnattendedSwitch indique si le module d’installation omet la page de bienvenue
Windows. Avec la valeur « Yes », la page de bienvenue Windows est omise.
Repartition=No
Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier
lecteur. Avec la valeur « No », toutes les partitions sont conservées sur le premier lecteur.
TargetPath=Windows
12 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Le paramètre TargetPath définit l’emplacement du système d’exploitation. Avec la valeur
« Windows », les fichiers du système d’exploitation sont placés dans un dossier Windows.
UnattendedMode=FullUnattended
Le paramètre UnattendedMode détermine le niveau d’interaction humaine avec la procédure
d’installation. Avec la valeur « FullUnattended », il n’y a pas d’interaction humaine.
WaitForReboot=No
Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une
possibilité d’interaction humaine. Avec la valeur « No », le système redémarre immédiatement.
OemSkipEula=Yes
Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en
anglais) est présenté pendant l’installation. Avec la valeur « Yes », le CLUF n’est pas affiché.
FileSystem=ConvertNTFS
Le paramètre FileSystem détermine le type du système de fichiers pour l’installation. Avec la
valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS.
3.2.1.6 [UserData]
ComputerName=FileServer01
Le paramètre ComputerName fixe la valeur ComputerName dans le Registre.
REMARQUE : Entrez une valeur locale.
FullName="System_Admin"
Le paramètre FullName fixe la valeur RegisteredOwner dans le Registre.
REMARQUE : Entrez une valeur locale.
OrgName="Department_Name"
Le paramètre OrgName fixe la valeur RegisteredOrganisation dans le Registre.
REMARQUE : Entrez une valeur locale.
Installation automatisée Mars 2004 13

Non classifié ITSG pour Windows Server 2003
ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"
Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows Server
2003 qui sera installée.
REMARQUE : Entrez une valeur locale.
3.2.1.7 [params.MS_TCPIP.Adapter01]
SpecificTo=Adapter01
Le paramètre SpecificTo indique l’adaptateur réseau qui sera configuré. Le paramètre
« Adapter01 » s’applique au premier adaptateur réseau identifié.
DisableDynamicUpdate=No
Le paramètre DisableDynamicUpdate détermine si le système enregistrera dynamiquement les
enregistrements « A » et « PTR ». Avec la valeur « No », les enregistrements « A » et « PTR »
sont dynamiquement enregistrés avec le DNS.
EnableAdapterDomainNameregistration=No
Le paramètre EnableAdapterDomainNameregistration détermine si les enregistrements DNS
propres à une connexion seront enregistrés. Avec la valeur « No », les enregistrements DNS
propres à une connexion ne sont pas enregistrés.
DefaultGateway=xxx.xxx.xxx.xxx
Le paramètre DefaultGateway fixe la valeur de la passerelle par défaut TCP/IP pour l’adaptateur.
REMARQUE : Entrez une valeur locale.
DHCP=Yes
Le paramètre DHCP détermine si l’adaptateur demandera une adresse TCP/IP, à l’aide du
protocole DHCP. Avec la valeur « Yes », une adresse TCP/IP sera demandée.
DNSDomain=Department_Name.local
Le paramètre DNSDomain indique le nom du domaine sous lequel le système est entré.
REMARQUE : Entrez une valeur locale.
14 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
NetBIOSOptions=1
Le paramètre NetBIOSOptions détermine le paramètre NetBIOS sur TCP/IP. Le paramètre « 1 »
active le NetBIOS sur TCP/IP.
Subnetmask=xxx.xxx.xxx.xxx
Le paramètre Subnetmask indique l’adresse du masque du sous-réseau.
REMARQUE : Entrez une valeur locale.
3.2.1.8 [NetOptionalComponents]
DHCPServer=0
Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur
« 0 », le serveur DHCP n’est pas installé.
DNS=0
Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur « 0 », le
serveur DNS n’est pas installé.
IAS=0
Le paramètre IAS détermine si le système installera le service d’authentification d’Internet (IAS
pour Internet Authentication Service). Avec la valeur « 0 », le service d’authentification Internet
n’est pas installé.
ILS=0
Le paramètre ILS détermine si le programme d’installation installera les services qui prennent en
charge les fonctions de téléphonie (identification de l’appelant, conférences téléphoniques,
vidéoconférences, télécopie, etc.). Avec la valeur « 0 », le service ILS (Internet Locator Service)
n’est pas installé.
LDPSVC=0
Le paramètre LPDSVC détermine si le système installera les services d’impression UNIX. Avec
la valeur « 0 », les services d’impression UNIX ne sont pas installés.
Installation automatisée Mars 2004 15

Non classifié ITSG pour Windows Server 2003
MacPrint=0
Le paramètre MacPrint détermine si le système installera les services d’impression Macintosh.
Avec la valeur « 0 », les services d’impression Macintosh ne sont pas installés.
MacSrv=0
Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec
la valeur « 0 », les services de fichiers Macintosh ne sont pas installés.
Netcm=0
Le paramètre Netcm détermine si le système installera le Kit d’administration du Microsoft
Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur « 0 », ce
service n’est pas installé.
NetMonTools=0
Le paramètre NetMon Tools détermine si le système installera les outils de surveillance réseau.
Avec la valeur « 0 », les outils de surveillance réseau ne sont pas installés.
SimpTcp=0
Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP
simples. Avec la valeur « 0 », ces suites de protocoles ne sont pas installées.
SNMP=0
Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur « 0 »,
ce protocole n’est pas installé.
WINS=0
Le paramètre WINS détermine si le système installera le service de nom Internet Windows
(WINS). Avec la valeur « 0 », le service WINS n’est pas installé.
3.2.1.9 [Components]
AccessOpt=On
Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur « On »,
l’assistant d’accessibilité sera installé.
16 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
appsrv_console=Off
Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur
« Off », la console de serveur d’applications (Application Server Console) n’est pas installée.
aspnet=Off
Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur « Off », la plate-forme
de développement ASP .NET n’est pas installée.
AutoUpdate=Off
Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur « Off », le
service AutoUpdate (mise à jour automatique) n’est pas installé.
BitsServerExtensionsISAPI=Off
Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le
Registre. Avec la valeur « Off », l’interface ISAPI pour les extensions de serveur BITS n’est pas
installée.
BitsServerExtensionManager=Off
Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le
Registre. Avec la valeur « Off », le module MMC, les API administratives et les extensions
ADSI pour BITS ne sont pas installés.
Calc=On
Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur « Off », la fonction de
calculatrice n’est pas installée.
certsrv=On
Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur « On », les
composantes Certificate Services (Services de certificats) sont installées.
certsrv_client=Off
Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur « Off »,
les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut
qu’une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le
Installation automatisée Mars 2004 17

Non classifié ITSG pour Windows Server 2003
système informatique qui héberge l’autorité de certification soit défini avec le paramètre
CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web.
certsrv_server=Off
Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur
« Off », les services de serveur de certificat ne sont pas installés. Cette valeur doit être activée
seulement pour les systèmes que l’on entend utiliser pour offrir un service d’autorité de
certification.
charmap=On
Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur « On », la fonction
Character Map (mappage de caractères) est installée.
chat=Off
Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur « Off », le programme de
clavardage (Chat) n’est pas installé.
Clipbook=Off
Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur « Off », l’album
Clipbook n’est pas installé.
cluster=Off
Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur « Off », le logiciel de
cluster n’est pas installé.
complusnetwork=On
Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur
« On », l’accès Com+ réseau est activé.
deskpaper=Off
Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur « Off », une
image de fond n’est pas installée sur le poste de travail.
18 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
dialer=Off
Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur « Off », le composeur
téléphonique n’est pas installé.
dtcnetwork=Off
Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur « Off »,
l’accès réseau DTC n’est pas activé. DTC signifie Distributed Transaction Coordinator
(coordonnateur de transactions distribuées).
fax=Off
Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur « Off », la fonctionnalité de
télécopie n’est pas installée.
fp_extensions=Off
Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur « Off »,
les extensions du serveur FrontPage ne sont pas installées.
fp_vdir_deploy=Off
Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur
« Off », le soutien de déploiement à distance RAD Visual InterDev n’est pas installé.
freecell=Off
Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur « Off », le jeu
Freecell n’est pas installé.
hearts=Off
Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur « Off », le jeu Hearts
n’est pas installé.
hypertrm=Off
Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur « Off », la
fonction Hyperterminal n’est pas installée.
Installation automatisée Mars 2004 19

Non classifié ITSG pour Windows Server 2003
IEAccess=Off
Le paramètre IEAccess détermine si les points d’accès d’Internet Explorer sont visibles. Avec la
valeur « Off », ces points ne sont pas visibles.
iis_asp=Off
Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur « Off », la
fonctionnalité Active Server Pages (pages de serveur actif) n’est pas installée.
iis_common=Off
Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur « Off »,
l’ensemble commun de fichiers requis par l’IIS n’est pas installé.
iis_ftp=Off
Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur « Off », le service FTP
n’est pas installé.
iis_inetmgr=Off
Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur « Off », les
outils d’administration basés sur la console MMC pour IIS ne sont pas installés.
iis_internetdataconnector=Off
Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre.
Avec la valeur « Off », la fonction Internet Data Connector (connecteur de données Internet)
n’est pas installée.
iis_nntp=Off
Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur « Off », le service
NNTP n’est pas installé.
iis_serversidesincludes=Off
Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec
la valeur « Off », la fonction Server Side Includes (fichiers inclus côté serveur) n’est pas
installée.
20 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
iis_smpt=Off
Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur « Off », le service
SMTP n’est pas installé.
iis_webadmin=Off
Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur « Off »,
l’interface utilisateur Web pour l’administration des serveurs Web (Remote Administration
Tools) n’est pas installée.
iis_webdav=Off
Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur « Off », la
fonction de publication WebDAV n’est pas installée.
iis_www=Off
Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur « Off », le service
WWW n’est pas installé.
iis_www_vdir_scripts=Off
Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec
la valeur « Off », le répertoire de scripts facultatif n’est pas créé sur le site Web par défaut.
indexsrv_system=Off
Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur
« Off », le service d’indexation (Indexing Service) n’est pas installé.
inetprint=Off
Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur « Off », la
fonction d’impression Internet n’est pas installée.
licenseserver=Off
Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur « Off »,
la licence Terminal Service n’est pas activée.
Installation automatisée Mars 2004 21

Non classifié ITSG pour Windows Server 2003
media_clips=Off
Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur « Off », les
échantillons de son ne sont pas installés.
media_utopia=Off
Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur « Off »,
le schéma de son Utopia n’est pas installé.
minesweeper=Off
Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur « Off »,
le jeu Minesweeper n’est pas installé.
mousepoint=On
Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur « On », tous
les pointeurs de souris disponibles sont installés.
msmq_ADIntegrated=Off
Le paramètre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la
valeur « Off », le MSMQ n’est pas intégré avec l’Active Directory.
msmq_Core=Off
Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur « Off », les
composantes Message Queuing ne sont pas installées.
msmq_HTTPSupport=Off
Le paramètre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la
valeur « Off », l’émission et la réception des messages utilisant le protocole HTTP sont
désactivées.
msmq_LocalStorage=Off
Le paramètre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la
valeur « Off », les messages ne sont pas enregistrés localement.
msmq_MQDSSService=Off
22 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Le paramètre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre.
Avec la valeur « Off », l’accès à l’Active Directory et la reconnaissance du site sont restreints
pour les clients en aval.
msmq_RoutingSupport=Off
Le paramètre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre.
Avec la valeur « Off », le système n’assure pas de routage efficient.
msmq_TriggerService=Off
Le paramètre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec
la valeur « Off », l’arrivée des messages entrants dans une file d’attente est dissociée de la
fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour
un programme exécutable autonome.
msnexplr=Off
Le paramètre msnexplr fixe la valeur msnexpire dans le Registre. Avec la valeur « Off »,
l’Explorateur MSN n’est pas installé.
mswordpad=On
Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur « On », la
fonction mswordpad est installée.
netcis=Off
Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur « Off », les services
Internet COM Microsoft ne sont pas installés.
netoc=Off
Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur « Off », les composantes
réseau facultatives ne sont pas installées.
objectpkg=Off
Le paramètre objectpkg détermine si le programme Object Packager est installé. Avec la valeur
« Off », le programme Object Packager n’est pas installé.
Installation automatisée Mars 2004 23

Non classifié ITSG pour Windows Server 2003
OEAccess=Off
Le paramètre OEAccess détermine si les points d’entrée visibles pour Outlook Express sont
installés. Avec la valeur « Off », les points d’entrée visibles pour Outlook Express ne sont pas
installés.
paint=Off
Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur « Off », Microsoft Paint
n’est pas installé.
pinball=Off
Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur « Off », le jeu Pinball
n’est pas installé.
Pop3Admin=Off
Le paramètre Pop3Admin indique si l’interface utilisateur Web facultative pour les outils
d’administration à distance est installée. Avec la valeur « Off », cette interface facultative n’est
pas installée.
Pop3Service=Off
Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur
« Off », le service POP3 principal n’est pas installé.
Pop3Srv=Off
Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur
« Off », cette composante n’est pas installée.
rec=Off
Le paramètre rec détermine si l’enregistreur de son est installé. Avec la valeur « Off »,
l’enregistreur de son n’est pas installé.
reminst=Off
Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur « Off », le service
d’installation à distance n’est pas installé.
24 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
rootautoupdate=Off
Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur
« Off », les certificats racines de mise à jour OMC sont désactivés. Si l’utilisateur se voit
présenter un certificat émis par une autorité racine non fiable, les actions qui requièrent
l’authentification sont interdites.
rstorage=Off
Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur « Off », la fonction
de stockage à distance n’est pas installée.
solitaire=Off
Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur « Off », le jeu
Solitaire n’est pas installé.
spider=Off
Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur « Off », le jeu Spider
n’est pas installé.
templates=Off
Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur « Off », les
modèles de documents ne sont pas installés.
TerminalServer=On
Le paramètre TerminalServer détermine si le serveur de terminal est installé. Avec la valeur
« On », ce service est installé.
TSWebClient=Off
Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du
client Terminal Services sur le Web est installé. Avec la valeur « Off », le contrôle ActiveX n’est
pas installé.
vol=Off
Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur « Off », le contrôle de
volume n’est pas installé.
Installation automatisée Mars 2004 25

Non classifié ITSG pour Windows Server 2003
WBEMSNMP=Off
Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur
« Off », le fournisseur SNMP WMI n’est pas installé.
WMAccess=Off
Le paramètre WMAccess détermine si les points d’entrée visibles pour Windows Manager sont
installés. Avec la valeur « Off », les points d’entrée visibles pour Windows Manager ne sont pas
installés.
WMPOCM=Off
Le paramètre WMPOCM détermine si les points d’entrée visibles pour le lecteur Windows
Media sont installés. Avec la valeur « Off », les points d’entrée visibles pour le lecteur Windows
Media ne sont pas installés.
wms=Off
Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur « Off », les principales
composantes du serveur Windows Media (Windows Media Server) ne sont pas installées.
wms_admin_asp=Off
Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur
« Off », les composantes administratives basées sur le Web pour les services Windows Media
(Windows Media Services) ne sont pas installées.
wms_admin_mmc=Off
Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la
valeur « Off », les composantes administratives basées sur la console MMC pour les services
Windows Media (Windows Media Services MMC) ne sont pas installées.
wms_isapi=Off
Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur « Off », les
composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas
installées.
26 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
wms_server=Off
Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur « Off », les
composantes serveur des services Windows Media (Windows Media Services) ne sont pas
installées.
zonegames=Off
Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur « Off », les
jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas
installés.
3.3 Fichier de configuration et d’installation du serveur du groupe
de travail
L’installation du serveur de groupe de travail peut créer un nouveau groupe de travail ou se
joindre à un groupe existant. L’installation présuppose qu’on n’utilise pas le protocole DHSP, ni
le service DNS. Par conséquent, l’administrateur doit entrer les valeurs TCP/IP dans le fichier
Winnt.sif pour activer le réseautage.
3.3.1 Winnt.sif (Groupe de travail)
3.3.1.1 [Data]
AutoPartition=1
Le paramètre AutoPartition indique l’emplacement où le système d’exploitation Windows est
installé. Le paramètre « 1 » installe le système d’exploitation dans la première partition
disponible qui a suffisamment d’espace. Si un système d’exploitation est déjà installé, la
procédure d’installation cessera et attendra d’autres instructions.
MsDosInitiated=0
Le paramètre MsDosInitiated doit être présent et être fixé à « 0 », sinon l’installation automatisée
échouera.
UnattendedInstall=Yes
Avec la valeur « YES », la valeur UnattendedInstall permet la préinstallation de Windows à
l’aide de la méthode de démarrage par CD-ROM.
Installation automatisée Mars 2004 27

Non classifié ITSG pour Windows Server 2003
3.3.1.2 [GuiUnattended]
AdminPassword="A_Str0ng_p@SSw0rd"
Le paramètre AdminPassword définit le mot de passe de l’administrateur local pour le système
en cours d’installation.
REMARQUE : Sélectionnez une valeur conforme à la stratégie locale sur les mots de passe des
administrateurs.
EncryptedAdminPassword=No
Le paramètre EncryptedAdminPassword détermine si la procédure d’installation chiffre le mot
de passe de l’administrateur. Avec la valeur « No », le mot de passe n’est pas chiffré. Vous
pouvez activer cette fonction à l’aide de l’outil setupmgr.exe fourni sur le support de distribution
Windows.
OEMSkipWelcome=1
Le paramètre OEMSkipWelcome détermine si la page de bienvenue est affichée au démarrage.
Avec la valeur « 1 », la page de bienvenue n’est pas affichée.
OEMSkipRegional=1
Le paramètre OEMSkipRegional détermine si la procédure d’installation affichera la page des
paramètres régionaux. Avec la valeur « 1 », la page des paramètres régionaux n’est pas affichée.
TimeZone=035
Le paramètre TimeZone règle l’horloge du système selon le fuseau horaire local.
004 – Heure normale du Pacifique
010 – Heure normale des Rocheuses
020 – Heure normale des Prairies
025 – Heure normale du Canada central (Saskatchewan)
035 – Heure normale de l’Est
050 – Heure normal de l’Atlantique
060 – Heure normale de Terre-Neuve et du Labrador
AutoLogon=No
Le paramètre Autologon détermine si le compte de l’administrateur ouvrira automatiquement
une session, jusqu’à ce que le système soit redémarré. La valeur « No » désactive la fonction
28 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
AutoLogon (ouverture de session automatique). Le paramètre AutoLogonCount peut accroître le
nombre de redémarrages requis pour désactiver la fonction AutoLogon.
3.3.1.3 [Identification]
JoinWorkgroup=Department_Name
Le paramètre JoinWorkgroup détermine à quel groupe de travail le serveur se joindra.
REMARQUE : Cette valeur doit être remplacée par une valeur locale.
3.3.1.4 [LicenseFilePrintData]
AutoMode=PerServer
Le paramètre AutoMode définit le mode de licence. Entrez PerSeat ou PerServer.
REMARQUE : Si vous entrez PerServer, vous devrez également entrer une valeur pour le
paramètre AutoUsers.
AutoUsers=5
Le paramètre AutoUsers détermine le nombre d’utilisateurs concurrents pris en charge par la
licence du type PerServer.
REMARQUE : Entrez une valeur locale.
3.3.1.5 [Unattended]
OemPreinstall=No
Le paramètre OEMPreinstall détermine s’il y a des fichiers OEM à installer. La valeur « No »
indique que tous les fichiers snécessaires e trouvent dans la distribution Windows.
UattendedSwitch=Yes
Le paramètre UnattendedSwitch indique si le module d’installation omet la page de bienvenue
Windows. Avec la valeur « Yes », la page de bienvenue Windows est omise.
Repartition=No
Le paramètre Repartition détermine quelle mesure doit être prise pour les partitions du premier
lecteur. Avec la valeur « No », toutes les partitions sont conservées sur le premier lecteur.
Installation automatisée Mars 2004 29

Non classifié ITSG pour Windows Server 2003
TargetPath=Windows
Le paramètre TargetPath définit l’emplacement du système d’exploitation. Avec la valeur
« Windows », les fichiers du système d’exploitation sont placés dans un dossier Windows.
UnattendedMode=FullUnattended
Le paramètre UnattendedMode détermine le niveau d’interaction humaine avec la procédure
d’installation. Avec la valeur « FullUnattended », il n’y a pas d’interaction humaine.
WaitForReboot=No
Le paramètre WaitForReboot détermine si le système redémarrera immédiatement ou offrira une
possibilité d’interaction humaine. Avec la valeur « No », le système redémarre immédiatement.
OemSkipEula=Yes
Le paramètre OemSkipEula détermine si le contrat de licence utilisateur final (CLUF - EULA en
anglais) est présenté pendant l’installation. Avec la valeur « Yes », le CLUF n’est pas affiché.
FileSystem=ConvertNTFS
Le paramètre FileSystem détermine le type du système de fichiers pour l’installation. Avec la
valeur ConvertNTFS, le système est installé sur un système de fichiers NTFS.
3.3.1.6 [UserData]
ComputerName=File_Server_1
Le paramètre ComputerName fixe la valeur ComputerName (nom de l’ordinateur) dans le
Registre.
REMARQUE : Entrez une valeur locale.
FullName="System_Admin"
Le paramètre FullName fixe la valeur RegisteredOwner (propriétaire inscrit) dans le Registre.
REMARQUE : Entrez une valeur locale.
30 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
OrgName="Department_Name"
Le paramètre OrgName fixe la valeur RegisteredOrganisation (Organisme inscrit) dans le
Registre.
REMARQUE : Entrez une valeur locale.
ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"
Le paramètre ProductKey est la chaîne de licence requise pour la version de Windows
Server 2003 qui sera installée.
REMARQUE : Entrez une valeur locale.
3.3.1.7 [Networking]
Cette section définit le réseau pour le système. Dans un environnement de groupe de travail, des
moyens statiques sont utilisés pour l’établissement du réseau. Cela comprend les adresses IP
statiques, ainsi qu’un fichier Hosts pour la résolution des noms. Par conséquent, la définition de
réseau automatisé est désactivée. Toutes les valeurs sont fournies par l’intermédiaire de
paramètres dans ce fichier d’installation.
InstallDefaultComponents=No
Le paramètre InstallDefaultComponents indique si la configuration du réseau utilisera le
protocole DHCP et le service DNS. Avec la valeur « No », le réseau utilisera les valeurs fournies
au lieu de DHCP et DNS.
3.3.1.8 [NetAdapters]
Adapter1=params.Adapter1
Le paramètre Adapter1 définit les interfaces réseau à installer avec les noms logiques associés.
Cela assure que les commandes destinées aux adaptateurs sont acheminées correctement.
3.3.1.9 [params.Adapter1]
InfID=*
Le paramètre InfID identifie un adaptateur réseau avec une valeur qui est identique à celle de
l’identificateur Plug and Play. S’il y a plus d’un adaptateur, le paramètre indiquerait
l’identificateur Plug and Play.
Installation automatisée Mars 2004 31

Non classifié ITSG pour Windows Server 2003
3.3.1.10 [NetClients]
MS_MSClient=params.MS_MSClient
Le paramètre MS_MSClient indique la section où le client pour le réseau Microsoft est défini. La
valeur « params.MS_MSClient » est le titre de la section qui contient la définition du client
réseau.
3.3.1.11 [NetServices]
MS_SERVER=params.MS_SERVER
Le paramètre MS_SERVER indique la section où des entrées sont fournies pour définir un
service réseau. Aucun service réseau n’est défini dans ce fichier d’installation. Par conséquent, la
section « params.MS_SERVER » n’est pas requise.
3.3.1.12 [NetProtocols]
MS_TCPIP=params.MS_TCPIP
Le paramètre MS_TCPIP définit la section qui contient les entrées pour ce protocole.
3.3.1.13 [params.MS_TCPIP]
DNS=No
Le paramètre DNS indique si le serveur utilisera un serveur DNS. Le paramètre « No » indique
que le serveur n’utilisera pas le DNS pour la résolution des noms.
UseDomainNameDevolution=No
Le paramètre UseDomainNameDevolution détermine si le système tentera de se connecter quand
le nom DNS fourni n’est pas entièrement qualifié. Le paramètre « No » empêche le système de
faire cette tentative.
EnableLMHosts=Yes
Le paramètre EnableLMHosts détermine si le serveur utilisera le fichier Hosts pour résoudre le
nom de réseau afin de traiter les traductions. Le paramètre « Yes » indique que le fichier Hosts
sera utilisé pour la résolution des noms.
AdapterSections=params.MS_TCPIP.Adapter1
32 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Le paramètre AdapterSections définit l’emplacement dans ce fichier qui contient la définition de
l’adaptateur.
3.3.1.14 [params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
Le paramètre SpecificTo indique l’adaptateur réseau qui sera configuré. Le paramètre
« Adapter01 » s’applique au premier adaptateur réseau identifié.
DHCP=No
Le paramètre DHCP indique si le système utilise le protocole DHCP. Le paramètre « No »
indique que le système n’obtiendra pas une adresse TCP/IP d’un serveur DHCP.
IPAddress=xxx.xxx.xxx.xxx
Le paramètre IPAddress définit l’adresse IP de l’adaptateur.
SubnetMask=xxx.xxx.xxx.xxx
Le paramètre Subnetmask fournit les adresses des masques de sous-réseau.
DefaultGateway=xxx.xxx.xxx.xxx
Le paramètre DefaultGateway définit l’adresse pour les paquets destinés à l’extérieur du masque.
La passerelle sert de premier arrêt, sur l’itinéraire menant au système cible.
WINS=No
Le paramètre WINS détermine si le système utilisera le service de noms Windows (Windows
Internet Name Service). Le paramètre « No » désactive le service WINS sur l’adaptateur indiqué.
NetBIOSOptions=0
Le paramètre NetBIOSOptions détermine si le système active le NetBIOS sur le TCP/IP. Le
paramètre « 0 » désactive le NetBIOS sur le TCP/IP.
3.3.1.15 [NetOptionalComponents]
DHCPServer=0
Le paramètre DHCPServer détermine si le système installera le serveur DHCP. Avec la valeur
« 0 », le serveur DHCP n’est pas installé.
Installation automatisée Mars 2004 33

Non classifié ITSG pour Windows Server 2003
DNS=0
Le paramètre DNS détermine si le système installera le serveur DNS. Avec la valeur « 0 », le
serveur DNS n’est pas installé.
IAS=0
Le paramètre IAS détermine si le système installera le service d’authentification d’Internet (IAS
pour Internet Authentication Service). Avec la valeur « 0 », le service d’authentification Internet
n’est pas installé.
ILS=0
Le paramètre ILS détermine si le programme d’installation installera les services qui prennent en
charge les fonctions de téléphonie (identification de l’appelant, conférences téléphoniques,
vidéoconférences, télécopie, etc.). Avec la valeur « 0 », le service ILS (Internet Locator Service)
n’est pas installé.
LDPSVC=0
Le paramètre LPDSVC détermine si le système installera les services d’impression UNIX. Avec
la valeur « 0 », les services d’impression UNIX ne sont pas installés.
MacPrint=0
Le paramètre MacPrint détermine si le système installera les services d’impression Macintosh.
Avec la valeur « 0 », les services d’impression Macintosh ne sont pas installés.
MacSrv=0
Le paramètre MacSrv détermine si le système installera les services de fichiers Macintosh. Avec
la valeur « 0 », les services de fichiers Macintosh ne sont pas installés.
Netcm=0
Le paramètre Netcm détermine si le système installera le Kit d’administration du Microsoft
Connection Manager et le service Phone Book (Annuaire téléphonique). Avec la valeur « 0 »,
ces services ne sont pas installés.
NetMonTools=0
Le paramètre NetMonTools détermine si le système installera les outils de surveillance réseau.
Avec la valeur « 0 », les outils de surveillance réseau ne sont pas installés.
34 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
SimpTcp=0
Le paramètre SimpTcp détermine si le système installera les suites de protocoles TCP/IP
simples. Avec la valeur « 0 », ces suites de protocoles ne sont pas installées.
SNMP=0
Le paramètre SNMP détermine si le système installera le protocole SNMP. Avec la valeur « 0 »,
ce protocole n’est pas installé.
WINS=0
Le paramètre WINS détermine si le système installera le service de noms Internet Windows
(WINS). Avec la valeur « 0 », le service WINS n’est pas installé.
3.3.1.16 [Components]
AccessOpt=On
Le paramètre AccessOpt fixe la valeur accessopt dans le Registre. Avec la valeur « On »,
l’assistant d’accessibilité sera installé.
appsrv_console=Off
Le paramètre appsrv_console fixe la valeur appsrv_console dans le Registre. Avec la valeur
« Off », la console de serveur d’applications (Application Server Console) n’est pas installée.
aspnet=Off
Le paramètre aspnet fixe la valeur aspnet dans le Registre. Avec la valeur « Off », la plate-forme
de développement ASP .NET n’est pas installée.
AutoUpdate=Off
Le paramètre AutoUpdate fixe la valeur autoupdate dans le Registre. Avec la valeur « Off », le
service AutoUpdate (mise à jour automatique) n’est pas installé.
BitsServerExtensionsISAPI=Off
Le paramètre BitsServerExtensionsISAPI fixe la valeur de bitsserverextensionsisapi dans le
Registre. Avec la valeur « Off », l’interface ISAPI pour les extensions de serveur BITS n’est pas
installée.
Installation automatisée Mars 2004 35

Non classifié ITSG pour Windows Server 2003
BitsServerExtensionManager=Off
Le paramètre BitsServerExtensionManager fixe la valeur bitsserverextensionmanager dans le
Registre. Avec la valeur « Off », le module MMC, les API administratives et les extensions
ADSI pour BITS ne sont pas installés.
Calc=On
Le paramètre Calc fixe la valeur calc dans le Registre. Avec la valeur « Off », la fonction de
calculatrice n’est pas installée.
certsrv=On
Le paramètre certsrv fixe la valeur certsrv dans le Registre. Avec la valeur « On », les
composantes Certificate Services (Services de certificats) sont installées.
certsrv_client=Off
Le paramètre certsrv_client fixe la valeur certsrv_client dans le Registre. Avec la valeur « Off »,
les composantes clients Web des services de certificats ne sont pas installées. Pour cela, il faut
qu’une autorité de certification soit définie avec le paramètre CAName. Il faut de plus que le
système informatique qui héberge l’autorité de certification soit défini avec le paramètre
CAMachine. Avec ces entrées, un certificat peut être utilisé dans un navigateur Web.
certsrv_server=Off
Le paramètre certsrv_server fixe la valeur certsrv_server dans le Registre. Avec la valeur
« Off », le serveur de certificat n’est pas installé.
charmap=On
Le paramètre charmap fixe la valeur charmap dans le Registre. Avec la valeur « On », la fonction
Character Map (mappage de caractères) est installée.
chat=Off
Le paramètre chat fixe la valeur chat dans le Registre. Avec la valeur « Off », le programme de
clavardage (Chat) n’est pas installé.
Clipbook=Off
Le paramètre Clipbook fixe la valeur clipbook dans le Registre. Avec la valeur « Off », l’album
Clipbook n’est pas installé.
36 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
cluster=Off
Le paramètre cluster fixe la valeur cluster dans le Registre. Avec la valeur « Off », le logiciel de
cluster n’est pas installé.
complusnetwork=On
Le paramètre complusnetwork fixe la valeur complusnetwork dans le Registre. Avec la valeur
« On », l’accès Com+ réseau est activé.
deskpaper=Off
Le paramètre deskpaper fixe la valeur deskpaper dans le Registre. Avec la valeur « Off », une
image de fond n’est pas installée sur le poste de travail.
dialer=Off
Le paramètre dialer fixe la valeur dialer dans le Registre. Avec la valeur « Off », le composeur
téléphonique n’est pas installé.
dtcnetwork=Off
Le paramètre dtcnetwork fixe la valeur dtcnetwork dans le Registre. Avec la valeur « Off »,
l’accès réseau DTC n’est pas activé. DTC signifie Distributed Transaction Coordinator
(coordonnateur de transactions distribuées).
fax=Off
Le paramètre fax fixe la valeur fax dans le Registre. Avec la valeur « Off », la fonctionnalité de
télécopie n’est pas installée.
fp_extensions=Off
Le paramètre fp_extensions fixe la valeur fp_extensions dans le Registre. Avec la valeur « Off »,
les extensions du serveur FrontPage ne sont pas installées.
fp_vdir_deploy=Off
Le paramètre fp_vdir_deploy fixe la valeur fp_vdir_deploy dans le Registre. Avec la valeur
« Off », le soutien de déploiement à distance RAD Visual InterDev n’est pas installé.
Installation automatisée Mars 2004 37

Non classifié ITSG pour Windows Server 2003
freecell=Off
Le paramètre freecell fixe la valeur freecell dans le Registre. Avec la valeur « Off », le jeu
Freecell n’est pas installé.
hearts=Off
Le paramètre hearts fixe la valeur hearts dans le Registre. Avec la valeur « Off », le jeu Hearts
n’est pas installé.
hypertrm=Off
Le paramètre hyperterm fixe la valeur hyperterm dans le Registre. Avec la valeur « Off », la
fonction Hyperterminal n’est pas installée.
IEAccess=Off
Le paramètre IEAccess détermine si les points d’accès d’Internet Explorer sont visibles. Avec la
valeur « Off », ces points ne sont pas visibles.
iis_asp=Off
Le paramètre iis_asp fixe la valeur iis_asp dans le Registre. Avec la valeur « Off », la
fonctionnalité Active Server Pages (pages de serveur actif) n’est pas installée.
iis_common=Off
Le paramètre iis_common fixe la valeur iis_common dans le Registre. Avec la valeur « Off »,
l’ensemble commun de fichiers requis par l’IIS n’est pas installé.
iis_ftp=Off
Le paramètre iis_ftp fixe la valeur iis_ftp dans le Registre. Avec la valeur « Off », le service FTP
n’est pas installé.
iis_inetmgr=Off
Le paramètre iis_inetmgr fixe la valeur iis_inetmgr dans le Registre. Avec la valeur « Off », les
outils d’administration basés sur la console MMC pour IIS ne sont pas installés.
38 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
iis_internetdataconnector=Off
Le paramètre iis_internetdataconnector fixe la valeur iis_internetdataconnector dans le Registre.
Avec la valeur « Off », la fonction Internet Data Connector (connecteur de données Internet)
n’est pas installée.
iis_nntp=Off
Le paramètre iis_nntp fixe la valeur iis_nntp dans le Registre. Avec la valeur « Off », le service
NNTP n’est pas installé.
iis_serversidesincludes=Off
Le paramètre iis_serversideincludes fixe la valeur iis_serversideincludes dans le Registre. Avec
la valeur « Off », la fonction Server Side Includes (fichiers inclus coté serveur) n’est pas
installée.
iis_smpt=Off
Le paramètre iis_smtp fixe la valeur iis_smtp dans le Registre. Avec la valeur « Off », le service
SMTP n’est pas installé.
iis_webadmin=Off
Le paramètre iis_webadmin fixe la valeur iis_webadmin dans le Registre. Avec la valeur « Off »,
l’interface utilisateur Web pour l’administration des serveurs Web (Outils d’administration à
distance – Remote Administration Tools) n’est pas installée.
iis_webdav=Off
Le paramètre iis_webdav fixe la valeur iis_dav dans le Registre. Avec la valeur « Off », la
fonction de publication WebDAV n’est pas installée.
iis_www=Off
Le paramètre iis_www fixe la valeur iis_www dans le Registre. Avec la valeur « Off », le service
WWW n’est pas installé.
iis_www_vdir_scripts=Off
Le paramètre iis_www_vdir_scripts fixe la valeur iis_www_vdir_scripts dans le Registre. Avec
la valeur « Off », le répertoire des scripts facultatif n’est pas créé sur le site Web par défaut.
Installation automatisée Mars 2004 39

Non classifié ITSG pour Windows Server 2003
indexsrv_system=Off
Le paramètre indexsrv_system fixe la valeur indexsrv_system dans le Registre. Avec la valeur
« Off », le service d’indexation n’est pas installé.
inetprint=Off
Le paramètre inetprint fixe la valeur inetprint dans le Registre. Avec la valeur « Off », la
fonction d’impression Internet n’est pas installée.
licenseserver=Off
Le paramètre licenseserver fixe la valeur licenseserver dans le Registre. Avec la valeur « Off »,
la licence Terminal Servers n’est pas activée.
media_clips=Off
Le paramètre media_clips fixe la valeur media_clips dans le Registre. Avec la valeur « Off », les
échantillons de son ne sont pas installés.
media_utopia=Off
Le paramètre media_utopia fixe la valeur media_utopia dans le Registre. Avec la valeur « Off »,
le schéma de son Utopia n’est pas installé.
minesweeper=Off
Le paramètre minesweeper fixe la valeur minesweeper dans le Registre. Avec la valeur « Off »,
le jeu Minesweeper n’est pas installé.
mousepoint=On
Le paramètre mousepoint fixe la valeur mousepoint dans le Registre. Avec la valeur « On », tous
les pointeurs de souris disponibles sont installés.
msmq_ADIntegrated=Off
Le paramètre msmq_ADIntegrated fixe la valeur msmq_ADIntegrated dans le Registre. Avec la
valeur « Off », le MSMQ n’est pas intégré à l’Active Directory.
40 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
msmq_Core=Off
Le paramètre msmq_core fixe la valeur msmq_core dans le Registre. Avec la valeur « Off », les
composantes Message Queuing ne sont pas installées.
msmq_HTTPSupport=Off
Le paramètre msmq_HTTPSupport fixe la valeur msmq_HTTPSupport dans le Registre. Avec la
valeur « Off », l’émission et la réception des messages utilisant le protocole HTTP sont
désactivées.
msmq_LocalStorage=Off
Le paramètre msmq_LocalStorage fixe la valeur msmq_LocalStorage dans le Registre. Avec la
valeur « Off », les messages ne sont pas enregistrés localement.
msmq_MQDSSService=Off
Le paramètre msmq_MQDSSService fixe la valeur msmq_MQDSSService dans le Registre.
Avec la valeur « Off », l’accès à l’Active Directory et la reconnaissance du site sont restreints
pour les clients en aval.
msmq_RoutingSupport=Off
Le paramètre msmq_RoutingSupport fixe la valeur msmq_RoutingSupport dans le Registre.
Avec la valeur « Off », le système n’assure pas de routage efficient.
msmq_TriggerService=Off
Le paramètre msmq_TriggerService fixe la valeur msmq_TriggerService dans le Registre. Avec
la valeur « Off », l’arrivée des messages entrants dans une file d’attente est dissociée de la
fonctionnalité dans une composante COM (Component Object Module). Il en va de même pour
un programme exécutable autonome.
msnexplr=Off
Le paramètre msnexplr fixe la valeur msnexplr dans le Registre. Avec la valeur « Off »,
l’Explorateur MSN n’est pas installé.
mswordpad=On
Le paramètre mswordpad fixe la valeur mswordpad dans le Registre. Avec la valeur « On », la
fonction mswordpad est installée.
Installation automatisée Mars 2004 41

Non classifié ITSG pour Windows Server 2003
netcis=Off
Le paramètre netcis fixe la valeur netcis dans le Registre. Avec la valeur « Off », les services
Internet COM Microsoft ne sont pas installés.
netoc=Off
Le paramètre netoc fixe la valeur netoc dans le Registre. Avec la valeur « Off », les composantes
réseau facultatives ne sont pas installées.
objectpkg=Off
Le paramètre objectpkg détermine si l’Object Packager est installé. Avec la valeur « Off »,
l’Object Packager n’est pas installé.
OEAccess=Off
Le paramètre OEAccess détermine si les points d’entrée visibles pour Outlook Express sont
installés. Avec la valeur « Off », les points d’entrée visibles pour Outlook Express ne sont pas
installés.
paint=Off
Le paramètre paint fixe la valeur paint dans le Registre. Avec la valeur « Off », Microsoft Paint
n’est pas installé.
pinball=Off
Le paramètre pinball fixe la valeur pinball dans le Registre. Avec la valeur « Off », le jeu Pinball
n’est pas installé.
Pop3Admin=Off
Le paramètre Pop3Admin indique si l’interface utilisateur Web facultative pour les outils
d’administration à distance est installée. Avec la valeur « Off », cette interface facultative n’est
pas installée.
Pop3Service=Off
Le paramètre Pop3Service indique si le service POP3 principal est installé. Avec la valeur
« Off », le service POP3 principal n’est pas installé.
42 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Pop3Srv=Off
Le paramètre Pop3Srv détermine si la composante POP3 racine est installée. Avec la valeur
« Off », cette composante n’est pas installée.
rec=Off
Le paramètre rec détermine si l’enregistreur de son est installé. Avec la valeur « Off »,
l’enregistreur de son n’est pas installé.
reminst=Off
Le paramètre reminst fixe la valeur reminst dans le Registre. Avec la valeur « Off », le service
d’installation à distance n’est pas installé.
rootautoupdate=Off
Le paramètre rootautoupdate fixe la valeur rootautoupdate dans le Registre. Avec la valeur
« Off », les certificats racines de mise à jour OMC sont désactivés. Si l’utilisateur se voit
présenter un certificat émis par une autorité racine qui n’est pas directement jugée fiable et si la
composante mise à jour des certificats racines (Update Root Certificates) n’est pas installée sur
l’ordinateur de l’utilisateur, celui-ci ne pourra terminer les actions qui ont nécessité
l’authentification.
rstorage=Off
Le paramètre rstorage fixe la valeur rstorage dans le Registre. Avec la valeur « Off », la fonction
de stockage à distance n’est pas installée.
solitaire=Off
Le paramètre solitaire fixe la valeur solitaire dans le Registre. Avec la valeur « Off », le jeu
Solitaire n’est pas installé.
spider=Off
Le paramètre spider fixe la valeur spider dans le Registre. Avec la valeur « Off », le jeu Spider
n’est pas installé.
Installation automatisée Mars 2004 43

Non classifié ITSG pour Windows Server 2003
templates=Off
Le paramètre templates fixe la valeur templates dans le Registre. Avec la valeur « Off », les
modèles de documents ne sont pas installés.
TerminalServer=Off
Le paramètre TerminalServer détermine si les services Terminal est installé. Avec la valeur
« Off », ces services ne sont pas installés.
TSWebClient=Off
Le paramètre TSWebClient détermine si le contrôle ActiveX pour héberger les connexions du
client Terminal Services sur le Web est installé. Avec la valeur « Off », le contrôle ActiveX n’est
pas installé.
vol=Off
Le paramètre vol fixe la valeur vol dans le Registre. Avec la valeur « Off », le contrôle de
volume n’est pas installé.
WBEMSNMP=Off
Le paramètre WBEMSNMP fixe la valeur WBEMSNMP dans le Registre. Avec la valeur
« Off », le fournisseur SNMP WMI n’est pas installé.
WMAccess=Off
Le paramètre WMAccess détermine si les points d’entrée visibles pour le Gestionnaire Windows
sont installés. Avec la valeur « Off », les points d’entrée visibles pour le Gestionnaire Windows
ne sont pas installés.
WMPOCM=Off
Le paramètre WMPOCM détermine si les points d’entrée visibles pour le lecteur Windows
Media sont installés. Avec la valeur « Off », les points d’entrée visibles pour le lecteur Windows
Media ne sont pas installés.
wms=Off
Le paramètre wms fixe la valeur wms dans le Registre. Avec la valeur « Off », les principales
composantes du serveur Windows Media (Windows Media Server) ne sont pas installées.
44 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
wms_admin_asp=Off
Le paramètre wms_admin_asp fixe la valeur wms_admin_asp dans le Registre. Avec la valeur
« Off », les composantes administratives basées sur le Web pour les services Windows Media
(Windows Media Services) ne sont pas installées.
wms_admin_mmc=Off
Le paramètre wms_admin_mmc fixe la valeur wms_admin_mmc dans le Registre. Avec la
valeur « Off », les composantes administratives basées sur la console MMC pour les services
Windows Media (Windows Media Services MMC) ne sont pas installées.
wms_isapi=Off
Le paramètre wms_isapi fixe la valeur wms_isapi dans le Registre. Avec la valeur « Off », les
composantes Windows Media Services Multicast et Advertisement Logging Agent ne sont pas
installées.
wms_server=Off
Le paramètre wms_server fixe la valeur wms_server dans le Registre. Avec la valeur « Off », les
composantes serveur des services Windows Media (Windows Media Services) ne sont pas
installées.
zonegames=Off
Le paramètre zonegames fixe la valeur zonegames dans le Registre. Avec la valeur « Off », les
jeux Internet de la Zone de jeux Microsoft (Microsoft Gaming Zone Internet Games) ne sont pas
installés.
Installation automatisée Mars 2004 45

Non classifié ITSG pour Windows Server 2003
Page laissée intentionnellement en blanc.
46 Mars 2004 Installation automatisée

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4 Fichiers de stratégie pour les serveurs
4.1 Application des fichiers de stratégie
On doit appliquer les stratégies dictées par l’environnement (domaine ou groupe de travail).
4.1.1 Application de la stratégie dans un domaine
Les fichiers de stratégie sont appliqués à des unités d’organisation dans l’Active Directory. La
structure de l’annuaire dictera les noms exacts et les emplacements des unités d’organisation. La
structure déployée dans le laboratoire du CST possède une unité d’organisation pour les
« Serveurs publics » auxquels la configuration de base a été appliquée. Les unités d’organisation
« Serveurs d’impression » et « Serveurs de fichiers » sont incorporées dans l’unité d’organisation
« Serveurs publics ». Les stratégies appropriées sont appliquées à l’unité d’organisation
spécifique.
Cette procédure s’applique à toute unité d’organisation et à tout fichier de stratégie. Il s’agit de
substituer les paramètres « UO » et « nom du fichier de stratégie », au besoin.
1. Appelez l’interface Active Directory.
2. Développer l’annuaire en cliquant sur les signes « + » pour afficher les UO désirées.
3. Cliquez à droite sur l’UO désirée et sélectionnez Properties dans le menu.
a. La boîte de dialogue Organizational Unit Properties s’ouvre.
4. Sélectionnez l’onglet Group Policy.
5. Cliquez sur le bouton New.
6. Le New Group Policy Object est créé.
7. Renommez le New Group Policy Object selon la valeur voulue.
8. Cliquez sur le bouton Edit.
b. La boîte de dialogue Group Policy Object Editor s’ouvre.
9. Cliquez sur « + » à côté de Windows Settings.
10. Cliquez à droite sur Security Settings.
11. Sélectionnez Import Policy dans le menu.
12. Naviguez jusqu’au fichier de staratégie voulu et sélectionnez-le.
13. Activez l’option Clear this database before importing.
14. Cliquez sur Open (la stratégie est importée).
15. Cliquez sur File, puis sur Exit.
16. Cliquez sur Apply.
Fichiers de stratégie pour les serveurs Mars 2004 47

Non classifié ITSG pour Windows Server 2003
17. Cliquez sur Exit.
Répétez cette procédure jusqu’à ce que tous les fichiers de stratégie requis soient appliqués à
toutes les UO (serveurs publics, serveurs d’impression et serveurs de fichiers).
4.1.2 Application des stratégies à un groupe de travail
Les stratégies pour un serveur de groupe de travail doivent être appliquées dans l’ordre approprié
pour que chacune d’elles soit correctement appliquée. Appliquez d’abord la configuration de
base, puis les stratégies additionnelles afin d’activer le rôle désigné du serveur.
Pour entrer un fichier de stratégie avec le Group Policy Editor (Éditeur de stratégie de groupe),
procédez comme suit:
1. Ouvrez une fenêtre de commande.
2. Tapez MMC , puis Return.
a. La boîte de dialogue Console 1 s’ouvre.
3. Cliquez sur File.
4. Sélectionnez Add/Remove Snap-in.
5. La boîte de dialogue Add/Remove Snap-in s’affiche.
6. Cliquez sur Add.
7. La boîte de dialogue Add Standalone Snap-in s’affiche.
8. Naviguez dans le fichier et sélectionnez Group Policy Editor.
9. Cliquez sur Add.
10. La boîte de dialogue Select Group Policy Object s’affiche.
11. Acceptez les valeurs par défaut et cliquez sur Finish.
12. Cliquez sur Close.
13. Cliquez sur OK.
a. La fenêtre Root Console Window s’affiche.
14. Cliquez sur « + » à côté de Local Computer Policy.
15. Cliquez sur « + » à côté de Windows Settings.
16. Cliquez à droite sur Security Settings.
17. Sélectionnez Import Policy.
18. Naviguez jusqu’au fichier de startégie désiré et sélectionnez-le.
a. Importez d’abord la stratégie de configuration de base, puis ensuite les stratégies
basées sur les rôles.
19. Cliquez sur Open.
48 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
20. Cliquez sur File.
21. Cliquez sur Exit.
22. La boîte de dialogue Microsoft Management Console s’affiche.
23. Sélectionnez Yes si vous voulez enregistrer les paramètres.
a. Sinon, sélectionnez No.
4.2 Détails sur les fichiers de stratégie de base pour les serveurs
La section suivante décrit les services et paramètres additionnels qui peuvent être gérés à l’aide
des fichiers de stratégie.
Les fichiers de configuration de base pour les domaines et les groupes de travail sont en grande
partie identiques. La section suivante décrit en détail les paramètres de sécurité. Pour les options
qui ne sont pas identiques pour les domaines et les groupes de travail, les deux types de
paramètres seront décrits.
4.3 Stratégies des comptes
Les stratégies de comptes déterminent les règles pour les utilisateurs à l’égard des mots de passe
et de Kerberos.
4.3.1 Stratégie des mots de passe
4.3.1.1 Conserver l’historique des mots de passe
PasswordHistorySize = 24
Le paramètre « PasswordHistorySize » détermine le nombre de mots de passe conservés par le
système. Cette valeur est comparée avec les entrées utilisateur pendant les changements de mots
de passe. La valeur « 24 » signifie que l’utilisateur doit choisir 24 mots de passe différents avant
de pouvoir réutiliser le premier mot de passe. Avec une valeur de 2 pour le paramètre
« MinimumPasswordAge », l’utilisateur devrait changer son mot de passe tous les deux jours 24
fois de suite avant pouvoir de revenir à son mot de passe original.
4.3.1.2 Durée de vie maximale du mot de passe
MaximumPasswordAge = 42
Le paramètre « MaximumPasswordAge » détermine le nombre maximal de jours pendant
lesquels l’utilisateur peut conserver le même mot de passe. Avec une valeur de 42, l’utilisateur
doit modifier son mot de passe tous les 42 jours. Conjointement avec les paramètres
« PasswordComplexity » et « PasswordLength », ce paramètre assure un mot de passe robuste et
résistant aux attaques.
Fichiers de stratégie pour les serveurs Mars 2004 49

Non classifié ITSG pour Windows Server 2003
4.3.1.3 Durée de vie minimale du mot de passe
MinimumPasswordAge = 2
Le paramètre « MinimumPasswordAge » détermine combien de jours l’utilisateur doit attendre
avant de changer un mot de passe. Avec la valeur « 2 », l’utilisateur doit attendre deux jours
avant de changer son mot de passe.
4.3.1.4 Longueur minimale du mot de passe
MinimumPasswordLength = 8
Le paramètre « MinimumPasswordLength » détermine le nombre minimal de caractères
acceptable dans un mot de passe. Avec la valeur « 8 », l’utilisateur doit entrer un mot de passe
d’au moins 8 caractères. Conjointement avec les paramètres « PasswordComplexity » et
« MaximumPasswordAge », ce paramètre assure un mot de passe robuste et résistant aux
attaques.
4.3.1.5 Le mot de passe doit respecter les exigences de complexité
PasswordComplexity = 1
Le paramètre « PasswordComplexity » détermine les exigences de complexité du mot de passe.
Avec la valeur « 1 », l’utilisateur doit entrer un mot de passe qui répond aux critères ci-dessous.
Le mot de passe doit contenir des caractères dans trois des quatre catégories suivantes :
• Lettres en majuscule (A-Z)
• Lettres en minuscule (a-z)
• Chiffres en base 10 (0-9)
• Caractères non alphanumériques (! @ # $ % ^ &)
Ce paramètre permet de contrer les attaques par la force brute.
4.3.1.6 Enregistrer les mots de passe en utilisant un cryptage réversible
ClearTextPassword = 0
Le mot clé « ClearTextPassword » détermine si le système enregistre le mot de passe avec une
technique cryptographique réversible. Avec la valeur « 0 », la cryptographie réversible est
désactivée.
REMARQUE : On ne doit jamais activer cette option, à moins que les considérations
opérationnelles ne l’emportent sur la nécessité de protéger l’information sur le
mot de passe.
50 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.3.2 Stratégie de verrouillage des comptes
4.3.2.1 Durée de verrouillage des comptes
LockoutDuration = 15
Le paramètre « LockoutDuration » détermine la durée (en minutes) pendant laquelle un compte
est désactivé après le verrouillage. Avec la valeur « 15 », le compte de l’utilisateur est désactivé
pendant 15 minutes. Cette valeur doit être synchronisée avec le paramètre
« ResetLockoutCounter », de sorte que l’utilisateur puisse ouvrir une session quand la durée
indiquée pour le paramètre « LockoutDuration » a expiré.
4.3.2.2 Seuil de verrouillage du compte
LockoutBadCount = 10
Le paramètre « LockoutBadCount » détermine le nombre de tentatives infructueuses d’ouverture
de session, avant que le compte ne soit verrouillé. Avec la valeur « 10 », le compte de
l’utilisateur sera verrouillé après 10 tentatives infructueuses consécutives d’ouverture de session.
Ce paramètre permet de contrer les tentatives prolongées de craquage de mots de passe.
4.3.2.3 Réinitialiser le compteur de verrouillages du compte après
ResetLockoutCount = 15
Le paramètre « ResetLockoutCount » détermine la durée (en minutes) avant la réinitialisation du
compte. Avec la valeur « 15 », le compteur du verrouillage est ramené à zéro après 15 minutes.
Cette valeur doit être synchronisée avec le paramètre « LockoutDuration », afin que l’utilisateur
puisse ouvrir une session quand la durée indiquée par le paramètre « LockoutDuration » a expiré.
4.3.3 Stratégie Kerberos
Il n’y a pas de paramètres Kerberos dans la configuration de base pour groupe de travail.
4.3.3.1 Appliquer les restrictions pour l’ouverture de session
TicketValidateClient = 1
Le paramètre « TicketValidateClient » détermine si l’authentification par le Centre de
distribution des clés V5 Kerberos est requise. Avec la valeur « 1 », l’utilisation de
l’authentification Kerberos est requise.
Fichiers de stratégie pour les serveurs Mars 2004 51

Non classifié ITSG pour Windows Server 2003
4.3.3.2 Durée de vie maximale pour le ticket de service
MaxServiceAge = 600
Le paramètre « MaxServiceAge » détermine le nombre de minutes pendant lequel un ticket de
service est valide. Avec la valeur « 600 », le ticket peut être utilisé pendant 10 heures.
4.3.3.3 Durée de vie maximale du ticket utilisateur
MaxTicketAge = 10
Le paramètre « MaxTicketAge » détermine le nombre maximal d’heures pendant lequel un ticket
utilisateur (TGT pour Ticket Granting Ticket) peut être renouvelé. Avec la valeur « 10 », le
ticket utilisateur doit être remplacé ou renouvelé après 10 heures.
4.3.3.4 Durée de vie maximale pour le renouvellement du ticket utilisateur
MaxRenewAge = 7
Le paramètre « MaxRenewAge » détermine le nombre maximal de jours pendant lequel le ticket
utilisateur peut être renouvelé. Avec la valeur « 7 », le ticket utilisateur peut être renouvelé pour
sept jours.
4.3.3.5 Tolérance maximale pour la synchronisation de l’horloge de l’ordinateur
MaxClockSkew = 5
Le paramètre « MaxClockSkew » détermine la différence de temps maximale que Kerberos
tolérera entre l’horloge du système et l’horloge du contrôleur de domaine. Avec la valeur « 5 »,
les systèmes qui présentent un décalage d’horloge de plus de cinq minutes par rapport à l’horloge
du contrôleur de domaine se verront refuser l’accès.
4.4 Stratégies locales
4.4.1 Stratégie d’audit
4.4.1.1 Auditer les événements de connexion aux comptes
AuditAccountLogon = 3
Le paramètre « AuditAccountLogon » détermine les types d’ouvertures de session à auditer.
Avec la valeur « 3 », les « opérations réussies » et les « échecs » sont audités. Les « opérations
réussies » peuvent déterminer qui a accédé au système pendant un incident. Les événements
« échecs » permettent de mieux comprendre les tentatives de craquage de mots de passe.
52 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.1.2 Auditer la gestion des comptes
AuditAccountManage = 3
Le paramètre « AuditAccountManage » détermine les types d’événements d’ouverture de session
à auditer. Avec la valeur « 3 », le système audite les « opérations réussies » et les « échecs ». Les
« opérations réussies » peuvent servir aux enquêtes, à la surveillance des comptes au moment de
l’incident. Les « échecs » permettent de déterminer si les utilisateurs tentent de sonder le système
pour en déceler les vulnérabilités.
4.4.1.3 Auditer l’accès au service d’annuaire
AuditDSAAccess = 3
Le paramètre « AuditDSAccess » détermine le type d’ouvertures de session à auditer. Avec la
valeur « 3 », les « opérations réussies » et les « échecs » sont audités. Le service d’annuaire
(Directory Service) contient des renseignements essentiels au sujet du domaine. En sachant qui a
accédé au service pendant un incident, on peut obtenir de l’information précieuse au sujet des
objets de l’Active Directory auxquels on a accédé pendant une attaque.
4.4.1.4 Auditer les événement de connexion
AuditLogonEvents = 3
Le paramètre « AuditLogonEvents » détermine les types d’ouvertures de session à auditer. Avec
la valeur « 3 », les « opérations réussies » et les « échecs » sont audités. Les « opérations
réussies » permettent de déterminer qui a accédé au système pendant l’incident. Les « échecs »
permettent de déterminer si le système fait l’objet d’une tentative de craquage de mots de passe.
4.4.1.5 Auditer l’accès aux objets
AuditObjectAccess = 2
Le paramètre « AuditObjectAccess » détermine le type d’ouverture de session à auditer. Avec la
valeur « 2 », les échecs sont audités. Les tentatives peuvent être surveillées afin de déterminer si
des utilisateurs tentent de sonder le système pour en déceler les vulnérabilités.
4.4.1.6 Auditer les modifications de stratégie
AuditPolicyChange = 3
Le paramètre « AuditPolicyChange » détermine le type d’ouverture de session à auditer. Avec la
valeur « 3 », les « opérations réussies » et les « échecs » sont audités. Les « opérations réussies »
sont utilisées dans les enquêtes visant à déterminer l’accès au système et aux stratégies utilisées
au moment de l’incident. Les « échecs » permettent de déterminer si des utilisateurs tentent de
sonder le système pour en déceler les vulnérabilités.
Fichiers de stratégie pour les serveurs Mars 2004 53

Non classifié ITSG pour Windows Server 2003
4.4.1.7 Auditer l’utilisation des privilèges
AuditPrivilegeUse = 3
Le paramètre « AuditPrivilegeUse » détermine les types d’ouvertures de session à auditer. Avec
la valeur « 3 », les « opérations réussies » et les « échecs » sont audités. Les « opérations
réussies » servent à déterminer qui a accédé au système au moment de l’incident. Les « échecs »
permettent de déterminer si des utilisateurs tentent de sonder le système pour en déceler les
vulnérabilités.
4.4.1.8 Auditer le suivi des processus
AuditProcessTracking = 0
Le paramètre « AuditProcessTracking » détermine les types d’ouvertures de session à auditer.
Avec la valeur « 0 », aucun événement n’est audité. La valeur de cette information est pondérée
par rapport au volume de données recueilli. En raison de la grande quantité de données, ce
paramètre est normalement désactivé. Toutefois, pendant un incident, cette information peut
s’avérer précieuse. Si on soupçonne une attaque, nous recommandons d’activer ce paramètre.
4.4.1.9 Auditer les événements système
AuditSystemEvents = 3
Le paramètre « AuditSystemEvents » détermine les événements à auditer. Avec la valeur « 3 »,
les « opérations réussies » et les « échecs » sont audités. Ces événements reflètent les arrêts et les
redémarrages du système, les événements touchant la sécurité système et les événement touchant
le journal de sécurité.
4.4.2 Attribution des droits utilisateur
4.4.2.1 Accéder à cet ordinateur à partir du réseau
senetworklogonright = *S-1-5-11,*S-1-5-32-544
Le paramètre « senetworklogonright » permet l’accès au système par protocole réseau (SMB,
NetBIOS, CIFS, HTTP et COM+). La présente stratégie accorde des privilèges aux
administrateurs et aux utilisateurs authentifiés. La possibilité d’accéder au système à partir d’un
réseau présente un plus grand risque d’exposition aux attaques. En réduisant l’accès, on réduit les
risques d’exposition.
4.4.2.2 Agir en tant que partie du système d’exploitation
setcbprivilege =
Le paramètre « setcbprivilege » permet au compte d’agir en tant que partie du système
d’exploitation. Selon Microsoft, il n’y a aucune raison pour qu’un compte ait besoin de ce
privilège.
54 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.2.3 Ajouter des stations de travail au domaine
semachineaccountprivilege =
Le paramètre « semachineaccountprivilege » octroie le droit d’ajouter des postes de travail à un
domaine. Cette stratégie n’octroie aucun droit. Restreindre ce privilège aide à maintenir
l’intégrité du domaine.
4.4.2.4 Ajuster les quotas de mémoire pour un processus
seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20
Le paramètre « seincreasequotaprivilege » donne la possibilité d’ajuster les quotas de mémoire
pour un processus. La présente stratégie octroie des privilèges aux comptes Administrateurs,
LOCAL SERVICE et NETWORK SERVICE. Si ce paramètre est mal utilisé, des attaques par
déni de service sont possibles.
4.4.2.5 Permettre l’ouverture d’une session locale
seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544
Le paramètre « seinteractivelogonright » octroie des privilèges d’ouverture de session sur la
console locale. Ces privilèges sont donnés aux administrateurs et aux opérateurs de sauvegarde.
L’accès local est restreint aux comptes qui ont une raison légitime d’accéder à la console. En
restreignant ce privilège, on réduit l’exposition du système.
4.4.2.6 Autoriser l’ouverture de session par les services Terminal Server
seremoteinteractivelogonright = *S-1-5-32-544
Le paramètre « seremoteinteractivelogonright » octroie le droit d’ouvrir une session à distance
par l’intermédiaire des services Terminal Server. La présente stratégie donne ce droit aux
administrateurs. Rien n’exige que l’on accorde aux utilisateurs cette forme d’accès.
4.4.2.7 Sauvegarder des fichiers ou des répertoires
sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544
Le paramètre « sebackupprivilege » octroie le droit de sauvegarder des fichiers et des répertoires.
Les droits sont donnés aux administrateurs et aux opérateurs de sauvegarde. Si votre stratégie ne
permet pas aux administrateurs de sauvegarder les fichiers et les répertoires, omettez alors le
groupe Administrateurs. L’attribution de ce privilège doit être contrôlée de près.
4.4.2.8 Outrepasser le contrôle de traversée
sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544
Le paramètre « sechangenotifyprivilege » octroie le droit de contourner le contrôle de traversée
dans les systèmes de fichier NTFS et dans le Registre. La présente stratégie octroie des droits
aux utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs authentifiés.
Fichiers de stratégie pour les serveurs Mars 2004 55

Non classifié ITSG pour Windows Server 2003
4.4.2.9 Modifier l’heure système
sesystemtimeprivilege = *S-1-5-32-544
Le paramètre « sesystemtimeprivilege » octroie le droit de modifier l’heure système. La présente
stratégie octroie les droits aux administrateurs. L’heure système est essentielle dans les enquêtes
sur les incidents. Sans un temps uniforme, il est difficile de synchroniser les événements sur des
systèmes multiples.
4.4.2.10 Créer un fichier d’échange
secreatepagefileprivilege = *S-1-5-32-544
Le paramètre « secreatepagefileprivilege » octroie le droit de créer un fichier d’échange. La
présente stratégie octroie les droits aux administrateurs. Un fichier d’échange trop grand peut
entraver la performance d’un système. En restreignant ce droit aux administrateurs, l’exposition
du système est réduite aux seules personnes jugées fiables.
4.4.2.11 Créer un objet-jeton
secreatetokenprivilege =
Le paramètre « secreatetokenprivilege » octroie le droit de créer des objets-jetons de sécurité
locale. Ce privilège donne la possibilité de créer ou de modifier des jetons d’accès. Cette
stratégie n’octroie aucun droit à personne. Ce paramètre peut empêcher les attaques par escalade
de privilèges et les conditions de déni de services.
4.4.2.12 Créer des objets globaux
secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544
Le paramètre « secreateglobalprivilege » octroie le droit de créer des objets disponibles dans
toutes les sessions. La présente stratégie octroie les droits aux administrateurs et au compte
SERVICE. On peut l’utiliser pour affecter d’autres processus d’utilisateurs.
4.4.2.13 Créer des objets partagés permanents)
secreatepermanentprivilege =
Le paramètre « secreatepermanentprivilege » octroie le droit de créer des objets partagés
(dossiers, imprimantes). Les utilisateurs ayant ce privilège pourraient exposer des données
sensibles sur les réseaux en créant un objet partagé. Seuls les membres du groupe des
administrateurs peuvent créer des objets partagés permanents.
56 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.2.14 Déboguer les programmes
sedebugprivilege =
Le paramètre « sedebugprivilege » octroie le droit de déboguer tout processus du noyau. Le
déboguage des programmes ne devrait jamais être effectué dans un environnement opérationnel.
Le cas échéant, on doit octroyer ces droits pour une brève période de temps.
4.4.2.15 Interdire l’accès à cet ordinateur à partir du réseau
sedenynetworklogonright = *S-1-5-32-546, *S-1-5-7
Le paramètre « sedenynetworklogonright » empêche l’accès pour divers protocoles réseau. La
stratégie applique ce paramètre aux invités et à l’ouverture de session par compte
ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux « Guest »,
« Support_388945a0 », et « Built-in Administrator ».
REMARQUE : S’il n’y a aucune raison pour accorder à un groupe ou à un utilisateur l’accès
réseau au systèmem, celui-ci devrait être refusé.
4.4.2.16 Interdire l’ouverture de session en tant que tâche
sedenybatchlogonright = *S-1-5-32-546, *S-1-5-7
Le paramètre « sedenybatchlogonright » empêche la possibilité de créer des tâches par lots. Cette
stratégie applique ce paramètre aux invités et au compte ANONYMOUS LOGON. Les
administrateurs doivent ajouter les comptes locaux « Guest » et « Support_388945a0 ». La
fonction de tâche par lots pourrait être utilisée pour planifier des tâches qui résulteraient en une
attaque par déni de service.
REMARQUE : S’il n’y a aucune raison pour accorder à un groupe ou à un utilisateur l’accès
par ouverture de session en tant que tâche, celui-ci devrait être refusé.
4.4.2.17 Interdire l’ouverture de session en tant que service
sedenyservicelogonright = *S-1-5-32-546,*S-1-5-32-544, *S-1-5-7
Le paramètre « sedenyservicelogonright » empêche l’accès à divers protocoles réseau. La
présente stratégie applique ce paramètre aux comptes Guests, ANONYMOUS LOGON, et
Administrateurs. Les administrateurs doivent ajouter des comptes locaux « Guest »,
« Support_388945a0 » et « Built-in Administrator ».
4.4.2.18 Interdire l’ouverture d’une session locale
sedenyinteractivelogonright = *S-1-5-32-546, *S-1-5-7
Le paramètre « sedenyinteractivelogonright » empêche l’accès local au système. La présente
stratégie applique ce paramètre aux comptes Guests et ANONYMOUS LOGON. Les
administrateurs doivent ajouter les comptes locaux « Guest » et « Support_388945a0 ».
Fichiers de stratégie pour les serveurs Mars 2004 57

Non classifié ITSG pour Windows Server 2003
REMARQUE : S’il n’y a aucune raison accorder à un groupe l’accès de manière interactive au
système, celui-ci devrait être refusé.
4.4.2.19 Interdire l’ouverture de session par les services Terminal Server
sedenyremoteinteractivelogonright = *S-1-5-32-546, *S-1-5-7
Le paramètre « sedenyremoteinteractivelogonright » empêche l’ouverture de session par
l’intermédiaire des services de terminal. La présente stratégie applique ce paramètre aux comptes
Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux
« Guest », « Support_388945a0 » et « Built-in Administrator ».
REMARQUE : S’il n’y a aucune raison pour accorder à un groupe l’accès par les services de
terminal, celui-ci devrait être refusé.
4.4.2.20 Autoriser que l’on fasse confiance aux comptes ordinateur et utilisateur pour la
délégation
seenabledelegationprivilege =
Le paramètre « seenabledelegationprivilege » octroie le droit de modifier le paramètre « trusted
for delegation » pour des objets de l’Active Directory. La présente stratégie n’octroie pas de
privilège à quiconque. La mauvaise utilisation de ce privilège pourrait donner lieu à l’usurpation
de l’identité des utilisateurs dans un domaine.
4.4.2.21 Forcer l’arrêt à partir d’un système distant
seremoteshutdownprivilege =
Le paramètre « seremoteshutdownprivilege » octroie le droit de forcer l’arrêt à partir d’un
système distant. La présente stratégie n’octroie aucun droit à quiconque. Pour fermer les serveurs
dans une zone haute sécurité, il faut y accéder physiquement.
4.4.2.22 Générer des audits de sécurité
seauditprivilege = *S-1-5-19,*S-1-5-20
Le paramètre « seauditprivilege » octroie le droit de générer des enregistrements dans les
journaux de sécurité. La présente stratégie octroie les droits aux comptes NETWORK SERVICE
et LOCAL SERVICE. En limitant les droits aux comptes non interactifs, on peut éviter les
conditions de déni de service par inondation des journaux.
4.4.2.23 Usurper l’identité d’un client après authentification
seimpersonateprivilege = *S-1-5-19,*S-1-5-20
Le paramètre « seimpersonateprivilege » octroie aux applications le droit d’assumer l’identité de
ce client. La présente stratégie octroie les droits aux services Local Service et Network Service.
Pour une sécurité accrue, les privilèges sont limités aux comptes non interactifs.
58 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.2.24 Augmenter la priorité de planification
seincreasebasepriorityprivilege = *S-1-5-32-544
Le paramètre « seincreasebasepriorityprivilege » octroie le droit d’accroître la priorité des
processus. La présente stratégie octroie les privilèges aux administrateurs. Si ce paramètre est
mal utilisé, une condition de déni de service pourrait accaparer les ressources de l’unité centrale.
4.4.2.25 Charger et décharger des pilotes de périphériques
seloaddriverprivilege = *S-1-5-32-544
Le paramètre « seloaddriverprivilege » octroie le droit de charger et de décharger des pilotes de
périphériques. La présente stratégie octroie les privilèges aux administrateurs. Le code du pilote
est exécuté avec des privilèges accrus. En restreignant les privilèges aux administrateurs, le
risque d’exposition s’en trouve réduit.
4.4.2.26 Verrouiller des pages en mémoire
selockmemoryprivilege =
Le paramètre « selockmemoryprivilege » octroie le droit de conserver les données en mémoire
physique. La présente stratégie n’octroie aucun privilège à quiconque. L’utilisation abusive des
privilèges peut accaparer les ressources mémoire et causer une situation de déni de service. En
restreignant ce privilège, on réduit le risque d’exposition à cette menace.
4.4.2.27 Ouvrir une session en tant que tâche
sebatchlogonright =
Le paramètre « sebatchlogonright » octroie le droit de soumettre des tâches par lots (c.-à-d.
ouvrir une session en tant que tâche). La présente stratégie n’octroie aucun droit à quiconque. Le
Planificateur de tâches pourrait provoquer un déni de service. En limitant ce privilège, on réduit
la menace.
4.4.2.28 Ouvrir une session en tant que service
seservicelogonright = *S-1-5-20,*S-1-5-19
Le paramètre « seservicelogonright » octroie le droit d’ouvrir une session en tant que service. La
présente stratégie octroie les droits aux services Local Service et Network Service. Les comptes
interactifs sont expressément exclus.
Fichiers de stratégie pour les serveurs Mars 2004 59

Non classifié ITSG pour Windows Server 2003
4.4.2.29 Gérer le journal d’audit et de sécurité
sesecurityprivilege = *S-1-5-32-544
Le paramètre « sesecurityprivilege » octroie le droit de spécifier les options d’audit et d’accès à
des objets spécifiques. La présente stratégie octroie les droits aux administrateurs. Seuls les
administrateurs peuvent déterminer le niveau d’audit approprié. On s’assure ainsi que les
utilisateurs du système ne peuvent pas réduire les niveaux d’audit et ainsi éliminer les traces de
leurs activités.
4.4.2.30 Modifier les valeurs de l’environnement de microprogrammation
sesystemenvironmentprivilege = *S-1-5-32-544
Le paramètre « sesystemenvironmentprivilege » octroie le droit de modifier les valeurs de
l’environnement de microprogrammation. La présente stratégie octroie ces droits aux
administrateurs seulement. Il faut contrôler la possibilité de modifier les configurations système.
4.4.2.31 Effectuer des tâches de gestion des volumes
semanagevolumeprivilege = *S-1-5-32-544
Le paramètre « semanagevolumeprivilege » octroie le droit de gérer les volumes ou les disques.
La présente stratégie octroie les droits aux administrateurs seulement. La fonction administrative
de gestion des volumes et des disques peut endommager les données utilisateur sur un disque. En
restreignant ce privilège, on réduit la menace.
4.4.2.32 Profil de processus unique
seprofilesingleprocessprivilege = *S-1-5-32-544
Le paramètre « seprofilesingleprocessprivilege » octroie le droit de surveiller la performance des
processus non-système. La présente stratégie octroie ces droits aux administrateurs. Le
« profilage » d’un processus peut fournir de l’information qui pourrait être utilisée comme base
d’attaque. En limitant ces privilèges aux administrateurs, on réduit cette menace.
4.4.2.33 Profil de performance système
sesystemprofileprivilege = *S-1-5-32-544
Le paramètre « sesystemprofileprivilege » octroie le droit de surveiller la performance d’un
processus système. La présente stratégie octroie ces droits aux administrateurs seulement. Le
« profilage » d’un système permet d’obtenir de l’information utile pour une attaque. En limitant
ces privilèges aux administrateurs, on réduit cette menace.
60 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.2.34 Retirer l’ordinateur de la station d’accueil
seundockprivilege = *S-1-5-32-544
Le paramètre « seundockprivilege » octroie le droit de retirer l’ordinateur du serveur. La présente
stratégie octroie ces privilèges aux administrateurs seulement. À titre de mesure préventive, ces
privilèges sont restreints.
4.4.2.35 Remplacer un jeton de niveau processus
seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20
Le paramètre « seassignprimarytokenprivilege » octroie le droit de remplacer un jeton de sécurité
de processus, pour un sous-processus. Ces droits sont octroyés aux services Local Service et
Network Service. On peut se servir de ce paramètre pour lancer des processus en tant qu’« autre
utilisateur », et ainsi masquer des activités non autorisées sur un système.
4.4.2.36 Restaurer des fichiers et des répertoires
serestoreprivilege = *S-1-5-32-544
Le paramètre « serestoreprivilege » octroie le droit de contourner les permissions pour ce qui est
de restaurer les objets. La présente stratégie octroie les privilèges aux administrateurs seulement.
En raison de la nature du processus de restauration, les droits sont restreints aux comptes qui ont
besoin de l’utiliser.
4.4.2.37 Arrêter le système
seshutdownprivilege = *S-1-5-32-544
Le paramètre « seshutdownprivilege » octroie le droit d’arrêter le système localement. La
présente stratégie octroie ce droit aux administrateurs seulement. En restreignant ce privilège, on
réduit les risques d’arrêt accidentel ou malveillant.
4.4.2.38 Synchroniser les données de l’annuaire Active Directory
sesyncagentprivilege =
Le paramètre « sesyncagentprivilege » octroie le droit de lire tous les objets et toutes les
propriétés dans l’annuaire. La présente stratégie révoque tous les privilèges. L’information tirée
de l’Active Directory pourrait être utilisée pour forger une attaque contre le système.
4.4.2.39 Prendre possession des fichiers ou d’autres objets
setakeownershipprivilege = *S-1-5-32-544
Le paramètre « setakeownershipprivilege » octroie le droit de prendre possession de tout objet
pouvant être sécurisé dans le système. La modification de prise de possession sera consignée
dans les journaux. La présente stratégie octroie les privilèges aux administrateurs seulement.
Fichiers de stratégie pour les serveurs Mars 2004 61

Non classifié ITSG pour Windows Server 2003
4.4.3 Options de sécurité
Cette section indique les valeurs pour toutes les entrées dans la section Security Options (Options
de sécurité) de l’interface GUI de la stratégie. Elle comprend les entrées de la section Security
Options de la stratégie de domaine, ainsi que la configuration de base des serveurs membres.
Veuillez noter que toutes les valeurs sont explicitement définies. Ainsi, la sécurité ne dépend pas
de valeurs par défaut.
4.4.3.1 Comptes : État de compte d’administrateur
EnableAdminAccount = 0
Le paramètre « EnableAdminAccount » détermine si le compte de l’administrateur local est
activé. Avec la valeur « 0 », le compte de l’administrateur local est désactivé. Cela empêche
l’utilisation généralisée du compte et le soustrait aux attaques potentielles.
4.4.3.2 Comptes : État de compte d’invité
EnableGuestAccount = 0
Le paramètre « EnableGuestAccount » détermine si le compte d’invité local est activé. Avec la
valeur « 0 », le compte est désactivé. Cela empêche l’utilisation généralisée du compte et le
soustrait aux attaques potentielles.
4.4.3.3 Comptes : Restreindre l’utilisation des mots de passe vierges par le compte local
à l’ouverture de session console
machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4, 1
La valeur de Registre « limitblankpassworduse » détermine si on peut utiliser des comptes
locaux avec des mots de passe vierges pour ouvrir une session à distance. Avec la valeur « 1 »,
ce type d’ouverture de session est interdit. Ainsi, l’accès à distance requiert un nom et un mot de
passe.
4.4.3.4 Comptes : Renommer le compte administrateur
NewAdministratorName = "jeanuntel"
Le mot clé « NewAdministratorName » indique le nom du compte de l’administrateur local. La
valeur « jeanuntel » renomme le compte d’un administrateur local, avec le nom jeanuntel. En
renommant le compte de l’administrateur local, il est difficile pour un attaquant de l’utiliser à
mauvais escient.
REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le
compte Administrateur sur chaque système. Si ce n’est pas le cas, on doit à tout
le moins changer « jeanuntel » pour une valeur locale.
62 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.5 Comptes : Renommer le compte invité
NewGuestName = "jeanneuntel"
Le mot clé « NewGuestName » indique le nom de compte d’invité local. Le paramètre
« jeanneuntel » renomme le compte d’un invité local, avec le nom jeanneuntel. En renommant le
compte de l’administrateur local, il est difficile pour un attaquant de l’utiliser à mauvais escient.
REMARQUE : Ce mot clé devrait être omis si on doit appliquer une stratégie qui renomme le
compte Invité sur chaque système. Si ce n’est pas le cas, on doit à tout le moins
changer « jeanneuntel » pour une valeur locale.
4.4.3.6 Audit : auditer l’accès des objets système globaux
machine\system\currentcontrolset\control\lsa\auditbaseobjects=4, 0
Le paramètre « auditbaseobjects » du Registre détermine si l’accès aux objets système globaux
est audité. Avec la valeur « 0 », cet audit est désactivé.
4.4.3.7 Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration
machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3, 0
Le paramètre « fullprivilegeauditing » détermine si le système auditera les privilèges de
sauvegarde et de restauration. Avec la valeur « 0 », ce privilège est désactivé.
4.4.3.8 Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter
aux audits de sécurité
machine\system\currentcontrolset\control\lsa\crashonauditfail=4, 1
Le paramètre « crashonauditfail » détermine le comportement du système quand il ne peut pas
journaliser des événements de sécurité. Avec la valeur « 1 », le système s’arrête quand il ne peut
pas journaliser. Le gouvernement exige que des données journalisées exhaustives soient
conservées avec soin. Par conséquent, si les fichiers journaux sont pleins, le système ne doit plus
traiter d’autres transactions.
4.4.3.9 Périphériques : autoriser le retrait sans ouverture de session au préalable
machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4, 0
Le paramètre « undockwithoutlogon » détermine si on peut retirer un portable de sa station
d’accueil sans ouvrir de session. Avec la valeur « 0 », ce retrait sans ouverture de session
préalable n’est pas autorisé.
Fichiers de stratégie pour les serveurs Mars 2004 63

Non classifié ITSG pour Windows Server 2003
4.4.3.10 Périphériques : permettre le formatage et l’éjection des supports amovibles
machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0"
Le paramètre « allocatedasd » détermine qui peut formater et éjecter le support amovible. Avec
la valeur « 0 », les administrateurs peuvent formater et éjecter le support amovible. La capacité
de stocker de grandes quantités de données (p. ex., des bases de données entières) devrait être
restreinte aux seules personnes jugées fiables.
4.4.3.11 Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante
services\servers\addprinterdrivers=4, 1
Le paramètre « addprinterdrivers » détermine si les utilisateurs peuvent ajouter des pilotes
d’imprimante. Avec la valeur « 1 », les utilisateurs ne peuvent pas le faire. Cela permet de
d’empêcher que des utilisateurs n’exécutent du code malveillant dans un état privilégié.
4.4.3.12 Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant
ouvert une session
machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1"
Le paramètre « allocatecdroms » détermine si le CD-ROM est pareillement accessible aux
utilisateurs locaux et à distance. Avec la valeur « 1 », l’accès à distance au CD-ROM est restreint
quand il est utilisé par un utilisateur local.
REMARQUE : Ce paramètre permet aux utilisateurs autorisés distants d’accéder au CD-ROM
s’il n’est pas déjà employé par un utilisateur local.
4.4.3.13 Périphériques : ne permettre l’accès aux disquettes qu’aux utilisateurs connectés
localement
machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1"
Le paramètre « allocatefloppies » détermine si l’unité de disquette est simultanément accessible
aux utilisateurs locaux et distants. Avec la valeur « 1 », l’accès à distance est restreint quand
l’unité est employée par un utilisateur local.
REMARQUE : Ce paramètre permet l’accès à distance à l’unité de disquette si personne n’est
connecté comme utilisateur local.
4.4.3.14 Périphériques : comportement d’installation d’un pilote non signé
machine\software\microsoft\driver signing\policy=3, 1
Le paramètre « policy » définit le comportement d’installation d’un pilote non signé. Avec la
valeur « 1 », l’utilisateur reçoit un avertissement avant l’installation du pilote. Si cette option est
appliquée, seuls les pilotes approuvés par les laboratoires WHQL ( Windows Hardware Quality
64 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Lab) sont admissibles. La décision d’installer des pilotes qui ne se trouvent pas dans la liste
WHQL est laissée à l’administrateur.
4.4.3.15 Contrôleur de domaine : permettre aux opérateurs du serveur de planifier des
tâches
machine\system\currentcontrolset\control\lsa\submitcontrol=4, 0
Le paramètre « submitcontrol » détermine si les opérateurs du système peuvent planifier des
tâches. Avec la valeur « 0 », les opérateurs système ne peuvent faire cette planification. Un
nombre élevé de tâches peut créer une condition de déni de service.
4.4.3.16 Contrôleur de domaine : conditions requises pour la signature de serveur LDAP
machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4, 2
Le paramètre « ldapserverintegrity » détermine si le serveur LDAP requiert une signature pour
négocier avec les clients LDAP. Avec la valeur « 2 », la signature du client est requise. Les
données non signées peuvent être utilisées pour des attaques de l’intercepteur. Ce paramètre aide
également à prévenir les détournements de session.
4.4.3.17 Contrôleur de domaine : refuser les modifications de mot de passe du compte
ordinateur
machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4, 0
Le paramètre « refusepasswordchange » détermine si le contrôleur de domaine accepte les
modifications apportées aux mots de passe du compte ordinateur. Avec la valeur « 0 », ces
modifications sont autorisées. La modification régulière des mots de passe réduit la menace des
attaques par la force brute.
4.4.3.18 Membre de domaine : crypter ou signer numériquement les données des canaux
sécurisés (toujours)
machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4, 1
Le paramètre « requiresignorseal » détermine si le membre de domaine chiffrera ou signera
toujours les données des canaux sécurisés. Avec la valeur « 1 », les données des canaux sécurisés
sont chiffrées ou signées. Ce paramètre empêche les anciens systèmes (pré-Windows 2000) de se
joindre à un domaine.
4.4.3.19 Membre de domaine : crypter numériquement les données des canaux sécurisés
(lorsque cela est possible)
machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4, 1
Le paramètre « sealsecurechannel » détermine si un membre de domaine demande le chiffrement
de toutes les données des canaux sécurisés. Avec la valeur « 1 », toutes les données des canaux
sécurisés sont chiffrées. En chiffrant les données des canaux sécurisés, ce système empêche
Fichiers de stratégie pour les serveurs Mars 2004 65

Non classifié ITSG pour Windows Server 2003
l’information sensible d’être transmise en clair. Cela limite la capacité d’un attaquant d’obtenir
de l’information en vue d’une attaque.
4.4.3.20 Membre de domaine : signer numériquement les données des canaux sécurisés
(lorsque cela est possible)
machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4, 1
Le paramètre « signsecurechannel » détermine si un système signera les données des canaux
sécurisés, quand cela est possible. Avec la valeur « 1 », les données des canaux sécurisés sont
signées lorsque cela est possible. Les données non signées peuvent être utilisées pour une attaque
de l’intercepteur. Ce paramètre protège le client contre les détournements de session.
4.4.3.21 Membre de domaine : désactive les modifications de mots de passe du compte
ordinateur
machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4, 0
Le paramètre « disablepasswordchange » détermine si un contrôleur de domaine acceptera les
modifications apportées aux mots de passe du compte ordinateur. Avec la valeur « 0 », ces
modifications sont autorisées. Si ces modifications ne sont pas autorisées, les systèmes ne
pourront pas modifier leurs mots de passe du compte ordinateur. Cela les rendrait susceptibles
aux tentatives de craquage de mots de passe.
4.4.3.22 Membre de domaine : âge maximal du mot de passe du compte ordinateur
machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4, 42
Le paramètre « maximumpasswordage » détermine le nombre maximal de jours entre les
modifications de mot de passe. Avec la valeur « 42 », le mot de passe doit être modifié au moins
tous les 42 jours. Cela assure que le mot de passe est modifié souvent, ce qui contre les tentatives
de craquage de mots de passe.
4.4.3.23 Membre de domaine : nécessite une clé de session forte (Windows 2000 ou
ultérieur
machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4, 1
Le paramètre « requirestrongkey » détermine si un membre de domaine qui établit des
communications sur un canal sécurisé doit utiliser le chiffrement à 128 bits. Avec la valeur « 1 »,
le chiffrement 128 bits doit être utilisé sur un canal sécurisé. Si ce chiffrement est désactivé, le
client doit négocier la robustesse de la clé avec le contrôleur de domaine. Ce paramètre assure le
niveau de protection le plus élevé pour les données transmises sur les canaux sécurisés.
66 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.24 Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur
machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername
=4, 1
Le paramètre « dontdisplaylastusername » détermine si le système affiche un écran d’ouverture
de session sur lequel figure le nom du dernier utilisateur qui a ouvert une session. Avec la valeur
« 1 », ce dernier nom d’utilisateur n’est pas affiché. Ce paramètre préserve l’information vitale
afin de prévenir les attaques.
4.4.3.25 Ouverture de session interactive : ne pas demander la combinaison de touches
Ctrl+Alt+Suppr
machine\software\microsoft\windows\currentversion\policies\system\disablecad=4, 0
Le paramètre « disablecad » détermine si la combinaison de touches CTRL+ALT+DEL
(Ctrl+Alt+Suppr) est requise avant d’ouvrir une session utilisateur. Avec la valeur « 0 », cette
combinaison de touches est requise pour lancer une ouverture de session. La sécurité de
l’architecture Windows dépend de cette combinaison de touches pour lancer l’authentification de
l’utilisateur. Cela permet une séquence d’ouverture inattaquable et de contrer les codes
malveillants comme les chevaux de Troie.
4.4.3.26 Ouverture de session interactive : contenu du message pour les utilisateurs
essayant de se connecter
machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7,
« LE TEXTE DU MINISTÈRE POUR L’OUVERTURE DE SESSION UTILISATEUR DOIT
ÊTRE FOURNI »
Le paramètre « legalnoticetext » est présentée à l’utilisateur avant qu’il n’entre son nom
d’utilisateur et son mot de passe. La valeur indiquée est le texte présenté. Cela peut être utile
pour un organissme en cas de procédures légales.
4.4.3.27 Ouverture de session interactive : titre du message pour les utilisateurs essayant
de se connecter
machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1
« LE TEXTE DU MINISTÈRE POUR L’OUVERTURE DE SESSION UTILISATEUR DOIT
ÊTRE FOURNI »
Le paramètre « legalnoticecaption » est présentée à l’utilisateur, comme titre de la fenêtre qui
contient le titre « legalnoticetext ». La valeur indiquée est le texte présenté. Cela peut être utile
pour un organisme en cas de procédures légales.
Fichiers de stratégie pour les serveurs Mars 2004 67

Non classifié ITSG pour Windows Server 2003
4.4.3.28 Ouverture de session interactive : nombre d'ouvertures de sessions précédentes
réalisées en utilisant le cache (lorsque aucun contrôleur de domaine n'est
disponible))
machine\software\microsoft\windowsnt\currentversion\winlogon\cachedlogonscount=1,"0"
Le paramètre « cachedlogonscount » détermine le nombre d’utilisateurs uniques dont
l’information d’ouverture de session est mise dans le cache local. Avec la valeur « 0 », aucune
information d’ouverture de session n’est mise dans le cache local. Cela assure que l’utilisateur
établit un jeton de sécurité courant avec le contrôleur de domaine. De plus, cela empêche que les
utilisateurs désactivés n’aient accès au système à l’aide de leur information d’identification
d’ouverture de session mise en cache.
4.4.3.29 Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son
mot de passe avant qu’il n’expire
machine\software\microsoft\windowsnt\currentversion\winlogon\passwordexpirywarning=4,
14
Le paramètre « passwordexpirywarning » détermine combien de jours à l’avance l’utilisateur est
avisé de l’expiration de son mot de passe. Avec la valeur ci-dessus, l’utilisateur est avisé 14 jours
avant l’expiration de son mot de passe. L’utilisateur continuera d’être avisé jusqu’à la date
d’expiration du mot de passe.
4.4.3.30 Ouverture de session interactive : nécessite l’authentification par le contrôleur
de domaine pour le déverrouillage de la station de travail)
machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4, 1
Le paramètre « forceunlocklogon » détermine si un contrôleur de domaine doit être contacté pour
déverrouiller un ordinateur. Avec la valeur « 1 », il faut communiquer avec le contrôleur de
domaine. Cela assure que l’utilisateur établit un jeton de sécurité courant avec un contrôleur de
domaine. De plus, cela empêche également les utilisateurs désactivés d’accéder au système par
l’intermédiaire de l’information d’identification d’ouverture de session mise en cache.
4.4.3.31 Ouverture de session interactive : carte à puce nécessaire
machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4, 0
Le paramètre « scforceoption » détermine si l’utilisation d’une carte à puce est requise pour
ouvrir la session. Avec la valeur « 0 », une carte à puce n’est pas requise. La majorité des
serveurs ne nécessitent pas une authentification à deux facteurs. Si toutefois cette capacité est
requise, elle devrait être activée pendant l’application d’une stratégie spécifique à un rôle.
68 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.32 Ouverture de session interactive : comportement lorsque la carte à puce est
retirée
machine\software\microsoft\windowsnt\currentversion\winlogon\scremoveoption=1,"1"
Le paramètre « scremoveoption » détermine le comportement du système lorsqu’une carte à puce
est retirée. Avec la valeur « 1 », le poste de travail est verrouillé lorsque la carte est retirée. Cela
assure la comptabilité des transactions qui requièrent l’authentification par carte à puce.
4.4.3.33 Client réseau Microsoft : communications signées numériquement (toujours)
machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature
=4, 1
Le paramètre « requiresecuritysignature » détermine si le client SMB requiert la signature des
paquets. Avec la valeur « 1 », la signature des paquets est requise. Ce paramètre permet
l’authentification mutuelle. Ce paramètre peut également empêcher les attaques de l’intercepteur
et éliminer les détournements de session. Les anciens systèmes ne prennent pas en charge cette
exigence.
4.4.3.34 Client réseau Microsoft : communications signées numériquement (lorsque le
serveur l’accepte)
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysign
ature=4, 1
Le paramètre « enablesecuritysignature » détermine si un client SMB tente de négocier la
signature de paquets SMB (si le serveur l’accepte). Avec la valeur « 1 », le client négocie la
signature SMB. Ce paramètre permet l’authentification mutuelle. Cela peut empêcher les
attaques de l’intercepteur et éliminer les détournements de session. Les anciens systèmes
(c’est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.35 Client réseau Microsoft : envoyer un mot de passe non crypté aux serveurs SMB
tierce partie
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpas
sword=4, 0
Le paramètre « enableplaintextpassword » détermine si un client SMB envoie des mots de passe
en clair à des serveurs SMB non Microsoft. La valeur « 0 » désactive l’utilisation des mots de
passe en clair. L’utilisation de serveurs SMB non Microsoft qui n’acceptent pas les mots de
passe chiffrés est désactivée dans un environnement haute sécurité. La sécurité des mots de passe
doit toujours être appliquée.
Fichiers de stratégie pour les serveurs Mars 2004 69

Non classifié ITSG pour Windows Server 2003
4.4.3.36 Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session
machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4, 15
Le paramètre « autodisconnect » détermine la durée d’inactivité en minutes avant qu’une session
SMB ne soit suspendue. Avec la valeur « 15 », la session SMB est suspendue après 15 minutes
d’inactivité. Une session inactive consomme des ressources. Les attaquants peuvent établir des
sessions qui consomment des ressources pour lancer une attaque par déni de service. De plus, les
sessions inactives peuvent ralentir, voire rendre inopérants les services SMB.
4.4.3.37 Serveur réseau Microsoft : communications signées numériquement (toujours)
machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature
=4, 1
Le paramètre « requiresecuritysignature » détermine si le serveur signera toujours les
communications SMB. Avec la valeur « 1 », les communications SMB sont toujours
numériquement signées. Ce paramètre assure l’authentification mutuelle pour toutes les
communications. L’authentification mutuelle peut prévenir les attaques de l’intercepteur et
éliminer les détournements de session. Les systèmes anciens (c’est-à-dire antérieurs à
Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.38 Serveur réseau Microsoft : communications signées numériquement (lorsque le
client l’accepte)
machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=
4, 1
Le paramètre « enablesecuritysignature » signe les communications SMB, si le client l’accepte.
Avec la valeur « 1 », les communications SMB sont signées. Ce paramètre assure
l’authentification mutuelle pour toutes les communications. L’authentification mutuelle peut
prévenir les attaques de l’intercepteur et éliminer les détournements de session. Les systèmes
anciens (c’est-à-dire antérieurs à Windows 2000) ne prennent pas en charge cette exigence.
4.4.3.39 Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la
durée de la session
machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4, 1
Le paramètre « enableforcedlogoff » détermine si un utilisateur connecté au réseau est
déconnecté en dehors des heures de travail. Avec la valeur « 1 », l’utilisateur est déconnecté en
dehors des heures de travail.
70 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.40 Accès réseau : permet la traduction de noms/SID anonymes
LSAAnonymousNameLookup = 0
Le paramètre « LSAAnonymousNameLookup » détermine si le système permet la traduction des
noms/SID anonymes. Avec la valeur « 0 », le système n’effectue aucune traduction noms/SID
anonymes. Si ce paramètre est activé, l’utilisateur pourrait employer un SID de compte bien
connu pour obtenir les noms d’utilisateurs dans le compte. Cette information pourrait ensuite
servir pour craquer les mots de passe.
4.4.3.41 Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM
machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4, 1
Le paramètre « restrictanonymoussam » détermine si l’énumération anonyme des comptes SAM
est permise. La valeur « 1 » interdit l’énumération anonyme des comptes SAM. L’énumération
mappe les noms de comptes avec un SID correspondant. Quand le SID est connu, les comptes
Guest et Administrator locaux sont exposés. Une fois identifiés, ils peuvent faire l’objet de
tentatives de craquage de mots de passe.
4.4.3.42 Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partage
SAM
machine\system\currentcontrolset\control\lsa\restrictanonymous=4, 1
Le paramètre « restrictanonymous » détermine si l’énumération anonyme des comptes et des
partages SAM est autorisée. La valeur « 1 » interdit l’énumération anonyme des comptes et des
partages SAM. L’énumération mappe les noms de comptes avec un SID correspondant. Quand le
SID est connu, les comptes Guest et Administrator locaux sont exposés. Une fois identifiés, ils
peuvent faire l’objet de tentatives de craquage de mots de passe.
4.4.3.43 Accès réseau : Ne pas autoriser le stockage d’informations d’identification ou
des passeports .NET pour l’authentification du réseau
machine\system\currentcontrolset\control\lsa\disabledomaincreds=4, 1
Le paramètre « disabledomaincreds » détermine si les mots de passe, les informations
d’identification ou les passeports Microsoft .NET sont enregistrés après leur authentification de
domaine initiale. Avec la valeur « 1 », ces données ne sont pas enregistrées.
Fichiers de stratégie pour les serveurs Mars 2004 71

Non classifié ITSG pour Windows Server 2003
4.4.3.44 Accès réseau : les autorisations spécifiques des utilisateurs appartenant au
groupe Tout le monde s'appliquent aux utilisateurs anonymes
machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4, 0
Le paramètre « everyoneincludesanonymous » détermine quelles autorisations additionnelles
sont accordées aux connexions anonymes à un ordinateur. Avec la valeur « 0 », aucune
autorisation additionnelle n’est accordée aux utilisateurs anonymes. Ainsi, les utilisateurs non
authentifiés n’héritent pas des droits du groupe Tout le monde (Everyone).
4.4.3.45 Accès réseau : canaux nommés qui sont accessibles de manière anonyme
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7,
Le paramètre « nullsessionpipes » détermine l’accès anonyme aux canaux nommés. Une valeur
nulle interdit l’accès anonyme aux canaux nommés. De la sorte, l’accès à tous les systèmes est
autorisé.
4.4.3.46 Accès réseau : chemins de Registre accessibles à distance
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machi
ne=7,
Le paramètre « allowedexactpaths\machine » détermine quels chemins du Registre sont
accessibles à distance, sur le réseau. La présente configuration de base n’a aucune exigence pour
ce qui est de l’information accessible à distance.
4.4.3.47 Accès réseau : chemins et sous-chemins de Registre accessibles à distance
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,
Le paramètre « allowedpaths\machine » détermine les chemins et sous-chemins du Registre qui
peuvent être accessibles sur le réseau. La présente configuration de base ne présente aucune
exigence pour ce qui est de l’information du Registre accessible à distance.
4.4.3.48 Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages
machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,
1
Le paramètre « restrictnullsessaccess » détermine si l’accès anonyme aux canaux nommés et aux
partages est autorisé. Le paramètre « 1 » interdit l’accès anonyme aux canaux nommés et aux
partages. L’accès aux ressources dépend des autorisations pour ces ressources. Si l’accès
anonyme est accordé, il n’y aura aucune possibilité d’identifier qui accède aux objets.
72 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.49 Accès réseau : les partages qui sont accessibles de manière anonyme
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7,
Le paramètre « nullsessionshares » détermine quels partages sont accessibles de façon anonyme
sur le réseau. Un paramètre vide interdit l’accès anonyme à tout partage. Tous les accès au
système devraient être autorisés. L’accès anonyme empêche l’autorisation nette des partages.
4.4.3.50 Accès réseau : modèle de partage et de sécurité pour les comptes locaux
machine\system\currentcontrolset\control\lsa\forceguest=4, 0
Le paramètre « forceguest » détermine le modèle de partage et de sécurité pour les comptes
locaux. Avec la valeur « 0 », l’utilisateur doit être authentifié pour accéder au réseau. Cela
permet l’audit des accès individuels.
4.4.3.51 Sécurité réseau : ne pas stocker les valeurs de hachage de niveau LAN Manager
sur la prochaine modification de mot de passe
machine\system\currentcontrolset\control\lsa\nolmhash=4, 1
Le paramètre « nolmhash » détermine si la valeur de hachage du LAN Manager est enregistrée à
la prochaine modification d’un mot de passe. Avec la valeur « 1 », la valeur de hachage du LAN
Manager n’est pas enregistrée. Cela empêche le stockage local du mot de passe, qui pourrait être
vulnérable aux attaques.
REMARQUE : Dès que ce paramètre devient opérationnel, tous les mots de passe doivent être
changés.
4.4.3.52 Sécurité réseau : forcer la fermeture de session quand les horaires de connexion
expirent
ForceLogoffWhenHourExpire = 1
Le mot clé « ForceLogoffWhenHourExpire » détermine si les utilisateurs connectés localement
sont déconnectés quand ils travaillent en dehors des heures définies. Avec la valeur « 1 », les
utilisateurs sont déconnectés en dehors des heures définies. Les heures sont définies à l’aide des
paramètres « Computer Management », puis « Local Users and Groups ». On devrait créer le
compte avec des heures d’accès restreintes. Nous recommandons que cette stratégie soit
appliquée par la déconnexion en dehors des heures définies.
4.4.3.53 Sécurité réseau : niveau d’authentification LAN Manager
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4, 5
Le paramètre « lmcompatibilitylevel » détermine le niveau d’authentification du LAN Manager.
Avec la valeur « 5 », seules les réponses NTLMv2 sont envoyées tandis que les réponses LM et
NTLM sont refusées. Ce paramètre fait en sorte que seul le mécanisme d’authentification le plus
sûr est permis.
Fichiers de stratégie pour les serveurs Mars 2004 73

Non classifié ITSG pour Windows Server 2003
4.4.3.54 Sécurité réseau : conditions requises pour la signature de clients LDAP
machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4, 1
Le paramètre « ldapclientintegrity » détermine si le client LDAP négocie la signature pour
communiquer avec les serveurs LDAP. Avec la valeur « 2 », la négociation de signature est
requise. Cela réduit la menace d’une attaque de l’intercepteur.
4.4.3.55 Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM
SSP (y compris RPC sécurisé)
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4, 537395248
Le paramètre « ntlmminclientsec » détermine la sécurité de session minimale pour les clients
basés sur NTLM SSP (y compris RPC sécurisé). La valeur « 537395248 » active toutes les
options, comme cela est recommandé, ce qui requiert l’intégrité des messages, la confidentialité,
la sécurité de session NTLMv2 et le chiffrement 128 bits pour l’ouverture de session.
4.4.3.56 Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM
SSP (y compris RPC sécurisé)
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4, 537395248
Le paramètre « ntlmminserversec » détermine la sécurité de session minimale pour les serveurs
basés sur NTLM SSP (y compris RPC sécurisé). La valeur « 537395248 » active toutes les
options, comme cela est recommandé, ce qui requiert l’intégrité des messages, la confidentialité,
la sécurité de session NTLMv2 et le chiffrement 128 bits pour l’ouverture de session.
4.4.3.57 Console de récupération : autoriser l’ouverture de session d’administration
automatique
machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\securitylevel=4,
0
Le paramètre « securitylevel » détermine si la console de récupération requiert un mot de passe
d’administrateur pour ouvrir une session. Avec la valeur « 0 », un tel mot de passe est requis. Il
n’est pas recommandé d’activer ce paramètre pour permettre à quiconque d’arrêter un serveur.
4.4.3.58 Console de récupération : autoriser la copie de disquettes et l’accès à tous les
lecteurs et dossiers
machine\software\microsoft\windowsnt\currentversion\setup\recoveryconsole\setcommand=4,
0
Le paramètre « setcommand » détermine si la commande « SET » dans la console de
récupération est disponible. La valeur « 4 » désactive la commande « SET » (p. ex., la copie sur
des supports amovibles est désactivée).
74 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.4.3.59 Arrêt : permettre au système d’être arrêté sans avoir à se connecter
machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4
, 0
Le paramètre « shutdownwithoutlogon » détermine si le système peut être arrêté sans que
l’utilisateur n’ait à se connecter. Avec la valeur « 0 », l’utilisateur doit ouvrir une session,
c’est-à-dire se connecter. De la sorte, seuls les utilisateurs autorisés peuvent arrêter le système.
4.4.3.60 Arrêt : effacer le fichier d’échange de mémoire virtuelle
machine\system\currentcontrolset\control\sessionmanager\memory\management\clearpagefile
atshutdown=4, 1
Le paramètre « clearpagefileatshutdown » détermine si le contenu du fichier d’échange est écrasé
quand l’arrêt se fait sans problème. Avec la valeur « 1 », le fichier d’échange est effacé quand
l’arrêt se fait normalement. De l’information sensible sur le système et les utilisateurs peut être
contenue dans le fichier d’échange. En s’assurant qu’il est effacé, le risque que cette information
tombe entre les mains d’un attaquant est réduit.
4.4.3.61 Cryptographie système : forcer une protection forte des clés utilisateur
enregistrées sur l'ordinateur
machine\software\policies\microsoft\cryptography\forcekeyprotection=4, 2
Le paramètre « forcekeyprotection » détermine si les clés d’utilisateur (p. ex., SMIME)
requièrent un mot de passe chaque fois qu’elles doivent être utilisées. Avec la valeur « 2 », il faut
entrer un mot de passe chaque fois qu’une clé privée est utilisée. Ainsi, une session qui requiert
du matériel de chiffrement est utilisée avec le consentement du propriétaire.
4.4.3.62 Cryptographie système : utiliser des algorithmes compatibles FIPS pour le
cryptage, le hachage et la signature
machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4, 1
Le paramètre « fipsalgorithmpolicy » détermine si le fournisseur de sécurité TLS/SSL (Transport
Layer Security / Secure Socket Layer) prend en charge seulement la série de chiffrement
TLS_RSA_WITH_3DES_EDE_CBC_SHA. Avec la valeur « 1 », l’utilisation de cette suite est
requise. Au gouvernement fédéral, ce paramètre est requis pour tous les serveurs afin d’assurer la
conformité aux politiques en matière de cryptographie.
4.4.3.63 Objets système : propriétaire par défaut pour les objets créés par les membres
du groupe Administrateurs
machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4, 1
Le paramètre « nodefaultadminowner » détermine si les objets créés par les membres du groupe
Administrateurs appartiennent au groupe ou au créateur de l’objet. Avec la valeur « 1 », les
objets appartiennent au créateur. Ainsi, les actions des administrateurs individuels peuvent être
isolées et auditées.
Fichiers de stratégie pour les serveurs Mars 2004 75

Non classifié ITSG pour Windows Server 2003
4.4.3.64 Objets système : les différences entre les majuscules et minuscules ne doivent pas
être prises en compte pour les sous-systèmes autres que Windows
machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4, 1
Le paramètre « obcaseinsensitive » détermine si la différence entre majuscules et minuscules est
requise pour les sous-systèmes autres que Windows. Avec la valeur « 1 », la différence entre
majuscules et minuscules n’est pas prise en compte pour les sous-systèmes autres que Windows.
Cela désactive la capacité des systèmes non Windows de créer des fichiers qui sont inaccessibles
sur le système Windows. De plus, ce paramètre désactive la capacité de bloquer l’accès à
d’autres fichiers portant un même nom, mais en majuscules.
4.4.3.65 Objets système : renforcer les autorisation par défaut des objets système
internes (comme les liens de symboles)
machine\system\currentcontrolset\control\session manager\protectionmode=4, 1
Le paramètre « protectionmode » détermine si les autorisations pour les objets système internes
(p. ex., les liens de symbole) sont renforcées. La valeur « 1 » renforce la protection des objets
système internes. Il permet aux utilisateurs autres que les administrateurs de voir les objets
partagés qu’ils n’ont pas créés, mais non de les modifier.
4.4.3.66 Paramètres système : sous-systèmes optionnels
machine\system\currentcontrolset\control\session manager\subsystems\optional=7,
Le paramètre « optional » détermine quels sous-systèmes sont utilisés pour soutenir les
applications. Un paramètre vide interdit tout système facultatif. L’utilisation des sous-systèmes
pourrait être justifiée selon les exigences opérationnelles. Aucun sous-système ne devrait être
validé, sauf si on en a besoin.
4.4.3.67 Paramètres système : utiliser les règles de certificat avec les exécutables
Windows pour les stratégies de restriction logicielle
machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4, 0
Le paramètre « authenticodeenabled » détermine l’utilisation des règles de certificat avec les
exécutables Windows pour les stratégies de restriction logicielle. Avec la valeur « 0 », aucune
règle de certificat n’est utilisée à l’égard des exécutables Windows pour les stratégies de
restriction logicielle.
4.5 Journaux des événements
Le guide Microsoft indique que la taille totale de tous les journaux d’événements ne devrait pas
dépasser 300 Mo. Si cette valeur est dépassée, le système pourrait être incapable de journaliser
les événements, ou encore il pourrait y avoir défaillance des journaux.
Bien que l’interface puisse permettre une taille des journaux atteignant 4 Go, on court le risque
de perdre des entrées de journal si on dépasse les 300 Mo. La stratégie suivante utilise l’espace
disponible complet à affecter entre les différents journaux d’événements.
76 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.5.1 Taille des journaux
4.5.1.1 Taille maximale du journal des applications
MaximumLogSize = 76800 (in [Application Log] section)
Le paramètre « MaximumLogSize » détermine la taille du journal des événements Application.
La valeur « 76800 » crée un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par
événement, ce journal peu consigner plus de 153 000 événements. Cela permettra au système de
fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal.
REMARQUE : En raison de la grande diversité des événements, nous recommandons de
surveiller les fichiers journaux pendant la période opérationnelle initiale.
4.5.1.2 Taille maximale du journal de sécurité
MaximumLogSize = 153600 (in [Security Log] section)
Le paramètre « MaximumLogSize » détermine la taille du journal des événements Sécurité. La
valeur « 153600 » crée un fichier journal de 153 600 Ko. Avec une moyenne de 500 octets par
événement, ce journal peu consigner plus de 307 200 événements. Cela permettra au système de
fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal.
REMARQUE : En raison de la grande diversité des événements, nous recommandons de
surveiller les fichiers journaux pendant la période opérationnelle initiale.
4.5.1.3 Taille maximale du journal système
MaximumLogSize = 76800 (in [System Log] section
Le paramètre « MaximumLogSize » détermine la taille du journal des événements Système. La
valeur « 76800 » crée un fichier journal de 76 800 Ko. Avec une moyenne de 500 octets par
événement, ce journal peu consigner plus de 153 000 événements. Cela permettra au système de
fonctionner pendant une période prolongée sans nécessiter le vidage du fichier journal.
REMARQUE : En raison de la grande diversité des événements, nous recommandons de
surveiller les fichiers journaux pendant la période opérationnelle initiale.
4.5.2 Accès des invités
4.5.2.1 Empêcher les groupes d’invités locaux d’accéder aux journaux Application,
Sécurité et Système
RestrictGuestAccess = 1(in [Application Log] or [Security Log] or [System Log] section)
Le paramètre « RestrictGuestAccess » détermine si les comptes ayant un accès de type « invité »
peuvent accéder aux journaux. La vakeur « 1 » interdit aux invités d’accéder aux journaux.
L’accès à l’information contenue dans les journaux fournit à un attaquant potentiel de
l’information précieuse qui pourrait servir à monter une attaque contre le système ou les
utilisateurs. Par conséquent, seuls les utilisateurs authentifiés ont accès aux journaux fichiers.
Fichiers de stratégie pour les serveurs Mars 2004 77

Non classifié ITSG pour Windows Server 2003
4.5.3 Méthode de conservation
4.5.3.1 Méthode de conservation du journal des applications
AuditLogRetentionPeriod = 2(in [Application Log] or [Security Log] or [System Log] section)
Le paramètre « AuditLogRetentionPeriod » détermine le comportement du système quand le
journal est plein. Avec la valeur « 2 », le système s’arrête s’il est impossible d’écrire les
événements dans le journal. L’utilisation de ce paramètre devrait être conforme à la politique
ministérielle sur la conservation des fichiers journaux.
4.6 Services du système
Dans le présent guide, nous présentons de nombreux services qui sont désactivés. Nous justifions
notre recommandation pour chaque service désactivé. Dans certains cas, une approche plus
souple peut être requise.
Il est important de noter qu’un service désactivé peut n’être requis qu’à l’occasion. Par exemple,
le service Performance Logs and Alerts (Journaux et alertes de performance) est désactivé.
Toutefois, pour un besoin temporaire, l’administrateur pourrait activer ce service, régler un
problème puis le désactiver à nouveau, c’est-à-dire revenir à la configuration originale.
4.6.1 Services explicitement couverts par le guide Microsoft
4.6.1.1 Avertissement
"alerter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service avise les utilisateurs et les ordinateurs sélectionnés des avertissements administratifs.
La présente stratégie désactive ce service.
4.6.1.2 Service de la passerelle de la couche Application
"alg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service est une sous-composante du service Internet Connection Sharing (ICS) / Internet
Connection Firewall (ICF) (Partage de connexion Internet (ICS) / Pare-feu de connexion Internet
(ICS)). La présente stratégie désactive ce service.
78 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.3 Gestion d’applications
"appmgmt", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service fournit des services d’installation de logiciels. La présente stratégie désactive ce
service.
4.6.1.4 Service d’état ASP de .NET
"aspnet_state", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service prend en charge les états de session hors processus ASP de .NET. La présente
stratégie désactive ce service.
4.6.1.5 Mises à jour automatiques
"wuauserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service active le téléchargement et l’installation automatique des mises à jour logicielles. La
présente stratégie désactive ce service.
4.6.1.6 Service de transfert intelligent en arrière-plan
"bits", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service sert à transférer les fichiers en mode asynchrone entre un client et un serveur http. La
présente stratégie désactive ce service.
4.6.1.7 Services de certificat
"certsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service exécute les fonctions de base pour une autorité de certification. La présente stratégie
désactive ce service.
Fichiers de stratégie pour les serveurs Mars 2004 79

Non classifié ITSG pour Windows Server 2003
4.6.1.8 Fournisseur de clichés instantanés des logiciels MS
"swprv", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service prend en charge la création de clichés instantanés de fichiers, servant aux sauvegardes
système. Dans la présente stratégie, le démarrage est en mode manuel pour ce service.
4.6.1.9 Service client pour Netware
"nwcworkstation", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure l’accès aux fichiers et imprimantes sur les réseaux NetWare. La présente
stratégie désactive ce service.
4.6.1.10 Gestionnaire de l’Album
"clipsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service crée et partage des « pages » de données qui peuvent être affichées par des utilisateurs
distants. La présente stratégie désactive ce service.
4.6.1.11 Service de cluster
"clussvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service prend en charge les regroupements de membres dans un environnement grande
disponibilité (cluster). Ce service est désactivé.
4.6.1.12 Système d’événements de COM+
"eventsystem", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service élargit le modèle de programmation COM+. Dans la présente stratégie, ce service
démarre automatiquement au démarrage de Windows.
80 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.13 Application système COM+
"comsysapp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service gère la configuration et le suivi des composants de base COM+. Ce service est
désactivé.
4.6.1.14 Explorateur d’ordinateurs
Ce service tient à jour une liste des ordinateurs présents sur votre réseau.
4.6.1.14.1 Base de membres du domaine
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.14.2 Base de membres du groupe de travail
"browser", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.15 Services de cryptographie
"cryptsvc", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service assure la gestion des clés pour l’ordinateur. Dans la présente stratégie, ce service
démarre automatiquement au démarrage.
4.6.1.16 Client DHCP
Ce service inscrit et met à jour les adresses des serveurs DHCP et DNS dans le domaine.
4.6.1.16.1 Base de membres du domaine
"dhcp", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
Fichiers de stratégie pour les serveurs Mars 2004 81

Non classifié ITSG pour Windows Server 2003
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage.
4.6.1.16.2 Base de membres du groupe de travail
"dhcp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.17 Serveur DHCP
"dhcpserver", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service alloue les adresses IP. Ce service est désactivé.
4.6.1.18 Système de fichiers distribués
"dfs", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)
Ce service gère les volumes locaux sur les réseaux locaux ou étendus. Ce service est désactivé.
4.6.1.19 Client de suivi de lien distribué
"trkwks", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fait en sorte que les raccourcis (entre autres objets) fonctionnent après que la cible a
été retirée. Ce service est désactivé.
4.6.1.20 Serveur de suivi de lien distribué
"trksvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service enregistre de l’information de sorte que les fichiers transférés entre des volumes
puissent être suivis. Ce service est désactivé.
82 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.21 Coordinateur de transactions distribuées)
"msdtc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service coordonne les transactions qui seront distribuées sur plusieurs systèmes informatiques
ou gestionnaires de ressources. Ce service est désactivé.
4.6.1.22 Client DNS
Ce service résout et met en cache les noms DNS.
4.6.1.22.1 Serveur de membres de domaine
"dnscache", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.22.2 Serveur de membres d’un groupe de travail
"dnscache", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.23 Serveur DNS
"dns", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service répond aux demandes de renseignements au sujet des noms DNS. Ce service est
désactivé.
4.6.1.24 Error Reporting Service (Service de rapports d’erreurs)
"ersvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service recueille, enregistre et active les rapports d’erreurs pour les fermetures d’applications
imprévues dans Microsoft. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 83

Non classifié ITSG pour Windows Server 2003
4.6.1.25 Journal des événements
"eventlog", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service active les messages d’événements devant être affichés. Dans la présente stratégie, ce
service démarre automatiquement au démarrage de Windows.
4.6.1.26 Service de télécopie
"fax", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service offre des fonctionnalités de télécopie. Ce service est désactivé.
4.6.1.27 Réplication de fichiers
"ntfrs", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service copie et maintient automatiquement les fichiers sur les serveurs multiples. Ce service
est désactivé.
4.6.1.28 Serveur de fichiers pour Macintosh
"macfile", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure l’accès aux fichiers sur le réseau pour les ordinateurs Macintosh. Ce service est
désactivé.
4.6.1.29 Service de publication FTP
"msftpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure la connectivité et l’administration par l’intermédiaire du jeu d’outils
intégrables IIS. Ce service est désactivé.
84 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.30 Aide et support
"helpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service permet à l’application Aide et support de fonctionner sur l’ordinateur. Ce service est
désactivé.
4.6.1.31 HTTP SSL
"httpfilter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service assure des fonctions SSL au service IIS. Ce service est désactivé.
4.6.1.32 Accès du périphérique d’interface utilisateur
"hidserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service permet l’utilisation de boutons actifs prédéfinis sur le clavier. Ce service est
désactivé.
4.6.1.33 Accès à la base de données IAS Jet
"iasjet", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service utilise le service RADIUS pour assurer des services d’authentification, d’autorisation
et de comptabilité. Ce service est désactivé.
4.6.1.34 Service d’administration IIS
"iisadmin", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service permet l’administration des composantes IIS. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 85

Non classifié ITSG pour Windows Server 2003
4.6.1.35 Service COM de gravage de CD IMAPI
"imapiservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service gère le gravage des CD-ROM. Ce service est désactivé.
4.6.1.36 Service d’indexation
"cisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service indexe le contenu et les propriétés des fichiers. Ce service est désactivé.
4.6.1.37 Moniteur infrarouge
"irmon", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service active le partage de fichiers et d’images par l’intermédiaire de dispositifs infrarouges.
Ce service est désactivé.
4.6.1.38 Service d’authentification Internet
"ias", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service gère les fonctions d’authentification, d’autorisation et de comptabilité réseau. Ce
service est désactivé.
4.6.1.39 Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS)
"sharedaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit les services Internet pour des petits réseaux locaux. Ce service est désactivé.
86 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.40 Messagerie inter-sites
"ismserv", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service sert aux fonctionnalités de réplication basées sur la messagerie électronique. Ce
service est désactivé.
4.6.1.41 Service d’aide IP Version 6
"6to4", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service offre la connectivité IPV6 sur un réseau IPV4. Ce service est désactivé.
4.6.1.42 Agent de stratégie IPSEC (Service IPSec)
"policyagent", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure des services de chiffrement à tous les clients et serveurs sur le réseau. Dans la
présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.43 Centre de distribution de clés Kerberos
"kdc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet l’ouverture de session utilisateur à l’aide du protocole d’authentification
Kerberos v5. Ce service est désactivé.
4.6.1.44 Service d’enregistrement de licences
"licenseservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service enregistre l’information sur les licences d’accès des clients. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 87

Non classifié ITSG pour Windows Server 2003
4.6.1.45 Gestionnaire de disque logique
"dmserver", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service détecte tous les nouveaux disques durs et transmet l’information sur les volumes de
disque au service d’administration du Gestionnaire de disque logique. Dans la présente stratégie,
le démarrage de ce service se fait manuellement.
4.6.1.46 Service d’administration du Gestionnaire de disque logique
"dmadmin", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service traite les demandes de gestion de disque. Dans la présente stratégie, le démarrage de
ce service se fait manuellement.
4.6.1.47 Message Queuing
"msmq", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service offre une infrastructure et les outils de développement pour créer des applications de
messagerie distribuée. Ce service est désactivé.
4.6.1.48 Clients Message Queuing de niveau inférieur
"mqds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit un accès à l’Active Directory, pour les clients Message Queuing. Ce service
est désactivé.
4.6.1.49 Déclencheurs Message Queuing
"mqtgsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure l’analyse, basée sur des règles, des messages qui arrivent dans la file d’attente
des messages. Ce service est désactivé.
88 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.50 Affichage des messages
"messenger", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service transmet les messages du service Avertissement entre les clients et les serveurs. Ce
service est désactivé.
4.6.1.51 Service POP3 Microsoft
"pop3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure le transfert et la récupération des courriels. Ce service est désactivé.
4.6.1.52 MSSQL$UDDI
"mssql$uddi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service publie et trouve l’information au sujet des services Web. Ce service est désactivé.
4.6.1.53 MSSQLServerADHelper
"mssqlserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure les fonctionnalités SQL à un serveur. Ce service est désactivé.
4.6.1.54 .NET Framework Support Service (Service de soutien de .NET Framework)
"corrtsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service avise un client abonné quand un processus spécifique initialise le service Client
Runtime (Exécution cliente). Ce service est désactivé.
4.6.1.55 Netlogon
Ce service authentifie les utilisateurs et les services.
Fichiers de stratégie pour les serveurs Mars 2004 89

Non classifié ITSG pour Windows Server 2003
4.6.1.56 Serveur de membres de domaine
"netlogon", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.57 Serveur de membres de groupe de travail
"netlogon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.58 Partage de bureau à distance NetMeeting
"mnmsrvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet l’accès à un système à l’aide de NetMeeting. Ce service est désactivé.
4.6.1.59 Connexions réseau
"netman", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les objets dans le dossier Network Connections (Connexions réseau). Dans la
présente stratégie, le démarrage de ce service se fait manuellement. Ce service démarrera
automatiquement quand l’interface Network Connections est appelée.
4.6.1.60 DDE réseau
"netdde", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure le transport réseau et la sécurité pour le service DDE. Ce service est désactivé.
4.6.1.61 DSDM DDE réseau
"netddedsdm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les partages de réseau DDE. Ce service est désactivé.
90 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.62 NLA (Network Location Awareness)
"nla", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service recueille et stocke de l’information sur le réseau. Ce service est désactivé.
4.6.1.63 Protocole NNTP
"nntpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit des fonctionnalités de serveur de nouvelles. Ce service est désactivé.
4.6.1.64 Fournisseur de la prise en charge de sécurité LM NT
"ntlmssp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure la sécurité aux programmes RPC. Cela permet aux utilisateurs d’ouvrir une
session en utilisant l’authentification NT LM au lieu de Kerberos. Ce service est désactivé.
4.6.1.65 Journaux et alertes de performance
"sysmonlog", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service recueille des données sur la performance. Ce service est désactivé.
4.6.1.66 Plug and Play
"plugplay", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet à l’ordinateur d’adapter les modifications de configuration de matériel avec
une intervention minimale de l’utilisateur. Ce service est désactivé.
4.6.1.67 Portable Media Serial Number (Numéro de série de périphérique portable)
"wmdmpmsn", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service récupère les numéros de série pour tous lecteurs de musique portables connectés au
système. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 91

Non classifié ITSG pour Windows Server 2003
4.6.1.68 Serveur d’impression pour Macintosh
"macprint", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure l’accès d’impression réseau aux ordinateurs Macintosh. Ce service est
désactivé.
4.6.1.69 Spouleur d’impression
"spooler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les files d’attente d’impression locales et réseau et contrôle tous les travaux
d’impression. Ce service est désactivé.
4.6.1.70 Emplacement protégé
"protectedstorage", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit un stockage protégé, afin d’empêcher l’accès par des services, des processus
ou des utilisateurs non autorisés. Dans la présente stratégie, ce service démarre automatiquement
au démarrage.
4.6.1.71 Gestionnaire de connexion automatique d’accès distant
"rasauto", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service détecte les tentatives infructueuses de connexion à un ordinateur ou un réseau distant.
Il constitue une méthode de remplacement pour la connexion. Ce service est désactivé.
4.6.1.72 Remote Access Connection Manager (Gestionnaire de connexion d’accès distant)
"rasman", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les connexions commutées et RPV avec un serveur. Ce service est désactivé.
92 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.73 Service d’administration à distance
"srvcsurg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure une interface aux outils d’administration de serveurs à distance. Ce service est
désactivé.
4.6.1.74 Gestionnaire de session d’aide sur le Bureau à distance
"rdsessmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service contrôle la fonction d’aide à distance dans l’application Help and Support Center
(Centre d’aide et de support). Ce service est désactivé.
4.6.1.75 Installation à distance
"binlsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service est une fonction de déploiement Windows. Ce service est désactivé.
4.6.1.76 Appel de procédure distante (RPC)
"rpcss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service est un mécanisme de communication interprocessus sécurisé. Dans la présente
stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.77 Localisateur d’appels de procédure distante (RPC)
"rpclocator", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet aux clients RPC de localiser les serveurs RPC. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 93

Non classifié ITSG pour Windows Server 2003
4.6.1.78 Service d’accès à distance au Registre
"remoteregistry", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet aux utilisateurs distants de modifier les paramètres du Registre sur le système.
Ce service est désactivé.
4.6.1.79 Gestionnaire de serveur à distance
"appmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service fonctionne comme fournisseur d’instances WMI (Windows Management
Instrumentation) pour les Objets d’avertissement d’administration à distance (Remote
Administration Alert Objects). Il agit également comme fournisseur de méthode WMI pour les
tâches d’administration à distance. Ce service est désactivé.
4.6.1.80 Remote Server Monitor (Moniteur de serveur à distance)
"appmon", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPD
TLOCRSDRCWDWO;;;WD)"
Ce service assure des fonctionnalités de surveillance des ressources sur les systèmes gérés à
distance. Ce service est désactivé.
4.6.1.81 Service de notification de stockage étendu
"remote_storage_user_link", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service avise un utilisateur quand il accède à des données sur des unités de stockage
secondaires. Ce service est désactivé.
4.6.1.82 Serveur de stockage étendu
"remote_storage_server", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le serveur Remote Storage Server contient les fichiers peu utilisés dans des unités de stockage
secondaires. Ce service est désactivé.
94 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.83 Stockage amovible
"ntmssvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service maintient un catalogue d’information au sujet des supports amovibles utilisés par le
système. Ce service est désactivé.
4.6.1.84 Fournisseur d’un jeu de stratégies résultant
"rsopprov", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service simule la stratégie de sécurité afin d’en déterminer les effets. Ce service est désactivé.
4.6.1.85 Routage et accès distant
"remoteaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure des services de routage multiprotocoles LAN-LAN, LAN-WAN et NAT. Ce
service est désactivé.
4.6.1.86 Agent SAP
"nwsapagent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service annonce les services sur un réseau IPX. Ce service est désactivé.
4.6.1.87 Ouverture de session secondaire
"seclogon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet aux utilisateurs de créer des processus dans des contextes de sécurité
différents. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 95

Non classifié ITSG pour Windows Server 2003
4.6.1.88 Gestionnaire de comptes de sécurité
"samss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère des informations de sécurité pour les comptes utilisateur et les groupes. Dans la
présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.89 Serveur
"lanmanserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure divers soutiens sur le réseau (RPC, fichier, impression et canaux nommés).
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.90 Détection matériel noyau
"shellhwdetection", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service surveille et offre des modifications pour les événements matériel de lecture
automatique. Ce service est désactivé.
4.6.1.91 Protocole SMTP
"smtpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service transporte le courrier électronique sur le réseau. Ce service est désactivé.
4.6.1.92 Services TCP/IP simplifiés
"simptcp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ces services offrent divers protocoles. Ce service est désactivé. Les services configurés sont les
suivants :
Echo Port 7
Discard Port 9
Character Generator Port 19
Daytime Port 13
Quote of the day Port 17
96 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.93 Agent stockage d’instance unique
"groveler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service soutient le service d’installation à distance. Ce service est désactivé.
4.6.1.94 Carte à puce
"scardsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère l’accès aux lecteurs de carte à puce. Ce service est désactivé.
4.6.1.95 Service SNMP
"snmp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet aux demandes SNMP entrantes d’être traitées par le système. Ce service est
désactivé.
4.6.1.96 Service d’interruption SNMP
"snmptrap", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service reçoit les messages d’interruption générés par les agents SNMP. Ce service est
désactivé.
4.6.1.97 Application d’assistance de la Console d’administration spéciale
"sacsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service exécute des tâches de gestion à distance. Ce service est désactivé.
4.6.1.98 SQLAgent$* (*UDDI ou WebDB)
"sqlagent$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service surveille et ordonnance les travaux. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 97

Non classifié ITSG pour Windows Server 2003
4.6.1.99 Notification d’événements système
"sens", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure des services de surveillance et de suivi des événements système. Dans la
présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.100 Planificateur de tâches
"schedule", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet de configurer et de planifier les tâches automatisées sur le système. Ce service
est désactivé.
4.6.1.101 Service d’assistance TCP/IP NetBIOS
Ce service offre un soutien pour le NetBIOS sur les protocoles TCP/IP. Ce service est requis
pour les membres d’un domaine.
4.6.1.101.1 Serveur de membres de domaine
"lmhosts", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.101.2 Serveur de membres de groupe de travail
"lmhosts", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.102 Serveur d’impression TCP/IP
"lpdsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service active l’impression à partir de TCP/IP. Ce service est désactivé.
98 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.103 Téléphonie
"tapisrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service offre un soutien pour les programmes qui contrôlent la téléphonie et les dispositifs
voix basés sur le protocole IP. Ce service est désactivé.
4.6.1.104 Telnet
"tlntsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure des sessions de terminal ASCII aux clients telnet. Ce service est désactivé.
4.6.1.105 Services Terminal Server
"termservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ces services permettent aux utilisateurs d’accéder à une session sur poste de travail Windows
virtuel. Ce service est désactivé.
4.6.1.106 Gestionnaire de licences Terminal Server
"termservlicensing", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit des licences de clients enregistrés quand ceux-ci se connectent à un serveur
Terminal Server. Ce service est désactivé.
4.6.1.107 Répertoire des sessions Terminal Server
"tssdis", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service offre un environnement multisession qui permet l’accès à un poste de travail
Windows virtuel. Ce service est désactivé.
Fichiers de stratégie pour les serveurs Mars 2004 99

Non classifié ITSG pour Windows Server 2003
4.6.1.108 Thèmes
"themes", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les thèmes. Ce service est désactivé.
4.6.1.109 Service Trivial FTP
"tftpd", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service est un protocole de transfert de fichiers qui ne requiert pas d’authentification. Ce
service est désactivé.
4.6.1.110 Onduleur (UPS)
"ups", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère un bloc d’alimentation sans coupure. Ce service est désactivé.
4.6.1.111 Gestionnaire de téléchargement
"uploadmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère les transferts de fichiers entre les clients et les serveurs. Les données du pilote
sont téléchargées, en mode anonyme, d’un ordinateur client à Microsoft. Ce service est
désactivé.
4.6.1.112 Service de disque virtuel
"vds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure une interface unique pour gérer la visualisation du stockage en bloc. Ce service
est désactivé.
100 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.113 Cliché instantané de volume
"vss", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service gère et applique les clichés instantanés de volume utilisés pour les sauvegardes. Dans
la présente stratégie, le démarrage de ce service se fait manuellement.
4.6.1.114 WebClient
"webclient", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet aux applications Win32 d’accéder aux documents sur Internet. Ce service est
désactivé.
4.6.1.115 Gestionnaire d’élément Web
"elementmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service offre des éléments d’interface utilisateur Web pour le site Web d’administration sur le
port 8098. Ce service est désactivé.
4.6.1.116 Service Audio Windows
"audiosrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS
DRCWDWO;;;WD)"
Ce service assure les fonctionnalités de soutien pour le son. Ce service est désactivé.
4.6.1.117 Acquisition d’images Windows (WIA)
"stisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service prend en charge les numériseurs et les caméras. Ce service est désactivé.
4.6.1.118 Windows Installer
Ce service gère l’installation et la suppression des applications.
Fichiers de stratégie pour les serveurs Mars 2004 101

Non classifié ITSG pour Windows Server 2003
4.6.1.118.1 Serveur de membres de domaine
"msiserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.118.2 Serveur de membres de groupe
"msiserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.119 Service WINS
"wins", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service permet de résoudre les noms NetBIOS. Ce service est désactivé.
4.6.1.120 Infrastructure de gestion Windows
"winmgmt", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service offre une interface commune pour accéder à l’information de gestion. Dans la
présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.121 Extensions du pilote WMI
"wmi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service surveille tous les pilotes et les fournisseurs de traces d’événements qui publient des
données WMI ou de l’information sur les traces d’événements. Ce service est désactivé.
4.6.1.122 Services Windows Media
"wmserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ces services assurent la transmission multimédia en continu sur les réseaux IP. Ce service est
désactivé.
102 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.6.1.123 Gestionnaire de ressources système Windows
"windowssystemresourcemanager", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service est un outil qui aide les clients à déployer leurs applications. Ce service est désactivé.
4.6.1.124 Service de temps Windows
"w32time", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure la synchronisation des dates et des heures. Dans la présente stratégie, ce
service démarre automatiquement au démarrage de Windows.
4.6.1.125 Service de découverte automatique de Proxy Web pour les services HTTP
Windows
"winhttpautoproxysvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service met en place le protocole WPAD (découverte automatique de Proxy Web). Ce
protocole WPAD est un service client HTTP qui localise les serveurs proxy. Ce service est
désactivé.
4.6.1.126 Configuration sans fil
"wzcsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure la configuration automatique des adaptateurs sans fil IEEE 802.11. Ce service
est désactivé.
4.6.1.127 Carte de performance WMI
"wmiapsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service fournit de l’information sur les bibliothèques de performance. Ce service est
désactivé.
4.6.1.128 Station de travail
Ce service crée et maintient les connexions avec les réseaux clients.
Fichiers de stratégie pour les serveurs Mars 2004 103

Non classifié ITSG pour Windows Server 2003
4.6.1.128.1 Serveur de membres de domaine
"lanmanworkstation", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, ce service démarre automatiquement au démarrage de Windows.
4.6.1.128.2 Serveur de membres de groupe
"lanmanworkstation", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dans la présente stratégie, le démarrage de ce service est désactivé.
4.6.1.129 Service de publication World Wide Web
"w3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service assure la connectivité et l’administration Web par l’intermédiaire du module IIS. Ce
service est désactivé.
4.6.2 Services non expressément couverts dans le guide Microsoft
Les entrées de service suivantes dans le fichier de stratégie ne sont pas représentées dans
l’interface GUI.
"fastuserswitchingcompatibility", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service « fastuserswitchingcompatibility » n’est pas une exigence de base d’un serveur
Windows 2003. Ce service est désactivé.
"mssql$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service MSSQL$webdb est utilisé pour publier et localiser l’information au sujet des services
Web. Ce service est désactivé.
"mssqlserveradhelper", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service MSSQLServerADHelper permet à un serveur SQL et aux SQL Server Analysis
Services de publier de l’information dans l’Active Directory. Ce service est désactivé.
104 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"saldm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service « saldm » n’est pas une exigence de base pour un serveur Windows 2003. Ce service
est désactivé.
"sptimer", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service « sptimer » n’est pas une exigence de base pour un serveur Windows 2003. Ce service
est désactivé.
"sqlserveragent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Le service « sqlserveragent » n’est pas une exigence de base pour un serveur Windows 2003. Ce
service est désactivé.
"winsip", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Ce service n’est pas une exigence de base pour un serveur de haute sécurité. Ce service est
désactivé.
4.7 Paramètres de sécurité additionnels
Les paramètres suivants figurent dans le fichier de stratégie et sont organisés de la même
manière que dans le guide de sécurité de Windows Server 2003. Bien que ces paramètres influent
sur le contenu du Registre, ils ne figurent pas dans la section Registry de l’interface GUI des
stratégies.
4.7.1 Paramètres de sécurité pour contrer les attaques réseau
4.7.1.1 EnableICMPRedirect
machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4, 0
Avec le paramètre « enableicmpredirect », le protocole TCP recherche les routes des hôtes. Cette
valeur outrepasse les routes générées par OSPF. La valeur « 0 » désactive cette fonctionnalité. Si
celle-ci est activée, un délai d’inactivité de 10 minutes rend le système non disponible pour le
réseau. Avec la désactivation, le système emploie le routage OSPF.
Fichiers de stratégie pour les serveurs Mars 2004 105

Non classifié ITSG pour Windows Server 2003
4.7.1.2 SynAttackProtect
machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4, 1
Le paramètre « synattackprotect » ajuste la retransmission des messages SYN-ACK. Avec la
valeur « 1 », la connexion se termine plus rapidement si une attaque SYN-ATTACK est détectée.
Cette vur réduit les efforts alloués à des connexions sans réponse.
4.7.1.3 EnableDeadGWDetect
machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4, 0
Le paramètre « enabledeadgwdetect » permet la redirection par le TCP vers une passerelle
d’appoint. La valeur « 0 » désactive cette capacité. Si un système détecte les difficultés sur un
réseau, il passera automatiquement à une passerelle différente. Cela peut causer le cheminement
non souhaité de paquets sur des réseaux jugés non fiables.
4.7.1.4 EnablePMTUDiscovery
machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4, 0
Le paramètre « enablepmtudiscovery » détermine si le protocole TCP recherche
automatiquement l’unité de transmission maximale (MTU – maximum transmission unit) ou la
taille de paquets la plus grande vers un hôte distant. Avec la valeur « 0 », une taille fixe de
paquets sera utilisée pour toutes les connexions avec les hôtes distants. Si ce paramètre est
activé, un attaquant pourrait forcer la transmission de paquets de très petite taille. Cela pourrait
accroître grandement la charge du réseau. Cela pourrait également créer une condition de déni de
service.
4.7.1.5 KeepAliveTime
machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4, 300000
Le paramètre « keepalivetime » détermine combien de fois le protocole TCP vérifie si une
connexion inutile est intacte. La valeur « 300,000 » (5 minutes) est suffisamment brève pour
assurer une certaine défense contre les conditions de déni de service. Ce paramètre offre la
possibilité de récupérer des ressources à partir de connexions sans réponse.
4.7.1.6 DisableIPSourceRouting
machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4, 2
Le paramètre « disableipsourcerouting » détermine si l’expéditeur d’un paquet TCP peut dicter la
route. La valeur « 2 » désactive cette possibilité. En choisissant les routes des paquets, un
attaquant peut masquer l’endroit où il se trouve sur le réseau.
106 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.1.7 TcpMaxConnectResponseRetransmissions
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmi
ssions=4, 2
Le paramètre « tcpmaxconnectresponseretransmissions » détermine le nombre de tentatives de
retransmission, par le protocole TCP, d’un paquet SYN, avant qu’il abandonne. La valeur « 2 »
limite la possibilité d’une attaque par déni de service, sans perturber les utilisateurs normaux.
Cette valeur réduit les efforts alloués aux connexions sans réponse.
4.7.1.8 TcpMaxDataRetransmissions
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4, 3
Le paramètre « tcpmaxdataretransmissions » détermine le nombre de fois que les données sans
accusé de réception sont retransmises avant la déconnexion. La valeur « 3 » réduit le succès
d’une attaque par déni de service, parce que l’on réduit les efforts alloués aux connexions sans
réponse.
4.7.1.9 PerformRouterDiscovery
machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4, 0
Le paramètre « performrouterdiscovery » contrôle l’utilisation du protocole Internet Router
Discovery. La valeur « 0 » désactive la fonction de découverte et force l’utilisation de routeurs
connus. Si le système utilise la fonction de découverte des routeurs, un attaquant pourrait
rediriger les paquets vers une autre destination.
4.7.1.10 TCPMaxPortsExhausted
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4, 5
Le paramètre « tcpmaxportsexhausted » contrôle le point à partir duquel la protection
SYN-ATTACK débute. Avec la valeur « 5 », la protection débute après cinq échecs. C’est la
norme Microsoft pour les protocoles TCP/IP. Cette valeur offre un compromis entre performance
et sécurité.
4.7.1.11 TCPMaxHalfOpen
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100
Le paramètre « tcpmaxhalfopen » détermine le nombre de connexions dans la table d’état SYN,
avant que la protection contre les attaques SYN ne débute4. Avec la valeur « 100 », la protection
contre les attaques SYN débute quand la table d’état atteint 100 connexions.
Fichiers de stratégie pour les serveurs Mars 2004 107

Non classifié ITSG pour Windows Server 2003
4.7.1.12 TCPMaxHalfOpenRetired
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80
Le paramètre « tcpmaxhalfopenretired » détermine combien de connexions le serveur peut
maintenir dans l’état semi-ouvert. Avec la valeur « 80 », la protection contre les attaques SYN
débute quand la table d’état atteint 80 connexions.
4.7.1.13 NoNameReleaseOnDemand (TCP/IP)
machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1
Le paramètre « nonamereleaseondemand » détermine si le système transmettra son nom
NetBIOS à un autre ordinateur, sur demande. La valeur « 1 » empêche la divulgation de
l’information NetBIOS.
4.7.2 Paramètres AFD.SYS
4.7.2.1 DynamicBacklogGrowthDelta
machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4, 10
Le paramètre « dynamicbackloggrowthdelta » détermine le nombre de connexions libres pouvant
être créées, lorsque cela est jugé nécessaire. Avec la valeur « 10 », 10 connexions libres
additionnelles peuvent être créées. Cette valeur 1assure que les ressources additionnelles ne sont
pas appliquées trop rapidement, évitant ainsi une condition potentielle de déni de service.
4.7.2.2 EnableDynamicBacklog
machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4, 1
Le paramètre « enabledynamicbacklog » active les arriérés dynamiques. La valeur « 1 » active
les arriérés. De la sorte, le système gère les ressources des ports d’une manière qui atténue les
attaques par déni de service.
4.7.2.3 MinimumDynamicBacklog
machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4, 20
Le paramètre « minimumdynamicbacklog » contrôle le nombre minimal de ports libres sur un
point terminal d’écoute. Avec la valeur « 20 », le système peut créer plus de ports s’il y en a
moins que 20 disponibles. Ce paramètre vise à assurer que les ressources sont disponibles et
limite la menace d’une condition de déni de services.
108 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.2.4 MaximumDynamicBacklog
machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,
20000
Le paramètre « maximumdynamicbacklog » contrôle le nombre de connexions « quasi libres »
autorisées sur un point terminal d’écoute. La valeur « 20,000 » est recommandée pour atténuer
les attaques par déni de service. Cette valeur réduit les ressources allouées aux connexions
incomplètes. Si le nombre de ports libres additionnels créés dépasse la valeur, le système ne
pourrait maintenir les sessions additionnelles.
4.7.3 Autres paramètres touchant la sécurité
4.7.3.1 NoNameReleaseOnDemand (NetBIOS)
machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4, 1
Le paramètre « nonamereleaseondemand » détermine si un système fournit son nom NetBIOS
sur demande de nom. La valeur « 1 » empêche qu’un système ne divulgue son nom NetBIOS,
autres qu’aux serveurs WINS. Cela réduit l’information que le système pourrait fournir à un
utilisateur non autorisé.
4.7.3.2 Désactiver la génération de noms de fichier au format 8.3
machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4, 1
Le paramètre « ntfsdisable8dot3namecreation » détermine si le système générera des noms de
fichier au format 8.3. La valeur « 1 » empêche les noms de fichier dans le format 8.3. La
production de noms de fichier au format 8.3 facilite la tâche d’un attaquant qui opère par
recherche de noms. En désactivant ce paramètre, on s’assure que seul le nom complet d’un
fichier est utilisé pour y accéder.
4.7.3.3 NoDriveTypeAutoRun
machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,2
55
Le paramètre « nodrivetypeautorun » détermine si l’exécution automatique est activée pour les
lecteurs connectés. La valeur « 255 » désactive l’exécution automatique pour tous les lecteurs sur
le système. Cela permet de s’assurer que les utilisateurs privilégiés n’exécutent pas de logiciels
non approuvés. Sans cette restriction, des logiciels non approuvés pourraient s’exécuter de
manière inopinée.
Fichiers de stratégie pour les serveurs Mars 2004 109

Non classifié ITSG pour Windows Server 2003
4.7.3.4 Durée en secondes avant que la période de grâce de l’écran de veille n’expire
(0 recommandée)
machine\system\software\microsoft\windowsnt\currentversion\winlogon\screensavergraceperi
od=4, 0
Le paramètre « screensavergraceperiod » détermine la durée (en secondes) avant d’appliquer le
mot de passe de l’écran de veille. La valeur « 0 » applique le verrouillage du mot de passe sans
délai. Cela assure un verrouillage immédiat quand le seuil d’inactivité est atteint.
4.7.3.5 Niveau d’avertissement
machine\system\currentcontrolset\services\eventlog\security\warninglevel=4, 90
Le paramètre « warninglevel » détermine le nombre maximal de journalisations de sécurité avant
qu’un événement de type avertissement ne soit déclenché. Avec la valeur « 90 », un
avertissement est déclenché quand le journal Sécurité atteint 90 % de sa capacité. Cela donne
suffisamment de temps pour remettre à zéro le journal et déterminer les causes de
l’avertissement.
4.7.3.6 Activer le mode de recherche DLL sûr (recommandé)
machine\system\currentcontrolset\control\session manager\safedllsearchmode=4, 1
Le paramètre « safedllsearchmode » détermine l’ordre de recherche des fichiers DLL. Avec la
valeur « 1 », le système recherche d’abord dans le PATH, puis dans le dossier courant. Avec cet
ordre, les fichiers dans le dossier courant ne s’exécutent pas à la place des fichiers dans le PATH
de l’utilisateur.
4.7.3.7 Désactiver l’exécution automatique des CD-ROM
machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1
Le paramètre « Disable Autorun on CD-Rom » empêche l’exécution automatique des
programmes dès l’insertion du CD-ROM. La valeur « 1 » désactive la fonction d’exécution
automatique. Cela permet de réduire la menace d’une infection par codes malveillant par
l’intermédiaire du CD-ROM.
4.7.3.8 Désactiver les partages administratifs
machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServ
er=4, 0
Le paramètre « AutoShareServer » détermine si les disques ont des partages administratifs. La
valeur « 0 » désactive les partages administratifs.
110 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.3.9 Désactiver DCOM
machine\Software\Microsoft\OLE\EnableDCOM=4, 0
Le paramètre « EnableDCOM » détermine si le DCOM est actif. La valeur « 0 » désactive la
fonctionnalité DCOM.
4.7.4 Activités manuelles
Les éléments suivants ne peuvent pas être automatisés. Ils doivent être configurés manuellement.
REMARQUE : Pour les éléments 4.7.4.1 à 4.7.4.3, utilisez la procédure suivante pour atteindre
le niveau « Computer Configuration », soit dans la console MMC (pour le
serveur de groupe de travail), soit dans l’Active Directory (pour le serveur de
domaine).
Pour un serveur de Domaine, procédez comme suit :
1. Ouvrez Active Directory.
2. Cliquez à droite sur l’unité d’organisation Public Server et sélectionnez Properties.
3. Sélectionnez l’onglet Group Policy.
4. Sélectionnez CSE High Security – Baseline Policy.
5. Cliquez sur Edit.
L’entrée Computer Configuration est maintenant affichée à l’écran.
Pour un système de groupe de travail, procédez comme suit :
1. Ouvrez une fenêtre de commande.
2. Tapez MMC, puis appuyez sur Enter.
3. La boîte de dialogue Console 1 s’ouvre.
4. Cliquez sur File.
5. Sélectionnez Add/Remove Snap-in.
6. La boîte de dialogue Add/Remove Snap-in s’affiche.
7. Cliquez sur Add.
8. La boîte de dialogue Add Standalone Snap-in s’affiche.
9. Naviguez jusqu’à IP Security Policy Management et sélectionnez cette option.
10. Cliquez sur Add.
11. La boîte de dialogue Select Computer or Domain s’affiche.
12. Acceptez les valeurs par défaut et cliquez sur Finish.
13. Cliquez sur Close.
14. Cliquez sur OK.
Fichiers de stratégie pour les serveurs Mars 2004 111

Non classifié ITSG pour Windows Server 2003
15. Allez à root Console Window.
16. Sélectionnez Group Policy Object Editor.
17. Cliquez sur Add.
18. La fenêtre Select Group Policy Object s’affiche.
19. Cliquez sur Finish pour accepter les valeurs par défaut.
20. Cliquez sur Close.
21. Cliquez sur OK.
22. Cliquez sur « + » à côté de Local Computer Policy.
L’entrée Computer Configuration s’affiche maintenant à l’écran.
4.7.4.1 Définir le niveau de cryptage de la connexion client
Computer configuration\Administrative Templates\Windows Components\Terminal
Services\Encryption and Security\Set client connection encryption level=High
Le paramètre « Set client encryption level » utilise le chiffrement à 128 bits pour protéger les
sessions Terminal Service. Dans la présente stratégie, ce paramètre a la valeur High.
4.7.4.2 Toujours demander au client le mot de passe à la connexion
Computer configuration\Administrative Templates\Windows Components\Terminal
Services\Encryption and Security \Always prompt client for password upon
connection\=Enabled
Le paramètre « Always prompt client for password upon connection\=Enabled » oblige
l’utilisateur à ouvrir une session sur le service local. Cette stratégie valide la demande de mot de
passe dès la connexion.
4.7.4.3 Erreurs de rapport
Computer configuration\Administrative Templates\System\Error Reporting\=Disabled
Le paramètre « Error Reporting\=Disabled » empêche le système de signaler les conditions
d’erreur à Microsoft.
4.7.4.4 Enlever la clé de Registre pour le sous-système POSIX
machine\system\currentcontrolset\control\session manager\subsystems\posix
Le paramètre « posix » détermine si le sous-système POSIX est pris en charge. La présente
stratégie supprime la clé. Cela empêche l’utilisation accidentelle du système.
112 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.4.5 Définir le mot de passe BIOS
Le système BIOS devrait être protégé par mot de passe. Cette stratégie correspond à des
procédures spécifiques du fournisseur qui ne sont pas décrites dans le présent document.
4.7.4.6 Désactiver l’image mémoire
Control Panel/System Properties/Advanced/Startup and Recovery-SettingsWrite Debugging
Information=None
La possibilité de vider la mémoire en cas de défectuosité de programme devrait être désactivée.
Il est peu probable qu’une image mémoire soit requise. Toutefois, vous pouvez temporairement
activer cette fonction si vous en avez de besoin.
4.7.4.7 Démarrer immédiatement Windows
My Computer/Properties/Advanced/Startup and Recovery-Settings/Time to display list of
operating systems=0
Le paramètre « Time to display list of operating systems » détermine le nombre de secondes
avant que le système n’affiche les options des systèmes d’exploitation au moment du démarrage.
La valeur « 0 » empêche les démarrages des autres systèmes d’exploitation pendant le
fonctionnement normal.
4.7.4.8 Dissocier les fichiers .reg de l’Éditeur de registre
1. Start/Settings/Control Panel/Folder Options
2. Sélectionnez l’extension « REG ».
3. Cliquez sur « Delete » et sur « Yes » dans la fenêtre de confirmation.
4. Cliquez sur « Close ».
En dissociant l’extension .reg de l’éditeur de registre, on empêche les modifications accidentelles
du Registre.
4.7.4.9 Éliminer les programmes superflus
Start->Control Panel=>Add Remove Programs=>Add/Remove Window Components
Éliminez CHAT.
4.7.5 Contrôles d’accès
Les fichiers importants et les valeurs du Registre sur le système devraient être protégés. Une
bonne façon d’y parvenir consiste à utiliser des contrôles d’accès. La section suivante décrit les
paramètres suggérés pour les contrôles d’accès.
REMARQUE : Chaque installation doit s’assurer que les paramètres qui suivent conviennent à
leur propre environnement.
Fichiers de stratégie pour les serveurs Mars 2004 113

Non classifié ITSG pour Windows Server 2003
4.7.5.1 Contrôles généraux d’accès aux fichiers
Tableau 1 – Contrôles généraux d’accès aux fichiers
Nom du fichier/dossier
Audit
Administrateurs
et système
Utilisateurs
authentifiés
Valeur
trouvée
C:\ Contrôle intégral Lecture
C:\*.* Contrôle intégral Contrôle intégral
C:\boot.ini S/É Contrôle intégral s.o.
C:\ntdetect.com S/É Contrôle intégral s.o.
C:\ntldr S/É Contrôle intégral s.o.
C:\ntbootdd.sys S/É Contrôle intégral s.o.
C:\autoexec.bat S/É Contrôle intégral Lecture
C:\config.sys S/É Contrôle intégral Lecture
C:\Program Files Échecs Contrôle intégral Lecture et
exécution
C:\IO.sys S/É Contrôle intégral Modification
C:\MSDOS.sys S/É Contrôle intégral Modification
C:\Documents and Settings\All Users Échecs Contrôle intégral Modification
C:\Documents and Settings\All Users\Documents Échecs Contrôle intégral Lecture
C:\Documents and Settings\All Users\Application Data Échecs Contrôle intégral Lecture et création
C:\temp\*.* et sous-répertoires Contrôle intégral Traversée, ajout
C:\Users et sous-répertoires Échecs Admin:rwxd
Contrôle intégral
C:\Users\Default et sous-répertoires Échecs System: Contrôle
intégral
Liste
Lecture, écriture,
exécution
C:\WIN32APP et sous-répertoires S/É Contrôle intégral Lecture
%windir% et sous-répertoires Échecs Contrôle intégral Modification
%windir%\*.* Échecs Contrôle intégral Lecture
%windir%\*.ini Échecs Contrôle intégral Modification
%windir%\LocalMon.dll Contrôle intégral Lecture
%windir%\PrintMan.hlp Contrôle intégral Lecture
%windir%\config\*.* S/É Contrôle intégral Liste
%windir%\Help\*.* Contrôle intégral Lecture et
exécution
%windir%\repair\*.* et sous-répertoires S/É Administrateur s.o.
114 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Nom du fichier/dossier
Audit
Administrateurs
et système
Utilisateurs
authentifiés
Valeur
trouvée
%windir%\security S/É Contrôle intégral Lecture et
exécution
%windir%\system\*.* S/É Contrôle intégral Lecture
%windir%\system32 Échecs Contrôle intégral Lecture
%windir%\system32\
autoexec.nt
cmos.ram
config.nt
midimap.cfg
S/É Contrôle intégral Modification
%windir%\system32\passport.mid S/É Contrôle intégral Contrôle intégral
%windir%\system32\CatRoot S/É Contrôle intégral s.o.
%windir%\system32\config S/É Contrôle intégral Liste
%windir%\system32\config\*.* S/É Contrôle intégral Liste
%windir%\system32\config\userdef S/É Contrôle intégral
Système :
Modification
Lecture
%windir%\system32\dhcp et sous-répertoires Contrôle intégral Lecture
%windir%\system32\dllcache S/É Contrôle intégral s.o.
%windir%\system32\drivers S/É Contrôle intégral Lecture
%windir%\system32\ias S/É Contrôle intégral Lecture et
exécution
%windir%\system32\inetserv\Metabase.bin S/É Contrôle intégral Lecture et
exécution
%windir%\system32\inetserv\metaback S/É Contrôle intégral s.o.
%windir%\system32\mui S/É Contrôle intégral s.o.
%windir%\system32\os2\dll\oso001.009 Contrôle intégral Lecture
%windir%\system32\os2\DLL\Doscalls.dll Contrôle intégral Lecture
%windir%\system32\os2\dll\netapi.dll Contrôle intégral Contrôle intégral
%windir%\system32\RAS\ S/É Contrôle intégral Lecture
%windir%\system32\RAS\*.* S/É Contrôle intégral Lecture
%windir%\system32\repl\export Contrôle intégral Modification
%windir%\system32\repl\export\scripts Contrôle intégral Lecture
%windir%\system32\repl\ export\scripts\*.* Contrôle intégral Lecture
%windir%\system32\repl\import Contrôle intégral Modification
Fichiers de stratégie pour les serveurs Mars 2004 115

Non classifié ITSG pour Windows Server 2003
Nom du fichier/dossier
Audit
Administrateurs
et système
Utilisateurs
authentifiés
Valeur
trouvée
%windir%\system32\repl\import\*.* Contrôle intégral Modification
%windir%\system32\repl\import\scripts\ Contrôle intégral Lecture
%windir%\system32\repl\import\scripts\*.* Contrôle intégral Lecture
%windir%\system32\ShellExt S/É Contrôle intégral s.o.
%windir%\system32\spool et sous-répertoires Échecs Contrôle intégral Lecture
%windir%\system32\spool\drivers\w32x86\1 Contrôle intégral Contrôle intégral
%windir%\system32\spool\drivers\w32x86\winprint.dll Contrôle intégral Lecture
%windir%\system32\Viewers\*.* Échecs Contrôle intégral s.o.
%windir%\system32\wbem Échecs Contrôle intégral Lecture et
exécution
%windir%\system32\wbem\mof S/É Contrôle intégral Lecture et
exécution
%windir%\system32\wins et sous-répertoires Échecs Contrôle intégral Contrôle intégral
%windir%\twain_32 Contrôle intégral Fichier, ajout de
sous-répertoires
%windir%\web Contrôle intégral Lecture et
exécution
%userprofile% Échecs Contrôle intégral s.o.
116 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.5.2 Contrôle d’accès généraux au Registre
Tableau 2 – Contrôles d’accès généraux au Registre
Nom de l’arborescence/clé Audit Administrateur
et système
Utilisateurs
authentifiés
HKLM\Software S/É Contrôle intégral Lecture
HKLM\Software\Classes\helpfile Échecs Contrôle intégral Lecture
HKLM\Software\Classes\.hlp Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\Command Processor S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Cryptography S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Driver Signing S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\EnterpriseCertificates S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Non-DriverSigning S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\NetDDE S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Ole Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\Rpc S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Secure S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\SystemCertificates S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Windows\CurrentVersion\Run S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Aedebug S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AsrCommands S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Classes Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Console Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\DiskQuota Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Drivers32 S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Font Drivers Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\FontMapper Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File
Execution Options
S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\IniFileMapping S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PerfLib S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\SecEdit S/É Contrôle intégral Lecture
Fichiers de stratégie pour les serveurs Mars 2004 117

Non classifié ITSG pour Windows Server 2003
Nom de l’arborescence/clé Audit Administrateur
et système
Utilisateurs
authentifiés
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Time Zones S/É Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows Échecs Contrôle intégral Lecture
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon S/É Contrôle intégral Lecture
HKLM\Software\Policies S/É Contrôle intégral Lecture
HKLM\System S/É Contrôle intégral Lecture
HKLM\System\CurrentControlSet\Services S/É Contrôle intégral Lecture
HKLM\SYSTEM\CurrentControlSet\Services\Schedule S/É Contrôle intégral Aucun
HKLM\System\CurrentControlSet\Control\SecurePipeServiers\Winreg S/É s.o. Tout le monde =
Aucun
HKLM\System\CurrentControlSet\Control\Session Manager\Executive S/É Contrôle intégral Lecture
HKLM\System\CurrentControlSet\Control\TimeZoneInformation S/É Contrôle intégral Lecture
HKLM\System\CurrentControlSet\Control\WMI\Security S/É Contrôle intégral Aucun
HKLM\Hardware S/É Contrôle intégral Tout le monde :
Lecture
HKLM\SAM S/É Contrôle intégral Tout le monde :
Lecture
HKLM\Security S/É Contrôle intégral s.o.
Hkey_Users (HKU) S/É Contrôle intégral s.o.
HKU\.Default S/É Contrôle intégral Lecture
HKU\.Default\Software\Microsoft\NetDDE S/É Contrôle intégral s.o.
118 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
4.7.6 Écarts par rapport aux directives Microsoft
Le tableau suivant indique les paramètres qui diffèrent entre les directives du CST et celles de
Microsoft. Les paramètres du CST et de Microsoft sont indiqués.
Tableau 3 – Écarts avec les paramètres de base pour un serveur membre
Microsoft
N o Paramètre Valeur CST Valeur Microsoft
1 Minimum Password Length
(Longueur minimale du mot de
passe)
8 12
2 Audit Policy Change (Auditer les
modifications de stratégie)
3 Audit System Events (Auditer les
événements système)
4 Add Workstations to Domain
(Ajouter des stations de travail au
domaine)
5 Backup Files and Directories
(Sauvegarder des fichiers ou des
répertoires)
6 Bypass Traverse Checking
(Outrepasser le contrôle de
traversée)
7 Create a Pagefile (Créer un fichier
d’échange)
8 Create a Token Object (Créer un
objet jeton)
9 Create Global Objects (Créer des
objets globaux)
10 Create Permanent Shared Objects
(Créer des objets partagés
permanents)
11 Deny Logon as a Service (Refuser
l’ouverture de session en tant que
service)
12 Deny Logon Locally (Interdire
l’ouverture d’une session locale)
13 Force shutdown from remote
system (Forcer l’arrêt à partir d’un
système distant)
Succès/Échec
Succès/Échec
Aucun
Administrateurs et opérateurs
de sauvegarde
Utilisateurs, opérateurs de
sauvegarde, administrateurs et
utilisateurs
Administrateurs
Aucun
Service et Administrateurs
Aucun
Invités, sessions anonymes,
administrateurs,
administrateur intégré,
Support_388945a0 et Invité
Invités, sessions anonymes,
administrateur intégré,
Support_388945a0 et Invité
Aucun
Succès
Succès
Administrateurs
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Administrateurs
Fichiers de stratégie pour les serveurs Mars 2004 119

Non classifié ITSG pour Windows Server 2003
N o Paramètre Valeur CST Valeur Microsoft
14 Lock Pages in Memory
(Verrouiller des pages en mémoire)
15 Logon as a Service (Ouvrir une
session en tant que service)
16 Administrator Account Status (État
du compte de l’administrateur)
17 Interactive logon: Message text for
users attempting to logon
(Ouverture de session interactive :
contenu du message pour les
utilisateurs essayant de se
connecter)
18 Interactive logon: Message title for
users attempting to log on
(Ouverture de session interactive :
titre du message pour les
utilisateurs essayant de se
connecter)
19 Interactive Logon: Require Smart
Card (Ouverture de session
interactive : carte à puce
nécessaire)
Aucun
Service réseau et service local
Désactivé
Entrée requise du ministère
Entrée requise du ministère
Ne requiert pas de carte à puce
Administrateurs
Par défaut
Activé
“This system is restricted….” (« Ce
système est restreint… »)
“IT IS AN OFFENSE….” (« IL EST
INTERDIT PAR LA LOI… »)
Par défaut
20 Network Access: Allow
Anonymous SID/Name Translation
(Accès réseau : permettre la
traduction des noms/SID
anonymes)
Désactivé #
21 Network Access: Remotely
accessible Registry paths (Accès
réseau : les chemins du Registre
accessibles à distance)
Aucun
System\CurrentControlSet\Control\Pr
oduct Options
System\CurrentControlSet\Control\S
erver Applications
Software\Microsoft\Windows
NT\Current Version
120 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
N o Paramètre Valeur CST Valeur Microsoft
22 Network Access: Remotely
accessible registry paths and subpaths
(Accès réseau : chemins et
sous-chemins du Registre
accessibles à distance)
23 Network Security: Force logoff
when logon hours expire (Sécurité
réseau : forcer la fermeture de
session quand les horaires de
connexion expirent)
24 System Cryptography: Use FIPS
compliant algorithms for
encryption, hashing and signing
(Cryptographie système : utiliser
des algorithmes conforme à FIPS
pour le chiffrement, le hachage et
la signature)
25 Use Certificate Rules on Windows
Executables for Software
Restriction Policies (Utiliser les
règles de certificat avec les
exécutables Windows pour les
stratégies de restriction logicielle)
26 Retention method for Application
log (Méthode de conservation du
journal des applications)
Aucun
Activé
Activé
Désactivé
Ne pas écraser
System\CurrentControlSet\Control\Pr
int\Printers
System\CurrentControlSet\Services\E
ventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows
NT\CurrentVersion\Print
Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Control\C
ontentIndex
System\CurrentControlSet\Control\T
erminal Server
System\CurrentControlSet\Control\T
erminal Server\UserConfig
System\CurrentControlSet\Control\T
erminal Server\Par
défautUserCOnfiguration
Software\Microsoft\Windows
NT\CurrentVersion\Perflib
System\CurrentControlSet\services\S
ysmonLog
Par défaut
Désactivé
Par défaut
Au besoin
Fichiers de stratégie pour les serveurs Mars 2004 121

Non classifié ITSG pour Windows Server 2003
N o Paramètre Valeur CST Valeur Microsoft
27 Retention method for Security log
(Méthode de conservation du
journal Sécurité)
28 Retention method for System log
(Méthode de conservation du
journal Système)
29 Automatic Updates Service (Mises
à jour automatiques)
30 Background Intelligent Transfer
Service (Service de transfert
intelligent en arrière plan)
31 Network Location Awareness
(Service NLA)
32 NTLM Security Support Provider
(Fournisseur de la prise en charge
de sécurité LM NT)
33 Performance Logs and Alerts
(Journaux et alertes de
performance)
Ne pas écraser
Ne pas écraser
Désactivé
Désactivé
Désactivé
Désactivé
Désactivé
Au besoin
Au besoin
Automatique
Manuel
Manuel
Automatique
Manuel
34 Plug and Play Désactivé Automatique
35 Remote Administration Service
(Service d’administration à
distance)
36 Remote Registry Service (Service
d’accès à distance au Registre)
37 Server Service (Service de
serveurs)
38 Terminal Services (Services
Terminal Server)
39 Windows Management
Instrumentation Driver Extensions
(Extensions du pilote WMI)
40 WMI Performance Adapter (Carte
de performance WMI)
Désactivé
Désactivé
Désactivé
Désactivé
Désactivé
Désactivé
Manuel
Automatique
Automatique
Automatique
Manuel
Manuel
41 TCPMaxHalfOpen 100 Pas de recommandation
42 TCPMaxHalfOpenRetired 80 Pas de recommandation
43 NoNameReleaseOnDemand
(TCP/IP)
i) Activé Pas de recommandation
44 Remove POSIX Subsystem
Registry Key (Enlever la clé de
Registre pour le sous système
POSIX)
Recommandé
Pas de recommandation
122 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
N o Paramètre Valeur CST Valeur Microsoft
45 Set BIOS Password (Définir le mot
de passe BIOS)
46 Disable Memory Dump
(Désactiver l’image mémoire)
47 Boot Immediately to Windows
(Démarrer immédiatement
Windows)
48 Disassociate .reg files from registry
editor (Dissocier les fichiers .reg de
l’Éditeur de registre)
Recommandé
Recommandé
Recommandé
Recommandé
Pas de recommandation
Pas de recommandation
Pas de recommandation
Pas de recommandation
Fichiers de stratégie pour les serveurs Mars 2004 123

Non classifié ITSG pour Windows Server 2003
Tableau 4 – Écarts par rapport à la stratégie locale des hôtes Bastion de
Microsoft
N o Paramètre Valeur du CST Valeur de Microsoft
1 Minimum Password Length
(Longueur minimale du mot de
passe)
8 12
2 Audit Policy Change (Auditer les
modifications de stratégie)
3 Audit System Events (Auditer les
événements système)
4 Add Workstations to Domain
(Ajouter des stations de travail au
domaine)
5 Allow log on locally (Autoriser
l’ouverture de session locale)
6 Backup Files and Directories
(Sauvegarder des fichiers ou des
répertoires)
7 Bypass Traverse Checking
(Outrepasser le contrôle de
traversée)
8 Create a Pagefile (Créer un fichier
d’échange)
9 Create a Token Object (Créer un
objet jeton)
10 Create Global Objects (Créer des
objets globaux)
11 Create Permanent Shared Objects
(Créer des objets partagés
permanents)
12 Deny Logon as a Service (Refuser
l’ouverture de session en tant que
service)
13 Deny Logon Locally (Interdire
l’ouverture d’une session locale)
14 Force shutdown from remote
system (Forcer l’arrêt à partir d’un
système distant)
15 Lock Pages in Memory
(Verrouiller des pages en mémoire)
Succès/Échec
Succès/Échec
Aucun
Administrateurs et opérateurs
de sauvegarde
Administrateurs et opérateurs
de sauvegarde
Utilisateurs, opérateurs de
sauvegarde, administrateurs et
utilisateurs
Administrateurs
Aucun
Service et administrateurs
Aucun
Invités, sessions anonymes,
administrateurs,
administrateur intégré,
Support_388945a0 et Invité
Invités, sessions anonymes,
administrateur intégré,
Support_388945a0 et Invité
Aucun
Aucun
Succès
Succès
Administrateurs
Administrateurs
Défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Par défaut
Administrateurs
Administrateurs
124 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
N o Paramètre Valeur du CST Valeur de Microsoft
16 Logon as a Service (Ouvrir une
session en tant que service)
17 Administrator Account Status (État
du compte de l’administrateur)
18 Interactive logon: Message text for
users attempting to logon
(Ouverture de session interactive :
contenu du message pour les
utilisateurs essayant de se
connecter)
19 Interactive logon: Message title for
users attempting to log on
(Ouverture de session interactive :
titre du message pour les
utilisateurs essayant de se
connecter)
20 Interactive Logon: Require Smart
Card (Ouverture de session
interactive : requiert une carte à
puce)
21 Network Access: Allow
Anonymous SID/Name Translation
(Accès réseau : permettre la
traduction des noms/SID
anonymes)
22 Network Access: Remotely
accessible Registry paths (Accès
réseau : les chemins du Registre
accessibles à distance)
Service réseau et service local
Désactivé
Entrée requise du ministère
Entrée requise du ministère
Ne requiert pas de carte à puce
Désactivé
Aucun
Par défaut
Activé
“This system is restricted….” (« Ce
système est restreint… »)
“IT IS AN OFFENSE….” (« IL EST
INTERDIT PAR LA LOI… »)
Par défaut
Par défaut
System\CurrentControlSet\Control\Pr
oduct Options
System\CurrentControlSet\Control\S
erver Applications
Software\Microsoft\Windows
NT\Current Version
Fichiers de stratégie pour les serveurs Mars 2004 125

Non classifié ITSG pour Windows Server 2003
N o Paramètre Valeur du CST Valeur de Microsoft
23 Network Access: Remotely
accessible registry paths and subpaths
(Accès réseau : chemins et
sous-chemins du Registre
accessibles à distance)
24 Network Security: Force logoff
when logon hours expire (Sécurité
réseau : forcer la fermeture de
session quand les horaires de
connexion expirent)
Aucun
Activé
System\CurrentControlSet\Control\Pr
int\Printers
System\CurrentControlSet\Services\E
ventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows
NT\CurrentVersion\Print
Software\Microsoft\Windows
NT\CurrentVersion\Windows
System\CurrentControlSet\Control\C
ontentIndex
System\CurrentControlSet\Control\T
erminal Server
System\CurrentControlSet\Control\T
erminal Server\UserConfig
System\CurrentControlSet\Control\T
erminal
Server\DefaultUserCOnfiguration
Software\Microsoft\Windows
NT\CurrentVersion\Perflib
System\CurrentControlSet\services\S
ysmonLog
Par défaut
25 System Cryptography: Use FIPS
compliant algorithms for
encryption, hashing and signing
(Cryptographie système : utiliser
des algorithmes conforme à FIPS
pour le chiffrement, le hachage et
la signature)
26 Use Certificate Rules on Windows
Executables for Software
Restriction Policies (Utiliser les
règles de certificat avec les
exécutables Windows pour les
stratégies de restriction logicielle)
27 Retention method for Application
log (Méthode de conservation du
journal des applications)
Activé
Désactivé
Ne pas écraser
Désactivé
Par défaut
Au besoin
126 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
N o Paramètre Valeur du CST Valeur de Microsoft
28 Retention method for Security log
(Méthode de conservation du
journal Sécurité)
29 Retention method for System log
(Méthode de conservation du
journal Système)
Ne pas écraser
Ne pas écraser
Au besoin
Au besoin
30 DNS Client (client DNS) Désactivé Activé
31 Plug and Play Service Désactivé Automatique
32 TCPMaxHalfOpen 100 Pas de recommandation
33 TCPMaxHalfOpenRetired 80 Pas de recommandation
34 NoNameReleaseOnDemand
(TCP/IP)
35 Remove POSIX Subsystem
Registry Key (Enlever la clé de
Registre pour le sous système
POSIX)
36 Set BIOS Password (Définir le mot
de passe BIOS)
37 Disable Memory Dump
(Désactiver l’image mémoire)
38 Boot Immediately to Windows
(Démarrer immédiatement
Windows)
39 Disassociate .reg files from registry
editor (Dissocier les fichiers .reg de
l’Éditeur de registre)
Activé
Recommandé
Recommandé
Recommandé
Recommandé
Recommandé
Pas de recommandation
Pas de recommandation
Pas de recommandation
Pas de recommandation
Pas de recommandation
Pas de recommandation
Fichiers de stratégie pour les serveurs Mars 2004 127

Non classifié ITSG pour Windows Server 2003
Page laissée intentionnellement en blanc.
128 Mars 2004 Fichiers de stratégie pour les serveurs

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
5 Stratégies de serveurs basées sur les rôles
Les fichiers de stratégie suivants appliquent des paramètres spécifiques au rôle assumé. Ils ne
contiennent pas chaque paramètre requis pour le serveur. Par conséquent, on doit appliquer ces
paramètres après la configuration de base.
5.1 Stratégie IPSec basée sur les rôles
La stratégie de sécurité IP basée sur les rôles est appliquée en deux étapes. La première étape
consiste à changer la stratégie dans l’Éditeur de stratégie. La deuxième consiste à activer la
stratégie. À cette fin, on utilise le Group Policy Editor (Éditeur de stratégie de groupe).
5.1.1 Chargement de la stratégie IPSec
• Activer Windows Explorer.
• Naviguez jusqu’à l’emplacement où se trouve le fichier de stratégie IPSec voulu (le
fichier doit avoir une extension .CMD).
• Cliquez à droite sur le fichier de commande de stratégie et sélectionnez Open.
o La fenêtre de commande s’ouvre, exécute le fichier de commande de stratégie et
se ferme.
5.1.2 Activation de la stratégie IPSec
• Ouvrez une fenêtre de commande.
• Tapez MMC, puis appuyez sur Enter.
o La boîte de dialogue Console 1 s’ouvre.
• Cliquez sur File.
• Sélectionnez Add/Remove Snap-in.
o La boîte de dialogue Add/Remove Snap-in s’ouvre.
• Cliquez sur Add.
o La boîte de dialogue Add Standalone Snap-in s’ouvre.
• Naviguez jusqu’à IP Security Policy Management et sélectionnez cette option.
• Cliquez sur Add.
o La boîte de dialogue Select Computer or Domain s’affiche.
• Acceptez les valeurs par défaut et cliquez sur Finish.
• Cliquez sur Close.
• Cliquez sur OK.
• Dans la fenêtre Root Console Window, cliquez sur l’option IP Security Policies on
Local Computer.
Stratégies de serveurs basées
sur les rôles Mars 2004 129

Non classifié ITSG pour Windows Server 2003
• Dans le cadre droit, cliquez à droite sur la stratégie de sécurité IP voulue et sélectionnez
Assign.
• Cliquez à droite sur la stratégie active et sélectionnez Properties.
• Sélectionnez l’onglet General.
• Cliquez sur le bouton Settings.
o La boîte de dialogue Key Exchange Settings s’affiche.
• Cliquez sur le bouton Methods.
o La boîte de dialogue Key Exchange Methods s’affiche.
• Annulez tous les paramètres sauf les suivants (assurez-vous qu’ils soient dans l’ordre
ci-dessous) :
IKE 3DES SHA1 High (1024)
IKE 3DES SHA1 Med (2)
• Cliquez sur OK.
• Cliquez sur OK.
• Cliquez sur File.
• Cliquez sur Exit.
o La boîte de dialogue Microsoft Management Console s’affiche.
• Sélectionnez Yes si vous voulez enregistrer les paramètres (sinon, sélectionnez No).
5.2 Stratégie de sécurité pour les serveurs de fichiers de domaine
Le serveur des fichiers basés sur le domaine permet aux utilisateurs authentifiés d’accéder aux
fichiers partagés dans le domaine. Ces fichiers partagés peuvent utiliser la fonctionnalité de
protection de fichiers pour contrôler les accès. Les tentatives d’accès depuis l’extérieur d’un
domaine peuvent être authentifiées à l’aide d’informations d’identification basées sur le
domaine. Une fois l’utilisateur authentifié, l’accès lui est accordé d’après la stratégie relative au
domaine.
Pour activer les services de fichiers, on n’a pas à modifier les paramètres de la configuration de
base.
5.2.1 Écarts par rapport au guide Hardening File Servers de Microsoft
Dans la stratégie de Microsoft de renforcement de la sécurité pour les serveurs de fichiers de
domaine, les services Distributed Files System et File Replication sont désactivés. Dans la
configuration de base du CST, ces mêmes services sont désactivés. Par conséquent, on n’a pas à
les désactiver dans la stratégie des serveurs de fichiers.
Les autres différences découlent des écarts entre la configuration de base du CST et celle de
Microsoft.
130 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Il y a lieu de noter que les stratégies basées sur les rôles ne peuvent être considérées isolément de
la configuration de base.
5.2.2 [Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOC
RSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
5.2.3 Stratégie IPSec pour le serveur de fichiers de domaine
Le fichier suivant fait partie du guide de sécurité Windows Server 2003 de Microsoft. Le fichier
doit être modifié pour tenir compte des bonnes adresses de contrôleurs de domaine. Une fois
modifiée, la procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, est utilisée
pour appliquer cette stratégie.
REM (c) Microsoft Corporation 1997-2003
REM Packet Filters for Server Hardening
REM
REM Name: PacketFilter-File.CMD
REM Version: 1.0
REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy
REM that blocks all network traffic to a File Server except for what is
REM explicitly allowed as described in the Windows 2003 Server Solution Guide.
REM Please read the entire guide before using this CMD file.
REM Revision History
REM 0000 - Original February 05, 2003
REM 0000 - Original April 03, 2003
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - File" description="Server
Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server
Hardening"
Stratégies de serveurs basées
sur les rôles Mars 2004 131

Non classifié ITSG pour Windows Server 2003
netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening"
netsh ipsec static add filterlist name="Terminal Server" description="Server
Hardening"
netsh ipsec static add filterlist name="Domain Member" description="Server Hardening"
netsh ipsec static add filterlist name="Monitoring" description="Server Hardening"
netsh ipsec static add filterlist name="Block Domain Access" description="Server
Hardening"
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server
Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to
Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139
netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me
description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389
netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any
description="Block Domain Access" protocol=TCP srcport=any dstport=1097
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
REM REMARQUE : IP Address or server names of Domain Controllers must be hardcode into
the dstaddr of the Domain Member filters defined below
netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0
dstport=0
REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr= description="Traffic to Domain Controller" protocol=any
srcport=0 dstport=0
132 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into
the dstaddr of Monitoring filter defined below
REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr= description="Monitoring Traffic" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File"
filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File"
filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File"
filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File"
filterlist="Domain Member" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters -
File" filterlist="Block Domain Access" kerberos=yes filteraction=Block
REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File"
filterlist="Monitoring" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters -
File" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block
5.3 Stratégie pour les serveurs d’impression de domaine
Le serveur d’impression de domaine permet aux utilisateurs authentifiés d’accéder aux
imprimantes partagées. Ces imprimantes partagées utilisent des contrôles d’accès. Les
utilisateurs à l’extérieur du domaine peuvent être authentifiés à l’aide d’informations
d’identification basées sur le domaine. Quand ils sont authentifiés, l’accès est octroyé d’après la
stratégie du domaine.
Pour activer ces services, aucune modification n’est requise aux paramètres de configuration de
base.
5.3.1 Écarts par rapport au guide Hardening Print Servers de Microsoft
La stratégie basée sur les rôles de Microsoft pour les serveurs d’impression comporte deux
activités : 1) Démarrer le spouleur d’impression et 2) Désactiver le paramètre « Serveur réseau
Microsoft : communications signées numériquement (toujours) ». La stratégie du CST comporte
également le lancement du spouleur d’impression, mais diffère dans le traitement des signatures.
La section Micosoft Security Options recommande de désactiver le paramètre « Serveur réseau
Microsoft : communications signées numériquement (toujours) ». Microsoft recommande ce
choix, car les utilisateurs pourraient être dans l’impossibilité de visualiser l’état de leurs travaux
d’impression. Nous n’avons pas observé cette limitation dans notre laboratoire. Par conséquent,
l’option de signer numériquement les communications est activée.
Les différences restantes découlent des écarts entre la configuration de base du CST et celle de
Microsoft.
Stratégies de serveurs basées
sur les rôles Mars 2004 133

Non classifié ITSG pour Windows Server 2003
Il est important de noter que les stratégies basées sur les rôles ne peuvent être considérées
isolément de la configuration de base.
5.3.2 [Registry Values]
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof
tware\Microsoft\Windows
NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers
5.3.3 [Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
5.3.4 Stratégie IPSec pour le serveur d’impression de domaine
Le fichier suivant est fourni avec les directives de sécurité pour Windows Server 2003 de
Microsoft. Le fichier doit être modifié pour tenir compte des adresses des contrôleurs de
domaine. Une fois modifiée, utilisez la procédure décrite à la section 5.1, Stratégie IPSec basée
sur les rôles, pour appliquer la stratégie.
REM (c) Microsoft Corporation 1997-2003
REM Packet Filters for Server Hardening
REM
REM Name: PacketFilter-File.CMD
REM Version: 1.0
REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy
REM that blocks all network traffic to a File Server except for what is
REM explicitly allowed as described in the Windows 2003 Server Solution Guide.
REM Please read the entire guide before using this CMD file.
REM Revision History
REM 0000 - Original February 05, 2003
REM 0000 - Original April 03, 2003
134 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - File" description="Server
Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server
Hardening"
netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening"
netsh ipsec static add filterlist name="Terminal Server" description="Server
Hardening"
netsh ipsec static add filterlist name="Domain Member" description="Server Hardening"
netsh ipsec static add filterlist name="Monitoring" description="Server Hardening"
netsh ipsec static add filterlist name="Block Domain Access" description="Server
Hardening"
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server
Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to
Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139
netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me
description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389
netsh ipsec static add filter filterlist="Block Domain Access" srcaddr=me dstaddr=any
description="Block Domain Access" protocol=TCP srcport=any dstport=1097
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
Stratégies de serveurs basées
sur les rôles Mars 2004 135

Non classifié ITSG pour Windows Server 2003
REM REMARQUE : IP Address or server names of Domain Controllers must be hard coded
into the dstaddr of the Domain Member filters defined below
netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr=192.168.0.1 description="Traffic to Domain Controller" protocol=any srcport=0
dstport=0
REM netsh ipsec static add filter filterlist="Domain Member" srcaddr=me
dstaddr= description="Traffic to Domain Controller" protocol=any
srcport=0 dstport=0
REM REMARQUE : IP Address or server name of Monitoring server must be hard coded into
the dstaddr of Monitoring filter defined below
REM netsh ipsec static add filter filterlist="Monitoring" srcaddr=me dstaddr= description="Monitoring Traffic" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File"
filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File"
filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File"
filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Domain Member Rule" policy="Packet Filters - File"
filterlist="Domain Member" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Block Domain Access Rule" policy="Packet Filters -
File" filterlist="Block Domain Access" kerberos=yes filteraction=Block
REM netsh ipsec static add rule name="Monitoring Rule" policy="Packet Filters - File"
filterlist="Monitoring" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters -
File" filterlist
5.4 Stratégie pour les serveurs de fichiers de groupe de travail
Le serveur de fichiers d’un groupe de travail permet aux utilisateurs authentifiés d’accéder aux
fichiers partagés d’un système. Pour ces fichiers partagés, on peut utiliser la protection de fichier
pour contrôler les accès. Les utilisateurs qui accèdent aux serveurs de fichiers peuvent
s’authentifier à l’aide d’informations d’identification basées sur les utilisateurs. Une fois
authentifié, l’utilisateur se voit octroyer l’accès d’après la stratégie des utilisateurs.
5.4.1 Écarts par rapport aux directives Microsoft
Les différences restantes découlent des écarts entre la configuration de base du CST et celle de
Microsoft.
5.4.2 [Registry Values]
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4
136 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
5.4.3 [Service General Setting]
"lanmanworkstation", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
5.4.4 Stratégie IPSec pour le serveur de fichiers du groupe de travail
Le fichier suivant a été modifié à partir de celui qui est fourni dans les directives de sécurité de
Windows Server 2003 de Microsoft. Utilisez la procédure décrite à la section 5.1, Stratégie
IPSec basée sur les rôles, pour appliquer la stratégie.
REM (c) Microsoft Corporation 1997-2003
REM Packet Filters for Server Hardening
REM
REM Name: PacketFilter-File.CMD
REM Version: 1.0
REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy
REM that blocks all network traffic to a File Server except for what is
REM explicitly allowed as described in the Windows 2003 Server Solution Guide.
REM Please read the entire guide before using this CMD file.
REM Revision History
REM 0000 - Original February 05, 2003
REM 0000 - Original April 03, 2003
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - File" description="Server
Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server
Hardening"
Stratégies de serveurs basées
sur les rôles Mars 2004 137

Non classifié ITSG pour Windows Server 2003
netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening"
netsh ipsec static add filterlist name="Terminal Server" description="Server
Hardening"
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server
Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to
Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139
netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me
description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - File"
filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - File"
filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters - File"
filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters -
File" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block
138 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
5.5 Stratégie pour les serveurs d’impression de groupe de travail
Le serveur d’impression du groupe de travail permet aux utilisateurs authentifiés d’accéder aux
imprimantes partagées sur le système. L’accès à ces imprimantes partagées peut être contrôlé.
Les utilisateurs qui tentent d’accéder aux serveurs d’impression peuvent être authentifiés à l’aide
d’informations d’identification basées sur les utilisateurs. Une fois l’utilisateur authentifié,
l’accès approprié lui est octroyé.
5.5.1 Écarts par rapport aux directives Microsoft
Les différences restantes découlent des écarts entre la configuration de base du CST et celle de
Microsoft.
5.5.2 [Registry Values]
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4
machine\system\currentcontrolset\control\print\providers\lanman print
services\servers\addprinterdrivers=4,0
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof
tware\Microsoft\Windows
NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers
5.5.3 [Service General Setting]
"lanmanworkstation", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
5.5.4 Stratégie IPSec pour les serveurs d’impression de groupe de travail
Le fichier suivant a été modifié par rapport à celui qui se trouve dans les directives de sécurité
pour Windows Server 2003 de Microsoft. La stratégie IPSec du CST ne fait pas référence aux
contrôleurs de domaine. Exécutez le fichier en mode commande pour charger la stratégie. La
procédure décrite à la section 5.1, Stratégie IPSec basée sur les rôles, est utilisée pour appliquer
la stratégie.
Stratégies de serveurs basées
sur les rôles Mars 2004 139

Non classifié ITSG pour Windows Server 2003
REM (c) Microsoft Corporation 1997-2003
REM Packet Filters for Server Hardening
REM
REM Name: PacketFilter-Print.CMD
REM Version: 1.0
REM This CMD file provides the proper NETSH syntax for creating an IPSec Policy
REM that blocks all network traffic to a Print Server except for what is
REM explicitly allowed as described in the Windows 2003 Server Solution Guide.
REM Please read the entire guide before using this CMD file.
REM Revision History
REM 0000 - Original February 05, 2003
REM 0000 - Original April 03, 2003
:IPSec Policy Definition
netsh ipsec static add policy name="Packet Filters - Print" description="Server
Hardening Policy" assign=no
:IPSec Filter List Definitions
netsh ipsec static add filterlist name="CIFS/SMB Server" description="Server
Hardening"
netsh ipsec static add filterlist name="NetBIOS Server" description="Server Hardening"
netsh ipsec static add filterlist name="Terminal Server" description="Server
Hardening"
netsh ipsec static add filterlist name="ALL Inbound Traffic" description="Server
Hardening"
:IPSec Filter Action Definitions
netsh ipsec static add filteraction name=SecPermit description="Allows Traffic to
Pass" action=permit
netsh ipsec static add filteraction name=Block description="Blocks Traffic"
action=block
:IPSec Filter Definitions
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=TCP srcport=0 dstport=445
140 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
netsh ipsec static add filter filterlist="CIFS/SMB Server" srcaddr=any dstaddr=me
description="CIFS/SMB Server Traffic" protocol=UDP srcport=0 dstport=445
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=137
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=UDP srcport=0 dstport=138
netsh ipsec static add filter filterlist="NetBIOS Server" srcaddr=any dstaddr=me
description="NetBIOS Server Traffic" protocol=TCP srcport=0 dstport=139
netsh ipsec static add filter filterlist="Terminal Server" srcaddr=any dstaddr=me
description="Terminal Server Traffic" protocol=TCP srcport=0 dstport=3389
netsh ipsec static add filter filterlist="ALL Inbound Traffic" srcaddr=any dstaddr=me
description="ALL Inbound Traffic" protocol=any srcport=0 dstport=0
:IPSec Rule Definitions
netsh ipsec static add rule name="CIFS/SMB Server" policy="Packet Filters - Print"
filterlist="CIFS/SMB Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="NetBIOS Server Rule" policy="Packet Filters - Print"
filterlist="NetBIOS Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="Terminal Server Rule" policy="Packet Filters -
Print" filterlist="Terminal Server" kerberos=yes filteraction=SecPermit
netsh ipsec static add rule name="ALL Inbound Traffic Rule" policy="Packet Filters -
Print" filterlist="ALL Inbound Traffic" kerberos=yes filteraction=Block
Stratégies de serveurs basées
sur les rôles Mars 2004 141

Non classifié ITSG pour Windows Server 2003
Page laissée intentionnellement en blanc.
142 Mars 2004 Stratégies de serveurs
basées sur les rôles

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
6 Conformité avec la stratégie des serveurs : Inspection et
application
L’approche manuelle pour assurer la conformité avec la stratégie est une fonctionnalité du
système d’exploitation de Microsoft. Cette approche utilise la console de gestion Microsoft
(MLC – Microsoft Management Console), avec le module « Security Configuration and
Analysis ». Ce processus s’applique aux deux environnements : Domaine et Groupe de travail.
Les configurations appropriées des serveurs cibles sont requises. Les stratégies sont chargées
dans la console MMC, le système est analysé et les résultats sont affichés à l’écran. Si les
permissions ne correspondent pas aux paramètres de la stratégie, les éléments sont indiqués par
un « X » en rouge ou par le terme « Investigate ».
6.1 Configuration de la console MMC
Procédez comme suit pour faire une inspection de conformité avec la console MMC.
a. Ouvrez une fenêtre Command Prompt.
b. Après l’invite, tapez mmc et appuyez sur .
i. L’interface utilisateur Console1 s’ouvre.
c. Sélectionnez File =>Add/Remove Snap-in .
i. La fenêtre Add/Remove Snap-in s’affiche.
d. Cliquez sur le bouton Add.
i. La fenêtre Add Stand-alone Snap-in s’affiche.
e. Faites défiler jusqu’à l’option de sécurité Security Configuration and Analysis,
et sélectionnez-la.
f. Cliquez sur le bouton Add.
g. Cliquez sur le bouton Close.
i. Le contrôle revient à la fenêtre Add/Remove Snap-in.
h. Cliquez sur le bouton OK.
6.2 Chargement d’un fichier de stratégie et configuration de
l’ordinateur
On doit disposer des fichiers de stratégie en vigueur pour le système inspecté. Ces fichiers
comprennent le fichier de configuration de base et un fichier de stratégie spécifique au rôle. Pour
les serveurs d’impression basés sur un domaine, on utilise les fichiers « CST High Security –
Member Server Baseline.inf » et « CST High Security – Member File Server.inf ». Des fichiers
additionnels peuvent être requis, tout dépendant de votre Active Directory et des fichiers de
stratégie dans votre structure.
Conformité avec la stratégie
des serveurs : Inspection et application Mars 2004 143

Non classifié ITSG pour Windows Server 2003
Pour charger un fichier de stratégie, procédez comme suit :
a. Assurez-vous que la fenêtre Console1 est active.
b. Cliquez à droite sur Security Configuration and Analysis.
c. Sélectionnez Open Database.
i. La fenêtre Open Database s’ouvre.
d. Entrez le nom de la base de données (p. ex., systemname-date).
e. Cliquez sur le bouton Open.
i. La fenêtre Import Template s’ouvre.
f. Naviguez jusqu’à l’emplacement du fichier de configuration de base et
sélectionnez-le.
g. Sélectionnez Clean this database before importing.
h. Cliquez sur le bouton Open.
i. Cliquez à droite sur Security Configuration and Analysis.
j. Cliquez sur Import Template.
i. La fenêtre Import Template s’ouvre.
k. Naviguez jusqu’à l’emplacement du fichier de stratégie basé sur les rôles, et
sélectionnez-le.
l. Cliquez sur le bouton Open.
m. Cliquez à droite sur Security Configuration and Analysis.
n. Sélectionnez Analyze Computer Now.
i. La fenêtre Perform Analysis s’ouvre.
o. Cliquez sur OK pour accepter l’emplacement du fichier-journal et lancer
l’analyse.
6.3 Comparaison de la stratégie résultante et des paramètres de
l’ordinateur
a. Cliquez sur « + » pour développer la section Security Configuration and
Analysis.
b. Cliquez sur « + » pour développer la section Account Policies.
c. Cliquez sur Password Policies (le cadre à la droite contient les paramètres).
REMARQUE : Si un élément dans la base de données ne correspond pas au
paramètre de l’ordinateur, un petit « x » rouge est affiché dans la colonne Policy.
144 Mars 2004 Conformité avec la stratégie
des serveurs : Inspection et application

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
d. Répétez la procédure ci-dessus pour tous les sous-groupes dans Account Policies,
Local Policies et Event Logs.
e. Cliquez sur System Services (les paramètres sont affichés dans le cadre de
droite).
REMARQUE : Si un élément dans la base de données ne correspond pas au
paramètre de l’ordinateur, un petit « x » rouge est affiché dans la colonne System
Service. En outre, si les paramètres de sécurité ne correspondent pas, le mot
Investigate sera affiché dans la colonne Permission.
f. Pour rétablir la configuration, vous n’avez qu’à appliquer de nouveau la stratégie.
Un serveur de domaine peut être redémarré pour forcer l’application de la
stratégie.
g. La configuration de stratégie pour un serveur de groupe de travail doit être
appliquée de nouveau manuellement. Veuillez suivre la procédure décrite à la
section 5.1, Stratégie IPSec basée sur les rôles.
Conformité avec la stratégie
des serveurs : Inspection et application Mars 2004 145

Non classifié ITSG pour Windows Server 2003
Page laissée intentionnellement en blanc.
146 Mars 2004 Conformité avec la stratégie
des serveurs : Inspection et application

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Bibliographie
Auteur : Ben Smith et Brian Komer (avec l’Équipe de sécurité Microsoft)
Titre : Microsoft Windows Security Resource Kit
Éditeur : Julie Miller
Édition : 1 st
Données de publication :
Éditeur : Microsoft Press
Endroit : One Microsoft Way
Redmond, Washington 98052-6399
Auteur : Kurt Dillard, Jose Maldonado et Brad Warrender
Titre : Microsoft Solutions for Security: Windows Server 2003 Security Guide
Éditeur : Ried Bannecker, Wendy Cleary, John Cobb, Kelly McMahon et Jon Tobey
Édition : 1 st
Données de publication :
Éditeur : Microsoft Corporation
Endroit : One Microsoft Way
Redmond, Washington 98052-6399
Auteur : Kurt Dillard
Titre : Microsoft Solutions for Security: Threats and Countermeasures: Security Settings
in Windows Server 2003 and Windows XP
Éditeur : Ried Bannecker, John Cobb et Jon Tobey
Édition : 1 st
Données de publication :
Éditeur : Microsoft Corporation
Endroit : One Microsoft Way
Redmond, Washington 98052-6399
Auteur : Microsoft Press
Titre : Microsoft Windows Server 2003 Automating and Customizing Installations
Éditeur : Maureen Willams Zimmerman
Édition : 1 st
Données de publication :
Éditeur : Microsoft Corporation
Endroit : One Microsoft Way
Redmond, Washington 98052-6399
Bibliographie Mars 2004 147

Non classifié ITSG pour Windows Server 2003
Page laissée intentionnellement en blanc.
148 Mars 2004 Bibliographie

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Annexe A
La présente annexe contient un fichier « brut », dont il est fait mention dans ce document.
Modifiez le contenu à l’aide d’un éditeur de texte pour créer manuellement les fichiers
d’installation de stratégie. Sentez-vous libre de couper et coller au besoin.
A.1 Fichier d’installation automatisée de domaine
;
; Fichier de configuration et d’installation pour un serveur membre de domaine.
;
; À utiliser avec la configuration de base des serveurs membres du CST, pour
; installer et configurer un serveur de domaine sécurisé.
;
;
[Data]
AutoPartition=1
MsDosInitiated=0
UnattendedInstall=Yes
[GuiUnattended]
AdminPassword="A_Strong_Password"
OemSkipWelcome=1
OEMSkipRegional=1
TimeZone=035
AutoLogon=No
[Identification]
DomainAdmin=administrator
DomainAdminPassword="A_Strong_Password"
JoinDomain="cse-lab.local"
Annexe A Mars 2004 149

Non classifié ITSG pour Windows Server 2003
MachineObjectOU="OU=File Servers, OU=Public Servers, DC=cse-lab, DC=local"
[LicenseFilePrintData]
AutoMode=PerServer
AutoUsers=5
[Unattended]
OemPreinstall=No
UattendedSwitch=Yes
Repartition=No
TargetPath=Windows
UnattendedMode=FullUnattended
WaitForReboot=No
OemSkipEula=Yes
FileSystem=ConvertNTFS
[UserData]
ComputerName=DServer1
FullName="SEBT"
OrgName="CST-CST"
ProductKey="xxxx-xxxx-xxxx-xxxx-xxxx"
[params.MS_TCPIP.Adapter01]
SpecificTo=Adapter01
DisableDynamicUpdate=No
EnabelAdapterDomainNameregistration=No
DefaultGateway=192.163.0.1
DHCP=Yes
DNSDomain=cse-lab.local
NetBIOSOptions=1
Subnetmask=255.255.255.0
150 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
[NetOptionalComponents]
DHCPServer=0
DNS=0
IAS=0
ILS=0
LDPSVC=0
MacPrint=0
MacSrv=0
Netcm=0
NetMonTools=0
SimpTcp=0
SNMP=0
WINS=0
[Components]
AccessOpt=On
appsrv_console=Off
aspnet=Off
AutoUpdate=Off
BitsServerExtensionsISAPI=Off
BitsServerExtensionManager=Off
Calc=On
certsrv=On
certsrv_client=Off
certsrv_server=Off
charmap=On
chat=Off
Clipbook=Off
cluster=Off
complusnetwork=On
Annexe A Mars 2004 151

Non classifié ITSG pour Windows Server 2003
deskpaper=Off
dialer=Off
fax=Off
fp_extensions=Off
fp_vdir_deploy=Off
freecell=Off
hearts=Off
hypertrm=Off
IEAccess=Off
iis_asp=Off
iis_common=Off
iis_ftp=Off
iis_inetmgr=Off
iis_internetdataconnector=Off
iis_nntp=Off
iis_serversidesincludes=Off
iis_smpt=Off
iis_webadmin=Off
iis_webdav=Off
iis_www=Off
iis_www_vdir_scripts=Off
indexsrv_system=Off
inetprint=Off
licenseserver=Off
media_clips=Off
media_utopia=Off
minesweeper=Off
mousepoint=On
msmq_ADIntegrated=Off
msmq_Core=Off
msmq_HTTPSupport=Off
152 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
msmq_LocalStorage=Off
msmq_MQDSSService=Off
msmq_RoutingSupport=Off
msmq_TriggerService=Off
msnexplr=Off
mswordpad=On
netcis=Off
netoc=Off
objectpkg=Off
OEAccess=Off
paint=Off
pinball=Off
Pop3Admin=Off
Pop3Service=Off
Pop3Srv=Off
rec=Off
reminst=Off
rootautoupdate=Off
rstorage=Off
solitaire=Off
spider=Off
templates=Off
TerminalServer=Off
TSWebClient=Off
vol=Off
WBEMSNMP=Off
WMAccess=Off
WMPOCM=Off
wms=Off
wms_admin_asp=Off
wms_admin_mmc=Off
Annexe A Mars 2004 153

Non classifié ITSG pour Windows Server 2003
wms_isapi=Off
wms_server=Off
zonegames=Off
A.2 Fichier d’installation automatisée pour groupe de travail
;
; Fichier de configuration et d’installation pour un serveur membre de groupe de
; travail.
;
; À utiliser avec la configuration de base des serveurs membres du CST,
; pour installer et configurer un serveur de groupe de travail sécurisé.
;
;
[Data]
AutoPartition=1
MsDosInitiated=0
UnattendedInstall=Yes
[GuiUnattended]
AdminPassword="A_Strong_Password"
OemSkipWelcome=1
OEMSkipRegional=1
TimeZone=35
AutoLogon=No
[Identification]
JoinWorkgroup=cse-lab
[LicenseFilePrintData]
154 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
AutoMode=PerServer
AutoUsers=5
[Unattended]
OemPreinstall=No
UattendedSwitch=Yes
Repartition=No
TargetPath=WINDOWS
UnattendMode=FullUnattended
WaitForReboot=No
OemSkipEula=Yes
FileSystem=ConvertNTFS
[UserData]
ComputerName=BServer1
FullName="sebt"
OrgName="cse-cst"
ProductKey=xxxx-xxxx-xxx-xxxx-xxxx
[Networking]
InstallDefaultComponents=No
[NetAdapters]
Adapter1=params.Adapter1
[params.Adapter1]
INFID=*
[NetClients]
Annexe A Mars 2004 155

Non classifié ITSG pour Windows Server 2003
MS_MSClient=params.MS_MSClient
[NetServices]
MS_SERVER=params.MS_SERVER
[NetProtocols]
MS_TCPIP=params.MS_TCPIP
[params.MS_TCPIP]
DNS=No
UseDomainNameDevolution=No
EnableLMHosts=Yes
AdapterSections=params.MS_TCPIP.Adapter1
[params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
DHCP=No
IPAddress=192.168.0.5
SubnetMask=255.255.255.0
DefaultGateway=192.168.0.1
WINS=No
NetBIOSOptions=0
[NetOptionalComponents]
DHCPServer=0
DNS=0
IAS=0
ILS=No
LPDSVC=0
MacPrint=0
MacSrv=0
156 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
Netcm=0
NetMonTools=0
SimpTcp=0
SNMP=0
WINS=0
[Compoents]
AccessOpt=On
appsrv_console=Off
aspnet=Off
AutoUpdate=Off
BitsServerExtensionsISAPI=Off
BitsServerExtensionManager=Off
Calc=On
certsrv=On
certsrv_client=Off
certsrv_server=Off
charmap=On
chat=Off
Clipbook=Off
cluster=Off
complusnetwork=On
deskpaper=Off
dialer=Off
dtcnetwork=Off
fax=Off
fp_extensions=Off
fp_vdir_deploy=Off
freecell=Off
hearts=Off
hypertrm=Off
Annexe A Mars 2004 157

Non classifié ITSG pour Windows Server 2003
IEAccess=Off
iis_asp=Off
iis_common=Off
iis_ftp=Off
iis_inetmgr=Off
iis_internetdataconnector=Off
iis_nntp=Off
iis_serversidesincludes=Off
iis_smpt=Off
iis_webadmin=Off
iis_webdav=Off
iis_www=Off
iis_www_vdir_scripts=Off
indexsrv_system=Off
inetprint=Off
licenseserver=Off
media_clips=Off
media_utopia=Off
minesweeper=Off
mousepoint=On
msmq_ADIntegrated=Off
msmq_Core=Off
msmq_HTTPSupport=Off
msmq_LocalStorage=Off
msmq_MQDSSService=Off
msmq_RoutingSupport=Off
msmq_TriggerService=Off
msnexplr=Off
mswordpad=On
netcis=Off
netoc=Off
158 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
objectpkg=Off
OEAccess=Off
paint=Off
pinball=Off
Pop3Admin=Off
Pop3Service=Off
Pop3Srv=Off
rec=Off
reminst=Off
rootautoupdate=Off
rstorage=Off
solitaire=Off
spider=Off
templates=Off
TerminalServer=Off
TSWebClient=Off
vol=Off
WBEMSNMP=Off
WMAccess=Off
WMPOCM=Off
wms=Off
wms_admin_asp=Off
wms_admin_mmc=Off
wms_isapi=Off
wms_server=Off
zonegames=Off
Annexe A Mars 2004 159

Non classifié ITSG pour Windows Server 2003
A.3 Fichier « CSE High Security – Member Server
Baseline.inf »
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Profile Description]
Description= Modèle de base pour tous les serveurs membres, dans un environnement haute
sécurité.
[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 10
ResetLockoutCount = 15
LockoutDuration = 15
ForceLogoffWhenHourExpire = 1
NewAdministratorName = "jeanuntel"
NewGuestName = "jeanneuntel"
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 0
EnableGuestAccount = 0
[System Log]
MaximumLogSize = 16384
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
160 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
[Security Log]
MaximumLogSize = 81920
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
[Application Log]
MaximumLogSize = 16384
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 2
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 0
AuditDSAccess = 3
AuditAccountLogon = 3
[Registry Values]
machine\system\software\microsoft\windows
nt\currentversion\winlogon\screensavergraceperiod=4,0
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi
ons=4,2
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80
machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1
machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1
machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0
machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000
machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0
Annexe A Mars 2004 161

Non classifié ITSG pour Windows Server 2003
machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0
machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0
machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2
machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2
machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1
machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1
machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1
machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1
machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0
machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30
machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0
machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1
machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu
re=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur
e=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo
rd=4,0
machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4,
1
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7,
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7,
machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15
machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90
machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20
machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000
machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1
machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10
162 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
machine\system\currentcontrolset\control\session manager\subsystems\optional=7,
machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1
machine\system\currentcontrolset\control\session manager\protectionmode=4,1
machine\system\currentcontrolset\control\session manager\memory
management\clearpagefileatshutdown=4,1
machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine=
7,
machine\system\currentcontrolset\control\print\providers\lanman print
services\servers\addprinterdrivers=4,1
machine\system\currentcontrolset\control\lsa\submitcontrol=4,0
machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1
machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1
machine\system\currentcontrolset\control\lsa\nolmhash=4,1
machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5
machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1
machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0
machine\system\currentcontrolset\control\lsa\forceguest=4,0
machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1
machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0
machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1
machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1
machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0
machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1
machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0
machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2
machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0
machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0
Annexe A Mars 2004 163

Non classifié ITSG pour Windows Server 2003
machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0
machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7, This
system is restricted to authorized users. Individuals attempting unauthorized access will be
prosecuted. If unauthorized, terminate access now! Clicking on OK indicates your acceptance of
the information in the background./Ce système est restreint aux seuls utilisateurs autorisés. Les
personnes qui tentent d’accéder de manière non autorisée feront l’objet de poursuites. Si vous
n’êtes pas autorisé à accéder à ce système, veuillez le quitter maintenant. En cliquant sur OK,
vous indiquez votre acceptation de l’information affichée en arrière-plan.
machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1," IT
IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST
INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIÉE ».
machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4
,1
machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0
machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25
5
machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1
machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1"
machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14
machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1
machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1"
machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0
machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0
machine\software\microsoft\driver signing\policy=3,1
machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServer=
4, 0
machine\Software\Microsoft\OLE\EnableDCOM=4, 0
[Privilege Rights]
seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20
seauditprivilege = *S-1-5-19,*S-1-5-20
sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544
sebatchlogonright =
164 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544
secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544
secreatepagefileprivilege = *S-1-5-32-544
secreatepermanentprivilege =
secreatetokenprivilege =
sedebugprivilege =
sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7
sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7
sedenynetworklogonright = ,*S-1-5-32-546,*S-1-5-7
sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7
sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7,*S-1-5-32-544
seenabledelegationprivilege =
seimpersonateprivilege = *S-1-5-19,*S-1-5-20
seincreasebasepriorityprivilege = *S-1-5-32-544
seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20
seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544
seloaddriverprivilege = *S-1-5-32-544
selockmemoryprivilege = *S-1-5-32-544
semachineaccountprivilege = *S-1-5-32-544
semanagevolumeprivilege = *S-1-5-32-544
senetworklogonright = *S-1-5-9,*S-1-5-11,*S-1-5-32-544
seprofilesingleprocessprivilege = *S-1-5-32-544
seremoteinteractivelogonright = *S-1-5-32-544
seremoteshutdownprivilege =
serestoreprivilege = *S-1-5-32-544
sesecurityprivilege = *S-1-5-32-544
seservicelogonright = *S-1-5-20,*S-1-5-19
seshutdownprivilege = *S-1-5-32-544
sesyncagentprivilege =
sesystemenvironmentprivilege = *S-1-5-32-544
sesystemprofileprivilege = *S-1-5-32-544
Annexe A Mars 2004 165

Non classifié ITSG pour Windows Server 2003
sesystemtimeprivilege = *S-1-5-32-544
setakeownershipprivilege = *S-1-5-32-544
setcbprivilege =
seundockprivilege = *S-1-5-32-544
[Service General Setting]
"6to4", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"alerter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"alg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"appmgmt", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"appmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"appmon", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"aspnet_state", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"audiosrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"binlsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"bits", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
166 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"certsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"cisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"clipsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"clussvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"comsysapp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"corrtsvc", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"cryptsvc", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"dfs", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"dhcp", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"dhcpserver", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 167

Non classifié ITSG pour Windows Server 2003
"dmadmin", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"dmserver", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"dns", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"dnscache", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"elementmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"ersvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"eventlog", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"eventsystem", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"fastuserswitchingcompatibility", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"fax", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"groveler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
168 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"helpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"hidserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"httpfilter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"ias", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"iasjet", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"iisadmin", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"imapiservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDR
CWDWO;;;WD)"
"irmon", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"ismserv", 4,
"D:(A;;CCLCSWLOCRRC;;;IU)(A;;GA;;;BA)(A;;GA;;;SY)S:(AU;FA;CCDCLCSWRPWPDT
LOCRSDRCWDWO;;;WD)"
"kdc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lanmanserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 169

Non classifié ITSG pour Windows Server 2003
"lanmanworkstation", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"licenseservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lmhosts", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lpdsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"macfile", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"macprint", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"messenger", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mnmsrvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mqds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mqtgsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msdtc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msftpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msiserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
170 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"msmq", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssql$uddi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssql$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssqlserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssqlserveradhelper", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netdde", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netddedsdm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netlogon", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netman", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nla", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nntpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ntfrs", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ntlmssp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 171

Non classifié ITSG pour Windows Server 2003
"ntmssvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nwcworkstation", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nwsapagent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"plugplay", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"policyagent", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"pop3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"protectedstorage", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rasauto", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rasman", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rdsessmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remote_storage_server", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remote_storage_user_link", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remoteaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
172 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"remoteregistry", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rpclocator", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rpcss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rsopprov", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sacsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"saldm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"samss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"scardsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"schedule", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"seclogon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sens", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sharedaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"shellhwdetection", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 173

Non classifié ITSG pour Windows Server 2003
"simptcp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"smtpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"snmp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"snmptrap", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sptimer", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sqlagent$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sqlserveragent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"srvcsurg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"stisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"swprv", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sysmonlog", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tapisrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
174 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"termservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"termservlicensing", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tftpd", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"themes", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tlntsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"trksvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"trkwks", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tssdis", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"uploadmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ups", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"vds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"vss", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"w32time", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 175

Non classifié ITSG pour Windows Server 2003
"w3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"webclient", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"windowssystemresourcemanager", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winhttpautoproxysvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winmgmt", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wins", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winsip", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmdmpmsn", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmiapsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wuauserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wzcsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
176 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
A.4 Fichier « CSE High Security – Workgroup Server
Baseline.inf »
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Profile Description]
Description=Modèle de base pour tous les serveurs de groupe de travail, dans un environnement
haute sécurité.
[System Access]
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
LockoutBadCount = 10
ResetLockoutCount = 15
LockoutDuration = 15
ForceLogoffWhenHourExpire = 1
NewAdministratorName = "jeanuntel"
NewGuestName = "jeanneuntel"
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 0
EnableGuestAccount = 0
[System Log]
MaximumLogSize = 16384
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
[Security Log]
Annexe A Mars 2004 177

Non classifié ITSG pour Windows Server 2003
MaximumLogSize = 81920
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
[Application Log]
MaximumLogSize = 16384
AuditLogRetentionPeriod = 2
RestrictGuestAccess = 1
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 2
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 0
AuditDSAccess = 3
AuditAccountLogon = 3
[Registry Values]
machine\system\software\microsoft\windows
nt\currentversion\winlogon\screensavergraceperiod=4,0
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxportsexhausted=4,5
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxdataretransmissions=4,3
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxconnectresponseretransmissi
ons=4,2
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopen=4, 100
machine\system\currentcontrolset\services\tcpip\parameters\tcpmaxhalfopenretired=4, 80
machine\system\currentcontrolset\services\tcpip\parameters\nonamereleaseondemand=4, 1
machine\system\currentcontrolset\services\tcpip\parameters\synattackprotect=4,1
machine\system\currentcontrolset\services\tcpip\parameters\performrouterdiscovery=4,0
machine\system\currentcontrolset\services\tcpip\parameters\keepalivetime=4,300000
machine\system\currentcontrolset\services\tcpip\parameters\enablepmtudiscovery=4,0
machine\system\currentcontrolset\services\tcpip\parameters\enableicmpredirect=4,0
178 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
machine\system\currentcontrolset\services\tcpip\parameters\enabledeadgwdetect=4,0
machine\system\currentcontrolset\services\tcpip\parameters\disableipsourcerouting=4,2
machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity=4,2
machine\system\currentcontrolset\services\netlogon\parameters\signsecurechannel=4,1
machine\system\currentcontrolset\services\netlogon\parameters\sealsecurechannel=4,1
machine\system\currentcontrolset\services\netlogon\parameters\requirestrongkey=4,1
machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal=4,1
machine\system\currentcontrolset\services\netlogon\parameters\refusepasswordchange=4,0
machine\system\currentcontrolset\services\netlogon\parameters\maximumpasswordage=4,30
machine\system\currentcontrolset\services\netlogon\parameters\disablepasswordchange=4,0
machine\system\currentcontrolset\services\netbt\parameters\nonamereleaseondemand=4,1
machine\system\currentcontrolset\services\ldap\ldapclientintegrity=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\requiresecuritysignatu
re=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enablesecuritysignatur
e=4,1
machine\system\currentcontrolset\services\lanmanworkstation\parameters\enableplaintextpasswo
rd=4,0
machine\system\currentcontrolset\services\lanmanserver\parameters\restrictnullsessaccess=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature=4,
1
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares=7,
machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionpipes=7,
machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\enableforcedlogoff=4,1
machine\system\currentcontrolset\services\lanmanserver\parameters\autodisconnect=4,15
machine\system\currentcontrolset\services\eventlog\security\warninglevel=4,90
machine\system\currentcontrolset\services\afd\parameters\minimumdynamicbacklog=4,20
machine\system\currentcontrolset\services\afd\parameters\maximumdynamicbacklog=4,20000
machine\system\currentcontrolset\services\afd\parameters\enabledynamicbacklog=4,1
machine\system\currentcontrolset\services\afd\parameters\dynamicbackloggrowthdelta=4,10
machine\system\currentcontrolset\control\session manager\subsystems\optional=7,
Annexe A Mars 2004 179

Non classifié ITSG pour Windows Server 2003
machine\system\currentcontrolset\control\session manager\safedllsearchmode=4,1
machine\system\currentcontrolset\control\session manager\protectionmode=4,1
machine\system\currentcontrolset\control\session manager\memory
management\clearpagefileatshutdown=4,1
machine\system\currentcontrolset\control\session manager\kernel\obcaseinsensitive=4,1
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedexactpaths\machine=
7,
machine\system\currentcontrolset\control\print\providers\lanman print
services\servers\addprinterdrivers=4,1
machine\system\currentcontrolset\control\lsa\submitcontrol=4,0
machine\system\currentcontrolset\control\lsa\restrictanonymoussam=4,1
machine\system\currentcontrolset\control\lsa\restrictanonymous=4,1
machine\system\currentcontrolset\control\lsa\nolmhash=4,1
machine\system\currentcontrolset\control\lsa\nodefaultadminowner=4,1
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminserversec=4,537395248
machine\system\currentcontrolset\control\lsa\msv1_0\ntlmminclientsec=4,537395248
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,5
machine\system\currentcontrolset\control\lsa\limitblankpassworduse=4,1
machine\system\currentcontrolset\control\lsa\fullprivilegeauditing=3,0
machine\system\currentcontrolset\control\lsa\forceguest=4,0
machine\system\currentcontrolset\control\lsa\fipsalgorithmpolicy=4,1
machine\system\currentcontrolset\control\lsa\everyoneincludesanonymous=4,0
machine\system\currentcontrolset\control\lsa\disabledomaincreds=4,1
machine\system\currentcontrolset\control\lsa\crashonauditfail=4,1
machine\system\currentcontrolset\control\lsa\auditbaseobjects=4,0
machine\system\currentcontrolset\control\filesystem\ntfsdisable8dot3namecreation=4,1
machine\software\policies\microsoft\windows\safer\codeidentifiers\authenticodeenabled=4,0
machine\software\policies\microsoft\cryptography\forcekeyprotection=4,2
machine\software\microsoft\windows\currentversion\policies\system\undockwithoutlogon=4,0
machine\software\microsoft\windows\currentversion\policies\system\shutdownwithoutlogon=4,0
machine\software\microsoft\windows\currentversion\policies\system\scforceoption=4,0
180 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
machine\software\microsoft\windows\currentversion\policies\system\legalnoticetext=7,Ce
système est restreint aux seuls utilisateurs autorisés.
machine\software\microsoft\windows\currentversion\policies\system\legalnoticecaption=1,"IT
IS AN OFFENSE TO CONTINUE WITHOUT PROPER AUTHORIZATION./IL EST
INTERDIT DE POURSUIVRE SANS AUTORISATION APPROPRIÉE."
machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername=4
,1
machine\software\microsoft\windows\currentversion\policies\system\disablecad=4,0
machine\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun=4,25
5
machine\system\currentcontrolset\control\services\CDRom\AutoRun=4, 1
machine\software\microsoft\windows nt\currentversion\winlogon\scremoveoption=1,"1"
machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14
machine\software\microsoft\windows nt\currentversion\winlogon\forceunlocklogon=4,1
machine\software\microsoft\windows nt\currentversion\winlogon\cachedlogonscount=1,"0"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatefloppies=1,"1"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatedasd=1,"0"
machine\software\microsoft\windows nt\currentversion\winlogon\allocatecdroms=1,"1"
machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand=4,0
machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel=4,0
machine\software\microsoft\driver signing\policy=3,1
machine\system\currentcontrolset\control\services\LanmanServer\Parameters\AutoShareServer=
4, 0
machine\Software\Microsoft\OLE\EnableDCOM=4, 0
[Privilege Rights]
seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20
seauditprivilege = *S-1-5-19,*S-1-5-20
sebackupprivilege = *S-1-5-32-544,*S-1-5-32-551
sebatchlogonright =
sechangenotifyprivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-11
secreateglobalprivilege = *S-1-5-32-544,*S-1-5-6
secreatepagefileprivilege = *S-1-5-32-544
secreatepermanentprivilege =
Annexe A Mars 2004 181

Non classifié ITSG pour Windows Server 2003
secreatetokenprivilege =
sedebugprivilege =
sedenybatchlogonright = *S-1-5-32-546,*S-1-5-7
sedenyinteractivelogonright = *S-1-5-32-546,*S-1-5-7
sedenynetworklogonright = *S-1-5-7,*S-1-5-32-546
sedenyremoteinteractivelogonright = *S-1-5-32-546,*S-1-5-7
sedenyservicelogonright = *S-1-5-32-546,*S-1-5-7
seenabledelegationprivilege =
seimpersonateprivilege = *S-1-5-19,*S-1-5-20
seincreasebasepriorityprivilege = *S-1-5-32-544
seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20
seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544
seloaddriverprivilege = *S-1-5-32-544
selockmemoryprivilege = *S-1-5-32-544
semachineaccountprivilege = *S-1-5-32-544
semanagevolumeprivilege = *S-1-5-32-544
senetworklogonright = *S-1-5-32-544,*S-1-5-11
seprofilesingleprocessprivilege = *S-1-5-32-544
seremoteinteractivelogonright = *S-1-5-32-544
seremoteshutdownprivilege =
serestoreprivilege = *S-1-5-32-544
sesecurityprivilege = *S-1-5-32-544
seservicelogonright = *S-1-5-20,*S-1-5-19
seshutdownprivilege = *S-1-5-32-544
sesyncagentprivilege =
sesystemenvironmentprivilege = *S-1-5-32-544
sesystemprofileprivilege = *S-1-5-32-544
sesystemtimeprivilege = *S-1-5-32-544
setakeownershipprivilege = *S-1-5-32-544
setcbprivilege =
seundockprivilege = *S-1-5-32-544
182 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
[Service General Setting]
"6to4", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"alerter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"alg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"appmgmt", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"appmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"appmon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"aspnet_state", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"audiosrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"binlsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"bits", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"certsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"cisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 183

Non classifié ITSG pour Windows Server 2003
"clipsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"clussvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"comsysapp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"corrtsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"cryptsvc", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dfs", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dhcp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dhcpserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dmadmin", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dmserver", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dns", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"dnscache", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"elementmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
184 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"ersvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"eventlog", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"eventsystem", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"fastuserswitchingcompatibility", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"fax", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"groveler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"helpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"hidserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"httpfilter", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ias", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"iasjet", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"iisadmin", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"imapiservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 185

Non classifié ITSG pour Windows Server 2003
"irmon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ismserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"kdc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lanmanserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lanmanworkstation", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"licenseservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lmhosts", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"lpdsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"macfile", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"macprint", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"messenger", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mnmsrvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mqds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
186 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"mqtgsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msdtc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msftpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msiserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"msmq", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssql$uddi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssql$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssqlserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"mssqlserveradhelper", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netdde", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netddedsdm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netlogon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"netman", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 187

Non classifié ITSG pour Windows Server 2003
"nla", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nntpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ntfrs", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ntlmssp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"ntmssvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nwcworkstation", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"nwsapagent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"plugplay", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"policyagent", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"pop3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"protectedstorage", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rasauto", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rasman", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
188 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"rdsessmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remote_storage_server", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remote_storage_user_link", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remoteaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"remoteregistry", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rpclocator", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rpcss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"rsopprov", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sacsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"saldm", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"samss", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"scardsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"schedule", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 189

Non classifié ITSG pour Windows Server 2003
"seclogon", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sens", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sharedaccess", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"shellhwdetection", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"simptcp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"smtpsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"snmp", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"snmptrap", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sptimer", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sqlagent$webdb", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sqlserveragent", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"srvcsurg", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
190 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"stisvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"swprv", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"sysmonlog", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tapisrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"termservice", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"termservlicensing", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tftpd", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"themes", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tlntsvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"trksvr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"trkwks", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"tssdis", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"uploadmgr", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Annexe A Mars 2004 191

Non classifié ITSG pour Windows Server 2003
"ups", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"vds", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"vss", 3,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"w32time", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"w3svc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"webclient", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"windowssystemresourcemanager", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winhttpautoproxysvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winmgmt", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wins", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"winsip", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmdmpmsn", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmi", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
192 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
"wmiapsrv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wmserver", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wuauserv", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"wzcsvc", 4,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
A.5 Fichier « CSE High Security – Member File Server.inf »
; (c) Microsoft Corporation 1997-2003
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name: High Security - Bastion Host.inf
; Template Version: 1.0
;
;This Security Configuration Template provides settings to support the
;Windows Server 2003 Bastion Host settings for the Windows
;Server 2003 Security Guide. Please read the entire guide before using
;this template.
;
; Release History
; 0001 - Original April 23, 2003
[Unicode]
Unicode=yes
Annexe A Mars 2004 193

Non classifié ITSG pour Windows Server 2003
[Version]
signature="$CHICAGO$"
Revision=1
[Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
A.6 Fichier « CSE High Security – Member Print Server.inf »
; (c) Microsoft Corporation 1997-2003
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name: High Security - Print Server.inf
; Template Version: 1.0
;
;This Security Configuration Template provides settings to support the
;Windows Server 2003 Print Server Role settings for the Windows
;Server 2003 Security Guide. Please read the entire guide before using
;this template.
;
; Release History
; 0001 - Original April 23, 2003
[Profile Description]
Paramètres additionnels pour un serveur d’impression dans un environnement haute sécurité.
194 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Values]
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof
tware\Microsoft\Windows
NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers
[Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
A.7 Fichier « CSE High Security – Workgroup File
Server.inf »
; (c) Microsoft Corporation 1997-2003
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name: High Security - Bastion Host.inf
; Template Version: 1.0
;
Annexe A Mars 2004 195

Non classifié ITSG pour Windows Server 2003
;This Security Configuration Template provides settings to support the
;Windows Server 2003 Bastion Host settings for the Windows
;Server 2003 Security Guide. Please read the entire guide before using
;this template.
;
; Release History
; 0001 - Original April 23, 2003
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Values]
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4
[Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
196 Mars 2004 Annexe A

Sécurité de base recommandée pour
Windows Server 2003 (ITSG-20)
A.8 Fichier « CSE High Security – Workgroup Print
Server.inf »
; (c) Microsoft Corporation 1997-2003
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name: High Security - Bastion Host.inf
; Template Version: 1.0
;
;This Security Configuration Template provides settings to support the
;Windows Server 2003 Bastion Host settings for the Windows
;Server 2003 Security Guide. Please read the entire guide before using
;this template.
;
; Release History
; 0001 - Original April 23, 2003
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Values]
machine\system\currentcontrolset\control\lsa\lmcompatibilitylevel=4,4
machine\system\currentcontrolset\control\securepipeservers\winreg\allowedpaths\machine=7,Sof
tware\Microsoft\Windows
NT\CurrentVersion\Print,System\CurrentControlSet\Control\Print\Printers
Annexe A Mars 2004 197

Non classifié ITSG pour Windows Server 2003
[Service General Setting]
"lanmanserver", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"browser", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
"spooler", 2,
"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCR
SDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
198 Mars 2004 Annexe A