L'une des méthodes les plus populaires pour configurer les machines Microsoft Windows consiste à utiliser la stratégie de groupe. Il s'agit des paramètres liés à l'enregistrement sur l'ordinateur, à la configuration des paramètres de sécurité et au comportement lors de l'utilisation de la machine. La stratégie de groupe peut être ouverte depuis Active Directory (à partir du client) ou configurée directement sur la machine (locale). Les machines Windows 8.1 et Windows Server 2012 R2 disposent de plus de 3 700 paramètres pour le système d'exploitation.
Vous trouverez ci-dessous 10 paramètres de stratégie de groupe importants auxquels vous devez prêter attention. Ne vous arrêtez pas à ces 10 paramètres, car chaque paramètre raisonnable contribue à réduire les risques. Mais ces 10 choix décideront de presque tout.
Si vous configurez correctement ces 10 noms, vous créerez un environnement Windows plus sécurisé. Tous se trouvent dans Configuration de l'ordinateur/Paramètres Windows/Paramètres de sécurité.
1. Renommez le compte de l'administrateur local
Si les méchants ne connaissent pas le nom du compte administrateur, il leur faudra plus de temps pour pirater. Renommer le compte administrateur ne peut pas se faire automatiquement, vous devez le faire vous-même.
2. Désactivez le compte invité
L’une des pires choses que vous puissiez faire est d’activer ce compte. Il donne plusieurs droits d'accès aux machines Windows et ne nécessite pas de mot de passe. Heureusement, il existe une option pour désactiver cette fonctionnalité par défaut.
Configurez correctement la stratégie de groupe pour assurer la sécurité de votre machine Windows
3. Désactivez LM et NTLM v1
Les protocoles d'authentification LM (LAN Manager) et NTLM v1 sont vulnérables. Utilisez NTLM v2 et Kerberos. Par défaut, la plupart des machines Windows acceptent les quatre protocoles. Sauf si vous possédez une machine ancienne (plus de 10 ans) et qui n’a pas été patchée, il est rarement recommandé d’utiliser l’ancien protocole. Ils peuvent être désactivés par défaut.
4. Désactivez le stockage LM
Les hachages de mots de passe LM sont facilement convertis en texte brut. Ne laissez pas Windows les enregistrer sur le disque, où les pirates peuvent utiliser des outils pour les trouver. Il est désactivé par défaut.
5. Longueur minimale du mot de passe
La longueur du mot de passe pour les utilisateurs normaux doit être d'au moins 12 caractères - 15 caractères ou plus pour les comptes de niveau supérieur. Les mots de passe Windows ne sont pas très sécurisés s'ils comportent moins de 12 caractères. Pour être le plus sûr dans le monde de l’authentification Windows, il devrait être de 15. Cela fermera presque toutes les portes dérobées.
Malheureusement, l'ancien paramètre de stratégie de groupe ne comportait qu'un maximum de 14 caractères. Utilisez des stratégies de mot de passe affinées. Bien qu'il ne soit pas facile à installer et à configurer sur Windows Server 2008 R2 (et versions antérieures), cela est très simple avec Windows Server 2012 et versions ultérieures.
6. Durée de vie maximale du mot de passe
Les mots de passe de 14 caractères ou moins ne peuvent pas être utilisés pendant plus de 90 jours. La durée maximale par défaut du mot de passe Windows est de 42 jours, vous pouvez donc utiliser ce nombre ou l'augmenter à 90 jours si vous le souhaitez. Certains experts en sécurité affirment qu'il est acceptable d'utiliser un mot de passe pendant une durée maximale d'un an s'il comporte 15 caractères ou plus. N'oubliez pas, cependant, que plus le délai est long, plus le risque que quelqu'un le vole et l'utilise pour accéder à un autre compte de la même personne. Une utilisation à court terme est encore meilleure.
7. Journaux d'événements
De nombreuses victimes d’attaques auraient pu être détectées plus tôt si elles avaient activé les journaux d’événements et pris l’habitude de les vérifier. Assurez-vous d'utiliser les paramètres recommandés dans l' outil Microsoft Security Compliance Manager et d'utiliser les sous-catégories d'audit.
8. Désactivez la participation anonyme au SID
Les identifiants de sécurité (SID - identifiant de sécurité) sont des numéros attribués à chaque utilisateur, groupe et objet de sécurité sous Windows ou Active Directory. Dans les premières versions de Windows, les utilisateurs non authentifiés pouvaient interroger ces numéros pour identifier les utilisateurs et groupes importants (comme les administrateurs) que les pirates aimaient exploiter. Cette présence peut être désactivée par défaut.
9. Ne laissez pas les comptes anonymes faire partie du groupe de tout le monde
Ce paramètre et le paramètre précédent, lorsqu'ils sont mal configurés, permettront à une personne anonyme d'accéder au système plus loin que ce qui est autorisé. Les deux paramètres sont activés par défaut (désactiver l'accès anonyme) depuis 2000.
10. Activer le contrôle de compte d'utilisateur (UAC)
Depuis Windows Vista, l'UAC est l'outil de protection n°1 lors de la navigation sur le Web. Cependant, de nombreuses personnes le désactivent en raison d'informations anciennes sur des problèmes de compatibilité logicielle. La plupart de ces problèmes ont disparu ; ce qui reste peut être résolu à l'aide de l'utilitaire gratuit de détection d'incompatibilité de Microsoft. Si vous désactivez l'UAC, vous courez un plus grand risque sous Windows NT que sous les systèmes d'exploitation plus récents. L'UAC est activé par défaut.
Les nouvelles versions du système d'exploitation ont de nombreux paramètres par défaut corrects
Si vous y prêtez attention, vous verrez que 7 de ces paramètres sur 10 ont été configurés correctement sur Windows Vista, Windows Server 2008 et versions ultérieures. Pas besoin de perdre du temps à apprendre les 3 700 paramètres de stratégie de groupe, configurez simplement correctement les 10 paramètres ci-dessus et vous avez terminé.