Le voici en clair ...
Liste des recommandations SSI :
22 Il est recommandé que seuls les comptes nécessaires à l’administration et à l’exploitation du serveur soient implémentés et actifs. Les comptes inutiles doivent être supprimés ou désactivés.
24 Il est recommandé de limiter le nombre d’utilisateurs du groupe Administrateurs
25 Il est recommandé de déclarer un compte nominatif par utilisateur physique disposant de privilèges.
26 Il est recommandé que tous les comptes d’utilisateurs physiques doivent avoir un mot de passe qui expire dans le temps.
27 Il est recommandé de ne pas ouvrir de session administrateur pour effectuer les tâches d’administration locale, mais d’utiliser L’UAC à partir d’un compte d’utilisateur.
28 Il est recommandé de ne pas désactiver l’UAC
29 Il est recommandé d’effectuer le paramétrage de sécurité locale du serveur avant de rattacher le serveur à un Domaine Active Directory.
30 Il est recommandé de limiter le nombre de fonctions aux seules fonctions strictement nécessaires aux rôles attribués au serveur.
31 Il est recommandé d’identifier et de gérer particulièrement les services qui ne sont pas connus du système.
36 Il est recommandé que le mot de passe respecte des exigences de complexité : Activé.
37 Il est recommandé que la longueur minimale du mot de passe soit de 7 caractères.
38 Il est recommandé de mettre en application une politique de verrouillage de comptes
43 Il est recommandé d‘auditer les tentatives d’accès aux objets : Echecs.
44 Il est recommandé d‘auditer l’utilisation des privilèges : Echecs
45 Il est recommandé d’auditer la gestion des comptes : Réussite, Echec.
46 Il est recommandé d‘auditer le suivi de processus : Echecs.
47 Il est recommandé d’auditer les événements de connexion : Réussite, échecs
48 Il est recommandé d’auditer les événements de connexion aux comptes : Réussite, échecs
49 Il est recommandé d’auditer les événements système : Réussite, échecs
50 Il est recommandé d’auditer les modifications de stratégie : Réussite, échecs
53 Il est recommandé de ne pas attribuer le paramètre « Accès au gestionnaire d’informations d’identification en tant qu’appelant approuvé ».
54 Il est recommandé de ne pas attribuer le paramètre « agir en tant que partie du système d’exploitation ».
59 Il est recommandé d’attribuer le paramètre « Augmenter une plage de travail de processus» aux seuls administrateurs
62 Il est recommandé d’attribuer le paramètre « Charger et décharger les pilotes de périphériques» aux seuls administrateurs
63 Il est recommandé de ne pas attribuer le paramètre « Contourner la vérification de parcours» aux utilisateurs et à Tout le monde.
65 Il est recommandé d’attribuer le paramètre « Créer des objets globaux» aux Administrateurs, et à services, services locaux et services réseaux.
67 Il est recommandé d’attribuer le paramètre « Créer un fichier d’échange» aux Administrateurs.
68 Il est recommandé de ne pas attribuer le paramètre « Créer un objet-jeton»
69 Il est recommandé d’attribuer le paramètre « Déboguer les programmes» aux Administrateurs.
70 Il est recommandé d’attribuer le paramètre «Effectuer les tâches de maintenance de volume» aux Administrateurs.
71 Il est recommandé d’attribuer le paramètre « Emprunter l'identité d'un client après l'authentification » aux Administrateurs, SERVICE, SERVICE LOCAL et SERVICE RESEAU.
72 Il est recommandé d’attribuer le paramètre « Forcer l’arrêt à partir d’un système distant » aux administrateurs.
73 Il est recommandé d’attribuer le paramètre « Générer des audits de sécurité » aux SERVICE LOCAL, SERVICE RESEAU.
74 Il est recommandé d’attribuer le paramètre « Gérer le journal d’audit et de sécurité » aux Administrateurs.
79 Il est recommandé d’attribuer le paramètre « Interdire l’ouverture de session par les services Bureau à distance » à Tout le monde.
81 Il est recommandé d’attribuer le paramètre « Modifier les valeurs de l'environnement du microprogramme » aux Administrateurs.
86 Il est recommandé de ne pas attribuer le paramètre « Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation ».
99 Il est recommandé de ne pas attribuer le paramètre « Accès réseau : les chemins de Registre accessibles à distance »
107 Il est recommandé d’attribuer au paramètre « Arrêt : effacer le fichier d'échange de mémoire virtuelle » La valeur : Activé.
112 Il est recommandé d’attribuer au paramètre « Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit » La valeur : Activé.
116 Il est recommandé d’attribuer au paramètre « Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie » la valeur: Désactivé.
117 Il est recommandé de modifier le paramètre « Comptes : renommer le compte administrateur » dont la valeur par défaut est « Administrateur »
119 Il est recommandé d’attribuer au paramètre « Comptes : restreindre l'utilisation de mots de passe vides par le compte local à l'ouverture de session console » La valeur: Activé.
120 Il est recommandé d’attribuer au paramètre « Comptes : statut du compte Administrateur » la valeur: Activé.
121 Il est recommandé d’attribuer au paramètre « Comptes : statut du compte Invité » la valeur: Désactivé.
122 Il est recommandé d’attribuer au paramètre « Connexion interactive : afficher les informations relatives à l'utilisateur lorsque la session est verrouillée » la valeur: « N'afficher aucune information relative à l'utilisateur ».
123 Il est recommandé d’attribuer au paramètre « Console de récupération : autoriser l’ouverture de session d’administration automatique » la valeur: Désactivé.
128 Il est recommandé d’attribuer au paramètre « Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d’approbation Administrateur » la valeur: « Demande d’information d’identification ».
129 Il est recommandé d’attribuer au paramètre « Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les utilisateurs standard » : Refuser automatiquement les demandes d’élévation de privilèges.
130 Il est recommandé d’attribuer au paramètre « Contrôle de compte d'utilisateur : détecter les installations d’applications et demander l’élévation » la valeur: Activé.
131 Il est recommandé d’attribuer au paramètre « Contrôle de compte d'utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés » : Activé.
133 Il est recommandé d’attribuer au paramètre « Contrôle de compte d'utilisateur : exécuter les comptes administrateurs en mode d’approbation d’administrateur » la valeur: Activé.
144 Il est recommandé d’attribuer au paramètre «Membre de domaine : désactive les modifications de mot de passe du compte ordinateur » la valeur: Désactivé.
149 Il est recommandé d’attribuer au paramètre «Ouverture de session interactive : carte à puce nécessaire » : Activé (si authentification par carte à puce) / Désactivé (sinon).
153 Il est recommandé d’attribuer au paramètre «Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr » la valeur: Désactivé.
160 Il est recommandé d’attribuer au paramètre «Périphériques : autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session » la valeur: Activé.
167 Il est recommandé d’attribuer au paramètre «Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe » la valeur: Activé.
168 Il est recommandé d’attribuer au paramètre «Sécurité réseau niveau d'authentification LAN Manager » la valeur : « envoyer uniquement les réponses NTLM v2 \ Refuser LM et NTLM».
169 Il est recommandé d’attribuer au paramètre «Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé) » la valeur: « Exiger la sécurité de session NTLM v2, Exiger un niveau de chiffrement à 128 bits ».
175 Il est recommandé d’attribuer au paramètre «Serveur réseau Microsoft : communication signées numériquement (toujours) » la valeur: Activé
179 Il est recommandé d’activer le pare-feu Windows.
180 Il est recommandé que dans le cadre d'un réseau d'entreprise, toutes les règles du pare-feu intégré de Windows Server 2008R2 soient créées pour tous les profils.
181 Il est recommandé de paramétrer le Firewall pour bloquer par défaut toutes les connexions entrantes et sortantes.
182 Il est recommandé de vérifier dans la vue d'ensemble qu'on est bien passé pour tous les profils à la règle suivante pour les connexions sortantes : "les connexions sortantes qui ne correspondent pas à une règle sont bloquées".
183 Il est recommandé de configurer le paramètre : Pour le profil actif, autoriser les flux entrants légitimes et strictement nécessaires.
184 Il est recommandé de configurer le paramètre : Pour le profil actif, autoriser les flux sortants légitimes et strictement nécessaires.
185 Il est recommandé de configurer le paramètre : Méthode de conservation du journal: Ne pas remplacer les événements.
186 La valeur recommandée pour le paramètre « Taille maximale du journal » est de 16384 ko au minimum.
187 Il est recommandé de mettre en place un archivage des journaux.
190 Il est recommandé de configurer le paramètre : Redémarrage de la machine après un plantage : Désactivé.
191 Il est recommandé de configurer le paramètre : Empêcher la machine de répondre aux explorations NetBIOS : Activé.
192 Il est recommandé que le service BFE soit actif
193 Il est recommandé que le service CryptSvc soit actif
194 Il est recommandé que le service DcomLaunch soit actif
198 Il est recommandé que le service eventlog soit actif
199 Il est recommandé que le service eventlog soit actif
201 Il est recommandé que le service Client de stratégie de groupe soit actif
206 Il est recommandé que le service Pare feu soit actif
208 Il est recommandé que le service Connexions réseau soit actif
211 Il est recommandé que le Service Interface du magasin réseau soit actif
212 Il est recommandé que le Service Plug-and-Play soit actif
214 Il est recommandé que le Service de profil utilisateur soit actif
215 Il est recommandé que le Service : Registre à distance soit désactivé
216 Il est recommandé que le Service Mappeur de point de terminaison RPC soit actif
217 Il est recommandé que le Service Appel de procédure distante (RPC) soit actif
218 Il est recommandé que le Service Gestionnaire de comptes de sécurité soit actif
219 Il est recommandé de vérifier les logiciels lancés par le biais du planificateur de tâches
220 Il est recommandé que le service de notification d’événements système soit actif
221 Il est recommandé que le service de Détection matériel noyau soit actif
222 Il est recommandé que le service de Protection logicielle soit actif
225 Il est recommandé que le service Gestionnaire de sessions du Gestionnaire de fenêtrage soit actif
228 Il est recommandé que le service Windows Update soit actif.
229 Il est recommandé de désactiver SSLv2 et SSLv3
230 Il est recommandé de supprimer les suites cryptographiques avec des algorithmes cryptographiques faibles comme DES, RC2 ou MD5
231 Il est recommandé de supprimer les suites cryptographiques avec des algorithmes cryptographiques en version EXPORT
236 Il est recommandé de configurer le paramètre : Désactiver l'aide active : Activé
237 Il est recommandé de configurer le paramètre : Autoriser l'authentification de base : désactivé
238 Il est recommandé de configurer le paramètre : Autoriser l’authentification CredSSP : désactivé
239 Il est recommandé de configurer le paramètre : Autoriser le trafic non chiffré : désactivé
240 Il est recommandé de configurer le paramètre : Ne pas autoriser l'authentification Digest : Activé
241 Il est recommandé de configurer le paramètre : Ne pas autoriser l'authentification Kerberos : Désactivé.
242 Il est recommandé de configurer le paramètre : Ne pas autoriser l'authentification par négociation : Activé.
243 Il est recommandé de configurer le paramètre : Hôtes approuvés : Non configuré.
244 Il est recommandé de configurer le paramètre : Autoriser la configuration automatique des écouteurs : Désactivé.
245 Il est recommandé de configurer le paramètre : Autoriser l'authentification de base : Désactivé.
246 Il est recommandé de configurer le paramètre : Autoriser l’authentification CredSSP : Désactivé.
247 Il est recommandé de configurer le paramètre : Autoriser le trafic non chiffré : Désactivé.
248 Il est recommandé de configurer le paramètre : Spécifiez le niveau de sécurisation renforcée de la liaison de canal : Strict.
249 Il est recommandé de configurer le paramètre : Ne pas autoriser l'authentification Kerberos : Désactivé.
250 Il est recommandé de configurer le paramètre : Ne pas autoriser l'authentification par négociation : Activé.
251 Il est recommandé de configurer le paramètre : Activer l’écouteur HTTP de compatibilité : Désactivé.
252 Il est recommandé de configurer le paramètre : Activer l’écouteur HTTPS de compatibilité : Désactivé.
253 Il est recommandé de configurer le paramètre : Empêcher l'installation de périphériques non décrits par d'autres paramètres de stratégie : Activé.
254 Il est recommandé de configurer le paramètre : Afficher un message personnalisé lorsque l'installation est empêchée par un paramètre de stratégie : Activé + zone "détails" renseignée.
255 Il est recommandé de configurer le paramètre : Afficher un message personnalisé lorsque l'installation d'un périphérique est empêchée par un paramètre de stratégie : Activé + texte principal.
256 Il est recommandé de configurer le paramètre : Permettre l'installation de périphériques à l'aide de pilotes correspondant à ces classes d'installation de périphériques : Désactivé.
257 Il est recommandé de configurer le paramètre : Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : Activé.
258 Il est recommandé de configurer le paramètre : Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphériques : Activé.
----
Pour la partie "installation de périphériques", seul les taches 254, 255 ont été réalisés, le reste à été laissé par défaut
Précision : je suis connecté en tant qu'admin lorsque je fais la sauvegarde.
Merci pour votre aide. Cdlt
---------------
la vie ne vaut rien, mais rien ne vaut la vie