Curriculum MCSA 70-410 Politiques de groupes

1. Windows Server 2012
Certification 70-410
Day 5
Pierre Samba NDIAYE | Mohamed DIALLO
Bureau d’Etude – Aitek Insight

2. Bonjour!
Stratégie de groupe (GPo)
Sécurisation de serveur avec des GPo

3. Microsoft®
Official Course
70-410
Strategie de groupe GPO

4. Strategies de Groupe Introduction
La stratégie de groupe (GPo) permet la mise en place des paramètres de configuration pour un ensemble d’utilisateur ou
d’ordinateur. Elle s'effectue de manière centralisée.

5. Strategies de Groupe Vue d’ensemble (1)
Composants
• SYSVOL.
• Gestion de stratégie de groupe GPMC.
• GPo lié a un conteneur.
• Type de configuration :
• Configuration utilisateur : appliquer à un utilisateur.
• Configuration ordinateur : appliquer au poste de travail utilisé.
• Catégories de paramètre :
• Paramètres logiciels : Information sur les soft à déployer.
• Paramètre windows : configuration de base du registre qui permet de personnaliser l’environnement de l’utilisateur.
Stratégie de groupe local multiple
• Ordinateur local : contient les paramètres local des utilisateurs de du poste de travail.
• Administrateur et non-administrateur : paramètre de stratégie utilisateurs des administrateur local ou non-administrateur
(utilisateur locaux).
• Utilisateurs spécifiques : Gpo ne s’applique qu’aux utilisateur sélectionnés.

6. Strategies de Groupe Vue d’ensemble (2)
Stockage des différents composants GPo
• GPT (Group Policy Template) = Paramètres de securité et scripts.
• GPC (Group Policy Container) = identifie de manière unique les objets dans ADDS (lien, version).
Préférence GPo
• Alternative au GPo.
• Peut être ignoré par l’utilisateur.
• Ex : Mappage d’une imprimante , création d’un raccourci.
Objet Gpo starter
Modèle de Stratégie de groupe.
Délégation Gpo
• Ceux qui ont tous les droits par défaut : Admin du domaine, de l’entreprise, le créateur propriétaire.
• On délègue des droits aux utilisateur authentifiés (RSAT).

7. Strategies de Groupe Traitement
Liens GPo
Trois types de conteneur peuvent être liés à un GPo.
• Sites.
• Domaine.
• OU.
Liaison appliqué aux conteneur et sous-conteneur.
Application d’un GPo
• Configuration ordinateur : Au démarrage de l’ordi - 90 à 120min.
• Configuration utilisateur : A l’ouverture de session - 90 à 120min.
• DOS> gpupdate /force ou PS> invoke-Gpupdate.
Ordre d’application GPo
En cas de conflit le dernier Gpo appliqué l’emporte. Néanmoins l’on peut bloquer l’héritage.
Local
Site AD
Domaine
OU

8. Strategies de Groupe Traitement (2)
Gpo par défaut
A la creation d’Active Directory deux Gpo sont créés par défaut :
• Default Domain Policy = lié au domaine racine, elle définit les premiers paramétres de sécurité (mot de passe sessions…).
• Default Domain Controllers Policy = lié au conteneur de controleurs de domaine, elle permet l’assignation de droits
supplémentaires aux DC.
Filtre de sécurité
Il permet de restreindre les utilisateurs ou ordinateur appliqués au GPo.
NB: modification des utilisateurs authentifiés par un groupe spécifié.
Magasin Central
Les modèles d’aministrations de GPo contenus dans la console de Gpo se trvouve dans le dossier PolicyDefinition sur chaque
serveur. Le magasin central permet de centraliser les GPo sur des fichiers ADML/ADMX en un point central sur un serveur
consultable par tous les DC.

9. Strategies de Groupe Atelier
Strategie de groupe (GPo)

10. Microsoft®
Official Course
70-410
Sécurisation de serveur avec des GPo

11. Sécurisation de serveur Introduction
La sécurisation des serveurs est très importante dans un environement client/serveur. Il est nécessaire de mettre en place des
politiques de sécurité à l’aide des GPos

12. Sécurisation de serveur Configurations
La sécurisation par GPo permet son application sur un ensemble d’utilisateurs ou d’ordinateurs.
Création d’un modéle de sécurité
• DOS > secedit.exe = config et analyse de la sécurité (Compare le modèle de sécurité avec celui en cours sur le serveur).
• Logiciel enfichable modèle de sécurité = créer des modèles de sécurités contenant différentes paramètres.
Configuration des droits utilisateurs
Droits supplementaires (restreints) accordés a un utilisatreur pour acceder par exemple a des ressources normalement
accessible uniquement par un administrateur. Deux types de droits
• Privilèges permettant d’accéder a une ressource du domaine.
• Droits d’ouverture de session (Ex: connexion a un DC).
Paramétres de l’UAC (User Account Control)
But : Protection des droits d’administrateurs très sensibles.
L’UAC permet à chaque accès a une ressource ou modification nécessitant des droits d’administrateur, de vous authentifier
En tant que tels ou d’éxécuter votre tache en tant qu’administrateur.
• L’utilisateur est administrateur.
• L’utilisateur est standard.

13. Sécurisation de serveur Configurations (2)
Mise en place d’une politique d’audit
Très importante dans la sécurisation des serveurs, elle surveille les utilisateur qui tentent d’ouvrir une session ou d’accéder a
une ressource (échecs ou succès).
• Les modifications apportées par les membres du groupes administrateur.
• Les tentatives de connexion.

14. Sécurisation de serveur Restriction Logiciel
Interdiction exécution d’une application.
Politique de restriction logiciel
Les règles:
• Hash : Empreinte d’un fichier.
• Certificat : signature numérique.
• Chemin d’accès : exécutable à bloquer contenu dans le chemin d’accès.
• Zone Internet : application téléchargée depuis l’internet.
Les niveaux de sécurité :
• Non autorisé : impossible d’exécution même pour un administrateur.
• Utilisateur Standard : Exécution avec les droits utilisateur uniquement.
• Non restreint : Les droits de l’utilisateur déterminent les droits d’accès.
Applocker
Depuis 2008, nouvelle GPo de restriction logicielle. Les types de fichiers pris en charge :
• Exécutables.
• Scripts.
• *.msi
Règle
Non autorisé
standard
Non restreint

15. Sécurisation de serveur Restriction Logiciel (2)
Applocker (2)
Les règles:
• Application interdites dans l’entreprise (msn, …).
• Logiciels remplacés par une nouvelle version.
• Application réservée à un service spécifique.
• Zone Internet : application téléchargée depuis l’internet.
NB: Activé le service Identité de l’application pour le bon fonctionement d’applocker.
Règles par défaut :
• Les administrateurs peuvent exécuter toutes les applications à n’importe quel endroit.
• Tout le monde a le droit d’exécuter une application dans programme files et dans Windows.
Pare-feu Windows
Filtre le trafic entrant et sortant :
• Trafic entrant : tous bloqués sauf ceux autorisés par l’administrateur.
• Trafic sortant : tous autorisés sauf ceux bloqués par l’administrateur.
• Ipsec : permet de sécuriser les communication entre deux machines.

16. Sécurisation de serveur Atelier
Sécurisation de serveur (GPo)