La sécurité avec Windows NT® 4.0

Sécurité

Windows NT 4.0 est classé C2

Afin de profiter immédiatement d'un article traitant de la sécurité, vous pouvez vous rendre à l'adresse :
http://www.microsoft.com/france/technet/securite/info/info.asp
Dans le chapitre Stratégies choisissez Sécurité. L'article s'intitule :"Règles de base de sécurité".

	L'Agence Nationale de la Sécurité (NSA) du ministère de la défense américain (DOD) a fondé un centre de sécurité informatique, le NCSC. Ce Centre aide les entreprises et les utilisateurs à protéger leur systèmes informatiques.
	Les systèmes d'exploitations obtiennent des "labels" qui classent leur aptitude à protéger les données : A1 aucun ne l'a obtenu, B1, B2 et B3 ont été obtenus par l'HP-UX de Hewlett-Packard®, Ultrix et SEVMS de Digital®, OS 110 d'Unisys® et IRIX de Silicon Graphics®.
	Windows NT® 3.51 SP3 a obtenu la certification C2 comme l'OS/400 d'IBM® et OpenVMS de Digital®. La version 4.0 a également fait l'objet de la même soumission.

Windows NT 4.0 sécurise les accès par un nom d'utilisateur et un mot de passe uniques.
Cela permet d'assurer un accès sur telle ou telle ressources du système.
Windows NT comprend des fonction d'audit. Le système sera surveillé de manière à enregistrer toute tentative d'accès.
Windows NT protège les données supprimées par les utilisateurs afin qu'elles soient invisibles d'un autre.

Ce sont, entre autres, toutes ces qualités qui ont fait que Windows NT a obtenu le classement C2 du NCSC.

Mais comprenons bien une chose : il est possible de mettre en oeuvre une sécurité C2 sur Windows NT mais... il ne la possède pas par défaut à l'installation !

Car cette certification C2 n'est pas seulement attribuée à Windows NT mais à tout l'environnement (matériel, procédures, logiciels, locaux, personnel, etc). Il faut savoir que le vol d'un disque dur amovible possédant le système de fichier NTFS hyper sécurisé par des permissions bien établies (et tout le tralala) est... perdu corps et biens dès qu'il est installé sur une autre machine. Les données sont toutes accessibles par le nouvel administrateur qui prend possession des données.

Pour établir la sécurité sur un poste de travail, il est nécessaire d'évaluer réellement le niveau de protection désiré.
Ensuite, il est impératif que les utilisateurs soient sensibilisés à votre travail d'administrateur et à l'impact du comportement de tous les utilisateurs au niveau du système. Parce que si tous les utilisateurs croient bon de se communiquer les mots de passe pour effectuer tel ou tel travail, la survie du réseau (voire même de l'entreprise) n'est pas garantie...

Il est vivement conseillé de séparer l'utilisation des comptes d'administration et celle des travaux quotidien.
De plus, il est également très conseillé de renommer le compte d'administrateur de la machine afin que dans le cas d'un "crack" celui-ci s'opère, en plus du mot de passe, sur le nom d'utilisateur (mais l'ID d'un administrateur est repérable facilement).
Conseil : Pour l'administrateur, utilisez un mot de passe compliqué et long de préférence. Et comme vous oublierez peut-être ce nom, notez-le et placez-le dans un endroit sûr.
Il est vivement conseillé de désactiver le compte d'invité. Ouvrez le gestionnaire des utilisateurs (USRMGR.EXE) pour désactiver ce compte.

Les comptes non utilisés devront être désactivés plutôt que supprimés (Cas des utilisateurs temporaires. Il suffira de renommer le compte pour une utilisation future en conservant les droits établis).

Retirer la permission "Tout le monde" attribuée par défaut aux objets du système.

Lorsque vous quitter votre lieu de travail sans éteindre votre machine, prenez l'habitude de verrouiller votre station de travail (CTRL-ALT-DEL) puis choisir "Vérouiller la station de travail".
La concurrence est un problème sérieux vous ne pouvez pas vous laisser dérober votre travail par votre propre négligence.

Si votre machine est exposée, changez souvent votre mot de passe en évitant d'employer des noms ou des mots faciles à deviner. Evitez d'inscrire en mot de passe le nom de votre épouse, de vos enfants, leurs dates de naissance ou le nom... de votre chien.J'ai personnellement accédé à une machine, en quelques essais (pas de verouillage de compte), avec un nom d'utilisateur et son mot de passe en connaissant simplement la vie de l'utilisateur en question...
Et ne parlons pas de la messagerie c'est... la foire à 10 francs !
Employeurs, réveillez-vous ! Vous pouvez vous alarmer car la concurrence est déjà certainement dans vos locaux...

Sécuriser un système c'est bien mais responsabiliser tous les utilisateurs c'est encore mieux !

Depuis le service pack2, il est possible de renforcer automatiquement la structure des mots de passe. Le fichier PASSFILT.DLL (présent dans %systemroot%\system32) utilise les mots de passe "complexes".
- Longs d'au moins 6 caractères,
- Ils doivent contenir 4 catégories de caractères : majuscules, minuscules, chiffres et caractères non alphanumériques ($, µ, £, *). exemple : Bob1/2DEVin
- Pour mettre en oeuvre cette sécurité, ouvrez la base de registre, à l'aide de REGEDT32.EXE en mode administrateur.
Recherchez la clé HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages.
Si une valeur est déjà présente dans la chaîne multi-critères de type REG_MULTI_SZ, insérez un retour chariot à la suite de cette valeur puis, ajoutez PASSFILT. Relancez la machine pour la prise en compte de cette modification.

La modification de données dans la base de registre se fait en toute connaissance de cause. Lors de la modification de tous paramètres, assurez-vous que vous posssédez une sauvegarde fiable et à jour de votre système.

En cas de problème, démarrez sur la dernière bonne configuration connue.

Depuis le gestionnaire des utilisateurs, choisissez "Stratégies/Compte..."
Dans la stratégie de compte, choisissez une durée maximale, en jours, du mot de passe,
Déterminez une longueur minimale du mot de passe,
Vous pouvez choisir de verrouiller le compte d'accès après x tentatives infructueuses