L’Assistant Configuration de la sécurité vous permet de créer, de modifier et d’appliquer des stratégies de sécurité. Vous pouvez également annuler la dernière stratégie de sécurité que vous avez appliquée si elle ne fonctionne pas comme prévu.

L’Assistant Configuration de la sécurité inclut Scwcmd, un outil en ligne de commande, qui permet d’exécuter différentes tâches. Pour plus d’informations, voir https://go.microsoft.com/fwlink/?LinkId=92612.

Création d’une stratégie de sécurité

Vous pouvez créer une stratégie de sécurité pour configurer des services, le Pare-feu Windows avec fonctions avancées de sécurité, des paramètres de stratégie d’audit et des paramètres de Registre spécifiques. La stratégie de sécurité est un fichier .xml qui peut être modifié et appliqué à l’aide de l’Assistant Configuration de la sécurité. Elle peut être transformée en objet de stratégie de groupe (GPO, Group Policy Object) à l’aide de l’outil en ligne de commande Scwcmd. Lorsque vous avez démarré l’Assistant Configuration de la sécurité, vous n’avez pas besoin de remplir toutes les sections d’une même session. Pour ignorer ces sections, activez la case à cocher Ignorer cette section au début de chaque section non renseignée, enregistrez la stratégie que vous pourrez modifier ultérieurement à l’aide de l’Assistant Configuration de la sécurité. Si vous activez la case à cocher Ignorer cette section après avoir partiellement configuré une section, vos modifications ne sont ni enregistrées ni appliquées. Les paramètres figurant dans des sections ignorées restent indéfinis jusqu’à ce que vous modifiiez la stratégie de sécurité et configuriez ces paramètres.

Modification d’une stratégie de sécurité existante

Vous pouvez modifier une stratégie de sécurité que vous avez déjà créée à l’aide de l’Assistant Configuration de la sécurité. Vous devez cliquer sur Modifier une stratégie de sécurité existante avant de pouvoir accéder à l’emplacement de la stratégie de sécurité à modifier. La stratégie que vous modifiez peut être stockée localement ou sur un réseau. L’Assistant Configuration de la sécurité permet de modifier des stratégies portant l’extension de nom de fichier .xml. Il ne peut pas modifier des modèles de sécurité avec une extension .inf.

La modification manuelle de la stratégie de sécurité n’est pas prise en charge. Vous devez utiliser l’Assistant Configuration de la sécurité pour modifier une stratégie de sécurité créée avec l’Assistant.

Application d’une stratégie de sécurité existante

Une fois que vous avez créé une stratégie de sécurité à l’aide de l’Assistant Configuration de la sécurité, vous pouvez l’appliquer à un serveur de test ou à votre environnement de production. L’outil en ligne de commande Scwcmd permet d’appliquer la même stratégie à plusieurs serveurs. Vous pouvez créer des objets de stratégie de groupe à l’aide de la commande scwcmd transform. Seules les stratégies de sécurité au format .xml peuvent être appliquées à l’aide de l’Assistant Configuration de la sécurité.

Si le serveur sélectionné est membre d’un domaine Active Directory, alors la stratégie de sécurité des objets de stratégie de groupe du domaine annule généralement les paramètres de Registre qui ont été directement définis à l’aide de l’Assistant Configuration de la sécurité. Pour éviter cela, vous pouvez créer un objet de stratégie de groupe à l’aide de la commande scwcmd transform et l’appliquer via les services de domaine Active Directory (AD DS).

Pour plus d’informations sur les valeurs de Registre configurées à l’aide de l’Assistant Configuration de la sécurité, voir Paramètres du Registre.

Important

Il vous est vivement recommandé de tester les stratégies de sécurité récemment créées ou modifiées avant de les appliquer à votre environnement de production. Ces tests permettent de limiter le risque que la nouvelle stratégie provoque des comportements inattendus, tels que des problèmes de compatibilité, dans votre environnement de production.

Annulation de la dernière stratégie de sécurité appliquée

Si vous avez appliqué une stratégie de sécurité à l’aide de l’Assistant Configuration de la sécurité et que celle-ci a entraîné une diminution des fonctionnalités d’un serveur ou d’autres conséquences indésirables, vous pouvez l’annuler pour qu’elle ne soit plus appliquée au serveur. Toutefois, si une fois appliquée, la stratégie est modifiée dans le composant Stratégie de sécurité locale, les modifications ne peuvent pas être annulées et conservent leur configuration actuelle.

Pour les services et les valeurs de Registre, le processus d’annulation restaure les paramètres qui ont été modifiés pendant la configuration. Pour le Pare-feu Windows avec fonctions avancées de sécurité, le processus d’annulation supprime toute stratégie de l’Assistant Configuration de la sécurité actuellement en vigueur et applique la stratégie qui était précédemment en place au moment de la configuration.