:Les droits utilisateur standard suivants sont ceux que l'administrateur utilise le plus souvent. Ils s'appliquent à la plupart des tâches NT courantes qui demandent des droits utilisateur.
Access this computer from network (Accéder à cet ordinateur à partir du réseau). Ce droit permet aux utilisateurs de se connecter à
un ordinateur du réseau. Les utilisateurs qui doivent se connecter à une ressource (répertoires partagés, imprimantes partagées, par exemple) offerte par un certain ordinateur de réseau, doivent posséder ce droit. Si vous faites de la maintenance sur un ordinateur et voulez empêcher les utilisateurs de se connecter à ses ressources – tout en laissant l’ordinateur accéder aux ressources dont il a besoin – vous pouvez écarter temporairement le groupe Everyone de ce droit. Si vous gardez des « shares » sensibles sur un serveur membre particulier, vous pouvez créer un groupe d’utilisateurs contenant tous les travailleurs sous contrat et un autre groupe contenant tous les travailleurs sans contrat. Ensuite, pour vous assurer que les travailleurs sous contrat ne tombent pas par accident sur vos shares de données sensibles, n’octroyez qu’aux travailleurs sans contrat le droit Access this computer from network.
Add workstations to domain (Ajouter des stations de travail au domaine). Ce droit permet aux utilisateurs qui ne sont pas membres du groupe Administrators ou Account Operators d’ajouter des stations de travail au domaine. Ainsi, si un contractant vous aide à mettre en oeuvre un nouveau lot d’ordinateurs NT, vous pouvez lui attribuer un compte utilisateur possédant ce droit, plutôt que d’octroyer les niveaux de sécurité supérieurs inhérents au groupe Administrator et Account Operators. D’après l’article Microsoft « Capabilities of the ‘Add Workstations to Domain’ Right » (http://support.microsoft.com/support/kb/articles/q139/3/65.asp), ce droit permet également aux utilisateurs d’accéder à Server Manager (à partir de Server Tools) pour ajouter et supprimer des comptes computer. Un test approfondi m’a montré que le droit n’octroie pas cette possibilité indiquée. En utilisant Server Manager à distance pour essayer d’ajouter une station de travail à un domaine, j’ai reçu un message d’erreur Access Denied (Accès refusé). Cependant, dans une installation NT nette, un utilisateur qui n’a que ce droit peut créer le compte ordinateur pendant l’installation.
Back up files and directories (Sauvegarder les fichiers et les répertoires). Ce droit permet aux utilisateurs de sauvegarder tous les fichiers et répertoires, y compris ceux auxquels ils ne peuvent pas accéder par d’autres moyens. Je conseille de n’octroyer ce droit qu’au groupe Backup Operators et d’utiliser User Manager for Domains pour ajouter des utilisateurs au groupe en fonction des besoins. Sachez que certains utilitaires (l’utilitaire Scopy du kit de ressources, par exemple) peuvent également court-circuiter les autorisations de fichier et de répertoire d’un objet.
Change the system time (Changer l’heure du système). Ce droit permet aux utilisateurs de régler l’heure de leur ordinateur. La plupart des administrateurs recourent à un utilitaire de synchronisation de l’heure (Net Time, par exemple, le timeserv.exe du kit de ressources) pour que tous les desktops soient synchronisés. Comme l’heure est importante pour de nombreuses fonctions, il est indispensable d’avoir un tampon horodateur correct pour la fonction ordinateur. Vous pouvez restreindre ce droit afin d’empêcher certains utilisateurs de changer l’heure de leur système par rapport au serveur d’heure officiel de la société.
Force shutdown from a remote system (Forcer la fermeture à partir d’un système à distance). Ce droit, qui dit bien ce qu’il veut dire, est mentionné dans NT mais inactif. Cependant, il est actif dans Windows 2000 Server. Les administrateurs de réseaux NT se servent de l’utilitaire shutdown.exe du kit de ressources pour effectuer cette fonction. Dans les installations NT antérieures au Service Pack 4 (SP4), les utilisateurs doivent posséder le droit Shut down the system pour utiliser shutdown.exe.
Load and unload device drivers (Charger et décharger les drivers de périphériques). Ce droit permet aux utilisateurs de charger et décharger des drivers de périphériques. Dans NT, les utilisateurs doivent aussi appartenir au groupe Administrators pour avoir ce droit. Dans Win2K, Microsoft a changé le droit afin que les utilisateurs n’aient plus à appartenir au groupe Administrators.
Log on locally (Se connecter localement). Ce droit permet aux utilisateurs de se connecter directement à un ordinateur. Ce droit et le droit Access this computer from network sont probablement les deux que les nouveaux administrateurs NT négligent le plus souvent. Je conseille de retirer ce droit de tous les groupes à l’exception d’Administrators sur les serveurs. Ainsi, même si des utilisateurs non autorisés parviennent à accéder physiquement à votre serveur, ils ne pourront pas se connecter à moins de connaître un nom d’utilisateur et un mot de passe de niveau administrateur. Les utilisateurs non autorisés verront le message The local policy of this system does not permit you to log on interactively (La politique locale de ce système ne vous permet pas de vous connecter interactivement). La restriction de ce droit n’empêchera pas les utilisateurs de se connecter au système sur le réseau, et la restriction du droit Access this computer from network n’empêchera pas les utilisateurs de se connecter localement à un ordinateur. La restriction du droit Log on locally est l’un des moyens les plus efficaces pour empêcher l’accès non autorisé à vos serveurs. Souvenez-vous du succès de l’utilitaire GetAdmin sur les sites des hackers voilà quelques années. Il permettait à n’importe quel utilisateur capable d’initialiser un ordinateur (sauf les membres du compte Guests) de se joindre au groupe Administrators de cet ordinateur. Si l’ordinateur était un PDC, l’utilisateur pouvait rejoindre le groupe Domain Admins sans qu’aucune trace de l’action n’apparaisse dans le journal Security. Bien que Microsoft ait inclus le hotfix getadmin-fix dans SP4 et ultérieur, un autre utilitaire – sechole.exe – exploitait une autre faille de la sécurité dans NT en permettant à un utilisateur d’exécuter GetAdmin malgré le hotfix installé. Cependant, l’utilisateur doit encore parvenir à accéder physiquement à l’ordinateur et être capable de se connecter localement. La restriction de ce droit ajoute un niveau de sécurité de plus au serveur.
Manage auditing and security log (Gérer le journal d’audit et de sécurité). Ce droit permet aux utilisateurs de gérer le journal Security. (Il ne permet pas aux utilisateurs de définir la politique d’audit au moyen de User Manager for Domains – ce droit appartient aux administrateurs.) Les utilisateurs peuvent ouvrir EventViewer pour visualiser et gérer le journal. Ce droit ne fonctionnait pas avant l’arrivée de SP3 ; les utilisateurs et groupes privés de ce droit pouvaient néanmoins gérer le journal. Depuis SP4, les groupes ne peuvent gérer le journal que s’ils possèdent ce droit. Les sociétés qui séparent la gestion du réseau et l’audit du réseau en deux fonctions distinctes, apprécient ce droit. En effet, si l’on retire ce droit à un administrateur – et si l’on permet simultanément l’audit des changements de la politique de sécurité – on a la garantie qu’il ne pourra pas effacer ou modifier les entrées du journal sans produire une liste de contrôle (à moins d’utiliser un outil de hacker).
Restore files and directories (Restaurer les fichiers et les répertoires). Ce droit est similaire au droit Back up files and directories. Il permet aux utilisateurs de court-circuiter les autorisations NTFS pour restaurer des fichiers et des répertoires sur les partitions auxquelles ils ne peuvent normalement pas accéder.
Shut down the system (Arrêter le système). Ce droit permet aux utilisateurs d’arrêter l’ordinateur local. Il suffit de restreindre ce droit pour empêcher les utilisateurs d’arrêter un système. Supposons que deux ordinateurs du service de dessin contiennent des dessins de CAO importants. Le programme de sauvegarde est chargé de sauvegarder ces fichiers chaque fois. Si un utilisateur arrête les ordinateurs, la sauvegarde échouera. Si l’un de ces ordinateurs ne démarre pas correctement le matin suivant, on aura peut-être perdu des données vitales. En restreignant ce droit aux administrateurs, on s’assure que le système reste en ligne et prêt pour la sauvegarde. Bien entendu, un utilisateur décidé peut actionner l’interrupteur ou débrancher l’ordinateur de la prise murale, mais rien ne permet d’empêcher ce genre d’action … sauf l’achat d’un système de protection de l’équipement.
Take ownership of files or other objects (Prendre possession des fichiers ou d’autres objets). Ce droit permet aux utilisateurs de s’approprier un objet qu’ils ne possèdent pas. Compte tenu de la puissance de ce droit, il ne faut l’accorder qu’à des administrateurs ou à des responsables de haut niveau. Ce droit est utile si un utilisateur possédant un accès exclusif à un répertoire de départ (home) quitte la société et qu’un autre utilisateur ait besoin d’accéder aux fichiers du premier. En tant qu’administrateur, vous pouvez vous approprier ces fichiers, comme le montre la figure 2, puis accorder temporairement ce droit à un utilisateur donné, qui peut alors en prendre possession.
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
