16 droits utilisateur avancés

d’effectuer des actions aux niveaux LSA (Local Security Authority) et kernel de l’OS. Ces droits avancés doivent être accordés aux utilisateurs et aux groupes avec parcimonie, sous peine de compromettre la sécurité. Pour plus d’informations sur les droits utilisateur avancés de NT, voir l’article Microsoft « Definition and List of Windows NT Advanced User Rights » (http://support.microsoft.com/support/ kb/articles/q101/3/66.asp).

  Act as part of the operating system (Agir comme un élément du système d’exploitation). Ce droit permet aux processus d’agir comme un élément de confiance (trusted part) de l’OS. En principe, on attribue ce droit aux sous-systèmes qui ont besoin d’un accès privilégié. Le programme d’installation de Microsoft Exchange Server, par exemple, crée un compte de service qui possède ce droit ; Exchange utilise ce compte pour authentifier la communication entre des serveurs Exchange.

  Bypass traverse checking (Courtcircuiter la vérification en travers). Ce droit permet aux utilisateurs de naviguer dans une arborescence de répertoires dont l’accès leur est normalement interdit. Cependant, les utilisateurs ne peuvent toujours pas lire ou modifier des fichiers pendant qu’ils explorent des répertoires (à  moins d’avoir des autorisations permettant un tel accès). On peut utiliser ce droit pour permettre à  un utilisateur de « creuser » jusqu’à  un fichier pour lequel il a l’autorisation – sans craindre que l’utilisateur accède à  un fichier pour lequel il n’a pas d’autorisation. Par défaut, le groupe Everyone possède ce droit. Cette situation par défaut ne peut être modifiée qu’avec beaucoup de prudence. Si on le fait, je conseille d’octroyer le droit à  Domain Users et Administrators au minimum. Les scripts de Logon et autres fonctions de routine dépendent de ce droit.

  Create a pagefile (Créer un pagefile). Si un utilisateur est averti que son système risque de manquer de mémoire virtuelle, le droit Create a page file lui permet d’utiliser l’applet Control Panel System pour augmenter la mémoire virtuelle. Ce droit permet également à  l’utilisateur de se servir du Performance Monitor pour observer la mesure de Paging File % Usage Peak et d’ajuster la taille du pagefile pour optimiser les performances.

  Create a token object (Créer un objet jeton). Ce droit permet aux utilisateurs ou aux processus de créer des jetons d’accès. En raison de sa puissance, je déconseille de l’accorder aux comptes ou aux utilisateurs. Par défaut, seul le LSA devrait avoir ce droit. (Quand on visualise ce droit, LSA n’apparaît pas dans la liste Grant To. Seuls les comptes utilisateur y figurent.) En créant un jeton d’accès, un utilisateur ou un processus peut accéder à  n’importe quelle ressource locale.

  Create permanent shared objects (Créer des objets partagés permanents). Ce droit permet aux utilisateurs de créer des objets partagés spéciaux que NT utilise. NT réserve ce droit principalement pour l’utilisation des processus. Aucun compte listé n’aura ce droit, mais de nombreux processus OS l’ont par défaut. On peut l’utiliser pour contrôler qui peut mettre en oeuvre le mode d’égal à  égal (peer-to-peer) dans un réseau. Les administrateurs ont cette possibilité par défaut. Les utilisateurs qui n’ont pas ce droit ne verront pas un onglet Share quand ils accèderont à  la feuille Properties d’un dossier. En supprimant ce droit, on peut fermer les serveurs Quake II qui consomment toute la bande passante à  l’heure du déjeuner.

  Debug programs (Déboguer des programmes). Ce droit permet aux utilisateurs – en principe des programmeurs – de déboguer des programmes. Les utilisateurs qui le possèdent peuvent accéder librement à  tout processus au niveau système – une perspective dangereuse dont il est facile d’abuser. Il ne faut octroyer ce droit qu’aux utilisateurs dont on est certain qu’ils n’en abuseront pas. Ainsi, un utilisateur qui a ce droit peut exécuter l’utilitaire GetAdmin (que j’exlique sous le droit Log on locally), même si l’on a installé le hotfix pour l’utilitaire. Les utilisateurs peuvent également démarrer et arrêter des processus et initier de nouveaux threads. Un utilisateur malveillant peut facilement utiliser ce droit pour endommager un domaine.

  Generate security audits (Produire des audits de sécurité). Ce droit permet aux utilisateurs ou aux processus de créer des entrées de journal Security. Les développeurs de logiciels l’utilisent pour donner à  leurs programmes la possibilité de générer des entrées de journal pour certaines actions. En principe, le logiciel qui requiert ce droit aura deux possibilités : l’accorder automatiquement pendant l’installation ou vous demander de l’accorder au compte de service du logiciel. Par exemple, pour fonctionner correctement, les comptes de service SNA doivent posséder ce droit ; c’est pourquoi SNA l’accorde pendant l’installation.

  Increase quotas (Augmenter les quotas). Ce droit permet aux utilisateurs ou aux processus d’augmenter le quota d’espace disque d’un objet donné. Ce droit ne fonctionne pas dans NT mais est actif dans Win2K.

  Increase scheduling priority (Augmenter la priorité de planification). Ce droit permet aux utilisateurs d’augmenter la priorité de planification d’un processus. Les utilisateurs qui veulent exécuter un processus avec la priorité temps réel en ont besoin. Comme l’augmentation de la priorité peut entraîner l’instabilité du système, il faut utiliser ce droit avec précaution.

  Lock pages in memory (Verrouiller des pages en mémoire). Ce droit permet à  NT de verrouiller des pages en mémoire, empêchant ainsi le système de les « pager » vers le fichier pagefile.sys. On peut ordonner à  un programme qui possède ce droit, de s’attribuer un bloc de mémoire. Le programme s’exécute ainsi plus rapidement parce qu’il évite le paging. L’inconvénient est que l’on diminue ainsi la quantité de mémoire mise à  disposition des autres processus et du système, dans la même proportion – au grand dam des systèmes limités en mémoire.

  Log on as a batch job (Se connecter comme un job batch). De nombreux administrateurs NT utilisent les programmes planificateurs, comme Task Scheduler de Microsoft Internet Explorer (IE), pour exécuter automatiquement des tâches de routine avec des fichiers batch. Pour une bonne exécution, le compte qu’IE utilise pour exécuter un job batch aura peut-être besoin de ce droit. Le droit Log on as a batch job permet d’utiliser le compte exécutant le job batch sans se connecter physiquement à  l’ordinateur.

  Log on as a service (Se connecter comme service). Ce droit permet à  des comptes de fonctionner dans le contexte de sécurité d’un service. Parfois, un service a besoin d’un niveau élevé d’accès pour accomplir sa tâche – un accès que l’utilisateur actuellement connecté n’a peut-être pas. Ce droit laisse le service s’exécuter sans élever le niveau d’accès de l’utilisateur ou sans demander à  celui-ci de se déconnecter et à  un autre utilisateur possédant le niveau d’accès requis de se connecter. Le compte Replication, qui traite la réplication entre les services, utilise couramment ce droit. De même, si vous deviez créer des comptes spéciaux sous lesquels certains services s’exécuteraient, ces comptes auraient besoin de ce droit.

  Modify firmware environment values (Modifier les valeurs de l’environnement firmware). Ce droit permet aux utilisateurs de modifier les variables d’environnement système au moyen de l’applet System (changer les options Startup/Shutdown, par exemple), ou au moyen d’un processus.

  Profile single process (Profiler un processus unique). Ce droit permet aux utilisateurs d’échantillonner les performances de NT pour observer un processus étranger au système. Par défaut, NT accorde ce droit aux administrateurs et aux utilisateurs importants. En principe, seuls les programmeurs et les processus utilisent ce droit.

  Progfile system performance (Profiler les performances système). Ce droit est similaire au précédent, à  cela près que les utilisateurs qui ont ce droit peuvent utiliser l’échantillonnage des performances NT pour observer les processus système. En principe, seuls les programmeurs et les processus utilisent ce droit.

  Replace a process level token (Remplacer un jeton au niveau processus). Ce droit permet aux utilisateurs de modifier le jeton d’accès à  un processus. Par exemple, le compte de service de Microsoft SQL Server 2000 a besoin de ce droit pour pouvoir exécuter xp_cmdshell pour un utilisateur qui n’est pas un administrateur de SQL Server. Pour plus d’informations sur xp_cmdshell, voir MS SQL Server Transact-SQL and Utilities Reference (Microsoft TechNet CD-ROM).