Attribuer des droits aux utilisateurs

quant à l’appartenance au groupe.

En examinant la section User Rights Assignments d’une stratégie de sécurité, on constate que, la plupart du temps, Windows attribue ces droits aux groupes et pas aux utilisateurs individuels. Vous devez faire de même pour ajuster ces droits. Quand vous établissez une stratégie d’attribution des droits utilisateur, il est parfois long et perturbant de déterminer exactement quels droits il faut donner à tel ou tel groupe. Ainsi, un système paramétré par défaut permet aux Administrators et aux Server Operators de changer l’heure du système et permet aux Administrators, Backup Operators et Server Operators de sauvegarder des fichiers et des répertoires. Plutôt que de réfléchir longuement pour savoir s’il faut accorder des droits à ces groupes, commencez par voir si vous utilisez vraiment les groupes en question. Beaucoup de groupes intégrés sont vides par défaut : si vous n’utilisez pas les groupes, il est inutile de leur attribuer des droits.

Beaucoup des paramètres par défaut des droits utilisateur sont suffisamment sûrs en général, mais il en est certains qui méritent une attention spéciale, comme les suivants :

Access this computer from the network and Deny access to this computer from the network (Accéder à cet ordinateur à partir du réseau et lui refuser l’accès à partir du réseau).

Ces droits déterminent quels comptes peuvent et ne peuvent pas accéder aux ressources que le serveur offre sur le réseau. Il faut toujours avoir au moins un administrateur avec des droits d’accès parce qu’ils sont exigés pour beaucoup d’outils administratifs qui utilisent les API du réseau, même pour l’accès local. A noter que ces droits n’affectent pas les logons Terminal Services.

Allow logon through Terminal Services and Deny logon through Terminal services (Autoriser la connexion par Terminal Services et la refuser par Terminal Services).

Ce sont de nouveaux droits dans Windows 2003 qui contrôlent l’accès à Terminal Services. Les utilisateurs qui ont besoin de se connecter par l’intermédiaire de Terminal Services doivent posséder ces droits.

Debug programs (Déboguer les programmes).

Il vaut mieux retirer ce droit à tous les utilisateurs, y compris Administrators. Cette mesure empêchera des utilisateurs malveillants possédant ce droit d’utiliser des outils comme Pwdump2 et L0phtCrack pour transférer les totaux de contrôle SAM locaux.

Log on locally (Se connecter localement).

Ce droit détermine quels utilisateurs peuvent se connecter interactivement à la console. Les administrateurs doivent toujours l’avoir. Dans Win2K, ce droit est nécessaire pour se connecter par l’intermédiaire de Terminal Services.