> Tech > Autres zones de contrôle de sécurité locale

Autres zones de contrôle de sécurité locale

Tech - Par iTPro - Publié le 24 juin 2010
email

S'il est vrai que l'on peut configurer les zones de contrôle de politique de comptes, droits utilisateurs et politique d'audit, au niveau système grâce au SAM, plusieurs autres zones de contrôle - ACL, listes de contrôle d'audit, autorité administrative et services système - fonctionnent indépendamment du SAM.

ACL. On peut utiliser

les autorisations au niveau objet pour accéder à  des objets comme des fichiers et des dossiers. Chaque objet a une liste d’autorisations, appelée ACL, qui définit les utilisateurs et les groupes autorisés à  accéder à  l’objet et comment ils peuvent y accéder. Il ne faut pas confondre les autorisations et les droits : ils sont entièrement différents dans NT. On attribue des droits au niveau système au moyen de User Manager, comme je l’ai décrit précédemment. On définit des autorisations au niveau objet au moyen d’ACL.
Pour visualiser l’ACL d’un fichier, ouvrir Windows Explorer, faire un clic droit sur le fichier, puis choisir Properties. Aller à  l’onglet Security et cliquer sur Permissions. NT octroie l’accès cumulatif à  un utilisateur selon le groupe auquel il appartient. La figure 3, par exemple, montre l’ACL d’un fichier exemple appelé budget.doc. Les membres du groupe SalesReps ont un accès Change (c’est-à -dire Lecture et Ecriture) à  budget.doc. En revanche, les utilisateurs qui appartiennent aussi au groupe RestrictedUsers ne peuvent pas accéder au fichier parce que l’ACL de celui-ci indique No Access pour ce groupe. No Access annule les autorisations des autres appartenances au groupe.

Listes de contrôle d’audit. Chaque objet a également une liste de contrôle d’audit qui définit les types d’accès aux objets que NT devrait enregistrer dans le journal Security local. Pour chaque type d’accès (Read, Write, Delete, par exemple), on peut préciser si NT doit enregistrer les événements ayant réussi ou échoué. Ainsi, pour journaliser les instances d’utilisateurs essayant de lire un document confidentiel qui leur est interdit, il faut activer l’audit pour ce document de telle sorte que NT enregistre les tentatives Read infructueuses de la part des membres du groupe Everyone. Pour suivre les modifications apportées à  un fichier, activer l’auditing le concernant de telle sorte que NT enregistre les tentatives d’écriture (Write) réussies. (Pour en savoir plus sur l’audit des objets et les listes de contrôle d’audit, voir l’article « Interpreting the NT Security Log », avril 2000.) ( ? ? ?)
Pour visualiser la liste de contrôle d’audit d’un fichier ou d’un dossier, ouvrir Windows Explorer, faire un clic droit sur l’objet, puis choisir Properties. Aller à  l’onglet Security et cliquer sur Auditing. Pour visualiser la liste de contrôle d’audit d’une clé de registre, ouvrir regedt32, sélectionner la clé, puis sélectionner Security, Permissions, ou Security, Auditing, dans la barre de menus.

Autorité administrative. Les groupes Administrators et Power Users intégrés dans NT permettent de contrôler l’autorité administrative. Les membres du groupe Administrator peuvent partager les répertoires et les imprimantes, créer et gérer des comptes locaux de machines et des groupes locaux de machines dans le SAM local de l’ordinateur, attribuer des droits utilisateurs et définir la politique d’audit. Les membres du groupe Power Users peuvent partager des répertoires et des imprimantes, et créer et gérer des comptes locaux de machines et des groupes locaux de machines.

Services système. Les services sont des ouvertures dans le système NT pour l’accès en provenance du réseau. Il faut par conséquent identifier tous les services fonctionnant sur chaque ordinateur et juger s’il faut en désactiver certains. Pour visualiser les services d’un système local, ouvrir l’applet Control Panel Services. Pour visualiser les services d’un système à  distance, ouvrir Server Manager (sous Administrative Tools), sélectionner l’ordinateur désiré, puis sélectionner Computer, Services dans la barre de menus. (Si vous ne trouvez pas Server Manager sur le système, copiez-y simplement srvmgr.exe à  partir d’un DC.)

Téléchargez gratuitement cette ressource

Les 7 étapes d’un projet de dématérialisation RH

Les 7 étapes d’un projet de dématérialisation RH

Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.

Tech - Par iTPro - Publié le 24 juin 2010