> Tech > Des droits utilisateur puissants

Des droits utilisateur puissants

Tech - Par iTPro - Publié le 24 juin 2010
email

Il faut surveiller de près plusieurs droits importants, particulièrement sur les ordinateurs qui stockent des informations sensibles, hébergent des opérations critiques, ou servent de stations de travail pour des utilisateurs hautement privilégiés. L'allocation de ces droits peut renforcer - ou affaiblir - la sécurité de tout le domaine.

Access this

Des droits utilisateur puissants

computer from the network.
Le droit Access this computer
from the network est nécessaire et
utile tant pour les utilisateurs que pour
les administrateurs. Pour vous connecter
sur le réseau aux dossiers partagés,
registre, journal d’événements, SAM,
ou applet Control Panel Services d’un
ordinateur, vous devez utiliser un
compte qui possède ce droit sur l’ordinateur
distant. Mais vous pouvez restreindre
l’attribution de ce droit pour
protéger les ordinateurs contre certaines
attaques extérieures.

Evitez d’utiliser des comptes locaux
parce qu’ils ne sont pas soumis au
contrôle centralisé de vos DC, et que
les assaillants essaient souvent d’utiliser
ces comptes pour se connecter aux
systèmes distants. Le groupe Everyone
a le droit Access this computer from
the network par défaut – une attribution
trop permissive parce que ce
groupe inclut des comptes utilisateur
locaux. Je vous conseille de n’attribuer
ce droit qu’aux groupes Domain Users
sur les serveurs membres (afin que les
utilisateurs et les administrateurs puissent
accéder aux serveurs selon les besoins
pour les opérations quotidiennes)
et au groupe Domain Admins
sur les stations de travail (afin que les
administrateurs puissent gérer les stations
de travail à  distance). Les groupes
Domain Users et Domain Admins excluent
les comptes utilisateur locaux,
donc ces attributions de droit vous
protègeront contre des attaques fondées
sur un compte utilisateur local,
même quand les mots de passe et les
contrôles de verrouillage d’un ordinateur
sont faibles.

Backup files and directories. Un
utilisateur doté du droit Backup files
and directories peut accéder à  tout objet
sur l’ordinateur, indépendamment
des autorisations associées à  cet objet.
Pour protéger des informations confidentielles,
restreignez l’attribution de
ce droit. Vous en avez besoin pour exécuter
le programme de sauvegarde natif
de NT, mais la plupart des sociétés
préfèrent une solution de sauvegarde
tierce comme BrightStor ARCserve
Backup (Computer Associates, CA),
Backup Exec (VERITAS Software) qui
fonctionne comme un service. Dans ce
cas, le compte de service de l’application
de sauvegarde a besoin du droit,
et vous pouvez éviter d’attribuer le
droit aux comptes utilisateur.
(Toutefois, la plupart des applications
de sauvegarde ont des exigences bien
particulières, et donc il faut bien lire la
documentation du produit.)

Restore files and directories. Le
droit Restore files and directories complète
Backup files and directories et
vous permet de restaurer (à  partir d’un
support de sauvegarde) tout objet sur
le système, même si l’utilisateur n’a pas accès à  l’objet. Gardez ce droit aussi
étroitement que Backup files and directories
parce que les assaillants peuvent
utiliser Restore files and directories
pour remplacer des fichiers par
des versions précédentes et camoufler
ainsi les traces de l’intrusion.

Load and unload device drivers. Le
droit de charger des drivers d’unités
ou de périphériques présente un
grand risque parce que ces drivers
fonctionnent en mode kernel. L’OS fait
davantage confiance aux programmes
fonctionnant en mode kernel qu’aux
applications classiques. Des utilisateurs
mal intentionnés peuvent donc
coder et charger un driver pour accroître
leurs privilèges et effectuer des
opérations illicites. Les administrateurs
et les consultants considèrent en général
le droit Load and unload device drivers
comme le moyen pour un utilisateur
ordinaire de charger des drivers
d’unité, mais même les utilisateurs qui
possèdent ce droit doivent être
membres du groupe Administrators.
C’est pourquoi je suggère de n’octroyer
ce droit qu’à  ce seul groupe.

Log on locally. Sur les serveurs
membres, le groupe Administrators et
l’opérateur local possèdent le droit
Log on locally par défaut ; sur les stations
de travail, le groupe Everyone
possède le droit par défaut. Il est
judicieux de maintenir l’attribution
plus limitée des serveurs membres: la
plupart des serveurs ne sont généralement
protégés que contre des utilisateurs
distants. Donc, il peut être dangereux
de donner à  des utilisateurs
ordinaires l’autorisation de se connecter
localement à  la console d’un
serveur.

Cependant, l’utilisation de
Microsoft IIS et NT Server 4.0 Terminal
Server Edition risque de vous forcer à 
donner ce droit aux utilisateurs. Ainsi,
quand vous configurez un serveur intranet
IIS pour utiliser l’authentification
NT LAN Manager (NTLM)
Challenge/Response, les utilisateurs
qui accèdent à  ce serveur par l’intermédiaire
de Microsoft Internet
Explorer (IE) ont besoin du droit Log
on locally. Les utilisateurs qui accèdent
à  un serveur par l’intermédiaire du
TSAC (Terminal Services Advanced
Client) en ont aussi besoin. C’est pourquoi
il est particulièrement important
d’instaurer la sécurité physique sur vos
serveurs IIS et WTS.

Manage auditing and security log.
Le droit Manage auditing and security
log vous permet de changer la liste de
contrôle d’audit sur les fichiers, les
dossiers, les clés de registres et les imprimantes.
Ce droit vous permet également
de visualiser, de transférer ou
d’effacer le journal Security, donc il
peut donner aux assaillants le moyen
de désactiver l’auditing ou de camoufler
les preuves (bien que NT journalise
l’événement ID 517 chaque fois que
quelqu’un efface le journal Security).

Par défaut, le groupe Administrators
local possède ce droit, mais je
vous recommande de créer un groupe
personnalisé (ManageAuditing, par
exemple) et de le peupler uniquement
d’utilisateurs qui ont besoin régulièrement
de changer l’auditing d’objets ou
de travailler avec le journal Security. Bien que les administrateurs puissent
s’octroyer le droit en permanence, la
création d’un tel groupe personnalisé
peut renforcer la protection. (Les assaillants
qui accèdent à  Administrator
par le biais d’une interface limitée
comme Telnet n’auront pas les moyens
de s’octroyer le droit à  eux-mêmes.)
J’ai entendu parler de bogues concernant
ce droit, mais je n’en ai jamais
constaté aucun au cours de mes tests
avec NT 4.0 Service Pack 4 (SP4).

Take ownership of files or other objects.
Le droit Take ownership of files
or other objects vous permet d’assumer
la possession de n’importe quel
objet sur l’ordinateur, indépendamment
de l’ACL de l’objet. (Le droit a
pour but de s’assurer que les administrateurs
peuvent réaccéder à  des objets
appartenant à  des utilisateurs supprimés.)
Gardez soigneusement
l’attribution de ce droit parce qu’il
donne accès à  tout ce que le système
peut avoir de confidentiel.

Téléchargez gratuitement cette ressource

Aborder la Blockchain, comprendre et démarrer

Aborder la Blockchain, comprendre et démarrer

Une véritable révolution se prépare progressivement... les entreprises doivent veiller à ne pas rester à l’écart et se faire prendre de vitesse. Tout comme la mobilité ou encore le cloud, la blockchain est une composante essentielle de la transformation numérique. Découvrez, dans ce dossier, comment aborder, comprendre et démarrer la Blockchain

Tech - Par iTPro - Publié le 24 juin 2010