Outre le fait qu'elle acquiert des fonctionnalités de domaine supplémentaires, la configuration de sécurité d'un ordinateur NT fonctionne indépendamment après que l'on ait ajouté l'ordinateur à un domaine. Les changements effectués au moyen de User Manager for Domains sont sans effet sur les politiques ou les droits utilisateurs des serveurs
Domaine contre Contrôle local
membres et des stations de travail. Par exemple, quand on utilise User Manager for Domains pour attribuer le droit Logon locally à Peter, on l’autorise à se connecter aux consoles de chaque DC du domaine. En revanche, s’il a besoin de se connecter à un serveur membre du domaine, il vous faut vous connecter à ce serveur et octroyer à Peter le droit sur un plan local, au moyen de User Manager.
La politique de comptes et la politique d’audit que l’on définit sur un DC n’ont rien à voir avec la politique de compte et d’audit définie localement sur les serveurs membres et stations de travail. Supposons, par exemple, que l’on se connecte à un DC, ouvre User Manager for Domains, et configure une longueur de mot de passe minimale. Cette action est sans effet sur les comptes locaux de machines définis dans le SAM d’un serveur membre ou d’une station de travail. Par conséquent, si les politiques de comptes locaux sont laxistes, on est vulnérable. Les pirates ne sont pas difficiles : Pour envahir un système, ils utiliseront aussi bien un compte local qu’un compte de domaine.
C’est pourquoi il faut éviter de créer de nombreux comptes locaux de machines. Il vaut mieux donner à chaque utilisateur un compte de domaine, valide pour chaque ordinateur présent dans le domaine. Si un administrateur a créé des comptes locaux de machines sur un serveur membre ou une station de travail, on peut reconfigurer le SAM local du serveur membre ou de la station de travail à partir du réseau. Il suffit de copier User Manager for Domains (usrmgr.exe) à partir de n’importe quel serveur NT sur la station de travail. Ouvrir le programme et sélectionner User, Select Domain, sans entrer un nom de domaine. A la place, il faut entrer deux barres obliques inverses et le nom d’un ordinateur à distance (par exemple, si l’on veut configurer le SAM sur un ordinateur nommé kramer, taper \\kramer). Pour vérifier que l’on examine le SAM du système à distance plutôt que le SAM du domaine, il suffit de regarder la barre de titre de la fenêtre qui comportera deux barres obliques inverses .
La sécurité de domaine NT n’est pas aussi centralisée qu’il y paraît. Chaque ordinateur a une configuration discrète et des centaines d’options de sécurité qui méritent attention. Même si dans un environnement de domaine, seuls les comptes utilisateurs et les groupes d’utilisateurs sont vraiment centralisés – et seulement si l’on évite de créer des comptes locaux de machines sur les serveurs membres. On voit bien qu’une connaissance complète des options de sécurité NT basiques est la pierre angulaire d’un réseau sûr.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
