Etape 1. Ne pas permettre aux utilisateurs finals de se connecter comme administrateur

utilisateur à faible privilège (LUA, Least-Privilege User Account). Les administrateurs donnent souvent aux utilisateurs finaux des permissions d’administrateur local pour qu’ils puissent installer ou exécuter du logiciel sur leurs machines. C’est une solution de facilité qui confine au laxisme. Vous pouvez empêcher l’installation de nouveaux programmes en n’autorisant pas les utilisateurs ordinaires à acquérir des droits d’administrateur. En principe, seul un administrateur peut installer un programme.

Si, pour certaines raisons, vous devez autoriser des utilisateurs ordinaires à être administrateurs et si vous avez des clients Windows XP, utilisez SRP (Software Restriction Policies) pour restreindre l’exécution des programmes. En effet, SRP vous permet de définir une stratégie d’exécution globale : soit tous les programmes peuvent s’exécuter par défaut sauf ceux que vous définissez explicitement, soit tous les programmes sont interdits d’exécution sauf ceux que vous définissez explicitement. Cette dernière stratégie, semblable à une stratégie pare-feu du genre « tout-refuser-par-défaut », est plus sure mais demande davantage de tests. SRP vous permet de définir des exceptions par chemin de fichier, chemin de registre, valeur hash (total de contrôle) de programme, signature numérique ou zone de sécurité IE (Internet Explorer).

En définitive, si vous ne pouvez pas empêcher des programmes non autorisés de s’exécuter, vous ne pouvez pas garantir la sécurité. Des permissions NTFS bien définies sont le meilleur moyen d’empêcher l’exécution des programmes installés. Pour cela, il suffit de supprimer la permission Read et Execute des fichiers et des dossiers dont l’accès est interdit aux utilisateurs non autorisés.