> Tech > Etape 1. Ne pas permettre aux utilisateurs finals de se connecter comme administrateur

Etape 1. Ne pas permettre aux utilisateurs finals de se connecter comme administrateur

Tech - Par iTPro - Publié le 24 juin 2010
email

Près de 70 pour cent des attaques portées aux postes de travail pourraient être évitées si l’utilisateur final de la machine n’était pas connecté comme un membre du groupe Administrators. La plupart des formes de code mobile malveillant ne s’installeront pas correctement si l’utilisateur final est connecté avec un compte

Etape 1. Ne pas permettre aux utilisateurs finals de se connecter comme administrateur

utilisateur à faible privilège (LUA, Least-Privilege User Account). Les administrateurs donnent souvent aux utilisateurs finaux des permissions d’administrateur local pour qu’ils puissent installer ou exécuter du logiciel sur leurs machines. C’est une solution de facilité qui confine au laxisme. Vous pouvez empêcher l’installation de nouveaux programmes en n’autorisant pas les utilisateurs ordinaires à acquérir des droits d’administrateur. En principe, seul un administrateur peut installer un programme.

Si, pour certaines raisons, vous devez autoriser des utilisateurs ordinaires à être administrateurs et si vous avez des clients Windows XP, utilisez SRP (Software Restriction Policies) pour restreindre l’exécution des programmes. En effet, SRP vous permet de définir une stratégie d’exécution globale : soit tous les programmes peuvent s’exécuter par défaut sauf ceux que vous définissez explicitement, soit tous les programmes sont interdits d’exécution sauf ceux que vous définissez explicitement. Cette dernière stratégie, semblable à une stratégie pare-feu du genre « tout-refuser-par-défaut », est plus sure mais demande davantage de tests. SRP vous permet de définir des exceptions par chemin de fichier, chemin de registre, valeur hash (total de contrôle) de programme, signature numérique ou zone de sécurité IE (Internet Explorer).

En définitive, si vous ne pouvez pas empêcher des programmes non autorisés de s’exécuter, vous ne pouvez pas garantir la sécurité. Des permissions NTFS bien définies sont le meilleur moyen d’empêcher l’exécution des programmes installés. Pour cela, il suffit de supprimer la permission Read et Execute des fichiers et des dossiers dont l’accès est interdit aux utilisateurs non autorisés.

Téléchargez gratuitement cette ressource

IBMi et Cloud : Table ronde Digitale

IBMi et Cloud : Table ronde Digitale

Comment faire évoluer son patrimoine IBMi en le rendant Cloud compatible ? Comment capitaliser sur des bases saines pour un avenir serein ? Faites le point et partagez l'expertise Hardis Group et IBM aux côtés de Florence Devambez, DSI d'Albingia.

Tech - Par iTPro - Publié le 24 juin 2010