En plus d'établir des politiques globales et propres aux utilisateurs, vous pouvez effectuer des changements de registre sous la sous-clé HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon pour contrôler le processus de connexion. Plus précisément, vous pouvez jouer sur le registre pour afficher une notice légale pendant la connexion, cacher les noms d'utilisateurs dans
Jouer sur le registre
la boîte de dialogue
Logon et raccourcir ou allonger la
période d’expiration des mots de passe.
D’un point de vue juridique, il est
important d’afficher une notice légale
quand les utilisateurs se connectent.
Elle les informe qu’ils entrent dans
votre système et que vous avez le droit
de surveiller leurs faits et gestes. Il faut
même afficher cet avertissement avant
qu’ils n’entrent leurs références. Vous
créez cette notice légale en ajoutant
deux valeurs de registre REG_SZ sous la sous-clé Winlogon. Dans l’entrée
LegalNoticeCaption, ajoutez une courte
chaîne que NT affichera dans le titre de
la fenêtre d’avertissement. Dans l’entrée
LegalNoticeText, ajoutez le texte
complet du service juridique. Quand
vous aurez spécifié ces valeurs, NT affichera
la notice légale chaque fois que
l ‘ u t i l i s a t e u r a p p u i e r a s u
Ctrl+Alt+Suppr au moment du logon.
NT attend que l’utilisateur ait cliqué sur
OK dans la fenêtre d’avertissement,
avant de le laisser entrer son nom
d’utilisateur et mot de passe.
Pendant le logon, NT place dans le
champ Username de la boîte de dialogue
Logon, le nom du dernier utilisateur
à s’être connecté. Si ce comportement
par défaut présente un risque, on
peut occulter ce champ en donnant une
valeur REG_SZ de 1 à l’entrée
DontDisplayLastUserName.
Nous l’avons vu, NT commence par
afficher une notification d’expiration de mots de passe 14 jours avant la date
d’expiration. Vous pouvez raccourcir ou
allonger ce délai d’anticipation en
donnant à la valeur REG_DWORD de
l’entrée PasswordExpiryWarning un
nombre de jours autre que 14.
Les modifications de registre que je
viens de décrire doivent s’effectuer sur
l’ordinateur de chaque utilisateur. Sil y a
un grand nombre de machines, vous
pouvez utiliser le SPE (System Policy
Editor) à cet effet. SPE permet de distribuer
les changements de registre à tous
les ordinateurs présents dans votre domaine
à partir d’une base de données
centrale. Vous pouvez aussi utiliser SPE
pour appliquer des restrictions qui gardent
la station de travail après que l’utilisateur
se soit connecté. Vous pouvez,
par exemple, déployer un économiseur
d’écran protégé par mot de passe sur
les desktops des utilisateurs et empêcher
ces derniers de le désactiver.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
