Obtenir un accès en tant qu'administrateur est le coup de maître pour un hacker. La protection de vos privilèges d'administrateur doit donc figurer en tête de vos priorités de sécurité. Cependant, préserver vos comptes d'administrateurs est plus compliqué que le simple ajout d'un mot de passe.Les particularités et bugs de Windows NT, ainsi que les paramétrages par défaut trop faibles de l'OS, sont autant de failles que les hackers peuvent exploiter pour prendre le contrôle de vos systèmes. De nombreux administrateurs systèmes surchargés pallient ce problème en utilisant des pratiques d'administration bien connues mais peu sûres. Pour protéger et surveiller vos comptes d'administrateurs, il est impératif de comprendre ces faiblesses.
Protégez les privilèges d’administrateur
De par
la conception du compte Administrateur, Windows NT est vulnérable aux attaques
sur ce compte. Il n’est pas possible de supprimer ce compte si puissant, ce
qui fait que les hackers ont une cible toute désignée. Pour compliquer encore
le problème, un système NT configuré avec les paramètres par défaut ne verrouillera
pas le compte Administrateur après des tentatives répétées de connexion non
fructueuses, même si vous fixez des seuils d’essais dans \usermanager\policy\account.
Heureusement, on peut combler cette faille. D’abord, lancez l’utilitaire Passprop
avec le commutateur /ADMINLOCKOUT activé. (Passprop est un utilitaire du Kit
de ressources de Windows NT 4.0 apparu avec le SP3.) Le compte Administrateur
sera soumis à la même politique de verrouillage que les autres comptes.
Ensuite, renommez le compte Administrateur
de façon à ce que les hackers n’aient pas de cible identifiable facile. Pourtant,
si vous vous contentez de renommer le compte Administrateur, vous aurez un faux
sentiment de sécurité. Par exemple, le programme de percement Redbutton utilise
des connexions anonymes pour énumérer les comptes sur un système distant et
peut utiliser le SID du compte Administrateur intégré, qui n’est jamais modifié,
pour découvrir le nouveau nom du compte Administrateur. Pour éviter ces attaques,
installez le SP3 (ou ultérieur) et activez la valeur de Registre RestrictAnonymous.
En faisant cela, sachez que vous risquez de rencontrer des problèmes mineurs
de navigation entre systèmes. Lorsque l’on renomme le compte Administrateur,
assurez-vous que vous changez sa description et les champs de noms complets
car les valeurs par défaut révèlent l’objet du compte. De nombreux administrateurs
système masquent plus encore le compte administrateur en créant un compte Administrateur
bidon. Le compte bidon n’a aucun privilège mais possède toutes les apparences
(description et nom complet) par défaut d’un véritable compte d’administration.
L’administrateur système surveillera avec attention ce compte pour détecter
d’éventuelles tentatives de connexion, ce qui signalerait une attaque.
Téléchargez cette ressource
Solutions Cloud & Services Managés Simplifiés
Comment capitaliser sur son existant tout en bénéficiant, dès à présent, des promesses de flexibilité et de scalabilité du cloud ? Découvrez les bonnes pratiques pour répondre aux défis de simplification du Cloud dans ce nouveau TOP 5.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les incidents technologiques sont des signaux d’alarme pour la résilience des infrastructures
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM