Obtenir un accès en tant qu'administrateur est le coup de maître pour un hacker. La protection de vos privilèges d'administrateur doit donc figurer en tête de vos priorités de sécurité. Cependant, préserver vos comptes d'administrateurs est plus compliqué que le simple ajout d'un mot de passe.Les particularités et bugs de Windows NT, ainsi que les paramétrages par défaut trop faibles de l'OS, sont autant de failles que les hackers peuvent exploiter pour prendre le contrôle de vos systèmes. De nombreux administrateurs systèmes surchargés pallient ce problème en utilisant des pratiques d'administration bien connues mais peu sûres. Pour protéger et surveiller vos comptes d'administrateurs, il est impératif de comprendre ces faiblesses.
Protégez les privilèges d’administrateur
De par
la conception du compte Administrateur, Windows NT est vulnérable aux attaques
sur ce compte. Il n’est pas possible de supprimer ce compte si puissant, ce
qui fait que les hackers ont une cible toute désignée. Pour compliquer encore
le problème, un système NT configuré avec les paramètres par défaut ne verrouillera
pas le compte Administrateur après des tentatives répétées de connexion non
fructueuses, même si vous fixez des seuils d’essais dans \usermanager\policy\account.
Heureusement, on peut combler cette faille. D’abord, lancez l’utilitaire Passprop
avec le commutateur /ADMINLOCKOUT activé. (Passprop est un utilitaire du Kit
de ressources de Windows NT 4.0 apparu avec le SP3.) Le compte Administrateur
sera soumis à la même politique de verrouillage que les autres comptes.
Ensuite, renommez le compte Administrateur
de façon à ce que les hackers n’aient pas de cible identifiable facile. Pourtant,
si vous vous contentez de renommer le compte Administrateur, vous aurez un faux
sentiment de sécurité. Par exemple, le programme de percement Redbutton utilise
des connexions anonymes pour énumérer les comptes sur un système distant et
peut utiliser le SID du compte Administrateur intégré, qui n’est jamais modifié,
pour découvrir le nouveau nom du compte Administrateur. Pour éviter ces attaques,
installez le SP3 (ou ultérieur) et activez la valeur de Registre RestrictAnonymous.
En faisant cela, sachez que vous risquez de rencontrer des problèmes mineurs
de navigation entre systèmes. Lorsque l’on renomme le compte Administrateur,
assurez-vous que vous changez sa description et les champs de noms complets
car les valeurs par défaut révèlent l’objet du compte. De nombreux administrateurs
système masquent plus encore le compte administrateur en créant un compte Administrateur
bidon. Le compte bidon n’a aucun privilège mais possède toutes les apparences
(description et nom complet) par défaut d’un véritable compte d’administration.
L’administrateur système surveillera avec attention ce compte pour détecter
d’éventuelles tentatives de connexion, ce qui signalerait une attaque.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
