> Tech > Réglage de la sécurité

Réglage de la sécurité

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Le fait de désactiver les services liés à  la sécurité sur tout serveur - mais particulièrement sur un DC - sacrifie la protection du système et met en danger l'environnement réseau. Mais vous pouvez paramétrer les services pour faciliter l'administration système.

Dans la 1re partie, j'ai expliqué comment créer des

Réglage de la sécurité

comptes de services
pour des applications et services. Ces
comptes contrôlent le contexte de sécurité
dans lequel les applications et
les services fonctionnent, vous aident à 
contrôler les droits d’accès et l’interactivité
de services associés multiples, et
sécurisent les fonctions d’administration
et d’application centrales du système.

En utilisant le modèle d’objet de
sécurité natif de Win2K, vous pouvez
contrôler l’accès à  chacune des propriétés
et actions du serveur. Ainsi,
vous pouvez contrôler les services accessibles
aux techniciens du Help
desk, quelles actions ils peuvent effectuer,
et même quelle information d’administration
ils peuvent consulter. En
définissant des ACL sur des services individuels,
vous pouvez déléguer les
droits de contrôle et d’accès à  ces services.
Vous pouvez également utiliser Microsoft BackOffice Server 2000 pour
déterminer, grâce à  des références de
connexion et des fichiers MMC
(Microsoft Management Console) verrouillés,
ce qu’un technicien est autorisé
à  faire. Par exemple, on peut personnaliser
un menu de contexte pour
n’afficher que le Start Service (et pas
Stop). L’outil Microsoft Windows 2000
Resource Kit Service ACL Editor permet également d’administrer les
services à  un fin niveau de granularité.
(Pour la liste complète des outils du kit
de ressources associés, voir le tableau
5.)P

Vous pouvez définir des références
de connexion pour les services, entrer
des mots de passe, et établir une interaction
avec le desktop au moyen
de l’onglet Log On de la fenêtre Properties d’un service. Au moyen du
compte logon, vous pouvez déterminer
quels droits un service ou une application
aura sur le serveur. Ainsi,
pour les services potentiellement dangereux,
vous pouvez limiter l’accès aux
ressources du serveur. Vous pouvez
créer un compte utilisateur unique et
l’attribuer manuellement aux groupes
autorisés à  l’utiliser. Dans ce cas, créez le compte utilisateur dans le conteneur
Local User and Groups. (Si votre système
est un DC, créez un compte de
domaine unique plutôt qu’un compte
local ou système.) Veillez à  limiter autant
que possible la portée fonctionnelle
du compte (par exemple, fournir
des droits de connexion limités et pas
d’accès général au serveur, sauf si le
service l’exige). La mise en place de
comptes d’administration du service
ayant des noms différents et des mots
de passe puissants rendra l’intrusion
dans le réseau plus difficile.

Cependant, la création d’une multitude
de comptes de services peut
constituer un fardeau quand il faut
changer les mots de passe des comptes
(selon les règles maison). Une possibilité
consiste à  définir pour ces comptes
des mots de passe qui n’expirent jamais.
Ainsi, vous ne risquerez pas de
vous retrouver face à  un serveur mort
si un mot de passe est périmé empêchant
du même coup le service associé
de se connecter et de fonctionner.
Mais cette façon de faire présente également
un risque. Plutôt que de créer
de nombreux comptes avec des mots
de passe qui n’expirent pas, vous pouvez
créer un petit nombre de comptes de services non privilégiés et mettre au
point un processus de changement de
leurs mots de passe selon les besoins.

L’interaction avec le bureau pour
un service signifie que celui-ci peut apparaître
dans l’environnement de bureau
Windows pour l’entrée par quiconque
est connecté au système. En
cochant la case Allow service to interact
with desktop dans la fenêtre
Properties du service, on expose l’UI
du service afin que les utilisateurs puissent
en modifier les paramètres. En
laissant cette case non cochée, on empêche
les utilisateurs connectés d’interférer
avec le service. Cette option de
configuration n’est possible que quand
un service fonctionne sous le compte
Local System. En général, vous ne modifierez
pas les paramètres d’interaction
des composants et services
Windows courants parce que cela
pourrait nuire au bon fonctionnement
du serveur. En revanche, dans un environnement
de développement ou si
l’on exécute une application comme
un service, il peut s’avérer nécessaire
de permettre l’interaction avec le bureau
pour contrôler un service ou pour
fournir des paramètres entrés par l’utilisateur.

Et si vous vous êtes trompés ? Vous
avez, par erreur, défini le service Server
pour qu’il se connecte sous un compte
utilisateur avec un mot de passe expiré.
Maintenant, vous constatez que
vous ne pouvez pas vous connecter au
système. Pas de panique. Réinitialisez
le serveur en Safe Mode, qui est une
configuration de service et de driver
minimale. Au moyen de l’une des diverses
options de démarrage de Safe
Mode, vous pouvez revenir dans
Windows et corriger votre erreur.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010