> Tech > Retirer ou désactiver les comptes inutilisés

Retirer ou désactiver les comptes inutilisés

Tech - Par iTPro - Publié le 24 juin 2010
email

Une installation Windows classique a des comptes par défaut comme ceux du tableau 1. Retirez ceux que vous n’utilisez pas. Vous ne pouvez pas supprimer les comptes Administrator et Guest intégrés : par conséquent, prenez- en bien soin.

Tout système Windows Server 2003, XP, Win2K et NT a

Retirer ou désactiver les comptes inutilisés

un compte Administrator local que l’on ne peut pas supprimer. Au lieu d’utiliser ce compte, beaucoup d’administrateurs se servent d’un compte de domaine pour administrer les machines d’un environnement réseau, de telle sorte que le compte Administrator local reste souvent oisif. Il fait alors courir un risque pour deux raisons : à cause de l’inactivité et parce que, par défaut, il n’est pas soumis aux règles d’expiration qui régissent le verrouillage des comptes et les mots de passe. Le compte Administrator pose un autre problème: en tant que rôle, il risque de ne pas identifier de manière unique un utilisateur donné. Trop souvent, plusieurs utilisateurs partagent le compte Administrator. Ce compte devrait plutôt être utilisé pour des situations d’urgence, pour l’administration au jour le jour sur la base d’un compte unique pour chaque utilisateur.

Si vous ne pouvez pas supprimer le compte Administrator, dans Windows 2003 et XP, vous pouvez le désactiver en utilisant la stratégie Accounts : Administrator account status. Avec cette stratégie, vous pouvez désactiver le compte pour les logons normaux en mode local et réseau, mais Windows vous permet quand même de l’utiliser en cas d’urgence en autorisant la connexion au compte par le biais du Safe Mode.

Que vous désactiviez ou non le compte Administrator local, il vaut mieux le renommer. Même si, selon certains, il n’est pas difficile de deviner le nouveau nom d’un compte Administrator renommé, le renommer n’en constitue pas moins un obstacle efficace. Par exemple, lorsqu’un assaillant ne peut pas découvrir le nouveau nom de compte ou qu’une attaque automatisée ne reconnaît pas le compte renommé. Certes, renommer le compte Administrator n’est pas une défense infranchissable, mais il complique la tâche de l’assaillant.

Vous ne pouvez pas non plus supprimer complètement le compte Guest, mais vous pouvez imposer sa désactivation et le fait de le renommer en utilisant Accounts : Guest account status et Accounts : Rename guest accounts. Comme pour toutes les stratégies, vous pouvez définir celle-là soit par une stratégie de groupe, soit par la stratégie de sécurité locale (Local Security Policy) d’un système. Par défaut, le compte Guest n’a pas de mot de passe. Et bien que le compte soit désactivé, le fait de lui attribuer un mot de passe pour le cas où il serait activé d’une certaine façon, est une bonne pratique. Voici une commande rapide permettant d’attribuer un mot de passe complexe aléatoire au compte :

net user Guest Aa%RANDOM%-
%RANDOM%-
%RANDOM%-
%RANDOM%-
%RANDOM%

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 24 juin 2010