> Tech > Stratégies de sécurité

Stratégies de sécurité

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Un administrateur voulait empêcher les utilisateurs non administratifs de se connecter à certains serveurs. Sa méthode consistait à contrôler quels groupes avaient le droit utilisateur Logon locally. Mais, par inadvertance, il a relié le GPO qui contenait la stratégie au domaine, sans utiliser le filtrage de sécurité destiné à n’appliquer

Stratégies de sécurité

le GPO qu’aux serveurs auxquels il voulait restreindre l’accès. Après que chaque ordinateur du domaine ait traité la stratégie, les utilisateurs ne pouvaient plus se connecter à leurs postes de travail. L’administrateur a pris conscience de son erreur et a corrigé le problème.

Ce n’est qu’un exemple des problèmes inhérents aux paramètres de la stratégie de sécurité. Sachez que bon nombre des restrictions Administrative Template dont j’ai parlé plus haut, ne sont pas de vraies stratégies de verrouillage de sécurité. Ce sont simplement des « camouflages » – rideau de fumée et jeu de miroirs, si vous préférez – qui empêchent les utilisateurs de faire des choses qui pourraient causer des problèmes sur leurs postes de travail. La sécurité véritable – droits d’utilisateurs, stratégie de mots de passe, permissions sur les fichiers, les registres et les services, et autres – est définie dans le noeud Computer Configuration\Windows Settings\Security Settings de Group Policy.

Les paramètres des stratégies de sécurité peuvent causer plusieurs sortes de difficultés. Vous pourriez, par exemple, définir involontairement une stratégie de sécurité qui fait échouer certaines opérations de base. Ainsi, si vous changez le niveau d’authentification NTLM pris en charge sur un serveur ou poste de travail, en utilisant le niveau d’authentification Computer Configuration\WindowsSettings\SecuritySettings\ LocalPolicies\SecurityOptions\NetworkSecurity : LAN Manager, vous pourriez bien obtenir l’erreur que montre la figure 2 et empêcher en fait les clients des niveaux inférieurs (par exemple, les systèmes Windows 9x qui n’utilisent pas le client directory services ou Windows NT 4.0 Service Pack 3 – SP3 – et versions antérieures, d’accéder à ce système. Qui plus est, le message d’erreur obtenu ne révèle généralement pas la nature du problème. Il indique plutôt quelque chose de plus élémentaire, comme un nom d’utilisateur ou un mot de passe incorrect. L’article Microsoft « Client Service, and Program Incompatibilities That May Occur When You Modify Security Settings and User Rights Assignments » (http://support.microsoft.com/default.aspx? scid=kb ; en-us ; 823659) énumère excellemment quels paramètres de stratégie liés à la sécurité peuvent causer des problèmes avec diverses versions de Windows et recommande le paramétrage approprié.

Dans la même veine, certaines stratégies de sécurité peuvent purement et simplement évincer les administrateurs d’un système. Par exemple, des administrateurs peuvent utiliser Restricted Groups pour contrôler l’appartenance aux groupes locaux des stations de travail et serveurs membres. Cette stratégie est souvent utilisée pour définir l’appartenance du groupe Administrators local sur tous les postes de travail Windows. La stratégie Restricted Groups contient deux options. Vous pouvez utiliser Members of this group pour vous assurer que seuls les utilisateurs et les groupes que vous spécifiez sont membres du groupe Administrators local, et que tous les autres utilisateurs et groupes sont supprimés chaque fois que la stratégie est appliquée. L’autre option est moins absolue. This group is a member of permet de préciser, pour un certain groupe, quels sont les autres groupes dont il ne devrait pas être membre. Vous pouvez ainsi mettre votre groupe de sécurité global Desktop Admins dans le groupe Administrators sur toutes vos stations de travail Windows. Un problème courant survient quand des administrateurs utilisent Members of this group pour contrôler le groupe Administrators local, puis oublient d’ajouter le compte Administrator local ou le compte Domain Admins à la liste. Ce faisant, ils se verrouillent eux-mêmes hors des stations de travail locales. Du fait que cette option remplace, au lieu de fusionner, les appartenances aux groupes, il est très facile de commettre cette erreur et de vous mettre vousmêmes en difficulté.

Beaucoup d’autres stratégies peuvent gêner les utilisateurs mais, d’après mon expérience, la plupart des problèmes – particulièrement ceux qui ne sont pas évidents – sont causés par des GPO liés au verrouillage ou liés à la sécurité. Voyons donc quelques outils et techniques permettant de suivre les problèmes utilisateur liés aux stratégies de groupe.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT