Vulnérabilités du Registre

défaut de ces clés sont relativement faibles.
Par exemple, lorsqu’un utilisateur se connecte, Windows NT examine la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Windows NT exécute ensuite tout texte de cette clé sous forme de commande avec
les privilèges de l’utilisateur. Un utilisateur sans privilèges peut ajouter
des commandes dans la valeur de la clé et attendre qu’un administrateur se connecte
sur le système. Alors, les commandes que le hacker a ajoutées s’exécuteront
comme si elles venaient d’un administrateur. Ces commandes peuvent faire toutes
sortes de choses, comme ajouter l’utilisateur au groupe des administrateurs
ou changer les permissions sur des répertoires stratégiques. Par défaut, le
groupe Tout le monde peut accéder à  cette clé. Vous devez donc en renforcer
l’ACL. D’autres clés de Registre présentent le même risque bien que le mode
d’intrusion soit parfois plus compliqué.
Comme à  chaque fois que l’on renforce la sécurité, le fait de
vouloir sécuriser le Registre peut poser des problèmes de compatibilité avec
des applicatifs mal développés qui partent du principe que vos systèmes ont
la configuration par défaut non sécurisée. Ces problèmes de compatibilité sont
particulièrement courants sur les postes de travail. Je vous conseille de concentrer
les mesures de protection sur les serveurs et contrôleurs de domaine dont les
besoins sont supérieurs en matière de sécurité et d’utilisation interactive
des applications. Les fichiers de l’OS dans \%systemroot% (c:\winnt), avec leurs
ACL par défaut, sont également vulnérables aux modifications. Des utilisateurs
sans droits peuvent remplacer des fichiers critiques de l’OS par leur propre
version que le système exécutera comme faisant partie de l’OS et avec les privilèges
associés. Protégez également ces répertoires. On peut donner un niveau global
de protection aux répertoires du Registre et de l’OS en restreignant l’accès
distant à  ces répertoires. On peut contrôler qui peut accéder à  distance à  votre
Registre, quelles que soient les ACL individuelles des clés, à  travers les permissions
de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg.
Pour plus d’information sur la restriction des accès distants au Registre, lisez
l’article  » How to restrict access to Windows NT Registry from a remote computer
 » (http://support.microsoft.com/support/kb/articles/q153/1/83.asp). Assurez-vous
bien que les utilisateurs ne puissent pas accéder aux répertoires de l’OS à 
distance par le biais de partages créés par inadvertance. En appliquant ces
mesures simples, vous limiterez fortement les profils pouvant modifier le Registre
et le file system et dans quelles circonstances.