Les hacker peuvent tenter d'obtenir un accès administrateur de plusieurs façons que l'on peut contrer avec de simples modifications de configuration et de permissions. Premièrement, le Registre comporte plusieurs clés qui contiennent des valeurs en texte clair que le système utilise comme commandes lorsqu'un utilisateur se connecte. Les ACL par
Vulnérabilités du Registre
défaut de ces clés sont relativement faibles.
Par exemple, lorsqu’un utilisateur se connecte, Windows NT examine la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Windows NT exécute ensuite tout texte de cette clé sous forme de commande avec
les privilèges de l’utilisateur. Un utilisateur sans privilèges peut ajouter
des commandes dans la valeur de la clé et attendre qu’un administrateur se connecte
sur le système. Alors, les commandes que le hacker a ajoutées s’exécuteront
comme si elles venaient d’un administrateur. Ces commandes peuvent faire toutes
sortes de choses, comme ajouter l’utilisateur au groupe des administrateurs
ou changer les permissions sur des répertoires stratégiques. Par défaut, le
groupe Tout le monde peut accéder à cette clé. Vous devez donc en renforcer
l’ACL. D’autres clés de Registre présentent le même risque bien que le mode
d’intrusion soit parfois plus compliqué.
Comme à chaque fois que l’on renforce la sécurité, le fait de
vouloir sécuriser le Registre peut poser des problèmes de compatibilité avec
des applicatifs mal développés qui partent du principe que vos systèmes ont
la configuration par défaut non sécurisée. Ces problèmes de compatibilité sont
particulièrement courants sur les postes de travail. Je vous conseille de concentrer
les mesures de protection sur les serveurs et contrôleurs de domaine dont les
besoins sont supérieurs en matière de sécurité et d’utilisation interactive
des applications. Les fichiers de l’OS dans \%systemroot% (c:\winnt), avec leurs
ACL par défaut, sont également vulnérables aux modifications. Des utilisateurs
sans droits peuvent remplacer des fichiers critiques de l’OS par leur propre
version que le système exécutera comme faisant partie de l’OS et avec les privilèges
associés. Protégez également ces répertoires. On peut donner un niveau global
de protection aux répertoires du Registre et de l’OS en restreignant l’accès
distant à ces répertoires. On peut contrôler qui peut accéder à distance à votre
Registre, quelles que soient les ACL individuelles des clés, à travers les permissions
de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg.
Pour plus d’information sur la restriction des accès distants au Registre, lisez
l’article » How to restrict access to Windows NT Registry from a remote computer
» (http://support.microsoft.com/support/kb/articles/q153/1/83.asp). Assurez-vous
bien que les utilisateurs ne puissent pas accéder aux répertoires de l’OS à
distance par le biais de partages créés par inadvertance. En appliquant ces
mesures simples, vous limiterez fortement les profils pouvant modifier le Registre
et le file system et dans quelles circonstances.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
