menaces et contre-mesures

Chapitre 4 : Droits d'utilisateur

Dernière mise à jour le 27 décembre 2005

Ces droits permettent aux utilisateurs d'effectuer des tâches sur un ordinateur ou un domaine. Ces droits incluent les droits d'ouverture de session et les privilèges. Les droits de connexion vérifient si les personnes sont autorisées à ouvrir une session sur un ordinateur et la manière dont ils peuvent effectuer cette opération. Les privilèges contrôlent l'accès aux ressources informatiques et de domaine, et peuvent remplacer les autorisations définies sur des objets spécifiques.

La possibilité de se connecter à un ordinateur en local constitue un exemple de droit de connexion. La possibilité d'arrêter l'ordinateur est un exemple de privilège. Les deux types de droits d'utilisateur sont attribués par les administrateurs aux utilisateurs individuels ou aux groupes en tant que paramètres de sécurité pour l’ordinateur. Pour un résumé des paramètres décrits dans ce chapitre, reportez-vous au classeur Microsoft® Excel® intitulé « Windows Default Security and Services Configuration » (Configuration des services et de la sécurité par défaut Windows), fourni avec ce guide. Ce classeur détaille les paramètres d'attribution des droits d'utilisateur par défaut.

Remarque : Internet Information Server (IIS) prévoit que certains droits d'utilisateur soient assignés aux comptes intégrés qu'il utilise. Les paramètres d'attribution des droits d'utilisateur de ce chapitre identifient les droits requis par IIS ; pour plus d'informations sur ces conditions, reportez-vous à la liste « IIS and Built-In Accounts (IIS 6.0) » à l'adresse www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx.

Sur cette page

Paramètres d'attribution des droits d'utilisateur
Informations complémentaires

Paramètres d'attribution des droits d'utilisateur

Vous pouvez configurer les paramètres d'attribution des droits d'utilisateur à l’emplacement suivant dans l’Éditeur d’objets de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits d'utilisateur

Accéder à cet ordinateur à partir du réseau

Ce paramètre de stratégie détermine si les utilisateurs peuvent se connecter à l'ordinateur depuis le réseau. Un certain nombre de protocoles réseaux l'exigent, dont les protocoles basés sur le bloc de message serveur (SMB), NetBIOS, CIFS (Common Internet File System) et COM+ (Component Object Model Plus).

Le paramètre Accéder à cet ordinateur à partir du réseau admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs qui se connectent au réseau par le biais de leur ordinateur peuvent accéder aux ressources d'ordinateurs cibles pour lesquels ils disposent d’autorisations. Par exemple, le droit d'utilisateur Accéder à cet ordinateur à partir du réseau est requis pour les utilisateurs désirant se connecter à des imprimantes et des dossiers partagés. Si ce droit d'utilisateur est attribué au groupe Tout le monde et que certains dossiers partagés disposent d’autorisations de partage et de système de fichiers NTFS configurées de telle sorte que le même groupe dispose d'un accès en lecture, alors chaque membre du groupe est en mesure de visualiser les fichiers de ces dossiers partagés. Cependant, cette situation est peu envisageable pour les nouvelles versions de Microsoft Windows Server™ 2003 avec Service Pack 1 (SP1) du fait que les autorisations par défaut de partage et NTFS sur Windows Server 2003 n'incluent pas le groupe Tout le monde. Cette vulnérabilité peut présenter un niveau de risque plus élevé pour les ordinateurs mis à niveau à partir de Windows NT® 4.0 ou Windows 2000 du fait que les autorisations par défaut de ces systèmes d'exploitation ne sont pas aussi restrictives que celles de Windows Server 2003.

Contre-mesures

Accordez uniquement le droit Accéder à cet ordinateur à partir du réseau aux utilisateurs qui requièrent l’accès au serveur. Par exemple, si vous configurez ce paramètre de stratégie sur les groupes Administrateurs et Utilisateurs, les utilisateurs qui se connectent au domaine pourront accéder à des ressources partagées depuis les serveurs du domaine, si les membres du groupe Utilisateurs de domaines sont inclus dans le groupe Utilisateurs local.

Impact potentiel

Si vous supprimez le droit d'utilisateur Accéder à cet ordinateur à partir du réseau sur les contrôleurs de domaine pour tous les utilisateurs, personne ne sera en mesure de se connecter au domaine ou d'utiliser les ressources réseau. Si vous supprimez ce droit d'utilisateur sur des serveurs membres, les utilisateurs ne pourront pas se connecter à ces serveurs par le réseau. Si vous avez installé des composants facultatifs tels que ASP.NET ou Internet information Services (IIS), vous devrez peut-être attribuer ce droit d'utilisateur aux comptes supplémentaires requis par ces composants. Il est donc important de vérifier que les utilisateurs autorisés disposent de ce droit pour les ordinateurs dont ils ont besoin pour accéder au réseau.

Agir en tant que partie du système d'exploitation

Ce paramètre de stratégie détermine si un processus peut prendre l'identité d'un utilisateur quelconque et d'avoir ainsi accès aux ressources auxquelles l'utilisateur a le droit d'accéder. En règle générale, seuls les services d'authentification de niveau faible requièrent ce droit d'utilisateur. Notez que l'accès potentiel ne se limite pas à ce qui est associé à l'utilisateur par défaut. En effet, le processus appelant peut demander que des privilèges arbitraires supplémentaires soient ajoutés au jeton d'accès. Le processus appelant peut également générer un jeton d’accès qui ne fournit pas d’identité principale pour l'audit des journaux d'événements système.

Le paramètre Agir en tant que partie du système d'exploitation admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Agir en tant que partie du système d'exploitation est extrêmement puissant. Quiconque dispose de ce droit peut prendre le contrôle intégral de l'ordinateur et effacer toute trace de ses activités.

Contre-mesures

Accordez le droit d'utilisateur Agir en tant que partie du système d’exploitation à un nombre de comptes aussi restreint que possible. Dans des circonstances classiques, il ne doit même pas être attribué au groupe Administrateurs. Si un service requiert ce droit d'utilisateur, configurez-le pour qu’il se connecte à l’aide du compte Système local qui dispose de ce privilège par héritage. Ne créez pas de compte séparé et ne lui attribuez pas ce droit.

Impact potentiel

L'impact doit être très faible ou inexistant, car le droit d'utilisateur Agir en tant que partie du système d'exploitation est rarement requis par d'autres comptes que le compte Système local.

Ajouter des stations de travail au domaine

Ce paramètre de stratégie détermine si un utilisateur peut ajouter un ordinateur à un domaine spécifique. Pour qu'il soit effectif, il doit être attribué de façon à s'appliquer à un contrôleur de domaine au minimum. Un utilisateur doté de ce droit peut ajouter jusqu'à dix postes de travail au domaine. Les utilisateurs peuvent également associer un ordinateur à un domaine s'ils disposent de l’autorisation Créer objets ordinateur pour une unité d’organisation (OU) ou pour le conteneur Ordinateurs du service d'annuaire Active Directory®. Les utilisateurs qui se sont vus attribuer cette autorisation peuvent ajouter un nombre illimité d'ordinateurs au domaine, qu'ils disposent ou non du droit d'utilisateur Ajouter des stations de travail au domaine.

Le paramètre Ajouter des stations de travail au domaine admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Ajouter des stations de travail au domaine présente une vulnérabilité modérée. Les utilisateurs disposant de ce droit peuvent ajouter un ordinateur au domaine configuré de manière à enfreindre les stratégies de sécurité de l'entreprise. Par exemple, si votre entreprise ne souhaite pas que ses utilisateurs disposent de privilèges administratifs sur leurs ordinateurs, ceux-ci peuvent installer Windows sur leurs ordinateurs, puis les ajouter au domaine. S’ils connaissent le mot de passe du compte Administrateur local, ils peuvent se connecter à ce compte, puis ajouter leur compte de domaine au groupe Administrateurs local.

Contre-mesures

Configurez le paramètre Ajouter des stations de travail au domaine de sorte que seuls les membres autorisés de l’équipe informatique puissent ajouter des ordinateurs au domaine.

Impact potentiel

Pour les entreprises qui n’ont jamais autorisé les utilisateurs à configurer leurs propres ordinateurs et à les ajouter au domaine, cette contre-mesure n’a aucun impact. En revanche, pour les entreprises qui ont autorisé certains ou la totalité des utilisateurs à configurer leurs propres ordinateurs, cette contre-mesure l'oblige à établir un processus formel pour ces procédures. Elle n'affectera pas les ordinateurs existants sauf s'ils ont été supprimés du domaine, puis ajoutés de nouveau.

Régler les quotas de mémoire pour un processus

Ce paramètre de stratégie détermine si les utilisateurs peuvent ajuster la mémoire maximale disponible pour un processus. Bien que cette fonction soit utile pour affiner la configuration des ordinateurs, vous devez considérer le risque que cela représente en termes d'abus. Cette fonction pourrait être utilisée pour lancer une attaque par déni de service si une personne mal intentionnée y a accès .

Le paramètre Régler les quotas de mémoire pour un processus admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un utilisateur disposant du privilège Régler les quotas de mémoire pour un processus peut réduire la quantité de mémoire disponible pour n'importe quel processus, ce qui risque d'entraîner le ralentissement ou l'échec d'applications réseau critiques pour l'entreprise.

Contre-mesures

Accordez le droit Régler les quotas de mémoire pour un processus aux utilisateurs qui en ont besoin pour effectuer leurs tâches, tels que les administrateurs d'application qui assurent la maintenance des systèmes de gestion de base de données ou les administrateurs de domaine qui gèrent l'annuaire d'entreprise et son infrastructure de support.

Impact potentiel

Les entreprises qui n'ont pas restreint les utilisateurs aux rôles dotés de privilèges limités trouveront difficile d'imposer cette contre-mesure. De plus, si vous avez installé des composants facultatifs tels que ASP.NET ou IIS, vous aurez peut-être besoin d'attribuer le droit d'utilisateur Régler les quotas de mémoire pour un processus aux comptes supplémentaires requis par ces composants. IIS exige que ce privilège soit explicitement attribué aux comptes IWAM_<NomOrdinateur>, service réseau et service. Dans le cas contraire, cette contre-mesure risque de n'avoir aucun impact sur la plupart des ordinateurs. Si ce droit d'utilisateur est nécessaire pour un compte utilisateur, il peut être attribué à un compte d'ordinateur local au lieu d'un compte de domaine.

Permettre l’ouverture d’une session locale

Ce paramètre de stratégie détermine si un utilisateur peut démarrer une session interactive sur l'ordinateur. Les utilisateurs ne disposant pas de ce droit peuvent quand même démarrer une session interactive à distance sur l’ordinateur s’ils disposent du droit Autoriser l'ouverture de session par les services Terminal Server.

Le paramètre Permettre l'ouverture d'une session locale admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini  

Vulnérabilité

Un compte avec le droit Permettre l'ouverture d'une session locale peut se connecter à la console de l'ordinateur. Si vous ne limitez pas ce droit d'utilisateur aux utilisateurs légitimes qui doivent pouvoir ouvrir une session sur la console de l'ordinateur, des utilisateurs non autorisés pourraient télécharger et exécuter un code malveillant pour élever leurs privilèges.

Contre-mesures

Pour les contrôleurs de domaine, attribuez uniquement le droit d'utilisateur Permettre l’ouverture d’une session locale au groupe Administrateurs. Pour les autres rôles du serveur, vous pouvez choisir d'ajouter des Opérateurs de sauvegarde et des Utilisateurs avec pouvoir. Pour les ordinateurs des utilisateurs finaux, vous devez également attribuer ce droit au groupe Utilisateurs.

Vous pouvez également attribuer des groupes, tels que Opérateurs de compte, Opérateurs de serveur et Invités au droit d'utilisateur Interdire l’ouverture d’une session locale.

Impact potentiel

Si vous supprimez ces groupes par défaut, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Si vous avez installé des composants facultatifs tels que ASP.NET ou Internet information Services (IIS), vous devrez peut-être attribuer le droit d'utilisateur Permettre l'ouverture d'une session locale aux comptes supplémentaires requis par ces composants. IIS nécessite que ce droit d'utilisateur soit attribué au compte IUSR_<NomOrdinateur>. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Autoriser l'ouverture de session par les services Terminal Server

Ces paramètres de stratégie déterminent si les utilisateurs peuvent ouvrir une session sur l'ordinateur via une connexion Bureau à distance. Vous ne devez pas accorder ce droit d'utilisateur à d’autres utilisateurs ou groupes. En revanche, il est préférable d'ajouter ou de supprimer des utilisateurs à partir du groupe Utilisateurs du Bureau à distance pour contrôler l'ouverture d'une connexion Bureau à distance sur l'ordinateur.

Le paramètre Autoriser l'ouverture de session par les services Terminal Server admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Tout compte doté du droit d'utilisateur Autoriser l'ouverture de session par les services Terminal Server peut se connecter à la console à distance de l'ordinateur. Si vous ne limitez pas ce droit d'utilisateur aux utilisateurs légitimes qui ont besoin d'ouvrir une session sur la console de l'ordinateur, des utilisateurs non autorisés pourraient télécharger et exécuter un code malveillant pour élever leurs privilèges.

Contre-mesures

Pour les contrôleurs de domaine, attribuez uniquement le droit d’utilisateur Autoriser l’ouverture de session par les services Terminal Server au groupe Administrateurs. Pour les autres rôles du serveur et les ordinateurs d’utilisateurs finaux, ajoutez le groupe Utilisateurs du Bureau à distance. Pour les serveurs Terminal Server qui ne s'exécutent pas en mode Serveur d'applications, assurez-vous que seul le personnel informatique autorisé qui a besoin de gérer les ordinateurs à distance appartient à l'un de ces groupes.

Avertissement : Pour les serveurs Terminal Server s’exécutant en mode Serveur d’applications, assurez-vous que seuls les utilisateurs qui requièrent un accès au serveur possèdent des comptes appartenant au groupe Utilisateurs du Bureau à distance, car ce groupe intégré dispose de ce droit de connexion par défaut.

Vous pouvez également attribuer le droit d'utilisateur Interdire l’ouverture de session par les services Terminal Server aux groupes, tels que Opérateurs de compte, Opérateurs de serveur et Invités. Cependant, faites attention lorsque vous employez cette méthode, car vous pouvez bloquer l’accès aux administrateurs légitimes qui appartiennent également à un groupe disposant du droit d'utilisateur Interdire l’ouverture de session par les services Terminal Server.

Impact potentiel

Supprimer le droit d'utilisateur Autoriser l'ouverture de session par les services Terminal Server à d'autres groupes ou des modifications d'appartenance dans ces groupes par défaut risque de limiter les possibilités des utilisateurs qui exécutent des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Sauvegarder les fichiers et les répertoires

Ce paramètre de stratégie détermine si les utilisateurs peuvent contourner les autorisations sur les fichiers et les répertoires pour sauvegarder le système. Ce droit d'utilisateur est efficace uniquement si une application tente d'obtenir un accès via l'interface de programmation d'applications (API) de sauvegarde NTFS, par l'intermédiaire d'un utilitaire de sauvegarde tel que NTBACKUP.EXE. Sinon, les autorisations standard sur les fichiers et les répertoires s'appliquent.

Le paramètre Sauvegarder des fichiers et des répertoires admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs capables de sauvegarder des données à partir d'un ordinateur peuvent introduire le support de sauvegarde dans un ordinateur n'appartenant pas au domaine et sur lequel ils disposent de privilèges administratifs et restaurer les données. Ils peuvent devenir propriétaires des fichiers et afficher toute donnée non chiffrée contenue dans le jeu de sauvegarde.

Contre-mesures

Accordez uniquement le droit d’utilisateur Sauvegarder des fichiers et des répertoires aux membres de l’équipe informatique qui doivent être en mesure de sauvegarder les données de l’entreprise dans le cadre de leurs responsabilités quotidiennes. Si vous utilisez un logiciel de sauvegarde qui s'exécute sous des comptes de service spécifiques, seuls ces comptes (et non pas le personnel informatique) doivent disposer du droit d'utilisateur Sauvegarder des fichiers et des répertoires.

Impact potentiel

Modifier l'appartenance des groupes qui disposent du droit d'utilisateur Sauvegarder des fichiers et des répertoires pourrait limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Vous devez vous assurer que les administrateurs de sauvegarde autorisés sont toujours en mesure d’effectuer les opérations de sauvegarde.

Ignorer la recherche de l'autorisation Passer sur le dossier

Ce paramètre de stratégie détermine si les utilisateurs peuvent traverser des dossiers sans vérification de l'autorisation d'accès spéciale « Passer sur le dossier » lorsqu'ils parcourent le chemin d'accès à un objet dans le système de fichiers de NTFS ou dans le registre. Ce droit d'utilisateur ne permet pas à l'utilisateur d'établir la liste du contenu d'un dossier ; il lui permet seulement de traverser des dossiers.

Le paramètre Ignorer la recherche de l'autorisation Passer sur le dossier admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

La configuration par défaut du paramètre Ignorer la recherche de l'autorisation Passer sur le dossier permet à quiconque d'ignorer la recherche de l'autorisation correspondante. Ainsi, les administrateurs système Windows expérimentés configurent la liste de contrôle d'accès au système de fichiers (ACL) en conséquence. Le seul scénario dans lequel la configuration par défaut peut se révéler problématique est celui où l'administrateur qui configure les autorisations ne comprend pas le fonctionnement de ce paramètre de stratégie. Par exemple, il pourrait s'attendre à ce que les utilisateurs qui ne peuvent accéder à un dossier soient également incapables d'accéder au contenu de dossiers enfant. Une telle situation est peu probable, cette vulnérabilité ne présente donc que peu de risque.

Contre-mesures

Les entreprises très soucieuses en matière de sécurité peuvent vouloir supprimer le groupe Tout le monde ou peut-être même le groupe Utilisateurs de la liste des groupes dotés du droit d'utilisateur Ignorer la recherche de l'autorisation Passer sur le dossier. Prendre le contrôle explicite des attributions de parcours peut constituer une façon très efficace de contrôler l'accès aux informations sensibles. (La fonctionnalité d'énumération basée sur l'accès qui a été ajoutée à Windows Server 2003 SP1 peut également être utilisée.) Si vous utilisez l'énumération basée sur l'accès, les utilisateurs ne peuvent pas voir les dossiers ou les fichiers pour lesquels ils ne disposent pas d'un accès. Pour plus d'informations sur cette fonctionnalité, consultez la page www.microsoft.com/technet/prodtechnol/
windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx.)

Impact potentiel

Les systèmes d’exploitation Windows, ainsi que de nombreuses applications, ont été conçus afin que toute personne ayant légitimement accès à l’ordinateur soit dotée de ce droit d'utilisateur. Microsoft recommande donc que vous testiez parfaitement toutes les modifications que vous souhaitez apporter aux attributions du droit d'utilisateur Ignorer la recherche de l'autorisation Passer sur le dossier avant de les mettre en œuvre sur les systèmes de production. Plus particulièrement, IIS nécessite que ce droit d'utilisateur soit attribué aux comptes Service réseau, Service local, IIS_WPG, IUSR_<NomOrdinateur> et IWAM_<NomOrdinateur>. (Il doit également être attribué au compte ASPNET via son appartenance au groupe Utilisateurs.) Ce guide recommande de conserver la configuration par défaut de ce paramètre de stratégie.

Modifier l'heure du système

Ce paramètre de stratégie détermine si les utilisateurs peuvent régler l'horloge interne de l'ordinateur. Il n'est pas nécessaire de changer le fuseau horaire ou d’autres caractéristiques d’affichage de l’heure système.

Le paramètre Modifier l'heure du système admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs qui peuvent modifier l’heure sur un ordinateur risquent d’entraîner plusieurs problèmes. Par exemple, les heures des entrées du journal d'événements pourraient être inexactes, celles des fichiers et des dossiers créés ou modifiés pourraient être incorrectes, et les ordinateurs appartenant à un domaine pourraient ne plus pouvoir s'authentifier ou authentifier les utilisateurs qui tentent de se connecter au domaine par leur intermédiaire. De même, dans la mesure où le protocole d'authentification Kerberos nécessite la synchronisation des horloges du demandeur et de l'authentificateur sur une période décalée définie par un administrateur, un attaquant modifiant l'heure de l'ordinateur peut empêcher cet ordinateur d'obtenir ou d'accorder des tickets Kerberos.

Le risque que ces types d'événements se produisent est réduit sur la plupart des contrôleurs de domaine, des serveurs membres et des ordinateurs d'utilisateurs finaux, car le service Horloge Windows se synchronise automatiquement avec les contrôleurs de domaine de l’une des manières suivantes :

  • Tous les serveurs membres et les ordinateurs clients de bureau utilisent le contrôleur de domaine d'authentification en tant que partenaire horaire entrant.

  • Tous les contrôleurs d'un domaine désignent le maître des opérations d'émulation du contrôleur de domaine principal (PDC) comme leur partenaire horaire entrant.

  • Tous les maîtres des opérations d'émulation suivent la hiérarchie de domaines dans la sélection de leur partenaire horaire entrant.

  • Le maître des opérations d'émulation du PDC à la racine du domaine fait autorité pour l'entreprise. Il est donc recommandé de configurer cet ordinateur pour une synchronisation avec un serveur horaire externe fiable.

Cette vulnérabilité devient beaucoup plus grave si un attaquant peut modifier l’heure système, puis arrêter le service Horloge Windows ou le reconfigurer afin qu’il se synchronise avec un serveur de temps imprécis.

Contre-mesures

Limitez le droit d'utilisateur Modifier l'heure du système aux utilisateurs ayant un besoin légitime de modifier l'heure système, comme les membres du service informatique.

Impact potentiel

Il ne devrait y avoir aucun impact, car dans la plupart des entreprises la synchronisation de l’heure devrait être totalement automatisée pour tous les ordinateurs appartenant au domaine. Les ordinateurs n’appartenant pas au domaine doivent être configurés pour se synchroniser avec une source externe.

Create a page file (Créer un fichier page)

Ce paramètre de stratégie détermine si les utilisateurs peuvent créer et modifier la taille d'un fichier d'échange. Il détermine précisément s'ils peuvent indiquer une taille de fichier d'échange pour un lecteur particulier dans la fenêtre Options de performances située dans l'onglet Avancé de la boîte de dialogue Propriétés système.

Le paramètre Créer un fichier page admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini  

Vulnérabilité

Les utilisateurs en mesure de modifier la taille du fichier d’échange peuvent réduire sa taille à l'extrême ou le placer sur un volume de stockage excessivement fragmenté risquant d’entraîner une dégradation des performances de l'ordinateur.

Contre-mesures

Limitez le droit d'utilisateur Créer un fichier page aux membres du groupe Administrateurs.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Créer un objet-jeton

Ce paramètre de stratégie détermine si un processus peut créer un jeton qu'il peut ensuite utiliser pour accéder à n'importe quelle ressource locale lorsqu'il appelle NtCreateToken() ou d'autres API de création de jeton.

Le paramètre Créer un objet-jeton admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le système d'exploitation contrôle un jeton d'accès de l'utilisateur pour déterminer le niveau des privilèges de l'utilisateur. Les jetons d’accès sont générés lorsque les utilisateurs se connectent à l’ordinateur local ou à un ordinateur distant via un réseau. Si vous révoquez un privilège, la modification est immédiatement enregistrée, mais elle n’apparaît dans le jeton d’accès de l’utilisateur que lors de sa prochaine ouverture de session ou connexion. Un utilisateur ayant la possibilité de créer ou de modifier des jetons peut modifier le niveau d’accès de tout compte connecté. Il peut même élever ses propres privilèges ou créer une condition de déni de service (DoS).

Contre-mesures

N’accordez pas le droit Créer un objet-jeton à un utilisateur. Les processus qui nécessitent ce droit d'utilisateur doivent utiliser le compte Système, qui l'inclut déjà, au lieu d'un compte utilisateur séparé auquel ce droit est attribué.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Create global objects (Créer des objets globaux)

Ce paramètre de stratégie détermine si les utilisateurs peuvent créer des objets globaux disponibles pour toutes les sessions. Les utilisateurs peuvent néanmoins créer des objets spécifiques à leurs propres sessions même s'ils ne disposent pas de ce droit d'utilisateur.

Le paramètre Créer des objets globaux admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs en mesure de créer des objets globaux pourraient avoir un impact sur les processus qui s'exécutent sous d'autres sessions utilisateurs. Cette possibilité peut entraîner divers problèmes, tel que l’échec d’une application ou la corruption des données.

Contre-mesures

Limitez le droit d'utilisateur Créer des objets globaux aux membres des groupes Administrateurs et Service locaux.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Créer des objets partagés permanents

Ce paramètre de stratégie détermine si les utilisateurs peuvent créer des objets d'annuaire dans le gestionnaire d'objets. Les utilisateurs qui ont cette capacité peuvent créer des objets partagés permanents, y compris des périphériques, des sémaphores et des mutex. Ce droit d'utilisateur est utile aux composants de mode noyau qui étendent l'espace de noms d'objets ; ils disposent de ce droit par héritage. Il n'est donc généralement pas nécessaire d'attribuer spécifiquement ce droit aux utilisateurs.

Le paramètre Créer des objets partagés permanents admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs dotés du droit d'utilisateur Créer des objets partagés permanents pourraient créer de nouveaux objets partagés et exposer des données sensibles sur le réseau.

Contre-mesures

N’accordez pas le droit Créer des objets partagés permanents à un utilisateur. Les processus qui nécessitent ce droit d'utilisateur doivent utiliser le compte Système (qui inclut déjà ce droit d'utilisateur) au lieu d'un compte utilisateur séparé.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Déboguer des programmes

Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir ou joindre un débogueur à n'importe quel processus, même ceux qu'ils ne possèdent pas. Ce droit d'utilisateur octroie un accès aux composants du système d'exploitation sensibles et cruciaux.

Le paramètre Déboguer des programmes admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Déboguer des programmes peut être exploité pour saisir des informations sensibles de l'ordinateur à partir de la mémoire système ou pour accéder aux structures de noyau ou d'applications et les modifier. Certains outils, permettant d'exécuter des attaques informatiques, exploitent ce droit d'utilisateur pour récupérer des mots de passe hachés et d'autres informations de sécurité privée ou pour effectuer des insertions de code de rootkit. Par défaut, le droit d'utilisateur Déboguer des programmes est attribué uniquement aux administrateurs. Cela aide à atténuer le risque de cette vulnérabilité.

Contre-mesures

Révoquez le droit d'utilisateur Déboguer des programmes pour tous les utilisateurs et tous les groupes qui n'en ont pas besoin.

Impact potentiel

Si vous révoquez ce droit d'utilisateur, personne ne sera en mesure de déboguer des programmes. Cependant, en règle générale, il est rare que cette possibilité soit nécessaire sur les ordinateurs de production. En cas de problème nécessitant le déboguage d'une application sur un serveur de production, vous pouvez transférer le serveur sur une autre UO et attribuer le droit d'utilisateur Déboguer des programmes à une stratégie de groupe séparée de cette UO.

Le compte de service utilisé pour le service de cluster a besoin du privilège Déboguer des programmes ; s'il n'en dispose pas, la technologie de cluster Windows échoue. Pour de plus amples informations sur la configuration de la technologie cluster Windows associée au renforcement de l'ordinateur, reportez-vous à l'article 891597 de la Base de Connaissances Microsoft intitulé « Comment appliquer des paramètres de sécurité plus restrictifs sur un serveur Windows Server 2003 en cluster » à l'adresse http://support.microsoft.com/kb/891597/fr.

Les utilitaires utilisés pour gérer des processus n'auront pas d'impact sur les processus qui ne sont pas détenus par la personne qui exécute les utilitaires. Par exemple, l'outil du kit de ressources de Windows Server 2003, Kill.exe, nécessite ce droit d'utilisateur pour qu'un administrateur puisse mettre un terme aux processus qu'il n'a pas lancé.

De même, certaines anciennes versions de Update.exe (utilisé pour installer les mises à jour de produits Windows) nécessitent que le compte appliquant la mise à jour dispose de ce droit d'utilisateur. Si vous installez l'un des correctifs qui utilise cette version de Update.exe, l'ordinateur pourrait ne pas répondre. Pour plus d'informations, reportez-vous à l'article 830846 de la Base de connaissances Microsoft intitulé « Les mises à jour de produits Windows peuvent cesser de répondre ou peuvent utiliser une grande partie ou toutes les ressources du processeur » à l'adresse http://support.microsoft.com/kb/830846/fr.

Interdire l’accès à cet ordinateur à partir du réseau

Ce paramètre de stratégie détermine si les utilisateurs peuvent se connecter à l'ordinateur à partir du réseau.

Le paramètre Interdire l'accès à cet ordinateur à partir du réseau admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs en mesure de se connecter à l’ordinateur via le réseau peuvent énumérer les listes de noms de comptes, de noms de groupes et de ressources partagées. Les utilisateurs ayant l’autorisation d’accès aux dossiers et fichiers partagés peuvent se connecter via le réseau et éventuellement afficher ou modifier des données. Vous pouvez interdire explicitement ce droit d'utilisateur aux comptes à haut risque (tel que le compte Invité local et les autres comptes qui n'ont pas de raison professionnelle d'accéder à l'ordinateur via le réseau) pour renforcer la protection.

Contre-mesures

Attribuez le droit d'utilisateur Interdire l’accès à cet ordinateur à partir du réseau aux comptes suivants :

  • ANONYMOUS LOGON

  • Compte Administrateur local intégré

  • Compte Invité local

  • Compte Support intégré

  • Tous les comptes de service

Tous les comptes de service utilisés pour lancer des services qui doivent se connecter à l’ordinateur via le réseau constituent une exception importante à cette liste. Par exemple, si vous avez configuré un dossier partagé pour que des serveurs Web accèdent à son contenu et le présentent via un site Web, il se peut que vous deviez permettre au compte qui exécute IIS de se connecter au serveur possédant le dossier partagé via le réseau. Ce droit d'utilisateur est particulièrement efficace lorsqu'il s'agit de configurer des serveurs et des postes de travail sur lesquels des informations sensibles sont traitées pour des questions de respect des réglementations.

Impact potentiel

Si vous configurez le droit d'utilisateur Interdire l'accès à cet ordinateur à partir du réseau aux autres groupes, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Vérifiez que l'impact sur les tâches déléguées ne sera pas négatif.

Interdire l'ouverture de session en tant que tâche

Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir une session par l'intermédiaire d'un outil de traitement par lots, fonctionnalité de Windows Server 2003 utilisée pour planifier et lancer automatiquement des tâches ultérieurement, à une ou plusieurs reprises. Ce droit d'utilisateur est requis pour tout compte utilisé pour lancer des tâches planifiées au moyen du Planificateur de tâches.

Le paramètre Interdire l'ouverture de session en tant que tâche admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les comptes disposant du droit d'utilisateur Interdire l'ouverture de session en tant que tâche pourraient être utilisés pour planifier des tâches susceptibles de consommer des ressources informatiques excessives et d'être à l'origine d'une condition de déni de service.

Contre-mesures

Attribuez le droit d'utilisateur Interdire l'ouverture de session en tant que tâche au compte intégré Support et au compte Invité local.

Impact potentiel

Si vous attribuez le droit d'utilisateur Interdire l'ouverture de session en tant que tâche aux autres comptes, vous risquez de refuser aux utilisateurs affectés à des rôles administratifs spécifiques la possibilité d'exécuter leurs activités. Vous devez vous assurer que l'impact sur les tâches déléguées ne sera pas négatif. Par exemple, si vous attribuez ce droit d'utilisateur au compte IWAM_<NomOrdinateur>, le point de gestion MSM échouera. Sur un ordinateur récemment installé qui exécute Windows Server 2003, ce compte n'appartient pas au groupe Invités, mais sur un ordinateur mis à niveau à partir de Windows 2000, ce compte est membre du groupe Invités. Il est donc essentiel de comprendre les appartenances des comptes aux groupes auxquels vous attribuez le droit d'utilisateur Interdire l'ouverture de session en tant que tâche.

Refuser l'ouverture de session en tant que service

Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir une session en tant que service.

Le paramètre Refuser l'ouverture de session en tant que service admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les comptes qui se connectent en tant que service peuvent être utilisés pour configurer et lancer de nouveaux services non autorisés, tels qu’un enregistreur de frappe clavier ou tout autre logiciel malveillant. L’avantage présenté par la contre-mesure spécifiée est quelque peu nuancé par le fait que seuls les utilisateurs disposant de privilèges administratifs sont en mesure d’installer et de configurer des services, et qu’un attaquant ayant atteint ce niveau d’accès peut configurer le service afin qu’il s’exécute avec le compte Système.

Contre-mesures

Ce guide recommande de ne pas attribuer le droit d'utilisateur Refuser l'ouverture de session en tant que service aux comptes, qui est la configuration par défaut. Les entreprises extrêmement préoccupées par leur sécurité peuvent décider d'attribuer ce droit d'utilisateur aux groupes et aux comptes pour lesquels elles sont certaines qu’ils n'auront jamais à se connecter en tant que service.

Impact potentiel

Si vous attribuez le droit d'utilisateur Refuser l'ouverture de session en tant que service aux comptes spécifiques, les services peuvent ne pas être en mesure de démarrer et une condition de déni de service pourrait en découler.

Interdire l’ouverture d’une session locale

Ce paramètre de stratégie détermine si les utilisateurs peuvent se connecter directement à partir du clavier de l'ordinateur.

Le paramètre Interdire l'ouverture d'une session locale admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Tout compte acceptant l’ouverture de session en local peut être utilisé pour se connecter à la console de l’ordinateur. Si ce privilège n'est pas limité aux utilisateurs légitimes qui doivent se connecter à la console du système, des utilisateurs non autorisés peuvent alors télécharger et exécuter un code malveillant qui élève leurs privilèges.

Contre-mesures

Attribuez le droit d'utilisateur Interdire l'ouverture de session locale au compte Support intégré. Si vous avez installé des composants facultatifs tels que ASP.NET, vous souhaitez peut-être attribuer ce droit d'utilisateur aux comptes supplémentaires requis par ces composants.

Remarque : Le compte Support_388945a0 permet aux services Aide et Support de fonctionner avec des scripts signés. Ce compte est principalement utilisé pour contrôler l’accès aux scripts signés, accessibles à partir des services Aide et Support. Les administrateurs peuvent utiliser ce compte pour déléguer la capacité d’exécution de scripts signés à partir de liens imbriqués dans les services Aide et Support à un utilisateur type ne disposant pas d’un accès administratif. Ces scripts peuvent être programmés afin d’utiliser les informations d’identification du compte Support_388945a0 à la place de celles de l’utilisateur pour effectuer des opérations administratives spécifiques sur l’ordinateur local qui, sinon, ne seraient pas prises en charge par le compte de l’utilisateur type.

Lorsque l’utilisateur délégué clique sur un lien dans les services Aide et Support, le script s’exécute dans le contexte de sécurité du compte Support_388945a0. Ce compte dispose d’un accès limité à l’ordinateur et est désactivé par défaut.

Impact potentiel

Si vous attribuez le droit d'utilisateur Interdire l'ouverture d'une session locale à des comptes supplémentaires, vous risquez de limiter les capacités des utilisateurs affectés à des rôles spécifiques dans votre environnement. Cependant, ce droit d'utilisateur devrait être explicitement attribué au compte de ASPNET sur les ordinateurs qui exécutent IIS 6.0. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Interdire l'ouverture de session par les services Terminal Server

Ces paramètres de stratégie déterminent si les utilisateurs peuvent ouvrir une session sur l'ordinateur par une connexion Bureau à distance.

Le paramètre Interdire l'ouverture de session par les services Terminal Server admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Tout compte doté du droit d’ouverture de session par les services Terminal Server peut être utilisé pour se connecter à la console à distance de l’ordinateur. Si ce privilège n'est pas limité aux utilisateurs légitimes qui doivent se connecter à la console du système, des utilisateurs non autorisés peuvent alors télécharger et exécuter un code malveillant qui élève leurs privilèges.

Contre-mesures

Attribuez le droit de connexion Interdire l'ouverture de session par les services Terminal Server au compte Administrateur local intégré et à tous les comptes de service. Si vous avez installé des composants facultatifs tels que ASP.NET, vous souhaitez peut-être attribuer ce droit de connexion aux comptes supplémentaires requis par ces composants.

Impact potentiel

Si vous attribuez le droit d'utilisateur Interdire l'ouverture d'une session par les services Terminal Server à d'autres comptes, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Les comptes qui disposent de ce droit d'utilisateur seront incapables de se connecter à l'ordinateur par les services Terminal Server ou l'assistance à distance. Vous devez vous assurer que l'impact sur les tâches déléguées ne sera pas négatif.

Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation

Ce paramètre de stratégie détermine si les utilisateurs peuvent modifier le paramètre Approuvé pour la délégation sur un objet d'utilisateur ou d'ordinateur dans Active Directory. Les utilisateurs ou ordinateurs dotés de ce droit d'utilisateur doivent également disposer d'un accès en écriture sur les indicateurs de contrôle de compte sur l'objet.

La délégation de l’authentification est une capacité utilisée par les applications client/serveur à plusieurs niveaux. Elle permet à un service frontal d'utiliser les informations d'identification d'un client pour s'authentifier auprès d'un service principal. Pour que cette configuration soit possible, le client et le serveur doivent tous les deux s'exécuter sous des comptes approuvés pour la délégation.

Le paramètre Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Une mauvaise utilisation du droit d'utilisateur Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation pourrait permettre à des utilisateurs non autorisés de se faire passer pour d'autres utilisateurs sur le réseau. Un attaquant pourrait exploiter ce privilège en vue d'obtenir l'accès aux ressources réseau, ce qui rendrait difficile l'identification des événements après un incident de sécurité.

Contre-mesures

Le droit d'utilisateur Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation doit être attribué uniquement si cette fonctionnalité est vraiment nécessaire. Quand vous attribuez ce droit, vous devez examiner l'utilisation de la délégation restreinte pour contrôler ce que les comptes délégués sont susceptibles de faire.

Remarque : Il n’y a pas de raison d’attribuer ce droit d'utilisateur à quiconque sur des serveurs membres et des postes de travail qui appartiennent à un domaine, car ceci n’a aucun sens dans ces contextes. Ceci ne s’applique que sur des contrôleurs de domaine et des ordinateurs autonomes.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Forcer l'arrêt à partir d'un système distant

Ce paramètre de stratégie détermine si un utilisateur peut éteindre un ordinateur à partir d'un emplacement distant du réseau.

Le paramètre Forcer l'arrêt à partir d'un système distant admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Tout utilisateur pouvant arrêter un ordinateur pourrait être à l'origine d'une condition de déni de service. Il convient donc de limiter strictement ce droit d'utilisateur.

Contre-mesures

Limitez le droit d'utilisateur Forcer l'arrêt à partir d'un système distant aux membres du groupe Administrateurs ou aux autres rôles spécifiquement attribués qui nécessitent cette capacité (comme le personnel du centre des opérations non-administratives).

Impact potentiel

Si vous supprimez le droit d'utilisateur Forcer l'arrêt à partir d'un système distant du groupe Opérateur de serveur, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Générer des audits de sécurité

Ce paramètre de stratégie détermine si un processus peut générer des enregistrements d'audit dans le journal de sécurité. Vous pouvez utiliser les informations du journal de sécurité pour tracer un accès non autorisé à l'ordinateur.

Le paramètre Générer des audits de sécurité admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les comptes capables d'écrire dans le journal de sécurité peuvent être utilisés par un attaquant pour remplir le journal avec des événements sans importance. Si l'ordinateur est configuré pour écraser les événements selon les besoins, le pirate peut utiliser cette méthode pour supprimer la preuve de ses activités illicites. Si l'ordinateur est configuré pour s'arrêter quand il est incapable d'écrire sur le journal de sécurité et qu'il n'est pas configuré pour sauvegarder automatiquement les fichiers journaux, cette méthode pourrait être utilisée pour créer un déni de service.

Contre-mesures

Assurez-vous que seuls les comptes Service et Service réseau disposent du droit d'utilisateur Générer des audits de sécurité.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Usurper l'identité d'un client après son authentification

Le droit d'utilisateur Usurper l'identité d'un client après son authentification permet aux programmes qui s'exécutent pour le compte d'un utilisateur de prétendre être cet utilisateur (ou un autre compte indiqué) pour pouvoir ainsi agir en son nom. Si ce droit d'utilisateur est requis pour faire échec à ce type d'usurpation d'identité, un utilisateur non autorisé ne pourra alors pas convaincre un client de se connecter (par exemple, par un appel de procédure distante (RPC) ou des canaux nommés) à un service qu'il a créé pour usurper l'identité de ce client et qui lui permettrait alors d'élever ses autorisations à des niveaux système ou administratifs.

Le groupe Service intégré est ajouté par défaut aux jetons d’accès des services lancés par le Gestionnaire de contrôle des services. Le groupe Service est également ajouté aux jetons d’accès des serveurs COM lancés par l’infrastructure COM et configurée pour s’exécuter sous un compte spécifique. De ce fait, ces processus reçoivent ce droit d'utilisateur lorsqu’ils sont démarrés.

En outre, un utilisateur peut emprunter un jeton d'accès si l'une des conditions suivantes est remplie :

  • le jeton d’accès usurpé est destiné à cet utilisateur ;

  • L'utilisateur, au cours de cette ouverture de session, s'est connecté au réseau à l'aide des informations d'identification explicites pour créer le jeton d'accès.

  • le niveau requis est inférieur à Emprunter l’identité, par exemple, Anonyme ou Identifier.

En raison de ces facteurs, les utilisateurs n'ont généralement pas besoin de ce droit d'utilisateur.

Le paramètre Emprunter l'identité d'un client après son authentification admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un attaquant avec le droit d'utilisateur Usurper l'identité d'un client après son authentification pourrait créer un service, tromper un client afin qu'il se connecte au service, puis usurper son identité pour élever son niveau d'accès à celui du client.

Contre-mesures

Sur les serveurs membres, assurez-vous que seuls les groupes Administrateurs et Service disposent du droit d'utilisateur Usurper l'identité d'un client après son authentification. Ce droit, sur les ordinateurs qui exécutent IIS 6.0, doit être attribué au groupe IIS_WPG (qui l'accorde ensuite au compte Service réseau).

Impact potentiel

Dans la plupart des cas cette configuration n'aura pas d'impact. Si vous avez installé des composants facultatifs tels que ASP.NET ou IIS, vous pouvez avoir besoin d'attribuer le droit d'utilisateur Usurper l'identité d'un client après son authentification aux comptes supplémentaires qui sont demandés par ces composants, tels que IUSR_<NomOrdinateur>, IIS_WPG, ASP.NET ou IWAM_<NomOrdinateur>.

Accroître la priorité de planification

Ce paramètre de stratégie détermine si les utilisateurs peuvent augmenter la classe de priorité de base d'un processus. (Augmenter la priorité relative au sein d'une classe ne constitue pas une opération privilégiée.) Ce droit d'utilisateur n'est pas requis par les outils d'administration fournis avec le système d'exploitation, mais pourrait l'être par les outils de développement de logiciel.

Le paramètre Accroître la priorité de planification admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un utilisateur doté de ce droit pourrait augmenter la priorité de planification d'un processus à Temps réel, ce qui laisserait très peu de temps de traitement pour tous les autres processus, avec le risque de générer une condition de déni de service.

Contre-mesures

Vérifiez que seuls les Administrateurs disposent du droit d’utilisateur Accroître la priorité de planification.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Télécharger les pilotes du périphérique

Ce paramètre de stratégie détermine si les utilisateurs peuvent charger et décharger dynamiquement des pilotes de périphérique. Ce droit d'utilisateur n'est pas requis si un pilote signé pour le nouveau matériel existe déjà dans le fichier Driver.cab sur l'ordinateur.

Le paramètre Télécharger les pilotes du périphérique admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les pilotes de périphérique s'exécutent sous forme de code hautement privilégié. Un utilisateur doté du droit Télécharger les pilotes du périphérique peut installer malencontreusement un code malveillant qui prend l'apparence d'un pilote de périphérique. Les administrateurs doivent faire preuve d'une grande prudence et n'installer que des pilotes comportant des signatures numériques vérifiées.

Remarque : Vous devez disposer de ce droit d'utilisateur et être membre du groupe Administrateurs ou Utilisateurs avec pouvoir pour pouvoir installer un nouveau pilote pour une imprimante locale ou gérer une imprimante locale et configurer des valeurs par défaut pour des options comme l’impression en duplex. L'exigence double relative à l'obtention du droit d'utilisateur et à l'appartenance au groupe Administrateurs ou Utilisateurs avec pouvoir est nouvelle dans Windows XP et Windows Server 2003.

Contre-mesures

N'attribuez pas le droit Télécharger les pilotes du périphérique à un utilisateur ou à un groupe autre que Administrateurs sur les serveurs membre. Sur les contrôleurs de domaine, n'attribuez pas ce droit à un utilisateur ou à un groupe autre que Admins du domaine.

Impact potentiel

Si vous supprimez le droit d'utilisateur Télécharger les pilotes du périphérique du groupe Opérateurs d'impression ou de tout autre compte, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Verrouiller les pages en mémoire

Ce paramètre de stratégie détermine si un processus peut conserver des données dans la mémoire physique pour empêcher l'ordinateur de procéder à une pagination des données en mémoire virtuelle sur disque. Si vous attribuez ce droit d'utilisateur, les performances de l'ordinateur peuvent se dégrader de manière significative.

Le paramètre Verrouiller les pages en mémoire admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Les utilisateurs dotés du droit Verrouiller les pages en mémoire pourraient attribuer la mémoire physique à plusieurs processus, ce qui laisserait peu, voire pas, de RAM aux autres processus et entraînerait une condition de déni de service.

Contre-mesures

N’accordez pas le droit d'utilisateur Verrouiller les pages en mémoire à un compte.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Ouvrir une session en tant que tâche de traitement par lots

Ce paramètre de stratégie détermine si les utilisateurs peuvent ouvrir une session par l'intermédiaire d'un outil de traitement de lots tel que le service Planificateur de tâches. Si un administrateur utilise l’Assistant de création d’une tâche planifiée pour planifier l’exécution d’une tâche sous un nom et un mot de passe utilisateur spécifiques, le droit Ouvrir une session en tant que tâche de traitement par lots lui est automatiquement accordé. À l’heure planifiée, le service Planificateur de tâches connecte l’utilisateur en tant que tâche, au lieu d'utilisateur interactif, et la tâche s’exécute dans le contexte de sécurité de l’utilisateur.

Le paramètre Ouvrir une session en tant que tâche de traitement par lots admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Ouvrir une session en tant que tâche de traitement par lots présente une vulnérabilité à risque faible. Pour la plupart des entreprises, les paramètres par défaut suffisent.

Contre-mesures

Il est préférable de permettre à l'ordinateur de gérer ce droit de connexion automatiquement si vous souhaitez autoriser l’exécution de tâches planifiées pour des comptes utilisateur spécifiques. Si vous ne souhaitez pas utiliser le Planificateur de tâches de cette façon, configurez le droit d'utilisateur Ouvrir une session en tant que tâche de traitement par lots uniquement pour le compte Service local et le compte de support local (Support_388945a0). Pour les serveurs IIS, vous devez configurer cette stratégie localement au lieu d'utiliser les stratégies de groupe basées sur le domaine afin de vous assurer que les comptes IUSR_<NomOrdinateur> et IWAM_<NomOrdinateur> locaux disposent de ce droit de connexion.

Impact potentiel

Si vous configurez le paramètre Ouvrir une session en tant que tâche de traitement par lots via les stratégies de groupe basées sur domaine, l'ordinateur ne pourra pas attribuer le droit d'utilisateur aux comptes utilisés pour les tâches planifiées dans le Planificateur de tâches. Si vous installez des composants facultatifs tels que ASP.NET ou IIS, vous pouvez avoir besoin d'attribuer ce droit d'utilisateur aux comptes supplémentaires requis par ces composants. Par exemple, IIS nécessite que ce droit d'utilisateur soit attribué au groupe IIS_WPG et aux comptes IUSR_<NomOrdinateur>, ASPNET et IWAM_<NomOrdinateur>. Si ce droit d'utilisateur n'est pas attribué à ce groupe et ces comptes, IIS sera incapable d'exécuter certains objets COM qui sont nécessaires pour un bon fonctionnement.

Ouvrir une session en tant que service

Ce paramètre de stratégie détermine si une entité de sécurité peut ouvrir une session en tant que service. Les services peuvent être configurés pour s’exécuter sous les comptes Système local, Service local ou Service réseau qui disposent d’un droit intégré de connexion en tant que service. Ce droit d'utilisateur doit être attribué à tout service s’exécutant sous un compte utilisateur distinct.

Le paramètre Ouvrir une session en tant que service admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Ouvrir une session en tant que service est un droit d'utilisateur puissant étant donné qu'il permet à des comptes de lancer des services réseau ou des services qui s'exécutent en permanence sur un ordinateur, même si personne n'est connecté à la console. Les risques sont réduits du fait que seuls les utilisateurs dotés de privilèges administratifs peuvent installer et configurer les services. Un pirate ayant déjà atteint ce niveau d’accès pourrait configurer le service pour qu’il s’exécute avec le compte Système local.

Contre-mesures

Le jeu par défaut d'entités de sécurité disposant du droit d'utilisateur Ouvrir une session en tant que service est limité aux comptes locaux intégrés Système Local, Service Local et Service réseau. Vous devez limiter le nombre de comptes autres qui disposent également de ce droit.

Impact potentiel

Sur la plupart des ordinateurs, ceci est la configuration par défaut et il n'y aura pas d'impact négatif. Cependant, si vous avez installé des composants facultatifs tels que ASP.NET ou IIS, vous aurez peut-être besoin d'attribuer le droit d'utilisateur Ouvrir une session en tant que service aux comptes supplémentaires requis par ces composants. IIS nécessite que ce droit d'utilisateur soit explicitement attribué au compte utilisateur ASPNET.

Gérer le journal d'audit et de sécurité

Ce paramètre de stratégie détermine si les utilisateurs peuvent spécifier des options d'audit d'accès aux objets pour les différentes ressources, telles que des fichiers, des objets Active Directory et des clés de registre. Les audits d'accès aux objets ne sont pas exécutés sauf si vous les activez via le paramètre Stratégie d'audit, situé sous Paramètres de sécurité, Stratégies locales. Un utilisateur doté de ce droit peut également consulter et effacer le journal des événements de sécurité dans l'Observateur d'événements.

Le paramètre Gérer le journal d'audit et de sécurité admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

La capacité de gestion du journal des événements de sécurité constitue un droit d'utilisateur puissant à surveiller de près. Toute personne détenant ce droit peut effacer le journal de sécurité pour supprimer des preuves importantes d'activité non autorisée.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d**’utilisateur** Gérer le journal d'audit et de sécurité.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Modifier les valeurs d'environnement du firmware

Ce paramètre de stratégie détermine si les utilisateurs peuvent modifier des variables d'environnement par un processus via une API ou par un utilisateur via les Propriétés système.

Le paramètre Modifier les valeurs de l'environnement du microprogramme admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Toute personne dotée du droit d'utilisateur Modifier les valeurs de l'environnement du firmware peut configurer les paramètres d'un composant matériel pour qu'il tombe en panne, ce qui peut entraîner une corruption des données ou être à l'origine d'une condition de déni de service.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d’utilisateur Modifier les valeurs de l'environnement du firmware.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Procéder aux tâches de maintenance du lecteur

Ce paramètre de stratégie détermine si les utilisateurs non-administratifs ou distants peuvent effectuer des tâches de gestion de lecteur ou de disque, comme défragmenter un lecteur existant, créer ou supprimer des lecteur ou lancer l'outil Nettoyage de disque. Windows Server 2003 vérifie ce droit d'utilisateur dans un jeton d'accès de l'utilisateur lorsqu'un processus s'exécutant dans le contexte de sécurité de l'utilisateur appelle SetFileValidData().

Le paramètre Procéder aux tâches de maintenance du lecteur admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un utilisateur doté du droit Procéder aux tâches de maintenance du lecteur peut supprimer un lecteur, ce qui pourrait avoir pour résultat la perte de données ou la création d'une condition de déni de service.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d’utilisateur Procéder aux tâches de maintenance du lecteur.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Profil d'un processus unique

Ce paramètre de stratégie détermine si les utilisateurs peuvent échantillonner les performances d’un processus système. Généralement, vous n'avez pas besoin de ce droit pour utiliser le composant logiciel enfichable relatif aux performances de MMC (Microsoft Management Console). Cependant, vous aurez besoin de ce droit d'utilisateur si Contrôle système est configuré pour recueillir des données via Windows Management Instrumentation (WMI).

Le paramètre Profil d'un processus unique admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Profil d'un processus unique présente une vulnérabilité modérée. Un attaquant disposant de ce droit d'utilisateur pourrait surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il pourrait attaquer directement. L'attaquant peut également être capable de déterminer les processus s'exécutant sur l'ordinateur, ainsi, il pourrait identifier les contre-mesures à éviter (logiciel antivirus, système de détection d'intrusion). Il pourrait également identifier les autres utilisateurs connectés à un ordinateur.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d’utilisateur Profil d'un processus unique.

Impact potentiel

Si vous supprimez le droit d'utilisateur Profil d'un processus unique du groupe Utilisateurs avec pouvoir ou de tout autre compte, vous risquez de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Performances du systèmede profil

Ce paramètre de stratégie détermine si un utilisateur peut échantillonner les performances des processus système de l'ordinateur. Ce privilège est requis par le composant logiciel enfichable Performances MMC, uniquement s’il est configuré pour collecter des données via l'infrastructure WMI. Généralement, vous n'avez pas besoin de ce droit pour utiliser le composant logiciel enfichable relatif aux performances. Cependant, vous en aurez besoin si Contrôle système est configuré pour recueillir des données via WMI.

Le paramètre Performances du système de profil admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Performances du système de profil présente une vulnérabilité modérée. Un attaquant disposant de ce droit d'utilisateur pourrait surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il pourrait attaquer directement. Il se peut également que l'attaquant puisse définir les processus actifs sur l'ordinateur de façon à identifier les contre-mesures à éviter (logiciel antivirus ou système de détection d'intrusion).

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d’utilisateur Performances du système de profil.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Retirer l'ordinateur de la station d'accueil

Ce paramètre de stratégie détermine si l'utilisateur d'un ordinateur portable peut cliquer sur Éjecter le PC dans le menu Démarrer pour retirer l'ordinateur.

Le paramètre Retirer l'ordinateur de la station d'accueil admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Quiconque dispose du droit d'utilisateur Retirer l'ordinateur de la station d'accueil peut retirer un ordinateur portable de sa station d'accueil. La valeur de cette contre-mesure est réduite par les facteurs suivants :

  • Si un attaquant peut redémarrer l'ordinateur, ce dernier peut être retiré de la station d'accueil une fois le BIOS démarré, mais avant que le système d'exploitation n'ait été lancé.

  • Ce paramètre n'affecte pas les serveurs, car ils ne sont généralement pas installés sur des stations d'accueil.

  • Un attaquant pourrait voler l'ordinateur et la station d'accueil.

Contre-mesures

Assurez-vous que seuls les groupes locaux Administrateurs et Utilisateurs avec pouvoir disposent du droit d’utilisateur Retirer l'ordinateur de la station d'accueil.

Impact potentiel

Cette configuration correspond au paramètre par défaut, il doit donc y avoir un faible impact. Cependant, si les utilisateurs de votre entreprise ne sont pas membres des groupes Utilisateurs avec pouvoir ou Administrateurs, ils seront incapables de retirer leurs propres ordinateurs portables de leurs stations d'accueil sans les arrêter au préalable. Par conséquent, vous pouvez vouloir attribuer le privilège Retirer l'ordinateur de la station d'accueil au groupe Utilisateurs local pour les ordinateurs portables.

Remplacer un jeton au niveau des processus

Ce paramètre de stratégie détermine si un processus parent peut remplacer le jeton d'accès associé à un processus enfant.

Le paramètre Remplacer un jeton au niveau des processus admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un utilisateur avec le privilège Remplacer un jeton au niveau des processus peut lancer des processus comme les autres utilisateurs. Il pourrait utiliser cette méthode pour masquer ses actions non autorisées sur l'ordinateur. (Sur les ordinateurs Windows 2000, l'emploi du droit d'utilisateur Remplacer un jeton au niveau des processus nécessite également que l'utilisateur dispose du droit Régler les quotas de mémoire pour un processus abordé précédemment dans ce chapitre.)

Contre-mesures

Pour les serveurs membres, assurez-vous que seuls les comptes Service local et Service réseau disposent du droit d’utilisateur Remplacer un jeton au niveau des processus.

Impact potentiel

Sur la plupart des ordinateurs, ceci est la configuration par défaut et il n'y aura pas d'impact négatif. Cependant, si vous avez installé des composants facultatifs tels que ASP.NET ou IIS, vous pouvez avoir besoin d'attribuer le privilège Remplacer un jeton au niveau des processus aux comptes supplémentaires. Par exemple, IIS nécessite que les comptes Service, Service réseau et IWAM_<NomOrdinateur> se voient explicitement attribués ce droit d'utilisateur.

Restaurer des fichiers et des répertoires

Ce paramètre de stratégie détermine si un utilisateur peut contourner les autorisations sur les fichiers et les répertoires lorsqu'il restaure des fichiers et des répertoires sauvegardés et s'il peut définir une entité de sécurité valide comme propriétaire d'un objet.

Le paramètre Restaurer des fichiers et des répertoires admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Un attaquant avec le droit d'utilisateur Restaurer des fichiers et des répertoires pourrait restaurer des données sensibles sur un ordinateur et écraser les données plus récentes, ce qui pourrait mener à la perte de données importantes, la corruption de données ou un refus de service. Un attaquant pourrait écraser des fichiers exécutables utilisés par des administrateurs ou des services système légitimes avec des versions incluant un code malveillant pour s'attribuer lui-même des privilèges élevés, compromettre des données ou installer des backdoors pour obtenir un accès permanent à l'ordinateur.

Remarque : Même si cette contre-mesure est configurée, un attaquant pourrait toujours restaurer des données sur un ordinateur situé dans un domaine qu'il contrôle. Il est donc essentiel que les entreprises protègent soigneusement les supports utilisés pour sauvegarder des données.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Restaurer des fichiers et des répertoires, sauf si votre entreprise a clairement défini des rôles pour le personnel chargé de la sauvegarde et de la restauration.

Impact potentiel

Si vous supprimez le droit d'utilisateur Restaurer des fichiers et des répertoires du groupe Opérateurs de sauvegarde, ainsi que d'autres comptes, vous risquez d’empêcher les utilisateurs affectés à des tâches spécifiques d’exécuter ces tâches. Vous devez vérifier que ce changement n’a pas d’impact négatif sur les capacités du personnel de votre entreprise dans l’exécution de ses tâches.

Arrêter le système

Ce paramètre de stratégie détermine si un utilisateur peut arrêter l'ordinateur local.

Le paramètre Arrêter le système admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

La capacité à arrêter les contrôleurs de domaine doit être limitée à un nombre restreint d'administrateurs de confiance. Bien que le droit d'utilisateur Arrêter le système exige de pouvoir se connecter au serveur, soyez très vigilant sur les comptes et les groupes auxquels vous donnez l'autorisation d'arrêter un contrôleur de domaine.

Lorsqu'un contrôleur de domaine est arrêté, il n'est plus disponible pour traiter des ouvertures de session, réaliser une stratégie de groupe et répondre aux requêtes LDAP (Lightweight Directory Access Protocol). Si vous fermez des contrôleurs de domaine possédant des rôles de maître d'opérations (Flexible Single–Master Operations, FSMO), vous pouvez désactiver la fonctionnalité principale du domaine, le traitement des nouveaux mots de passe par exemple, le rôle d'émulation du contrôleur de domaine principal (PDC).

Contre-mesures

Assurez-vous que seuls les groupes Administrateurs et Opérateurs de sauvegarde disposent du droit d'utilisateur Arrêter le système sur les serveurs membres et que seuls les Administrateurs en disposent sur les contrôleurs de domaine.

Impact potentiel

L'impact de la suppression de ces groupes par défaut du droit d'utilisateur Arrêter le système peut limiter les capacités déléguées des rôles affectés dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Synchroniser des données du service d'annuaire

Ce paramètre de stratégie détermine si un processus peut lire tous les objets et propriétés du répertoire, quelle que soit la protection sur les objets et propriétés. Ce privilège est requis pour utiliser les services de synchronisation d'annuaire LDAP (dirsync).

Le paramètre Synchroniser des données du service d'annuaire admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Le droit d'utilisateur Synchroniser des données du service d'annuaire affecte les contrôleurs de domaine ; eux seuls doivent être en mesure de synchroniser les données de service d'annuaire. Ce droit est inhérent aux contrôleurs de domaine, car le processus de synchronisation s'exécute dans le contexte du compte Système sur les contrôleurs de domaine. Un attaquant disposant de ce droit d'utilisateur peut afficher toutes les informations stockées dans l’annuaire. Il peut ensuite utiliser certaines de ces informations pour simplifier d’autres attaques ou exposer des données sensibles, telles que des numéros de téléphone de ligne directe ou des adresses physiques.

Contre-mesures

Assurez-vous qu’aucun compte ne dispose du droit d’utilisateur Synchroniser des données du service d'annuaire.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

S'approprier les fichiers et les autres objets

Ce paramètre de stratégie détermine si un utilisateur peut prendre possession d'un objet sécurisable de l'ordinateur, tel qu'un objet Active Directory, un fichier ou dossier NTFS, une imprimante, une clé de registre, un processus ou un thread.

Le paramètre S'approprier les fichiers et les autres objets admet les valeurs suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini

Vulnérabilité

Tout utilisateur avec le droit d'utilisateur S'approprier les fichiers et les autres objets peut prendre le contrôle d’un objet quelles que soient les autorisations sur cet objet, puis effectuer les modifications souhaitées sur l’objet. Ceci peut entraîner une exposition des données, leur corruption ou une condition de déni de service.

Contre-mesures

Vérifiez que seul le groupe Administrateurs local détient le droit d'utilisateur S’approprier les fichiers et les autres objets.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur l'attribution des droits d'utilisateur dans Windows Server 2003 et Windows XP.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions