Exporter (0) Imprimer
Développer tout

Application du principe des privilèges minimum aux comptes d'utilisateurs dans Windows XP

Paru le 18 janvier 2006

Téléchargement

Téléchargement du livre blanc Application du principe des privilèges minimum aux comptes d'utilisateurs dans Windows XP

Notifications de mise à jour

Inscrivez-vous pour être informé des mises à jour et des nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou suggestions

Adressez vos questions et commentaires sur ce manuel à secwish@microsoft.com.

Pour afficher des commentaires ou des discussions sur ce manuel, consultez http://blogs.technet.com/secguide.

Sur cette page

Introduction Introduction
Risques associés aux privilèges d'administration Risques associés aux privilèges d'administration
Définition du principe des privilèges minimum Définition du principe des privilèges minimum
Définition de l'approche LUA Définition de l'approche LUA
Avantages de l'approche LUA Avantages de l'approche LUA
Compromis entre les risques, la sécurité, la facilité d'utilisation et les coûts Compromis entre les risques, la sécurité, la facilité d'utilisation et les coûts
Implémentation de l'approche LUA Implémentation de l'approche LUA
Développements futurs Développements futurs
Résumé Résumé
Ressources Ressources
Remerciements Remerciements

Introduction

Les récentes avancées en informatique, telles que la connexion permanente à Internet, ont fourni d'immenses opportunités aux organisations de toutes tailles. Malheureusement, une connexion entre un ordinateur et un réseau quelconque, notamment Internet, augmente le niveau de risque lié aux logiciels malveillants et aux attaquants externes et, lorsque d'anciens risques sont gérés, de nouveaux risques sont découverts ou créés.

Sophos, une société de sécurité Internet, a souligné que le nombre de programmes malveillants détectés est passé de 45 879 en novembre 1999 à 114 082 en novembre 2005, ce qui représente une augmentation d'au moins 10 % par an, au cours des six dernières années. En novembre 2005, Sophos a détecté plus de 1 900 nouveaux logiciels malveillants, tels que des virus, chevaux de Troie et logiciels espions. Les autres fournisseurs d'antivirus signalent des augmentations similaires des nombres et types de logiciels malveillants.

Un facteur important d'augmentation des risques liés aux logiciels malveillants est l'octroi généralisé de droits d'administration aux utilisateurs sur leurs ordinateurs clients. Lorsqu'un utilisateur ou un administrateur ouvre une session avec des droits d'administration, tous les programmes qu'il exécute, tels que les navigateurs, les clients de messagerie et les programmes de messagerie instantanée, possèdent également ces droits d'administration. Si ces programmes activent des logiciels malveillants, ces derniers peuvent s'installer, manipuler des services tels que les programmes d'antivirus et même se dissimuler au système d'exploitation. Les utilisateurs peuvent exécuter des logiciels malveillants involontairement et à leur insu, par exemple, en visitant un site Web à risque ou en cliquant sur un lien dans un message électronique.

Un logiciel malveillant induit de nombreuses menaces pour les organisations, allant de l'interception des informations d'ouverture de session d'un utilisateur par un enregistreur de frappe à la prise de contrôle totale d'un ordinateur ou d'un réseau entier à l'aide d'un rootkit. Un logiciel malveillant peut entraîner l'inaccessibilité de sites Web, la destruction ou l'endommagement de données, ainsi que le reformatage de disques durs. Les conséquences peuvent inclure des coûts supplémentaires liés à la désinfection des ordinateurs, à la restauration des fichiers, ainsi qu'à la nécessité d'entrer ou de créer de nouveau les données perdues. Des attaques de virus peuvent également entraîner des retards vis-à-vis des délais de livraison, ce qui peut conduire à une rupture de contrat ou à la perte de la confiance d'un client. Les organisations assujetties au respect des réglementations peuvent être poursuivies et tenues de payer des pénalités.

Remarque   Pour plus d'informations sur les rootkits, consultez la définition d'un rootkit sur le site Wikipedia à l'adresse http://en.wikipedia.org/wiki/Rootkit.

Approche mettant en jeu des comptes d'utilisateurs dotés de privilèges minimaux

Une stratégie de défense approfondie avec des couches de sécurité superposées représente la meilleure parade possible face à ces menaces et l'approche LUA (Least-privileged User Account, compte d'utilisateur doté de privilèges minimaux) constitue une part importante de cette stratégie de défense. L'approche LUA garantit que les utilisateurs suivent le principe des privilèges minimum et se connectent toujours avec des comptes d'utilisateurs standard. Cette stratégie vise également à limiter l'utilisation d'informations d'identification d'administration aux administrateurs, puis aux seules tâches administratives.

L'approche LUA peut atténuer considérablement les risques liés aux logiciels malveillants et aux erreurs de configuration accidentelles. Toutefois, comme l'approche LUA exige des organisations qu'elles planifient, testent et prennent en charge des configurations d'accès limité, elle peut engendrer des coûts et des défis importants. Ces coûts peuvent inclure le redéveloppement de programmes personnalisés, la modification de procédures opérationnelles et le déploiement d'outils supplémentaires.

Important   Il est difficile d'obtenir des utilitaires et des instructions sur l'utilisation de comptes d'utilisateurs standard, de sorte que ce livre blanc fait référence à des outils et instructions tiers issus de journaux Web et d'autres sources non officielles. Microsoft exclut toute garantie quant à l'adéquation des outils et des instructions à votre environnement. Vous devez tester toutes les instructions et tous les programmes avant de les déployer. Comme pour tous les problèmes de sécurité, aucune réponse n'est idéale, et ce logiciel et ce guide ne font pas exception à cette règle.

Public visé

Ce livre blanc s'adresse à deux groupes de personnes :

  • les décideurs d'entreprise qui doivent comprendre les concepts de l'approche LUA et les problèmes organisationnels générés par l'approche LUA ;

  • les professionnels de l'informatique qui doivent comprendre les options d'implémentation de l'approche LUA au sein de leur organisation.

Rubriques

Ce document présente les problèmes et les préoccupations auxquels les organisations doivent faire face lorsqu'elles appliquent l'approche LUA à des ordinateurs qui exécutent Microsoft® Windows® XP. Cette présentation couvre les sujets suivants :

  • Les risques associés aux privilèges d'administration

  • La définition du principe des privilèges minimum

  • La définition de l'approche LUA

  • Les avantages de l'approche LUA

  • Les compromis entre les risques, la sécurité, la facilité d'utilisation et les coûts

  • L'implémentation de l'approche LUA

  • Les développements à venir

Ce document décrit également les problèmes de haut niveau qui affectent l'implémentation de l'approche LUA et il fournit des liens utiles vers d'autres ressources en ligne qui expliquent ces concepts plus en détails.

Remarque   Ce document ne traite pas des problèmes liés à l'exécution des services système avec des comptes dotés de privilèges minimaux. Pour plus d'informations sur ce sujet, consultez Guide de planification de la sécurité des comptes de service et des services (The Services and Service Accounts Security Planning Guide), à l'adresse www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx

Risques associés aux privilèges d'administration

De nombreuses organisations accordent régulièrement aux utilisateurs des privilèges d'administration sur leurs ordinateurs. Cette solution est particulièrement courante avec des ordinateurs portables et tient en général aux raisons suivantes :

  • Pour permettre le bon fonctionnement de certains programmes. Certains programmes peuvent s'exécuter uniquement lorsqu'un utilisateur possède des droits d'administration. En général, cela peut se produire si le programme stocke les données d'utilisateur dans des emplacements du registre ou du système de fichiers inaccessibles à un compte autre qu'un compte d'administration.

  • Pour permettre à un utilisateur d'effectuer des actions administratives, telles que la modification du fuseau horaire d'un ordinateur.

  • Pour permettre aux utilisateurs mobiles d'installer du matériel ou des logiciels professionnels, tels que des périphériques d'impression ou des graveurs de DVD et les programmes associés.

Bien que d'autres raisons puissent motiver l'attribution de droits d'administration aux utilisateurs, une telle solution augmente considérablement les risques de vulnérabilité informatique et les erreurs de configuration. Ces risques peuvent affecter de nombreux domaines d'exploitation d'une organisation.

Considérez la situation dans laquelle un cadre supérieur se rend régulièrement dans des bureaux client pour effectuer des présentations sur son ordinateur portable. En tant que cadre supérieur, il insiste pour avoir des droits d'administration locaux sur son ordinateur. Il est sur le point d'effectuer une présentation commerciale clé à un client important lorsqu'un message offensif apparaît sur l'écran de son ordinateur portable, qui se bloque ensuite. Après avoir précipitamment redémarré l'ordinateur, il découvre que le disque dur a été reformaté. La conséquence est que la présentation commerciale n'a pas l'effet escompté sur le client et que la commande revient à un concurrent.

Dans ce cas, le message offensif et la destruction consécutive des données sont générés par un logiciel malveillant qui a infecté l'ordinateur lorsque le cadre a visité un site Web à risque. Lorsqu'il visitait ce site Web, le cadre avait ouvert une session sur son ordinateur en tant que membre du groupe des administrateurs locaux. Les droits et privilèges liés à l'appartenance à ce groupe ont permis au logiciel malveillant de désactiver l'antivirus, de s'installer, de manipuler le Registre et de placer des fichiers dans le répertoire système de Windows. L'ordinateur était alors compromis et prêt à exécuter les commandes du logiciel malveillant.

D'autres scénarios qui peuvent exploiter les privilèges plus élevés des comptes d'administration incluent des situations dans lesquelles des utilisateurs cliquent sur des liens dans des messages électroniques ou lisent des CD de musique qui incluent un logiciel de gestion de droits numériques. Le facteur commun est que des utilisateurs qui possèdent des droits d'administration ont nettement plus de chances de compromettre leurs ordinateurs que d'autres qui utilisent des comptes d'utilisateurs standard.

Définition du principe des privilèges minimum

Les critères TCSEC (Trusted Computer System Evaluation Criteria) du Ministère de la défense américain, (DOD-5200.28-STD), également connus sous le nom de Livre orange, correspondent à une norme adoptée de sécurité informatique. Cette publication définit les privilèges minimum comme un principe qui « requiert que chaque sujet d'un système reçoive l'ensemble de privilèges le plus restreint (ou les habilitations les plus basses) requis pour exécuter les tâches autorisées. L'application de ce principe limite les dommages susceptibles de résulter d'un accident, d'une erreur ou d'une utilisation non autorisée. »

Définition de l'approche LUA

Le présent document définit l'approche LUA comme l'implémentation pratique du principe des privilèges minimum sur des ordinateurs qui exécutent Windows XP. En particulier, les utilisateurs, les programmes et les services dans Windows XP doivent avoir uniquement les droits et autorisations minimaux dont ils ont besoin pour exécuter les tâches qui leur sont assignées.

Remarque   Il est important de comprendre la différence entre les droits et les autorisations. Les droits définissent les tâches qu'un utilisateur peut exécuter sur un ordinateur, tandis que les autorisations définissent ce qu'un utilisateur peut faire avec un objet, sur un ordinateur. Par conséquent, un utilisateur a besoin du droit d'arrêter l'ordinateur, mais de l'autorisation d'accéder à un fichier.

L'approche LUA est une association de recommandations, d'outils et de méthodes recommandées qui permettent aux organisations d'utiliser des comptes non administratifs pour utiliser des ordinateurs qui exécutent Windows XP. L'approche LUA exige des organisations qu'elles réévaluent le rôle des ordinateurs et le niveau d'accès aux ordinateurs dont les utilisateurs ont besoin. Elle traite également des considérations stratégiques et quotidiennes de l'utilisation de comptes d'utilisateurs standard et elle traite les problèmes qui se manifestent. Ces problèmes incluent des domaines tels que le besoin des utilisateurs distants d'apporter des modifications à la configuration de leurs ordinateurs.

L'approche LUA doit également s'appliquer au développement et au test d'applications. Les développeurs (et parfois les testeurs) ouvrent en général des sessions sur leurs ordinateurs à l'aide de comptes qui possèdent des droits d'administration. Cette configuration peut entraîner la publication par des développeurs de programmes compilés qui requièrent des privilèges élevés similaires pour s'exécuter. Plutôt que de reconcevoir l'application pour qu'elle fonctionne correctement, les développeurs recommandent des « solutions de contournement de sécurité », comme par exemple le placement de comptes d'utilisateurs dans le groupe des administrateurs locaux ou l'attribution à des utilisateurs du contrôle total sur les dossiers système de Windows.

L'approche LUA s'oppose à la tendance consistant à accorder simplement des droits d'administration et des autorisations à chaque utilisateur ou programme qui requiert l'accès à une ressource. Les programmes qui suivent le principe des privilèges minimum ne tentent pas de refuser les demandes légitimes de ressources, mais accordent uniquement cet accès conformément aux conseils de sécurité.

Pour plus d'informations sur les méthodes recommandées lors de la création d'applications, consultez Exécution avec des privilèges spéciaux (Running with Special Privileges), à l'adresse http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secbp/security/running_with_special_privileges.asp.  

Comptes Windows XP

Pour comprendre les principes sur lesquels s'appuie l'approche LUA, vous devez pouvoir distinguer les comptes d'administration et les comptes non administratifs dans Windows XP et savoir comment Windows démarre et exécute les programmes. Il est également nécessaire d'examiner brièvement les groupes dans des réseaux basés sur des groupes de travail et sur des domaines.

Les ordinateurs qui exécutent Windows XP conservent une base de données de sécurité autonome dans le Gestionnaire de comptes de sécurité (SAM) local. Le Gestionnaire de comptes de sécurité est responsable du stockage des informations sur les utilisateurs et les groupes locaux et il inclut de nombreux groupes par défaut, tels que :

  • Administrateurs. Ils disposent d'un accès total et illimité à l'ordinateur.

  • Utilisateurs avec pouvoir. Ils possèdent des droits d'administration plus restreints, tels que le partage des fichiers, l'installation d'imprimantes locales et la modification de l'heure du système. Les utilisateurs avec pouvoir possèdent également des autorisations élargies pour accéder aux fichiers dans les dossiers système de Windows.

  • Utilisateurs. Ils disposent de droits d'utilisateur limités, ce qui les empêche d'effectuer accidentellement ou volontairement des modifications à l'échelle du système. Les comptes d'utilisateurs qui sont membres de ce groupe uniquement sont appelés comptes d'utilisateurs standard.

  • Invités. Ils disposent de moins de droits que les utilisateurs limités.

Les droits sont attribués aux comptes d'utilisateurs via l'appartenance à un ou plusieurs de ces groupes. Par exemple, le compte Administrateur intégré possède des droits d'administration, car il est membre du groupe Administrateurs. L'appartenance à ce groupe fournit au compte Administrateur des droits élevés, tels que le droit d'imposer l'arrêt d'un système à partir d'un ordinateur distant.

L'ordinateur basé sur les groupes de travail est entièrement autonome et valide uniquement les groupes et les utilisateurs présents dans son propre Gestionnaire de comptes de sécurité. Lorsqu'un ordinateur de groupe de travail rejoint un domaine, les appartenances aux groupes locaux changent. Outre les groupes existants, le groupe Utilisateurs du domaine devient membre du groupe local Utilisateurs et le groupe Admins du domaine devient membre du groupe Administrateurs. Cette modification permet à tout membre du groupe Admins du domaine d'ouvrir une session sur l'ordinateur avec des droits d'administration et à tout membre du groupe Utilisateurs du domaine d'ouvrir une session sur l'ordinateur avec des droits d'utilisateur limités.

Comptes d'administration

Un compte d'administration correspond à tout compte membre d'un ou de plusieurs groupes d'administration. Sur un ordinateur inclus dans un domaine, les groupes d'administration sont les suivants :

  • le groupe local Administrateurs ;

  • le groupe local Utilisateurs avec pouvoir ;

  • le groupe Admins du domaine ;

  • le groupe Opérateurs de configuration réseau ;

  • tout groupe de domaine appartenant à l'un des groupes d'administration locaux.

Toute personne qui ouvre une session en tant que membre d'un ou de plusieurs de ces groupes peut effectuer des modifications à l'échelle du système.

Remarque   Le groupe Utilisateurs avec pouvoir est un sous-ensemble du groupe Administrateurs plutôt qu'un sur-ensemble du groupe Utilisateurs. Placer des utilisateurs dans le groupe Utilisateurs avec pouvoir n'est pas conforme aux principes LUA.

Utilisateurs limités

Un utilisateur limité correspond à un compte qui est membre du groupe local Utilisateurs et qui n'est pas membre des groupes d'administration. Sur un ordinateur inclus dans un domaine, tout compte qui est membre du groupe Utilisateurs du domaine est également membre du groupe local Utilisateurs.

Les comptes d'utilisateurs standard réduisent considérablement la surface d'attaque des logiciels malveillants car ces comptes ont une capacité minimale à effectuer des modifications à l'échelle du système susceptibles d'affecter la sécurité d'exploitation. En particulier, les comptes d'utilisateurs standard ne peuvent pas ouvrir de ports sur le pare-feu, arrêter ni démarrer de services, ni modifier de fichiers dans les dossiers système de Windows.

De nombreuses organisations déclarent avoir déjà implémenté l'approche LUA car leurs utilisateurs se connectent en tant que membres du groupe Utilisateurs du domaine. Toutefois, si ces utilisateurs sont également membres du groupe local Administrateurs, tous les programmes qu'ils exécutent auront des droits d'administration et pourront éventuellement effectuer des modifications non souhaitées.

Processus d'ouverture de session

Un autre domaine important à comprendre est le processus d'authentification dans Windows XP. Lorsqu'un utilisateur ouvre une session sur un ordinateur, le système d'exploitation authentifie les informations d'identification de l'utilisateur et démarre une instance du Bureau Windows, le plus souvent l'Explorateur Windows. Cette instance s'exécute au sein du contexte de sécurité de l'utilisateur, avec les droits d'accès et les autorisations de l'utilisateur connecté. Lorsque l'utilisateur démarre un programme, tel que Microsoft Internet Explorer, ce programme s'exécute également dans le contexte de sécurité de l'utilisateur.

Authentification en tant qu'administrateur

Si un utilisateur s'authentifie en tant que membre du groupe local Administrateurs, l'ordinateur et tous les programmes que l'utilisateur démarre s'exécuteront avec l'ensemble des droits d'accès et des autorisations d'un administrateur. Les utilisateurs qui disposent des droits d'administration peuvent effectuer les actions ci-dessous, lesquelles sont requises légitimement pour administrer un ordinateur :

  • installer, démarrer et arrêter des services et des pilotes de périphériques ;

  • créer, modifier et supprimer des paramètres du Registre ;

  • installer, exécuter et désinstaller des programmes ;

  • remplacer les fichiers du système d'exploitation ;

  • terminer des processus ;

  • contrôler les paramètres de pare-feu ;

  • gérer les entrées du journal des événements ;

  • installer des contrôles Microsoft ActiveX® ;

  • accéder au Gestionnaire de comptes de sécurité.

Pour la majorité des utilisateurs d'un ordinateur, ces droits sont inutiles et augmentent considérablement les risques qui pèsent sur l'ordinateur. Comme un utilisateur avec des droits d'administration peut effectuer ces modifications à l'échelle du système, tout programme qu'un tel utilisateur exécute peut faire de même, soit intentionnellement, soit accidentellement. Par conséquent, si un utilisateur s'authentifie avec des droits d'administration, un logiciel malveillant pourra s'installer beaucoup plus facilement sur cet ordinateur.

Authentification en tant qu'utilisateur

Les utilisateurs qui ne sont pas membres du groupe Administrateurs peuvent accéder uniquement à un nombre considérablement réduit de ressources et peuvent effectuer des modifications seulement dans des domaines particuliers. Pour comparer les droits d'un utilisateur avec les droits d'administration, les utilisateurs peuvent effectuer les tâches suivantes :

  • afficher l'état des services et des pilotes de périphériques ;

  • créer, modifier et supprimer des paramètres du Registre sous HKEY_CURRENT_USER, ainsi que lire les paramètres du Registre sous HKEY_LOCAL_MACHINE ;

  • exécuter les programmes ;

  • lire la plupart des fichiers du système d'exploitation ;

  • afficher les processus en cours d'exécution ;

  • afficher les paramètres de pare-feu ;

  • afficher uniquement les entrées des journaux système et d'application.

Les utilisateurs limités peuvent encore effectuer les tâches nécessaires à leur fonction, comme par exemple joindre un réseau sans fil, installer des pilotes Plug-and-Play signés et modifier les paramètres du Bureau. L'approche LUA ne cherche pas à limiter ces capacités, mais à réduire les risques en limitant les comptes disposant de droits d'administration.

Vous devez comprendre le rôle des groupes dans Windows XP et les différences entre l'authentification avec des droits d'administration et des droits d'utilisateur limités. La section suivante de ce livre blanc passe en revue les avantages résultant de l'utilisation de comptes d'utilisateurs standard.

Avantages de l'approche LUA

L'approche LUA fournit de nombreux avantages aux organisations de toutes tailles. Outre la réduction des risques d'attaque par des logiciels malveillants, ces avantages incluent :

  • le renforcement de la sécurité ;

  • la simplification de la gestion ;

  • l'augmentation de la productivité ;

  • la réduction des coûts ;

  • la réduction du piratage et des problèmes de responsabilité juridique.

Cette section analyse ces avantages, ainsi que la manière dont ils peuvent affecter votre organisation.

Renforcement de la sécurité

L'approche LUA représente l'une des nombreuses mesures de sécurité qui vous permettent de protéger votre organisation et son matériel informatique contre toute exploitation par des attaquants. Les attaquants cherchent à compromettre votre réseau pour différentes raisons, par exemple pour :

  • obtenir le contrôle de plusieurs ordinateurs pour les utiliser dans des attaques décentralisées par refus de service ;

  • envoyer du courrier indésirable ;

  • compromettre les informations propriétaires ;

  • voler les identités d'utilisateurs ;

  • distribuer des logiciels malveillants sur d'autres ordinateurs.

Ces attaques ont plus de chances de réussir lorsque l'utilisateur ouvre une session avec un compte disposant des droits d'administration. Par exemple, un logiciel qui s'exécute avec des droits d'administration peut :

  • installer des rootkits en mode noyau ;

  • installer des programmes d'ouverture de session clés au niveau système ;

  • intercepter des mots de passe d'ouverture de session ;

  • installer des logiciels espions et des adware ;

  • accéder à des données qui appartiennent à d'autres utilisateurs ;

  • exécuter du code chaque fois qu'une personne ouvre une session ;

  • remplacer des fichiers système par des chevaux de Troie ;

  • réinitialiser des mots de passe ;

  • masquer toute trace le concernant dans le journal des événements ;

  • empêcher l'ordinateur de redémarrer.

Si les utilisateurs ouvrent une session avec des comptes d'utilisateurs standard, les programmes qui s'exécutent dans les contextes de ces utilisateurs peuvent effectuer seulement des modifications minimales dans le système d'exploitation. Cette restriction réduit considérablement la capacité d'un logiciel malveillant à s'installer et s'exécuter, ce qui renforce la sécurité sans empêcher les utilisateurs d'effectuer leur travail.

Simplification de la gestion

La normalisation est un composant important de la gestion d'un réseau, notamment pour plusieurs ordinateurs clients. Si une organisation possède 500 ordinateurs clients et que chaque ordinateur possède une configuration différente de logiciels et de paramètres d'ordinateur, la gestion proactive devient extrêmement complexe. Cette complexité est une conséquence inévitable si les utilisateurs peuvent installer des logiciels et effectuer des modifications de configuration à l'échelle du système.

Windows XP fournit d'immenses possibilités de personnalisation de la configuration du système d'exploitation. Si les utilisateurs peuvent ouvrir une session avec des droits d'administration, ils succombent souvent à la tentation de modifier des paramètres. Par exemple, un utilisateur peut désactiver le pare-feu Windows pour une connexion réseau sans fil, puis se connecter à un fournisseur d'accès Internet via une connexion non sécurisée à un point d'accès sans fil public. Cette action peut conduire à compromettre rapidement l'ordinateur, car toutes les connexions réseau (même à des réseaux approuvés) doivent bénéficier de la protection d'un pare-feu pour hôte.

Les modifications initialisées par l'utilisateur ont tendance à générer plus d'appels au support technique et, chaque fois qu'un ordinateur modifié doit être examiné, le personnel de support technique est confronté à une configuration d'ordinateur différente. Ce manque de normalisation rend le support technique, la résolution des problèmes et la réparation plus difficiles, plus longs et plus coûteux.

L'approche LUA crée également une limite de gestion nette entre les utilisateurs et les administrateurs. Cette limite permet aux utilisateurs de se concentrer sur leur travail, tandis que les administrateurs réseau gèrent l'infrastructure. Si les utilisateurs disposent de droits d'administration, il devient impossible de faire respecter cette limite et aucune normalisation ne peut être garantie.

Un réseau dans lequel chacun est administrateur est non géré effectivement, car les utilisateurs peuvent contourner les paramètres de gestion des systèmes. Si les utilisateurs ne peuvent pas installer de matériel et de logiciels non autorisés, ni apporter de modification au système, leurs ordinateurs demeureront raisonnablement proches de la norme de l'organisation. L'approche LUA simplifie la gestion en limitant les modifications non souhaitées des environnements informatiques.

Augmentation de la productivité

Les ordinateurs ont permis des hausses immenses de productivité pour les organisations de tous types et toutes tailles. Toutefois, les ordinateurs requièrent une gestion proactive pour conserver cet avantage en matière de productivité. Dans les organisations où les utilisateurs dépendent de leurs ordinateurs pour faire leur travail, le personnel informatique doit réduire au maximum les risques d'interruption du travail, provoquées notamment par de mauvaises configurations informatiques ou l'infection par un logiciel malveillant, situations qui pourraient être évitées.

L'approche LUA peut maintenir la productivité par le biais de la maintenance des configurations des ordinateurs clients. Lorsque les utilisateurs ne peuvent pas modifier la configuration de leurs ordinateurs, ces derniers sont plus stables, ce qui entraîne une réduction des temps d'arrêt et le maintien de la productivité.

Des pertes de productivité sont également possibles lorsqu'un logiciel malveillant prend le contrôle d'un ordinateur. L'ordinateur peut nécessiter une désinfection, voire un reformatage, et l'utilisateur peut perdre des documents ou des données en raison de l'infection. Les administrateurs peuvent être amenés à restaurer des copies de sauvegarde de fichiers qui peuvent ensuite avoir à être mis à jour. Ces activités supplémentaires peuvent distraire les employés de leurs tâches actuelles ou les obliger à répéter des opérations.

Réduction des coûts

Bien que la maintenance de plusieurs ordinateurs clients ne puisse pas être gratuite, les facteurs ci-dessous peuvent augmenter considérablement les coûts :

  • les associations uniques et non testées de matériel et de logiciels ;

  • les modifications inconnues du système d'exploitation ;

  • les paramètres personnalisés à l'échelle du système ;

  • les logiciels non standard avec des types de fichier inconnus ;

  • les licences des logiciels installés par l'utilisateur ;

  • les amendes pour les logiciels sans licence ;

  • les logiciels malveillants ;

  • les logiciels et les pilotes Bêta ;

  • l'utilisation de la largeur de bande Internet par les logiciels malveillants.

L'approche LUA permet d'empêcher l'installation de logiciels non autorisés, sans licence ou malveillants. Elle empêche également les utilisateurs d'effectuer des modifications inconnues sur leurs ordinateurs. Ces limites réduisent les coûts liés au support technique et aux temps d'arrêt que les utilisateurs dotés de droits d'administration peuvent provoquer.

Réduction de la piraterie et des problèmes de responsabilité juridique

Les organisations sont de plus en plus conscientes de leurs obligations en matière de respect des réglementations afin d'empêcher l'utilisation illégale des équipements de la société par les employés. Ces obligations exigent des sociétés de réagir lorsque des employés, consciemment ou à leur insu :

  • permettent le vol de données client (par exemple, d'informations d'identification personnelle [IPI]) ;

  • hébergent des sites Web qui contiennent du contenu piraté, illicite ou offensif ;

  • hébergent des serveurs relais pour du courrier électronique commercial non sollicité ;

  • participent à des attaques distribuées de refus de service.

Les organisations qui implémentent l'approche LUA ont nettement moins de chances d'être responsables de ces types d'abus, car leurs ordinateurs clients sont plus difficiles à compromettre. De plus, les utilisateurs sont moins aptes à installer des logiciels non autorisés pour héberger un contenu illégal, ce qui réduit considérablement les chances qu'ils commettent des actes mettant en jeu leur responsabilité. Cette protection résulte du fait que les utilisateurs limités disposent uniquement d'un accès en lecture au dossier Program Files, aux dossiers système de Windows et à la section HKEY_LOCAL_MACHINE du Registre. Les programmes requièrent habituellement un accès en écriture à ces emplacements pour pouvoir effectuer une installation.

Compromis entre les risques, la sécurité, la facilité d'utilisation et les coûts

Comme de nombreuses approches de la gestion des réseaux, l'adoption des méthodes LUA implique l'évaluation des compromis entre les risques, la sécurité, la facilité d'utilisation et les coûts. Lorsqu'elle est implémentée correctement, l'approche LUA peut :

  • réduire les risques ;

  • améliorer la sécurité ;

  • pénaliser l'utilisation ;

  • réduire les coûts d'administration.

Réduction des risques

Toute connexion à un réseau informatique induit un élément de risque et les connexions à Internet comportent un risque plus élevé que des connexions à des ressources d'intranet. La seule manière de supprimer ce risque complètement est de ne pas connecter d'ordinateur à un réseau. La plupart des organisations s'accordent à penser que les avantages professionnels d'une connexion réseau l'emportent sur les risques, mais les stratégies visant à minimiser ces risques représentent une précaution judicieuse.

L'approche LUA peut conduire à une réduction significative des risques actuels et futurs, liés à des programmes qui s'exécutent avec des droits d'administration. Les organisations qui n'implémentent pas l'approche LUA n'augmentent pas seulement les risques associés à l'utilisation d'ordinateurs, mais sont de plus en plus vulnérables aux nouvelles attaques, notamment aux attaques dites « de jour zéro », pour lesquelles les attaquants découvrent une vulnérabilité d'un logiciel avant le fabricant. Les organisation qui implémentent l'approche LUA ont plus de chances de mettre en œuvre d'autres stratégies de gestion du Bureau, telles que l'installation automatique de mises à jour de sécurité, ce qui contribue à réduire leur profil de risque.

Amélioration de la sécurité

L'approche LUA renforce considérablement la sécurité. Le compromis inclut la réduction de la liberté de l'utilisateur à modifier la configuration, mais pas nécessairement la réduction de la facilité d'utilisation, comme la section suivante l'explique.

Il est important de comprendre que l'approche LUA ne fournit pas une stratégie de sécurité complète, mais qu'elle doit s'intégrer à d'autres défenses de sécurité dans le cadre d'une stratégie de défense approfondie. Ces défenses multiples incluent la sensibilisation des utilisateurs, des pare-feu de périmètre et pour hôte, des mises à jour de sécurité régulières et des outils d'analyse à jour pour détecter les logiciels malveillants. L'approche LUA fournit une sécurité additionnelle qui réduit la capacité des logiciels malveillants à se propager dans une organisation.

Pénalisation de l'utilisation

Le truisme de la gestion des réseaux est que la facilité d'utilisation et la sécurité sont inversement proportionnels, si bien qu'une sécurité renforcée signifie une facilité d'utilisation moindre.

Remarque   Le point important à prendre en compte est que la facilité d'utilisation concerne l'utilisation et non pas la capacité d'un utilisateur à effectuer toutes les modifications qu'il souhaite sur son ordinateur.

L'approche LUA empêche les utilisateurs d'administrer leurs ordinateurs, pas de les utiliser. La suppression des droits d'administration rend les utilisateurs plus productifs, car moins de distractions s'offrent à eux, ainsi que moins d'opportunités de mal configurer leurs ordinateurs.

Toutefois, si l'utilisateur peut voir une option de configuration sans pouvoir la modifier, cela peut être une source de frustration et donner lieu à des appels au support technique. Les stratégies de groupe vous permettent de masquer des éléments de l'interface Windows à l'utilisateur. Si les utilisateurs voient uniquement les options qu'ils peuvent modifier, les limitations de configuration deviennent nettement moins frustrantes. L'implémentation de l'approche LUA en conjonction avec une stratégie de groupe vous permet de créer une interface simplifiée qui montre uniquement les options de configuration que l'utilisateur peut modifier.

Réduction des coûts d'administration

Les études menées par des organisations indépendantes ont illustré les économies à long terme que la gestion des systèmes réseau peut engendrer. L'approche LUA est étroitement liée à une stratégie de gestion des systèmes car les utilisateurs limités ne peuvent pas modifier les paramètres de gestion imposés. Toutefois, pour réaliser les économies que permet la gestion des systèmes, les organisations doivent être prêtes à effectuer l'investissement requis par l'approche LUA et elles doivent comprendre les coûts liés à l'implémentation de l'approche LUA, ainsi que ceux liés à sa non-implémentation.

L'implémentation de l'approche LUA induit des coûts pour :

  • planifier le projet et élaborer un projet pilote ;

  • tester les programmes personnalisés dans un environnement LUA ;

  • identifier les solutions de contournement pour les comptes d'utilisateurs standard ;

  • réécrire des applications, si nécessaire ;

  • tester les nouveaux programmes avant le déploiement ;

  • traiter l'augmentation initiale des appels au support technique ;

  • résoudre les problèmes politiques de cette modification.

Il est important de comparer ces coûts aux coûts associés à la non-implémentation de l'approche LUA. Ne pas implémenter l'approche LUA peut créer des coûts liés à :

  • des configurations d'ordinateur incorrectes causées par des modifications effectuées par les utilisateurs ;

  • des logiciels non autorisés, non testés, sans licence ou malveillants ;

  • des litiges potentiels ;

  • des pertes professionnelles dues à une sécurité compromise.

L'analyse des coûts de l'implémentation et de la non-implémentation montre que la plupart des coûts d'implémentation sont calculables, tandis que ceux de la non-implémentation sont inconnus. Il est possible d'évaluer le coût de la réécriture d'une application métier, mais il est impossible d'estimer le coût de poursuites judiciaires futures.

L'évolution rapide des menaces qui pèsent sur les ordinateurs en réseau et la nécessité de simplifier et de normaliser les configurations d'ordinateur encourageront toujours plus les organisations et les personnes à exploiter leurs réseaux et leurs ordinateurs à l'aide de comptes d'utilisateurs standard. Les arguments défendant l'approche LUA percent actuellement des brèches importantes dans l'inertie des organisations et dans les mauvaises habitudes établies. Il convient à présent de voir comment les organisations peuvent implémenter l'approche LUA.

Implémentation de l'approche LUA

L'implémentation de l'approche LUA implique l'application des règles ci-dessous aux ordinateurs exécutant Windows XP :

  • les utilisateurs qui ne sont pas administrateurs doivent toujours ouvrir une session en tant qu'utilisateurs limités ;  

  • les administrateurs doivent uniquement utiliser des comptes d'administration pour effectuer des actions administratives.

Bien que cette approche fournisse les avantages que ce document a déjà présentés et mette en place un environnement sans échec, de nombreux points doivent être pris en compte, en particulier lorsqu'une organisation autorisait précédemment les utilisateurs à ouvrir une session en tant qu'administrateurs.

Considérations d'implémentation

L'implémentation de l'approche LUA génère également des problèmes techniques, administratifs et politiques au sein de l'organisation. Ces problèmes sont les suivants :

  • le contrôle de l'ordinateur,

  • l'installation du matériel,

  • l'installation des programmes,

  • l'exécution des programmes,

  • la mise à jour du système d'exploitation,

  • la configuration du système d’exploitation,

  • les coûts.

Contrôle de l'ordinateur

Le problème politique le plus difficile à traiter est probablement le contrôle des ordinateurs clients. De nombreux cadres supérieurs et décideurs d’entreprise souhaitent le contrôle total de leurs ordinateurs et sont inconscients ou dédaigneux des risques attenant à cette configuration. Les personnes qui occupent des postes de dirigeants tolèrent rarement des situations qui les frustrent ou des messages qui leur indiquent ce qu'ils ne peuvent pas faire. Souvent, leur réaction à tout message d'avertissement sur des droits restreints est d'insister pour que l'administrateur réseau leur accorde un contrôle administratif total.

Pour gérer cette situation, il est essentiel de disposer d'un responsable de projet senior bénéficiant de solides connaissances techniques. Pour de nombreuses sociétés, ce cadre doit être au moins le responsable informatique ou son équivalent, et doit être soucieux d'éduquer ses collègues de gestion sur la menace grandissante liée aux logiciels malveillants et sur la manière dont de tels logiciels peuvent s'installer à partir de sites Web malveillants ou compromis. Si l'éducation ne fournit pas un argument suffisamment fort, soulignez les problèmes de responsabilité juridique qui pourraient résulter de l'installation involontaire de logiciels malveillants sur leurs ordinateurs et expliquer comment les outils mentionnés dans le présent document peuvent résoudre ces difficultés.

L'éducation des utilisateurs est un autre sujet important à traiter. La plupart des utilisateurs se sentiront menacés par toute tentative visant à supprimer le contrôle sur ce qu'ils perçoivent comme « leur » ordinateur et peuvent réagir pour perturber l'implémentation de l'approche LUA. Il est courant de recevoir un plus grand nombre de plaintes, exagérant les problèmes auxquels sont à présent confrontés les utilisateurs, car ils ne disposent plus des droits d'administration. Du moment que l'organisation a mené un programme de test complet, il est probablement aisé de répondre à ces plaintes.

Installation du matériel

Les utilisateurs possédant des ordinateurs de bureau dans leur bureau ne devraient jamais avoir besoin de droits d'administration. Toutefois, les utilisateurs d'ordinateurs itinérants peuvent légitimement avoir besoin d'installer du matériel, tel que des imprimantes et des graveurs de DVD pour effectuer leur travail lorsqu'ils ne sont pas connectés au réseau d'entreprise.

Lors de l'installation de matériel pour les utilisateurs itinérants, les organisateurs doivent prendre en compte de nombreuses options, y compris celles qui pourraient ne pas être conformes à l'approche LUA. Les outils décrits dans la section suivante du présent document peuvent également aider à la gestion du matériel dans une telle situation.

Installation des programmes

De nombreux programmes requièrent des privilèges d'administration pour être installés. Ce comportement permet d'empêcher les programmes non autorisés de s'installer, mais il peut également empêcher l'installation de programmes et de mises à niveau autorisés. L'installation de programmes peut être particulièrement problématique lorsque l'utilisateur ne dispose pas d'un ordinateur inscrit dans un domaine ou s'il se connecte seulement occasionnellement au réseau de l'organisation. La résolution du problème lié à la manière d'installer des programmes et des mises à jour de sécurité autorisés peut requérir des modifications dans les procédures opérationnelles, ainsi que l'utilisation d'outils, tels que la publication d'application dans Active Directory®, l'outil Elevated Rights Deployment Tool dans Microsoft Systems Management Server (SMS) 2003 avec Service Pack 1 ou le Bureau à distance.

Certains sites Internet fonctionnent correctement uniquement avec des logiciels supplémentaires et des contrôles ActiveX qui effectuent des téléchargements vers l'ordinateur client. Des outils de gestion tels qu'Internet Explorer Administration Kit et Stratégie de groupe permettent ce comportement avec des sites pour lesquels les besoins de l'entreprise sont supérieurs au risque perçu lié à l'autorisation de télécharger des logiciels à partir de cet emplacement.

Exécution des programmes

Certains programmes requièrent des privilèges d'administration pour être exécutés. En général, cette restriction provient d'erreurs de codage ou d'une mauvaise implémentation des instructions de programmation ou de sécurité. Par exemple, un programme peut installer une clé de produit obligatoire dans un emplacement du Registre où un compte d'utilisateur limité ne peut pas lire la valeur de la clé.

Remarque   Les programmes qui suivent les recommandations de programmation de Microsoft ne doivent normalement pas connaître de problèmes avec les restrictions de sécurité.

Dans de nombreux cas, il sera possible de traiter le problème en accordant au groupe Utilisateurs l'accès à l'emplacement limité à l'origine de l'échec de l'application. Microsoft Windows Application Compatibility Toolkit (ACT), décrit dans la section suivante de ce document, peut également résoudre un grand nombre de problèmes d'incompatibilité. Les administrateurs réseau ne doivent pas simplement accepter l'argument selon lequel si un programme fonctionne uniquement avec des autorisations d'administration, chacun doit être un administrateur.

Mise à jour du système d'exploitation

Pour pouvoir effectuer l'installation manuelle des mises à jour du système d'exploitation à partir du site Web Microsoft Update, le système d'exploitation de l'ordinateur doit s'exécuter avec des droits d'administration. Ainsi, pour utiliser Microsoft Update, l'utilisateur doit ouvrir une session avec des informations d'identification d'administrateur. Toutefois, le service Mises à jour automatiques s'exécute avec des informations d'identification de compte système et n'est pas soumis à cette restriction. Si vous configurez le service Mises à jour automatiques pour rechercher et installer automatiquement des mises à jour du système d'exploitation et des programmes, il sera rarement nécessaire d'effectuer une mise à jour manuelle. Pour plus d'informations, consultez Comment faire pour planifier des mises à jour automatiques dans Windows XP, Windows 2000 et Windows Server 2003, à l'adresse http://support.microsoft.com/kb/327838/fr.

SMS 2003 avec Service Pack 1 inclut des fonctionnalités permettant d'identifier et d'installer des mises à jour du système d'exploitation et des applications même si l'utilisateur ne possède pas les droits d'administration. Windows Software Update Services (WSUS) fournit une gestion simplifiée des mises à jour de sécurité aux organisations qui n'ont pas installé SMS.

Configuration du système d’exploitation

Les procédures informatiques de l'entreprise doivent définir les actions de configuration que les utilisateurs limités peuvent effectuer sur leurs ordinateurs. Les modifications apportées aux stratégies de sécurité et aux paramètres du Registre, localement ou via une stratégie de groupe, peuvent permettre aux utilisateurs limités d'effectuer ces modifications approuvées sur leur ordinateur, comme par exemple lorsque des utilisateurs itinérants doivent changer l'heure ou le fuseau horaire de leur ordinateur. La section suivante du présent document répertorie plusieurs outils qui traitent du problème de la configuration du système d'exploitation avec un compte d'utilisateur limité.

Coûts

Enfin, l'approche LUA peut être coûteuse à planifier, implémenter et gérer. Si vous possédez des programmes tiers ou personnalisés ou stratégiques, ces coûts peuvent être importants.

Prenons l'exemple d'un programme stratégique qui n'est pas compatible avec l'approche LUA et qui requiert des droits d'administration pour s'exécuter. Selon l'âge du programme et les ressources disponibles pour les développeurs, l'organisation peut être amenée à :

  • tester le programme dans un environnement LUA ;

  • identifier un processus d'atténuation si le programme ne s'exécute pas, comme par exemple :

    • la personnalisation des autorisations du Registre ou la modification des autorisations sur plusieurs ordinateurs,

    • la modification des droits d'accès,

    • le déploiement d'outils pour traiter les problèmes de configuration ;

  • réécrire entièrement le programme.

Toutefois, si l'organisation envisage déjà de mettre à jour le programme personnalisé vers une technologie plus récente, le coût requis pour se conformer à l'approche LUA peut être insignifiant.

Outils

Microsoft et d'autres éditeurs de logiciels proposent de nombreux outils pour vous aider dans le processus de gestion d'un environnement qui utilise l'approche LUA. Cette section décrit certains outils qui aident à gérer les environnements dans lesquels les utilisateurs ouvrent une session avec des droits d'utilisateur limités. Il s'agit entre autres des outils suivants :

  • service d'ouverture de session secondaire,

  • MakeMeAdmin,

  • PrivBar,

  • PolicyMaker,

  • Application Compatibility Toolkit (ACT),

  • RegMon et FileMon,

  • Systems Management Server.

Remarque   MakeMeAdmin, Privbar, PolicyMaker, RegMon et FileMon ne sont pas pris en charge par Microsoft et Microsoft exclut toute garantie quant à la pertinence de ces programmes. L'utilisation de ces programmes est sous votre entière responsabilité.

Service d'ouverture de session secondaire

Le service d'ouverture de session secondaire (ou la commande runas) permet aux utilisateurs d'exécuter des programmes avec d’autres informations d’identification. Le service d'ouverture de session secondaire crée un autre jeton de sécurité avec les nouvelles informations d'identification et appartenances aux groupes, que le programme utilise pour accéder aux ressources.

Bien que le service d'ouverture de session secondaire soit utile, le compte secondaire utilise des informations d'identification distinctes du compte principal, ce qui crée les restrictions suivantes :

  • l'utilisateur doit connaître le mot de passe du compte secondaire et doit fournir ces informations d'identification ;

  • certains programmes ne peuvent pas exécuter une seconde instance avec des informations d'identification différentes de celles de l'instance en cours ;

  • le compte secondaire peut ne pas avoir les mêmes mappages d'imprimante et de lecteur que le compte principal ;

  • Le compte secondaire peut être un compte local et il peut ainsi ne pas disposer des droits d'accès aux ressources du réseau ou du domaine, et ne pas être en mesure d'exécuter de script de connexion au domaine, ni d'appliquer une stratégie de groupe.

  • Certaines modifications (telles que l'installation de programmes) s'appliquent uniquement au profil du compte secondaire et non à celui du compte principal. Cet effet peut se produire lorsqu'un programme s'installe pour « Cet utilisateur seulement » plutôt que pour « Tous les utilisateurs ».

La commande runas ne fonctionne pas lorsqu'elle est dirigée pour utiliser des chemins UNC (Universal Naming Convention), comme par exemple vers des imprimantes et des connexions réseau. Il existe des solutions de contournement à ce problème, comme par exemple l'utilisation de la commande runas pour démarrer Internet Explorer, puis l'ouverture d’objets basés sur les dossiers dans Internet Explorer. Toutefois, cette approche n'a pas la simplicité de l'approche « cliquez avec le bouton droit, puis cliquez sur Exécuter en tant que ».

D'autres utilisations de la commande runas incluent la création d'un raccourci vers un script dans le menu Envoyer vers de l'utilisateur, qui exécute le programme sélectionné avec des droits d'administration. L'option avancée Exécuter en utilisant d'autres informations d'identification des raccourcis peut également être activée. Pour plus d'informations, consultez Procédures pour activer la commande « Exécuter en tant que » dans les menus contextuels de programmes à l'adresse http://support.microsoft.com/kb/294676/fr.

MakeMeAdmin

MakeMeAdmin contourne les restrictions de mappage de lecteur, de droits d'accès et d'installation de programme du service d'ouverture de session secondaire en utilisant deux processus d'ouverture de session consécutifs. Pour contourner ces restrictions, le script :

  1. obtient vos détails de compte d'ouverture de session actuels ;

  2. invoque le service d'ouverture de session secondaire de façon à ce que vous puissiez ouvrir une session avec les informations d'identification du compte Administrateur local ;

  3. utilise la nouvelle session locale Administrateur pour ajouter votre compte actuel dans le groupe local Administrateurs ;

  4. invoque de nouveau le service d'ouverture de session secondaire et vous invite à ouvrir une session sous votre compte d'utilisateur actuel, mais en tant que membre du groupe local Administrateurs ;

  5. crée une nouvelle invite de commande dans laquelle votre compte actuel est membre du groupe local Administrateurs. Cette invite de commandes a une couleur d'arrière-plan différente et un titre qui la distingue d'une invite de commandes standard ;

  6. supprime votre compte actuel du groupe local Administrateurs.

L'invite de commandes que crée le script s'exécute avec vos informations d'identification de compte d'ouverture de session actuelles mais avec des droits d'administration et tout programme que vous exécutez à partir de cette invite de commandes possède également des droits d'administration. Vos droits d'accès réseau et de mappage de lecteur sont les mêmes que ceux de votre compte actuel et si vous utilisez cette invite de commandes pour installer un programme, ce programme s'installera dans votre profil actuel et non pas dans le profil local Administrateur.

Pour plus d'informations sur MakeMeAdmin, consultez MakeMeAdmin -- temporary admin for your Limited User account dans le journal Web d'Aaron Margosis, à l'adresse http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx.

PrivBar

PrivBar affiche une barre d'outils avec couleurs dans Internet Explorer et l'explorateur Windows qui montre le niveau de privilège actuel de l'utilisateur. Par exemple, si un utilisateur ouvre une session avec des droits d'administration, la barre d'outils PrivBar devient jaune, avec un indicateur rouge. Cet indicateur rappelle aux utilisateurs qu'ils utilisent des privilèges d'administration pour naviguer sur un site Web, ce qui augmente les risques encourus par leur ordinateur. Pour plus d'informations sur PrivBar, consultez PrivBar -- An IE/Explorer toolbar to show current privilege level dans le journal Web d'Aaron Margosis, à l'adresse http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx.

PolicyMaker

PolicyMaker de Desktop Standard est composé d'une suite d'utilitaires qui étendent la capacité des stratégies de groupe à permettre l'approche LUA avec des réseaux distribués. La suite PolicyMaker inclut également des outils pour vérifier et corriger les problèmes de compatibilité des programmes. Les outils les plus efficaces pour implémenter l'approche LUA incluent PolicyMaker Standard Edition, PolicyMaker Application Security et PolicyMaker Software Update.

PolicyMaker Application Security est d'un intérêt particulier pour l'approche LUA, car il permet aux administrateurs réseau d'associer des niveaux d'autorisation à des programmes individuels. L'administrateur réseau sélectionne le programme, puis supprime les groupes de sécurité du jeton de processus lorsque ce programme démarre. Cette restriction est ensuite propagée via les stratégies de groupe. Pour plus d'informations sur PolicyMaker, consultez Présentation de PolicyMaker (PolicyMaker Overview) sur le site Web de Desktop Standard, à l'adresse www.desktopstandard.com/PolicyMaker.aspx.

Application Compatibility Toolkit (ACT)

Microsoft Windows Application Compatibility Toolkit (ACT) est une collection d'outils et de documents destinée à aider les professionnels de l'informatique et les développeurs à atteindre de très hauts niveaux de compatibilité d'application avec les systèmes d'exploitation Windows. Ces outils incluent :

  • Application Analyzer. Cet outil simplifie l'inventaire des applications et les tests de compatibilité.

  • Compatibility Administrator. Cette base de données répertorie les correctifs de compatibilité requis pour prendre en charge les programmes obsolètes dans Windows.

  • Internet Explorer Compatibility Evaluator. Cet outil fournit des journaux détaillés sur Internet Explorer et enregistre les problèmes de compatibilité d'application rencontrés avec ce navigateur.

Compatibility Administrator inclut des outils qui permettent à un développeur de vérifier les problèmes d'autorisation utilisateur au cours de la phase de développement d'applications personnalisées. ACT peut générer un correctif de compatibilité que l'administrateur peut déployer sur les ordinateurs des utilisateurs. Ce correctif de compatibilité permet ensuite au programme de s'exécuter en mode LUA en redirigeant les appels aux applications vers des emplacements où l'utilisateur limité dispose d'un accès en lecture et écriture. Pour plus d'informations sur ACT, consultez Compatibilité des applications Windows (Windows Application Compatibility) à l'adresse www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx.

RegMon et FileMon

RegMon et FileMon sont deux utilitaires proposés sur le très respecté site Web Sysinternals. RegMon affiche l'activité d'accès au Registre en temps réel, en répertoriant chaque appel au Registre effectué par une application et en enregistrant le résultat. Cet outil vous permet de détecter l'impossibilité d'une application à accéder à une clé de Registre. De même, FileMon affiche l'activité du système de fichiers en temps réel, en répertoriant chaque appel au système effectué par une application et en enregistrant la sortie.

RegMon et FileMon permettent aux administrateurs de tester une application au sein d'un environnement LUA et d'identifier l'échec de tout appel qu'effectue l'application au Registre ou au système de fichiers. L'administrateur peut alors atténuer cet échec, par exemple, en modifiant les autorisations sur le système de fichiers ou les clés de Registre. Les stratégies de groupe peuvent propager ces modifications d'autorisations sur plusieurs ordinateurs. Pour plus d'informations sur ces utilitaires, consultez le site Web Sysinternals à l'adresse www.sysinternals.com.

Systems Management Server

Microsoft Systems Management Server (SMS) 2003 est un système de gestion d'ordinateur aux fonctionnalités complètes qui fournit des services de gestion pour les moyennes et grandes organisations avec des réseaux centralisés ou distribués. Ces services de gestion incluent l'installation de mises à jour logicielles et de sécurité.

SMS fournit une prise en charge pour l'approche LUA par le biais de la capacité à installer des mises à jour logicielles et de sécurité sans exiger que les utilisateurs ouvrent une session avec des droits d'administration. Pour plus d'informations sur SMS, consultez Présentation de Systems Management Server 2003 SP1 (Systems Management Server 2003 SP1 Product Overview) à l'adresse www.microsoft.com/smserver/evaluation/overview/default.mspx.

Limitation des informations d'identification d'administration

Si une organisation est incapable d'implémenter l'approche LUA en entier, il est possible d'atténuer le risque d'exécuter des programmes avec des droits d'administration en garantissant que tous les programmes qui accèdent aux ressources réseau s'exécutent toujours avec des droits d'utilisateur limités. Bien que cette approche ne soit pas conforme au principe des privilèges minimum, elle offre certains avantages et elle est meilleure que l'approche consistant simplement à permettre à chacun d'exécuter tous les programmes avec des droits d'administration.

Pour assurer une sécurité efficace lorsque des utilisateurs ouvrent une session avec des droits d'administration, vous devrez effectuer les opérations suivantes :

  • Déployer des outils pour minimiser les risques liés à l'exécution de programmes en tant qu'administrateur.

  • Garantir que les programmes exposés à Internet, tels que les clients de messagerie, les navigateurs et les clients de messagerie instantanée, s'exécutent toujours avec des droits d'utilisateur limités. Permettre à de tels programmes de s'exécuter avec des droits d'administration représente la méthode la plus courante permettant d'introduire des logiciels malveillants au sein d'une organisation.

  • Analyser les ordinateurs pour rechercher toute utilisation administrative non approuvée. Pour plus d'informations sur le contrôle de la sécurité, consultez Guide de planification de la détection d'attaques et de l'analyse de la sécurité (The Security Monitoring and Attack Detection Planning Guide), à l'adresse www.microsoft.com/technet/security/topics/
    auditingandmonitoring/securitymonitoring/default.mspx.

Les outils répertoriés ci-dessous aident à minimiser le risque de vulnérabilité d'un ordinateur lorsque les utilisateurs ouvrent une session avec des droits d'administration. En outre, certains outils mentionnés à la section « Ouvrir une session en tant qu'utilisateur limité » s'appliquent également dans cette situation.

  • Service d'ouverture de session secondaire

  • Stratégies de restriction logicielle

  • DropMyRights

Remarque   DropMyRights n'est pas pris en charge par Microsoft et Microsoft exclut toute garantie quant à la pertinence de ce programme. L'utilisation de ce programme est sous votre entière responsabilité.

Service d'ouverture de session secondaire

Le service d'ouverture de session secondaire fournit une option permettant d'exécuter un programme en tant que compte doté de moins de privilèges. Par exemple, dans Windows XP avec SP2, les icônes du Bureau des utilisateurs pour Internet Explorer peuvent être remplacées par des versions qui invoquent la boîte de dialogue Exécuter en tant que, laquelle propose ensuite l'option Protéger mon ordinateur des programmes non autorisés. Cette option désactive les identificateurs de sécurité (SID) dans le jeton d'accès de l'utilisateur d'une manière similaire à l'outil DropMyRights, décrit ultérieurement dans cette section.

Stratégies de restriction logicielle

Les stratégies de restriction logicielle sont inscrites dans les stratégies de groupe et permettent de réguler les logiciels inconnus ou non approuvés. Les stratégies de restriction logicielle peuvent appliquer trois paramètres au choix aux programmes. Il s’agit de :

  • Non restreint

  • Rejeté

  • Utilisateur de base

Remarque   Seuls les paramètres Non restreint et Rejeté sont visibles par défaut. Pour afficher le paramètre Utilisateur de base, vous devez modifier une clé de Registre. Pour plus d'informations, consultez Parcourir le Web et lire le courrier électronique en tant qu'Administrateur en toute sécurité, chapitre 2 (Browsing the Web and Reading E-mail Safely as an Administrator, Part 2), à l'adresse http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp.

En résumé, les programmes non restreints peuvent s'exécuter sans entrave, alors que les programmes rejetés ne le peuvent pas, et les programmes pour lesquels le paramètre Utilisateur de base est activé peuvent uniquement s'exécuter avec des droits d'utilisateur limités. Cette approche vous permet, par exemple, de configurer une stratégie de restriction logicielle qui exécute toujours Internet Explorer en tant qu'utilisateur limité.

Les stratégies de restriction logicielle peuvent également empêcher l'exécution de logiciels malveillants à partir de certains emplacements, tels que le dossier des fichiers temporaires d'Internet Explorer. Une règle de chemin d'accès de restriction logicielle peut désactiver tout programme qui tente de s'exécuter à partir du dossier des fichiers Internet temporaires. Une stratégie de groupe peut appliquer cette règle à tous les ordinateurs du domaine.

Pour plus d'informations sur les stratégies de restriction logicielle, consultez l'article Utilisation de stratégies de restriction de logiciel pour se protéger de logiciels non autorisés (Using Software Restriction Policies to Protect Against Unauthorized Software), à l'adresse www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.

DropMyRights

DropMyRights désactive les SID et supprime les privilèges dans le jeton d'accès de l'utilisateur, puis utilise ce jeton restreint pour démarrer un programme spécifié. DropMyRights permet à un utilisateur d'ouvrir une session avec des droits d'administration, puis d'exécuter un programme à trois niveaux de privilège, au choix :

  • Normal

  • Contraint

  • Non approuvé

Remarque   Le niveau de privilège normal correspond à un compte d'utilisateur limité. Le niveau contraint est encore plus limité en raison de l'ajout de la restriction des SID dans le jeton d'accès. Le niveau non approuvé possède uniquement des droits d'accès minimaux et la plupart des applications ne fonctionneront pas à ce niveau.

Par exemple, un utilisateur doté de privilèges d'administration peut avoir besoin de visiter un site Web. L'utilisateur peut exécuter Internet Explorer à partir d'un raccourci qui invoque DropMyRights et ce raccourci spécifiera alors que le programme doit s'exécuter en tant qu'utilisateur contraint. Cette instance d'Internet Explorer aura alors des droits minimaux sur l'ordinateur client, ce qui réduira considérablement les risques que des programmes malveillants s'installent ou s'exécutent.

Pour plus d'informations sur DropMyRights, consultez Parcourir le Web et lire le courrier électronique en tant qu'Administrateur en toute sécurité (Browsing the Web and Reading E-mail Safely as an Administrator), à l'adresse http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp.

Pour plus d'informations sur les effets de l'exécution d'Internet Explorer en tant qu'utilisateur contraint, consultez Running restricted -- What does the "protect my computer" option mean? à l'adresse http://blogs.msdn.com/aaron_margosis/archive/2004/09/10/227727.aspx.

Développements futurs

Windows Vista inclut des fonctionnalités qui amélioreront la protection des comptes d'utilisateurs. Windows Vista permettra aux utilisateurs de travailler efficacement avec des comptes d'utilisateurs standard et les programmes certifiés Windows Vista n'auront aucune difficulté à s'exécuter sous des comptes d'utilisateurs standard. Lorsque des programmes plus anciens tenteront d'écrire dans des zones protégées du Registre, telles que la section HKEY_LOCAL_MACHINE, Windows Vista redirigera l'écriture vers la section HKEY_CURRENT_USER à la place. Toutefois, comme les fournisseurs mettent à jour leurs programmes et les certifient pour Windows Vista, l'utilisation de l'approche LUA deviendra probablement une pratique courante.

Windows Vista améliore également la facilité d'utilisation. Si un utilisateur tente d'effectuer une modification qui requiert des droits d'administration, Windows Vista invite automatiquement l'utilisateur à entrer des informations d'identification d'administration.

Le renforcement de la protection des comptes d'utilisateurs correspond à une des nombreuses améliorations majeures de la sécurité dans Windows Vista. Étant donné que les organisations effectuent progressivement la mise à niveau vers Windows Vista, l'opportunité qu'ont les logiciels malveillants d'exploiter les comptes de niveau administrateur diminue. Pour plus d'informations sur la protection des comptes d'utilisateurs dans Windows Vista, consultez le site Web Windows Vista à l'adresse www.microsoft.com/windowsvista/it-professionals.mspx.

Résumé

L'augmentation des menaces qui pèsent sur les ordinateurs en réseau exige que les organisations de toutes tailles implémentent une stratégie de défense approfondie. L'implémentation de l'approche LUA sur les ordinateurs qui exécutent Windows XP représente un composant important de cette stratégie.

L'approche LUA s'oppose à la tendance de nombreuses organisations d'accorder des droits d'administration aux utilisateurs d'ordinateurs clients via l'appartenance au groupe local Administrateurs. Ce document souligne les dangers inhérents à l'attribution de droits d'administration à tous les utilisateurs, car cela accorde des privilèges d'administration à tous les programmes que l'utilisateur exécute. Il est particulièrement important que les programmes exploitant Internet, tels que les navigateurs, les logiciels de messagerie électronique et les clients de messagerie instantanée, s'exécutent le moins possible avec des droits d'administration, car cette configuration rend l'ordinateur client considérablement plus vulnérable aux attaques.

Pour retourner brièvement à l'exemple mentionné au début de ce document, si l'organisation avait implémenté l'approche LUA, le cadre aurait pu visité le site Web à risque en tant qu'utilisateur limité plutôt qu'en tant qu'administrateur. Le logiciel malveillant n'aurait probablement pas pu infecter son ordinateur portable et ce cadre aurait pu effectuer cette présentation de vente finale qui aurait assuré une commande importante.

Enfin, l'approche LUA ne constitue pas une solution en soi, mais elle doit être intégrée à d'autres défenses de sécurité. Ces défenses incluent la sensibilisation des utilisateurs, des pare-feu de périmètre et pour hôte, des mises à jour de sécurité régulières et des outils d'analyse à jour pour détecter les logiciels malveillants.

Ressources

Pour plus d'informations sur l'utilisation de l'approche LUA dans Windows XP, consultez les ressources suivantes :

Remerciements

Le groupe MSSC (Microsoft Solutions for Security and Compliance) souhaite remercier l'équipe ayant collaboré à la réalisation du document Application du principe des privilèges minimum aux comptes d'utilisateurs dans Windows XP. Les personnes citées ci-après sont directement responsables ou ont apporté leur contribution substantielle à la rédaction, au développement et aux tests de cette solution.

Auteur

Anthony Steven, Content Master Ltd

Rédacteur

Mike Danseglio

Testeurs

Gaurav Singh Bora, Infosys Technologies

Mehul Mediwala, Infosys Technologies

Rédacteurs

Jennifer Kerns, Wadeware

John Cobb, Volt Information Sciences

Responsable du programme

Tom Cloward

Responsable des versions

Flicka Crandell

Collaborateurs

Tony Bailey

Darren Canavor

Karl Grunwald

Kelly Hengesteg

Karina Larson, Volt Information Sciences

Chrissy Lewis, Siemens Business Services, Inc.

David Mowers

Jeff Newfeld

Bomani Siwatu

Stacy Tsurusaki, Volt Information Sciences

David Visintainer, Volt Information Sciences

Réviseurs

Bob Blank, Target Corporation

Jeremy Brayton, réviseur indépendant

Derick Campbell

Chase Carpenter

Romulo A. Ceccon, Dataprom

Matt Clapham

Chris Corio

Greg Cottingham

John Czernuszka

Michael Dragone, Titleserv, Inc

Dana Epp, réviseur indépendant

Stephen Friedl, Microsoft Security MVP

Guido Grillenmeier, Hewlett-Packard

Michael Harradon, Netivity Solutions

Robert Hurlbut, Hurlbut Consulting, Inc

Mark Kradel

Jamie Laflen

Alex Lee, Sprint Nextel Corporation

Kevin Lundy, CAE, Inc

Tim C. MalcomVetter, Truman Medical Centers

Aaron Margosis

Brian Marranzini

David McClure, Siemens Medical Solutions

Don McGowan

Michael Miller, Media General, Inc

Charles J. Palmer, réviseur indépendant

Keith Pawson, réviseur indépendant

Brian A. Reiter, WolfeReiter, LLC

Michael Rickard, Bristol University

John Robbins, Wintellect

Alex Rublowsky

Mike Smith-Lonergan

Mike Sorsen, Edward Jones

Didier Stevens, Contraste Europe

Eric Wood

Martin Zugec, réviseur indépendant


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft