Attribution des droits de l'utilisateur

  • Article

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Accéder à cet ordinateur à partir du réseau
Agir en tant que partie du système d'exploitation
Ajouter des stations de travail au domaine
Régler les quotas de mémoire pour un processus
Permettre l'ouverture d'une session locale
Autoriser l'ouverture de session par les services Terminal Server
Sauvegarder des fichiers et des répertoires
Ignorer la recherche de l'autorisation Passer sur le dossier
Modifier l'heure du système
Create a page file (Créer un fichier d'échange)
Créer un objet-jeton
Create global objects (Créer des objets globaux)
Créer des objets partagés permanents
Déboguer des programmes
Interdire l'accès à cet ordinateur à partir du réseau
Interdire l'ouverture de session en tant que tâche
Refuser l'ouverture de session en tant que service
Interdire l'ouverture d'une session locale
Interdire l'ouverture de session par les services Terminal Server
Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation
Forcer l'arrêt à partir d'un système distant
Générer des audits de sécurité
Emprunter l'identité d'un client après son authentification
Accroître la priorité de planification
Load and unload device drivers (Charger et décharger des pilotes de périphérique)
Verrouiller les pages en mémoire
Ouvrir une session en tant que tâche
Ouvrir une session en tant que service
Gérer le journal d'audit et de sécurité
Modifier les valeurs de l'environnement du microprogramme
Procéder aux tâches de maintenance du volume
Optimiser un processus unique
Optimiser les performances système
Retirer l'ordinateur de la station d'accueil
Remplacer un jeton au niveau des processus
Restaurer des fichiers et des répertoires
Arrêter le système
Synchroniser des données du service d'annuaire
S'approprier les fichiers et les autres objets

Dans ce module

Ce module décrit comment définir les droits et les privilèges de connexion qui constituent la section Attribution des droits de l'utilisateur de l'Éditeur de stratégie de groupe. Les droits de l'utilisateur représentent les tâches qu'un utilisateur est autorisé à effectuer sur un ordinateur ou un domaine.

Objectifs

Utilisez ce module pour définir les droits et les privilèges de l'utilisateur dans la section Attribution des droits de l'utilisateur de la Stratégie de groupe.

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • système d'exploitation Microsoft® Windows® Server™ 2003 ;

  • service d'annuaire Microsoft Active Directory® ;

  • Windows XP.

Comment utiliser ce module

L'objectif de ce module est de vous fournir des références sur les paramètres de sécurité d'attribution des droits de l'utilisateur disponibles dans les versions courantes des systèmes d'exploitation Microsoft Windows. Il s'agit d'un guide compagnon associé à deux autres manuels publiés par Microsoft : le guide de sécurité Windows Server 2003, disponible à l'adresse suivante : https://go.microsoft.com/fwlink/?LinkId=14845et le guide de sécurité Windows XP.

Ce module est conçu pour aborder les principales sections qui figurent dans l'interface utilisateur d'édition de la stratégie de groupe. Il commence par une brève explication des sujets couverts, suivie d'une liste de titres de sous-sections. Ces titres correspondent à un paramètre ou à un groupe de paramètres. Pour chaque paramètre, figure une brève explication de l'action de la contre-mesure, ainsi que trois sous-sections supplémentaires : Vulnérabilité, Contre-mesures et Impact potentiel. La sous-section Vulnérabilité explique comment la contre-mesure peut être exploitée par un pirate si sa configuration est moins sécurisée. La sous-section Contre-mesure explique comment mettre en œuvre la contre-mesure. La sous-section Impact potentiel explique l'impact négatif dû à la mise en place de la contre-mesure.

Introduction

Les droits de l'utilisateur représentent les tâches qu'un utilisateur est autorisé à effectuer sur un ordinateur ou un domaine. Il existe deux types de droits de l'utilisateur : privilèges et droits de connexion. Les droits de connexion contrôlent qui est autorisé à ouvrir une session sur un ordinateur et comment l'opération peut s'effectuer. Les privilèges contrôlent l'accès aux ressources système d'un ordinateur et peuvent remplacer les autorisations définies sur des objets spécifiques. Le droit de se connecter à un ordinateur en local constitue un exemple de droit de connexion. Le droit d'arrêter le système est un exemple de privilège. Les deux types de droits de l'utilisateur sont attribués par les administrateurs aux utilisateurs individuels ou aux groupes en tant que paramètres de sécurité pour l'ordinateur. Pour obtenir un résumé des paramètres prescrits dans ce module, reportez-vous au classeur Microsoft® Excel nommé « Windows Default Security and Services Configuration » inclus avec ce guide et qui documente les paramètres d'attribution des droits de l'utilisateur par défaut. Cliquez ici pour télécharger.

Les paramètres d'attribution des droits de l'utilisateur peuvent être configurés à l'emplacement suivant dans l'éditeur d'objets Stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur

Accéder à cet ordinateur à partir du réseau

Le droit Accéder à cet ordinateur à partir du réseau permet à un utilisateur de se connecter à l'ordinateur par le biais du réseau. Ce droit d'utilisateur est requis par de nombreux protocoles réseau, notamment les protocoles basés SMB (Server Message Block), NetBIOS (Network Basic Input/Output System), CIFS (Common Internet File System), HTTP (Hypertext Transfer Protocol) et COM+ (Component Object Model Plus).

Les valeurs possibles de ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs qui se connectent au réseau par le biais de leur ordinateur peuvent accéder aux ressources pour lesquelles ils disposent d'autorisations sur cet ordinateur. Par exemple, ce droit est requis pour un utilisateur désirant se connecter à des imprimantes et des dossiers partagés. Si ce droit est accordé au groupe Tout le monde et que certains dossiers partagés disposent d'autorisations de partage et de système de fichiers NTFS configurées de telle sorte que le même groupe ait accès en lecture, alors chacun est en mesure de visualiser les fichiers de ces dossiers partagés. Cependant, il s'agit d'une situation peu probable pour les installations récentes de Microsoft® Windows Server™ 2003 du fait que les autorisations de partage et NTFS sur Windows Server 2003 n'incluent pas le groupe Tout le monde. Pour les systèmes mis à niveau de Windows NT 4.0 ou Windows 2000, cette vulnérabilité peut présenter un niveau supérieur de risque du fait que les autorisations par défaut de ces systèmes d'exploitation ne sont pas aussi restrictives que celles de Windows Server 2003.

Contre-mesures

Limitez le droit Accéder à cet ordinateur à partir du réseau uniquement aux utilisateurs qui requièrent l'accès au serveur. Par exemple, l'attribution de ce droit aux groupes Administrateurs et Utilisateurs permet à un utilisateur connecté au domaine d'accéder aux serveurs de ce domaine.

Impact potentiel

La suppression de ce droit sur les contrôleurs de domaine pour tous les utilisateurs empêche quiconque de se connecter au domaine ou d'utiliser les ressources réseau. Sa suppression des serveurs membres empêche les utilisateurs de se connecter aux serveurs via le réseau. Il est donc important de vérifier que les utilisateurs autorisés disposent de ce droit pour les ordinateurs dont ils ont besoin pour accéder au réseau.

Agir en tant que partie du système d'exploitation

Le droit d'utilisateur donnant la possibilité d'Agir en tant que partie du système d'exploitationpermet à un processus de prendre l'identité d'un utilisateur quelconque et d'avoir ainsi accès aux ressources auxquelles l'utilisateur a le droit d'accéder. En règle générale, seuls les services d'authentification de niveau faible requièrent ce privilège. Notez que l'accès potentiel ne se limite pas à ce qui est associé à l'utilisateur par défaut. En effet, le processus appelant peut demander que des privilèges arbitraires supplémentaires soient ajoutés au jeton d'accès. Le processus appelant peut également générer un jeton d'accès qui ne fournit pas d'identité principale pour le suivi des événements dans le journal d'audit.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Ce droit d'utilisateur est extrêmement puissant. Quiconque en dispose peut prendre le contrôle total de l'ordinateur et effacer virtuellement toute trace de ses activités.

Contre-mesures

Limitez le droit d'utilisateur Agir en tant que partie du système d'exploitation à un nombre de comptes aussi restreint que possible. Dans des circonstances normales, il ne doit même pas être attribué au groupe Administrateurs. Si un service requiert ce privilège, configurez-le pour qu'il se connecte à l'aide du compte local Système qui dispose de ce privilège par héritage. Ne créez pas de compte séparé et ne lui attribuez pas ce privilège.

Impact potentiel

L'impact doit être faible ou inexistant car ce droit d'utilisateur est rarement requis par d'autres comptes que le compte Système local.

Ajouter des stations de travail au domaine

Le droit d'utilisateur Ajouter des stations de travail au domaine permet à l'utilisateur d'ajouter un ordinateur à un domaine spécifique. Pour que ce droit puisse prendre effet, il doit être attribué à l'utilisateur en tant qu'élément de la Stratégie par défaut des contrôleurs de domaine pour le domaine. Un utilisateur disposant de ce privilège peut ajouter jusqu'à 10 stations de travail au domaine. Les utilisateurs peuvent également associer un ordinateur à un domaine si l'autorisation Créer objets ordinateur leur a été accordée pour une unité d'organisation (OU) ou pour le conteneur Ordinateurs dans Microsoft Active Directory. Les utilisateurs disposant de cette autorisation peuvent ajouter un nombre illimité d'ordinateurs au domaine, qu'ils disposent ou non du privilège Ajouter des stations de travail au domaine.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

La vulnérabilité de ce droit d'utilisateur est modérée. Les utilisateurs disposant de ce droit peuvent ajouter un ordinateur au domaine configuré en enfreignant les stratégies de sécurité de la société. Par exemple, si votre organisation ne souhaite pas que ses utilisateurs disposent de privilèges administratifs sur leur ordinateur, ceux-ci peuvent installer Windows sur leur ordinateur, puis l'ajouter au domaine. S'ils connaissent le mot de passe du compte Administrateur local, ils peuvent se connecter sous ce compte, puis ajouter leur compte de domaine au groupe Administrateurs local.

Contre-mesures

Configurez le droit d'utilisateur Ajouter des stations de travail au domaine de sorte que seuls les membres autorisés de l'équipe informatique puissent ajouter des ordinateurs au domaine.

Impact potentiel

Pour les organisations qui n'ont jamais autorisé les utilisateurs à configurer leurs propres systèmes et à les ajouter au domaine, cette contre-mesure n'a aucun impact. En revanche, pour les organisations qui ont autorisé certains ou la totalité des utilisateurs à configurer leurs propres ordinateurs, cette contre-mesure oblige l'organisation à établir un processus formel pour ces procédures.

Régler les quotas de mémoire pour un processus

Le droit d'utilisateur donnant la possibilité de régler les quotas de mémoire pour un processus permet à un utilisateur d'ajuster la mémoire maximale disponible pour un processus. Ce privilège est utile pour le réglage du système, mais peut faire l'objet d'abus. Dans de mauvaises mains, il pourrait être utilisé pour lancer une attaque par refus de service.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un utilisateur doté de ce droit peut réduire la quantité de mémoire disponible de n'importe quel processus, ce qui risque d'entraîner le ralentissement ou l'échec d'applications réseau cruciales.

Contre-mesures

Limitez le droit Régler les quotas de mémoire pour un processus aux utilisateurs qui en ont besoin pour effectuer leurs tâches, tels que les administrateurs d'applications, responsables de la maintenance des systèmes de gestion de base de données ou les administrateurs de domaine, responsables de la gestion de l'annuaire d'entreprise et de son infrastructure de support.

Impact potentiel

Seules les organisations qui ont été laxistes en matière de restriction des utilisateurs aux rôles dotés de privilèges limités trouveront difficiles d'imposer cette contre-mesure. Pour la plupart des organisations, l'implémentation de cette restriction ne devrait avoir aucun impact.

Permettre l'ouverture d'une session locale

Le droit d'utilisateur Permettre l'ouverture d'une session locale permet à un utilisateur de démarrer une session interactive sur l'ordinateur. Les utilisateurs ne disposant pas de ce droit peuvent quand même démarrer une session interactive à distance sur l'ordinateur s'ils disposent du droit Autoriser l'ouverture de session par les services Terminal Server.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout compte doté du droit d'ouverture de session en local peut être utilisé pour se connecter à la console de l'ordinateur. Le fait de ne pas limiter ce privilège aux utilisateurs légitimes qui doivent être en mesure de se connecter à la console du système peut permettre à des utilisateurs non autorisés de télécharger et d'exécuter un code malveillant pour élever leurs privilèges.

Contre-mesures

Pour les contrôleurs de domaine, accordez uniquement le droit d'utilisateur Permettre l'ouverture d'une session locale au groupe Administrateurs. Pour les autres rôles serveur, ajoutez Opérateurs de sauvegarde et Utilisateurs avec pouvoir. Pour les ordinateurs d'utilisateurs finaux, vous devez également accorder ce droit au groupe Utilisateurs.

Vous pouvez également ajouter des groupes, tels que Opérateurs de compte, Opérateurs de serveur et Invités au privilège Interdire l'ouverture d'une session locale.

Impact potentiel

La suppression de ces groupes par défaut risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Autoriser l'ouverture de session par les services Terminal Server

Le droit utilisateur Autoriser l'ouverture de session par les services Terminal Server permet à un utilisateur d'ouvrir une session sur un ordinateur via une connexion Bureau à distance. Vous ne devez pas accorder ce droit à d'autres utilisateurs ou groupes. En revanche, il est préférable de contrôler qui peut ouvrir une connexion Bureau à distance sur l'ordinateur en ajoutant ou en supprimant des utilisateurs à partir du groupe Utilisateurs du Bureau à distance.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout compte doté du droit d'ouverture de session par les services Terminal Server peut être utilisé pour se connecter à la console à distance de l'ordinateur. Le fait de ne pas limiter ce privilège aux utilisateurs légitimes qui doivent se connecter à la console du système risque de permettre à des utilisateurs non autorisés de télécharger et d'exécuter un code malveillant pour élever leurs privilèges.

Contre-mesures

Pour les contrôleurs de domaine, accordez uniquement le droit d'utilisateur Autoriser l'ouverture de session par les services Terminal Server au groupe Administrateurs. Pour les autres rôles du serveur et les ordinateurs d'utilisateurs finaux, ajoutez le groupe Utilisateurs du Bureau à distance. Pour tous les rôles du serveur autres que Terminal Server s'exécutant en mode Serveur d'applications, assurez-vous que seuls les membres autorisés de l'équipe informatique qui doivent pouvoir gérer les systèmes à distance appartiennent à l'un de ces groupes.

Avertissement : pour les serveurs Terminal Server s'exécutant en mode Serveur d'applications, assurez-vous que seuls les utilisateurs qui requièrent un accès au serveur ont des comptes appartenant au groupe Utilisateurs du Bureau à distance car ce groupe intégré par défaut dispose de ce droit de connexion.

Vous pouvez également accorder le privilège Interdire l'ouverture de session par les services Terminal Server aux groupes, tels que Opérateurs de compte, Opérateurs de serveur et Invités. Cependant, soyez attentif lorsque vous mettez cette méthode en œuvre car vous pouvez bloquer l'accès aux administrateurs légitimes qui appartiennent également au groupe disposant du droit de connexion Interdire l'ouverture de session par les services Terminal Server.

Impact potentiel

La modification de l'appartenance à ces groupes par défaut ou la suppression de ce droit de connexion pour d'autres groupes risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Sauvegarder des fichiers et des répertoires

Le droit Sauvegarder des fichiers et des répertoires permet à l'utilisateur de contourner les autorisations sur les fichiers et les répertoires pour sauvegarder le système. Ce privilège est sélectionné uniquement si une application tente d'accéder via l'interface de programmation d'application (API) de sauvegarde NTFS, à l'aide de NTBACKUP.EXE par exemple. Sinon, les autorisations normales sur les fichiers et les répertoires s'appliquent.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs capables de sauvegarder des données à partir d'un ordinateur peuvent introduire le support de sauvegarde dans un ordinateur n'appartenant pas au domaine pour lequel ils disposent de privilèges administratifs et restaurer les données. Ils peuvent devenir propriétaire des fichiers et afficher le contenu du jeu de sauvegarde.

Contre-mesures

Limitez le droit d'utilisateur Sauvegarder des fichiers et des répertoires aux membres de l'équipe informatique qui doivent être en mesure de sauvegarder les données de l'entreprise dans le cadre de leurs responsabilités quotidiennes.

Impact potentiel

La modification de l'appartenance aux groupes dotés de ce droit d'utilisateur risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que les administrateurs de sauvegarde autorisés sont toujours en mesure d'effectuer les opérations de sauvegarde.

Ignorer la recherche de l'autorisation Passer sur le dossier

Le privilège Ignorer la recherche de l'autorisation Passer sur le dossier permet à l'utilisateur de traverser des dossiers sans vérifier l'autorisation d'accès spéciale « Passer sur le dossier » pendant le parcours du chemin d'accès à un objet dans le système de fichiers NTFS ou dans le Registre. Ce privilège ne permet pas à l'utilisateur d'établir la liste du contenu d'un dossier. Il lui permet uniquement de traverser ses répertoires.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Le paramètre par défaut pour ce privilège utilisateur est de permettre à chacun d'ignorer la recherche de l'autorisation Passer sur le dossier. Pour les administrateurs système Windows expérimentés, ceci constitue le comportement attendu. Aussi configurent-ils la liste de contrôle d'accès au système de fichiers en fonction. Le seul scénario dans lequel la configuration par défaut peut se révéler négative est si l'administrateur configurant les autorisations ne comprend pas le comportement et s'attend à ce que les utilisateurs dans l'incapacité d'accéder à un dossier soient également incapables d'accéder au contenu des dossiers enfant. Il s'agit d'une situation peu probable et de ce fait le risque présenté par cette vulnérabilité est très faible.

Contre-mesures

Les organisations très engagées en matière de sécurité peuvent souhaiter supprimer le groupe Tout le monde ou peut-être même le groupe Utilisateurs, de la liste de groupes dotés du privilège Ignorer la recherche de l'autorisation Passer sur le dossier.

Impact potentiel

Les systèmes d'exploitation Windows, ainsi que de nombreuses applications, ont été conçus dans l'attente que quiconque ayant légitimement accès à l'ordinateur serait doté de ce droit de l'utilisateur. De ce fait, la suppression du groupe Tout le monde de la liste d'utilisateurs dotés de ce privilège par défaut risque d'entraîner l'instabilité du système d'exploitation ou un échec d'application. Il est préférable de conserver les valeurs par défaut pour ce paramètre.

Modifier l'heure du système

Le privilège Modifier l'heure du système permet à l'utilisateur de régler l'horloge interne de l'ordinateur. Ce privilège n'est pas obligatoire pour changer le fuseau horaire ou d'autres caractéristiques d'affichage de l'heure système.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs qui peuvent modifier l'heure sur un ordinateur risquent d'entraîner plusieurs problèmes : les heures des entrées du journal d'événements ne seront plus précises, celles des fichiers et des dossiers créés ou modifiés ne seront plus correctes et concernant les ordinateurs qui appartiennent à un domaine, il se peut qu'ils ne parviennent pas à s'authentifier ou à authentifier les utilisateurs qui tentent de se connecter au domaine à partir d'eux. Le risque que cela se produise est minimisé sur la plupart des contrôleurs de domaine, des serveurs membres et des ordinateurs d'utilisateurs finaux car le service Horloge Windows se synchronise automatiquement avec les contrôleurs de domaine de l'une des manières suivantes :

  • tous les ordinateurs de bureau clients désignent le contrôleur de domaine d'authentification comme leur partenaire horaire entrant ;

  • tous les serveurs membres suivent le même processus que les ordinateurs de bureau clients ;

  • tous les contrôleurs de domaine d'un domaine désignent le maître des opérations du contrôleur de domaine principal comme leur partenaire horaire entrant ;

  • tous les maîtres des opérations suivent la hiérarchie de domaines dans la sélection de leur partenaire horaire entrant ;

  • le maître des opérations du contrôleur de domaine principal à la racine du domaine fait autorité pour l'organisation. Aussi, est-il préférable de le configurer pour qu'il se synchronise avec un serveur horaire externe fiable.

Cette vulnérabilité devient beaucoup plus grave si un pirate peut modifier l'heure système, puis arrêter le service Horloge Windows ou le reconfigurer afin qu'il se synchronise avec un serveur de temps imprécis.

Contre-mesures

Limitez le privilège Modifier l'heure du système aux utilisateurs ayant un besoin légitime de modifier l'heure système, comme les membres du service informatique.

Impact potentiel

Il ne devrait y avoir aucun impact, car pour la plupart des organisations, la synchronisation de l'heure est totalement automatisée pour tous les ordinateurs appartenant au domaine. Les ordinateurs n'appartenant pas au domaine doivent être configurés pour se synchroniser avec une source externe.

Create a page file (Créer un fichier d'échange)

Le privilège Create a page file permet à l'utilisateur de créer et de modifier la taille d'un fichier d'échange. Pour ce faire, spécifiez la taille d'un fichier d'échange pour un lecteur spécifique dans la boîte Options de performances située dans l'onglet Avancé de la boîte de dialogue Propriétés système.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs en mesure de modifier la taille du fichier d'échange peuvent le rendre extrêmement petit ou le placer sur un volume de stockage excessivement fragmenté risquant d'entraîner une dégradation des performances système.

Contre-mesures

Limitez le privilège Create a page file (Créer un fichier page) aux membres du groupe Administrateurs.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Créer un objet-jeton

Le droit Créer un objet-jeton permet à un processus de créer un jeton qu'il peut ensuite utiliser pour accéder à n'importe quelle ressource locale lorsqu'il appelle NtCreateToken() ou d'autres API de création de jeton.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Le système d'exploitation détermine le niveau de privilèges d'un utilisateur en examinant son jeton d'accès. Les jetons d'accès sont générés lorsque les utilisateurs se connectent à l'ordinateur local ou à un ordinateur distant via un réseau. Si vous révoquez un privilège, la modification est immédiatement enregistrée dans le Registre, mais elle n'apparaît dans le jeton d'accès de l'utilisateur que lors de sa prochaine ouverture de session ou connexion. Un utilisateur ayant la capacité de créer ou de modifier des jetons peut modifier le niveau d'accès de tout compte connecté. Il peut même élever ses propres privilèges ou créer une condition de refus de service (DoS).

Contre-mesures

N'accordez pas le droit Créer un objet-jeton à un utilisateur. Les processus qui requièrent ce privilège doivent utiliser le compte Système local qui inclut déjà ce privilège, plutôt qu'un compte utilisateur distinct auquel ce privilège est accordé.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Create global objects (Créer des objets globaux)

Le droit Create global objects est requis pour un compte utilisateur afin de créer des objets globaux disponibles pour toutes les sessions. Les utilisateurs peuvent néanmoins créer des objets spécifiques à leurs propres sessions sans devoir disposer de ce droit.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs en mesure de créer des objets globaux peuvent avoir un impact sur les processus s'exécutant sous d'autres sessions utilisateurs. Ceci risque d'entraîner divers problèmes, tel que l'échec d'une application ou la corruption des données.

Contre-mesures

Limitez le privilège Create global objects (Créer des objets globaux) aux membres des groupes Administrateurs et Service locaux.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Créer des objets partagés permanents

Le droit Créer des objets partagés permanents permet à un utilisateur de créer un objet répertoire dans le gestionnaire d'objets. Ceci signifie que les utilisateurs dotés de ce privilège peuvent créer des dossiers, des imprimantes et d'autres objets partagés. Ce privilège est utile aux composants de mode noyau (kernel) qui étendent l'espace de noms d'objets. Les composants qui s'exécutent en mode noyau disposent de ce privilège par héritage. Il n'est donc pas nécessaire de le leur attribuer spécifiquement.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs dotés de ce privilège risquent d'exposer des données sensibles sur le réseau en créant un nouvel objet partagé.

Contre-mesures

N'accordez pas le droit Créer des objets partagés permanents à un utilisateur. Les processus qui requièrent ce privilège doivent utiliser le compte Système local qui inclut déjà ce privilège, plutôt qu'un compte utilisateur distinct auquel ce privilège est accordé. Les utilisateurs appartenant au groupe Administrateurs local peuvent néanmoins créer, modifier et supprimer des dossiers et des imprimantes partagés.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Déboguer des programmes

Le droit Déboguer des programmes permet à l'utilisateur d'associer un débogueur à un processus. Ce privilège fournit l'accès aux composants du système d'exploitation sensibles et cruciaux.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Ce privilège peut être utilisé pour capturer des informations système sensibles à partir de la mémoire système. Certains outils, permettant d'exécuter des attaques informatiques, exploitent le droit de l'utilisateur Déboguer des programmes pour récupérer des mots de passe hachés et d'autres informations de sécurité privées. Le risque que des pirates soient capables d'exploiter cette vulnérabilité est minimisé par le fait que le droit de déboguer des programmes est par défaut, accordé uniquement aux administrateurs.

Contre-mesures

Révoquez le droit Déboguer des programmes pour tous les utilisateurs et les groupes.

Impact potentiel

La révocation de ce privilège entraîne l'impossibilité pour quiconque de déboguer des programmes. Cependant, dans des circonstances normales, le débogage est rarement utile sur des systèmes de production. Si un problème survient, nécessitant le débogage d'une application sur un serveur de production, déplacez temporairement le serveur sur une autre unité d'organisation et accordez le droit Déboguer des programmes au compte approprié.

Interdire l'accès à cet ordinateur à partir du réseau

Le droit de connexion Interdire l'accès à cet ordinateur à partir du réseau empêche un utilisateur de se connecter à l'ordinateur par le biais du réseau.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs en mesure de se connecter à l'ordinateur via le réseau peuvent énumérer les listes de noms de comptes, de noms de groupes et de ressources partagées. Les utilisateurs ayant l'autorisation d'accès aux dossiers et fichiers partagés peuvent se connecter via le réseau et éventuellement afficher ou modifier des données. Le fait d'interdire explicitement ce droit de connexion aux comptes à hauts risques, tels que le compte Invité local ou d'autres comptes qui n'ont aucune raison métier d'accéder à l'ordinateur via le réseau, fournit une couche de protection supplémentaire.

Contre-mesures

Accordez le droit de connexion Interdire l'accès à cet ordinateur à partir du réseau aux comptes suivants :

  • ANONYMOUS LOGON ;

  • au compte Administrateur local intégré ;

  • au compte Invité local ;

  • au compte Support intégré (le compte Support_ 388945a0 correspond au compte de connexion pour l'assistance à distance) ;

  • à tous les comptes de service.

Tous les comptes de service utilisés pour lancer des services qui doivent se connecter à l'ordinateur via le réseau constituent une exception importante à cette liste. Par exemple, si vous avez configuré un dossier partagé pour que des serveurs Web accèdent à son contenu et le présentent via un site Web, il se peut que vous deviez permettre au compte sous lequel IIS (Microsoft Internet Information Server) s'exécute de se connecter au serveur possédant le dossier partagé via le réseau.

Impact potentiel

La configuration de ce droit de connexion pour les autres groupes risque de limiter les capacités des utilisateurs affectés à des rôles administratifs dans votre environnement. Vérifiez que l'impact sur les tâches déléguées ne sera pas négatif.

Interdire l'ouverture de session en tant que tâche

Le droit Interdire l'ouverture de session en tant que tâche empêche un utilisateur de se connecter à l'aide d'un utilitaire de file d'attente de commandes. La file d'attente de commandes est la fonctionnalité de Windows Server 2003 utilisée pour planifier le lancement ultérieur automatique des tâches, à une ou plusieurs reprises. Ce droit de l'utilisateur est requis pour tous les comptes utilisés pour la planification des tâches via le Planificateur de tâches.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les comptes dotés de ce droit de connexion peuvent servir à planifier des tâches risquant de consommer trop de ressources système et pouvant donc générer une erreur DoS.

Contre-mesures

Accordez le droit de connexion Interdire l'ouverture de session en tant que tâche au compte Support intégré (le compte Support_ 388945a0 correspond au compte de connexion pour l'assistance à distance) et au compte Invité local.

Impact potentiel

L'attribution de ce droit de connexion à d'autres comptes peut empêcher les utilisateurs auxquels sont affectés des rôles administratifs spécifiques d'effectuer leurs activités. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Refuser l'ouverture de session en tant que service

Le droit de connexion Refuser l'ouverture de session en tant que service empêche un utilisateur de se connecter en tant que service.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les comptes qui se connectent en tant que service peuvent être utilisés pour configurer et lancer de nouveaux services non autorisés, tels qu'un cheval de Troie ou une backdoor. Il s'agit d'une porte d'entrée cachée dans un système d'exploitation qui peut être utilisée pour télécharger des informations système. L'avantage présenté par la configuration de cette contre-mesure est quelque peu nuancé par le fait que seuls les utilisateurs disposant de privilèges administratifs sont en mesure d'installer et de configurer des services, et qu'un pirate ayant atteint ce niveau d'accès peut configurer le service afin qu'il s'exécute avec le compte Système local.

Contre-mesures

Il n'est pas recommandé d'attribuer le droit de connexion Interdire l'ouverture de session en tant que tâche à un compte, ce qui constitue le paramètre par défaut. Les organisations extrêmement engagées en matière de sécurité peuvent souhaiter accorder ce droit de connexion aux groupes et aux comptes pour lesquels elles sont certaines qu'ils ne devront jamais se connecter en tant que service.

Impact potentiel

L'attribution de ce droit d'utilisateur à des comptes spécifiques risque d'interdire le lancement des services, ce qui peut entraîner une erreur DoS.

Interdire l'ouverture d'une session locale

Le droit de connexion Interdire l'ouverture d'une session locale empêche un utilisateur de se connecter directement par le biais du clavier de l'ordinateur.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout compte doté de la capacité d'ouverture de session en local peut être utilisé pour se connecter à la console de l'ordinateur. Si ce privilège n'est pas limité aux utilisateurs légitimes qui doivent se connecter à la console du système, des utilisateurs non autorisés peuvent alors télécharger et exécuter un code malveillant qui élève leurs privilèges.

Contre-mesures

Accordez le droit de connexion Interdire l'ouverture d'une session locale au compte Support intégré (le compte Support_388945a0 correspond au compte de connexion pour l'assistance à distance).

Remarque : le compte Support_388945a0 permet aux services Aide et Support de fonctionner avec des scripts signés. Ce compte est principalement utilisé pour contrôler l'accès aux scripts signés, accessibles à partir des services Aide et Support. Les administrateurs peuvent utiliser ce compte pour déléguer la capacité d'exécution de scripts signés à partir de liens imbriqués dans les services Aide et Support à un utilisateur ordinaire ne disposant pas d'un accès administratif à l'ordinateur. Ces scripts peuvent être programmés afin d'utiliser les informations d'identification du compte Support_388945a0 à la place de celles de l'utilisateur pour effectuer des opérations administratives spécifiques sur l'ordinateur local qui, sinon, ne seraient pas prises en charge par le compte ordinaire de l'utilisateur. Lorsque l'utilisateur délégué clique sur un lien dans les services Aide et Support, le script s'exécute dans le contexte de sécurité du compte Support_388945a0. Ce compte dispose d'un accès limité à l'ordinateur et est désactivé par défaut.

Impact potentiel

L'attribution de ce droit de connexion à d'autres comptes risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Interdire l'ouverture de session par les services Terminal Server

Le droit de connexion Interdire l'ouverture de session par les services Terminal Server interdit à un utilisateur d'ouvrir une session sur un ordinateur via une connexion Bureau à distance.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout compte doté du droit d'ouverture de session par les services Terminal Server peut être utilisé pour se connecter à la console à distance de l'ordinateur. Si ce privilège n'est pas limité aux utilisateurs légitimes qui doivent se connecter à la console du système, des utilisateurs non autorisés peuvent alors télécharger et exécuter un code malveillant qui élève leurs privilèges.

Contre-mesures

Accordez le droit de connexion Interdire l'ouverture de session par les services Terminal Server au compte Administrateur local intégré et à tous les comptes de service.

Impact potentiel

L'attribution de ce droit de connexion à d'autres groupes risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation

Le privilège de l'option donnant la possibilité d' activer l'approbation des comptes ordinateur et utilisateur pour la délégation permet à l'utilisateur de modifier le paramètre Approuvé pour la délégation sur un objet d'utilisateur ou d'ordinateur dans Active Directory. L'utilisateur ou l'ordinateur auquel est accordé ce privilège doit également posséder un accès en écriture aux indicateurs de contrôle de compte sur l'objet.

La délégation de l'authentification est une capacité utilisée par les applications client/serveur à plusieurs niveaux. Elle permet à un service frontal d'utiliser les paramètres d'identification d'un client pour s'authentifier auprès d'un service principal. Pour que cela soit possible, le client et le serveur doivent tous les deux être exécutés sous des comptes approuvés pour la délégation.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Une utilisation malencontreuse de ce privilège pourrait entraîner des usurpations d'identité sur le réseau. Un pirate pourrait exploiter ce privilège en vue d'obtenir l'accès aux ressources réseau en se substituant à un autre utilisateur, ce qui rendrait l'identification des événements après un incident de sécurité difficile à déchiffrer.

Contre-mesures

Le privilège Activation de l'approbation des comptes ordinateur et utilisateur pour la délégation ne doit être accordé qu'au groupe Administrateurs sur des contrôleurs de domaine.

Remarque : il n'y a pas de raison d'accorder ce privilège à quiconque sur des serveurs membres et des postes de travail qui appartiennent à un domaine car ceci n'a aucun sens dans ces contextes. Ceci ne s'applique que sur des contrôleurs de domaine et des systèmes autonomes.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Forcer l'arrêt à partir d'un système distant

Le privilège d'utilisateur Forcer l'arrêt à partir d'un système distant permet à un utilisateur d'arrêter un ordinateur à partir d'un emplacement distant sur le réseau.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout utilisateur pouvant arrêter un ordinateur peut générer une erreur DoS ; il convient donc de limiter grandement ce privilège.

Contre-mesures

Limitez le privilège Forcer l'arrêt à partir d'un système distant aux membres du groupe Administrateurs.

Impact potentiel

La suppression du groupe Opérateurs de serveur risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Générer des audits de sécurité

Le privilège d'utilisateur Générer des audits de sécurité permet à un processus de générer des enregistrements d'audit dans le journal de sécurité. Le journal de sécurité peut servir à tracer un accès non autorisé au système.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les comptes ayant des capacités d'écriture dans le journal de sécurité peuvent être utilisés par un agresseur pour remplir le journal avec des événements sans importance. Si l'ordinateur est configuré pour écraser les événements selon les besoins, le pirate peut utiliser cette méthode pour supprimer la preuve de ses activités illicites. Si l'ordinateur est configuré pour s'arrêter lorsqu'il lui est impossible d'écrire dans le journal de sécurité, cette méthode peut servir à générer une erreur DoS.

Contre-mesures

Assurez-vous que seuls les groupes Service local et Service réseau disposent du privilège utilisateur Générer des audits de sécurité.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Emprunter l'identité d'un client après son authentification

L'attribution du privilège donnant la possibilité d' emprunter l'identité d'un client après son authentification permet aux programmes qui s'exécutent pour le compte de cet utilisateur de prétendre être un client. Demander ce droit d'utilisateur en vue de faire échec à ce type d'usurpation d'identité permet d'empêcher un utilisateur non autorisé de convaincre un client de se connecter (par exemple, par un appel RPC ou des canaux nommés) à un service qu'il a créé, puis de prétendre être ce client pour pouvoir élever les autorisations à des niveaux système ou administratifs.

Le groupe Service intégré est ajouté par défaut aux jetons d'accès des services démarrés par le Gestionnaire de contrôle des services. Le groupe Service est également ajouté aux jetons d'accès des serveurs COM par l'infrastructure COM configurée pour s'exécuter sous un compte spécifique. De ce fait, ces services reçoivent le droit de l'utilisateur lorsqu'ils sont démarrés.

En outre, un utilisateur peut également emprunter un jeton d'accès si l'une des conditions suivantes est remplie :

  • le jeton d'accès usurpé est destiné à cet utilisateur ;

  • l'utilisateur, dans cette session de connexion, a créé le jeton d'accès en se connectant au réseau à l'aide d'informations d'identification explicites ;

  • le niveau requis est inférieur à Emprunter l'identité, par exemple, Anonyme ou Identifier.

En raison de ces facteurs, les utilisateurs n'ont généralement pas besoin de ce droit de l'utilisateur.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un utilisateur doté de ce privilège peut inciter un client à se connecter à un service qu'il a créé, puis emprunter son identité, afin d'élever son niveau d'accès à celui du client.

Contre-mesures

Assurez-vous que seuls les groupes Administrateurs et Service disposent du privilège Emprunter l'identité d'un client après son authentification.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Accroître la priorité de planification

Le privilège donnant la possibilité d' accroître la priorité de planification permet à un utilisateur d'augmenter la classe de priorité de base d'un processus. L'augmentation de la priorité relative au sein d'une classe de priorité n'est pas une opération privilégiée. Ce privilège n'est pas requis par les outils administratifs fournis avec le système d'exploitation, mais pourrait l'être par les outils de développement logiciel.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un utilisateur doté de ce privilège peut augmenter la priorité de planification d'un processus à Temps réel, ce qui laisse très peu de temps de traitement pour les autres processus, avec le risque de générer une erreur DoS.

Contre-mesures

Vérifiez que seuls les Administrateurs disposent du droit d'utilisateur Accroître la priorité de planification.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Load and unload device drivers (Charger et décharger des pilotes de périphérique)

Le privilège donnant la possibilité de télécharger les pilotes du périphérique détermine quels utilisateurs peuvent charger et décharger dynamiquement des pilotes de périphérique. Ce privilège n'est pas requis si un pilote signé pour le nouveau matériel existe déjà dans le fichier Driver.cab sur l'ordinateur.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les pilotes de périphérique s'exécutent sous forme de code hautement privilégié. Un utilisateur doté du privilège permettant de télécharger des pilotes de périphérique peut installer malencontreusement un code malveillant prenant l'apparence d'un pilote de périphérique. On part du principe que les administrateurs feront preuve d'une grande prudence en n'installant que des pilotes comportant des signatures numériques vérifiées.

Remarque : vous devez disposer de ce privilège et être un membre des groupes Administrateurs ou Utilisateurs avec pouvoir, en vue d'installer un nouveau pilote pour une imprimante locale ou de gérer une imprimante locale en définissant des valeurs par défaut pour des options comme l'impression en duplex. L'obligation de disposer de ce privilège et d'appartenir au groupe Administrateurs ou Utilisateurs avec pouvoir est nouvelle dans Windows XP et Windows Server 2003.

Contre-mesures

N'accordez pas le privilège Load and unload device drivers (Charger et décharger des pilotes de périphérique) à d'autres utilisateurs ou groupes que le groupe Administrateurs.

Impact potentiel

La suppression de ce droit d'utilisateur du groupe Opérateurs d'impression risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Verrouiller les pages en mémoire

Le privilège donnant la possibilité de verrouiller les pages en mémoire permet à un processus de conserver les données dans une mémoire physique, ce qui empêche le système d'échanger les données dans une mémoire virtuelle sur disque. L'attribution de ce privilège risque d'entraîner une dégradation importante des performances système.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Les utilisateurs dotés de ce privilège peuvent attribuer une mémoire physique à plusieurs processus, en laissant peu ou pas de RAM pour les autres processus, phénomène pouvant générer une erreur DoS.

Contre-mesures

N'accordez pas le privilège Verrouiller les pages en mémoire à un compte.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Ouvrir une session en tant que tâche

Le droit d'utilisateur Ouvrir une session en tant que tâche permet à un utilisateur de se connecter à l'aide d'une fonction de file d'attente de commandes, comme le service Gestionnaire des tâches. Si un administrateur utilise l'Assistant de création d'une tâche planifiée pour planifier l'exécution d'une tâche sous un nom et un mot de passe utilisateur spécifiques, le droit Ouvrir une session en tant que tâche lui est automatiquement accordé. À l'heure planifiée, le service Planificateur de tâches connecte l'utilisateur en tant que tâche, plutôt qu'en tant qu'utilisateur interactif et la tâche s'exécute dans le contexte de sécurité de l'utilisateur.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Cette vulnérabilité est à risque faible. Pour la plupart des organisations, les paramètres par défaut suffisent.

Contre-mesures

Il est préférable de permettre au système de gérer ce droit d'utilisateur automatiquement si vous souhaitez autoriser l'exécution planifiée des tâches pour certains comptes utilisateur spécifiques. Si vous ne souhaitez pas utiliser le Planificateur de tâches de cette façon, configurez le droit de connexion Ouvrir une session en tant que tâche uniquement pour le groupe Service local et le compte de support local (Support_388945a0). Pour les serveurs IIS, vous devez configurer cette stratégie en local, plutôt que par des stratégies de groupe basées sur le domaine, afin de vous assurer que les comptes IUSR_nomOrdinateur et IWAM_nomOrdinateur locaux disposent de ce droit de connexion.

Impact potentiel

Si vous spécifiez ce paramètre via les stratégies de groupe basées sur le domaine, le système ne sera pas en mesure d'accorder ce privilège aux comptes utilisés pour les tâches planifiées dans le Planificateur de tâches et les comptes IUSR_nomOrdinateur et IWAM_nomOrdinateur ne disposeront pas de ce droit de connexion, aussi IIS sera dans l'incapacité d'exécuter certains objets COM nécessaires pour un fonctionnement correct.

Ouvrir une session en tant que service

Le droit de connexion Ouvrir une session en tant que service permet à l'entité de sécurité de se connecter en tant que service. Les services peuvent être configurés pour s'exécuter sous les comptes locaux Système, Service local ou Service réseau qui disposent d'un droit prédéfini de connexion en tant que service. Ce droit doit être accordé à tout service s'exécutant sous un compte utilisateur distinct.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Il s'agit d'un droit de connexion puissant qui permet aux comptes de lancer des services réseau. Les risques sont réduits du fait que seuls les utilisateurs dotés de privilèges administratifs peuvent installer et configurer les services. Un pirate ayant déjà atteint ce niveau d'accès pourrait configurer le service pour qu'il s'exécute avec le compte Système local.

Contre-mesures

L'entité de sécurité par défaut dotée du droit de connexion Ouvrir une session en tant que service est le groupe local prédéfini Service réseau. Des comptes de service doivent être ajoutés au groupe local et vous devez alors contrôler l'appartenance à ce groupe et à ce droit d'utilisateur pour vous assurer que des modifications inattendues ne sont pas effectuées.

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Gérer le journal d'audit et de sécurité

Le droit donnant la possibilité de gérer le journal d'audit et de sécurité permet à un utilisateur de spécifier des options d'audit d'accès à un objet pour des ressources individuelles, comme des fichiers, des objets Active Directory et des clés de Registre. L'audit d'accès à un objet n'est pas effectué à moins que vous ne l'activiez à l'aide de la Stratégie d'audit, située sous Paramètres de sécurité, Stratégies locales. Un utilisateur disposant de ce privilège peut également afficher et effacer le journal de sécurité à partir de l'Observateur d'événements.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Le droit permettant de gérer le journal des événements de sécurité est un privilège d'utilisateur avancé à surveiller de près. Toute personne dotée de ce privilège peut vider le journal de sécurité, en effaçant éventuellement une preuve importante d'activité non autorisée.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Gérer le journal d'audit et de sécurité.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Modifier les valeurs de l'environnement du microprogramme

Le droit d'utilisateur donnant la possibilité de modifier les valeurs de l'environnement du microprogramme permet la modification des variables d'environnement système par l'intermédiaire d'un processus via une API ou par l'intermédiaire d'un utilisateur via Propriétés système.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Toute personne dotée de ce privilège peut configurer les paramètres d'un composant matériel de façon à ce qu'il tombe en panne, phénomène pouvant entraîner la corruption des données ou générer une erreur DoS.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Modifier les valeurs de l'environnement du microprogramme.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Procéder aux tâches de maintenance du volume

Le droit d'utilisateur donnant la possibilité de procéder aux tâches de maintenance du volume permet à un utilisateur non administratif ou distant de gérer des volumes ou des disques. Windows Server 2003 vérifie le privilège dans un jeton d'accès d'utilisateur lorsqu'un processus s'exécutant dans le contexte de sécurité de l'utilisateur appelle SetFileValidData().

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un utilisateur doté de ce privilège peut supprimer un volume, entraînant la perte de données ou une erreur DoS.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Procéder aux tâches de maintenance du volume.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Optimiser un processus unique

Le droit Optimiser un processus unique permet à un utilisateur d'échantillonner les performances d'un processus système. D'ordinaire, vous n'avez pas besoin de ce privilège pour utiliser le composant logiciel enfichable Performances. Vous en avez cependant besoin si le moniteur système est configuré pour collecter des données à l'aide de l'infrastructure WMI (Windows Management Instrumentation).

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

La vulnérabilité engagée est modérée ; un pirate doté de ce privilège peut surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il pourrait attaquer directement. Il se peut également que le pirate puisse définir quels sont les processus en cours d'exécution sur le système de façon à identifier les contre-mesures à éviter (logiciel antivirus, système de détection d'intrusion ou autres utilisateurs connectés au système).

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Profil d'un processus unique.

Impact potentiel

La suppression de ce droit d'utilisateur du groupe Utilisateurs avec pouvoir risque de limiter les capacités des utilisateurs affectés à des rôles administratifs spécifiques dans votre environnement. Assurez-vous que l'impact sur les tâches déléguées ne sera pas négatif.

Optimiser les performances système

Le droit d'utilisateur Optimiser les performances systèmepermet à un utilisateur d'échantillonner les performances des processus système. Ce privilège est requis par le composant logiciel enfichable Performances, uniquement s'il est configuré pour collecter des données à l'aide de l'infrastructure WMI. D'ordinaire, vous n'avez pas besoin de ce privilège pour utiliser le composant logiciel enfichable Performances. Vous en avez cependant besoin si le moniteur système est configuré pour collecter des données à l'aide de l'infrastructure WMI.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

La vulnérabilité engagée est modérée ; un pirate doté de ce privilège peut surveiller les performances d'un ordinateur de façon à identifier les processus critiques qu'il pourrait attaquer directement. Il se peut également que le pirate puisse définir quels sont les processus en cours d'exécution sur le système de façon à identifier les contre-mesures à éviter (logiciel antivirus ou système de détection d'intrusion).

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Optimiser les performances système.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Retirer l'ordinateur de la station d'accueil

Le droit d'utilisateur Retirer l'ordinateur de la station de travail permet à l'utilisateur d'un ordinateur portable de retirer l'ordinateur en cliquant sur Ejecter le PC dans le menu Démarrer.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Toute personne dotée de ce droit d'utilisateur peut supprimer un ordinateur portable qui a été démarré à partir de sa station d'accueil. La valeur de cette contre-mesure est réduite par plusieurs facteurs : si un pirate peut redémarrer l'ordinateur, ce dernier peut être retiré de la station d'accueil une fois le BIOS démarré, mais avant que le système d'exploitation n'ait été lancé (ce paramètre n'a aucun impact sur les serveurs car ils ne sont généralement pas installés dans une station d'accueil). De toute façon, un pirate peut voler l'ordinateur et la station d'accueil.

Contre-mesures

Assurez-vous que seuls les groupes locaux Administrateurs et Utilisateurs avec pouvoir disposent du droit d'utilisateur Retirer l'ordinateur de la station d'accueil.

Impact potentiel

Il s'agit de la configuration par défaut. Son impact doit être infime, cependant, si les utilisateurs finaux de votre organisation ne sont pas membres des groupes Utilisateurs avec pouvoir ou Administrateurs, ils ne seront pas en mesure de retirer leurs propres ordinateurs portables des stations d'accueil sans arrêter le système. De ce fait, vous pouvez accorder ce privilège au groupe local Utilisateurs pour les ordinateurs portables.

Remplacer un jeton au niveau des processus

Le droit d'utilisateur Remplacer un jeton au niveau des processus permet à un processus parent de remplacer le jeton d'accès qui est associé à un processus enfant.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un utilisateur disposant de ce privilège et du droit d'augmenter les quotas pour des processus (le droit d'utilisateur Régler les quotas de mémoire pour un processus abordé précédemment) est capable de lancer des processus comme les autres utilisateurs. Les pirates peuvent utiliser cette méthode pour masquer le fait qu'ils effectuent des opérations non autorisées sur l'ordinateur.

Contre-mesures

Assurez-vous que seuls les groupes Service local et Service réseau disposent du droit d'utilisateur Remplacer un jeton au niveau des processus.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

Restaurer des fichiers et des répertoires

Le droit Restaurer des fichiers et des répertoires permet à un utilisateur de manipuler les autorisations sur les fichiers et répertoires lors de la restauration de fichiers et de répertoires sauvegardés, et de définir n'importe quelle entité de sécurité valide comme propriétaire de l'objet.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Un pirate disposant de ce privilège peut restaurer des données sensibles de l'entreprise sur un système, écrasant ainsi des données plus récentes, phénomène pouvant entraîner la perte de données importantes, la corruption des données ou générer une erreur DoS.

Remarque : cette contre-mesure n'empêche pas un pirate de restaurer les données sur un système non géré, aussi est-il important que les organisations protègent soigneusement le support utilisé pour la sauvegarde des données.

Contre-mesures

Assurez-vous que seul le groupe Administrateurs local dispose du droit d'utilisateur Restaurer des fichiers et des répertoires.

Impact potentiel

La suppression de ce privilège du groupe Opérateurs de sauvegarde et d'autres comptes risque d'empêcher les utilisateurs affectés à des tâches spécifiques d'exécuter ces tâches. Vérifiez que ce changement n'a pas d'impact négatif sur les capacités du personnel de votre entreprise dans l'exécution de ses tâches.

Arrêter le système

Le privilège Arrêter le système permet à un utilisateur d'arrêter l'ordinateur local.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

La capacité à arrêter les contrôleurs de domaine doit être limitée à un très petit nombre d'administrateurs en qui vous avez toute confiance. Même si un arrêt système exige la capacité à se connecter au serveur, soyez très vigilants sur les comptes et les groupes que vous autorisez à arrêter un contrôleur de domaine.

L'arrêt des contrôleurs de domaine les rend indisponibles pour l'exécution des fonctions telles que le traitement des connexions, la réalisation de la Stratégie de groupe et la réponse aux requêtes LDAP (Lightweight Directory Access Protocol). L'impact de l'arrêt des contrôleurs de domaine possédant des rôles de maître d'opérations (Flexible Single-Master Operations, FSMO) réside dans le fait que ces serveurs peuvent désactiver la fonctionnalité principale du domaine, le traitement des nouveaux mots de passe par exemple, le rôle d'émulation du contrôleur de domaine principal.

Contre-mesures

Assurez-vous que seuls les groupes Administrateurs et Opérateurs de sauvegarde disposent du privilège Arrêter le système sur les serveurs membres et que seuls les Administrateurs en disposent sur les contrôleurs de domaine.

Impact potentiel

L'impact de la suppression de ces groupes par défaut peut inclure la restriction des capacités déléguées des rôles affectés dans votre environnement. Assurez-vous que l'impact sur les activités déléguées ne sera pas négatif.

Synchroniser des données du service d'annuaire

Le droit d'utilisateur donnant la possibilité de synchroniser des données du service d'annuaire permet à un processus de lire tous les objets et les propriétés dans le répertoire, quelle que soit la protection sur les objets et les propriétés. Ce privilège est requis pour utiliser les services de synchronisation de répertoire LDAP (Dirsync).

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Ce privilège a un impact sur les contrôleurs de domaine qui eux seuls doivent être en mesure de synchroniser les données de service d'annuaire. Ils disposent de ce droit par héritage, du fait que le processus de synchronisation s'exécute dans le contexte du compte Système sur les contrôleurs de domaine. Un pirate disposant de ce privilège peut afficher toutes les informations stockées dans l'annuaire. Il peut ensuite utiliser certaines de ces informations pour simplifier d'autres attaques ou exposer des données sensibles de l'entreprise, tels que des numéros de téléphone de ligne directe ou des adresses physiques.

Contre-mesures

Assurez-vous qu'aucun compte ne dispose du droit d'utilisateur Synchroniser des données du service d'annuaire.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.

S'approprier les fichiers et les autres objets

Le droit d'utilisateur donnant la possibilité de s' approprier les fichiers et les autres objets permet à un utilisateur de prendre possession d'un objet sécurisable dans le système, comme des objets Active Directory, des fichiers et des dossiers NTFS, des imprimantes, des clés de Registre, des processus et des threads.

Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :

  • Une liste des comptes définie par l'utilisateur.

  • Non défini.

Vulnérabilité

Tout utilisateur disposant de cette capacité peut prendre le contrôle d'un objet quelles que soient les autorisations sur cet objet, puis effectuer les modifications souhaitées sur l'objet. Ceci peut entraîner une exposition des données, leur corruption ou une erreur DoS.

Contre-mesures

Vérifiez que seul le groupe local Administrateurs détient le droit d'utilisateur donnant la possibilité de s' approprier les fichiers et les autres objets.

Impact potentiel

Aucun. Il s'agit de la configuration par défaut.