Guide de planification de la sécurité des comptes administrateur

  • Article

Chapitre 3 - Instructions pour la sécurisation des comptes administrateur

Dernière mise à jour le 25/5/2005

Ce chapitre décrit des pratiques générales recommandées pour augmenter la sécurité des comptes administratifs. Ces pratiques suivent les principes énoncés dans le chapitre 2, « Approche en vue d'une meilleure sécurisation des comptes administrateur ».

Présentation des instructions en vue d'une meilleure sécurisation des comptes administrateur

Toute nouvelle installation du service d'annuaire Active Directory® entraîne la création d'un compte administrateur pour chaque domaine. Par défaut, ce compte ne peut être ni supprimé, ni verrouillé. Sous Microsoft® Windows Server™ 2003, vous pouvez désactiver le compte administrateur, mais il est automatiquement réactivé lorsque vous démarrez l'ordinateur en mode sans échec.

Un utilisateur malveillant qui tente de pirater un ordinateur commence généralement par rechercher un compte valide, puis tente d'augmenter les privilèges associés à ce compte. Il peut aussi utiliser des techniques de piratage du mot de passe sur le compte administrateur. Il s'attaque à ce compte car il est puissant et ne peut pas être verrouillé. Il peut également tenter d'amener l'administrateur à exécuter un code malveillant pour obtenir un accès.

Séparation des rôles administrateur d'entreprise et administrateur de domaine

Le rôle administrateur d'entreprise disposant des privilèges maximums dans un environnement de forêt, vous devez prendre l'une des deux mesures suivantes afin de contrôler au mieux son utilisation. Vous pouvez créer et sélectionner un seul compte bien sécurisé qui sera membre des administrateurs de l'entreprise. Vous pouvez également choisir de ne pas configurer de compte avec ces informations d’identification et de créer un compte de ce type uniquement lorsqu'une tâche autorisée requiert ces privilèges. Une fois la tâche terminée, supprimez immédiatement le compte temporaire d'administrateur d'entreprise.

Séparation des comptes administrateur et utilisateur

Il est conseillé de créer deux comptes pour chaque utilisateur ayant un rôle d'administrateur : un compte utilisateur ordinaire, destiné aux tâches quotidiennes des programmes de messagerie et autres programmes, et un compte administratif, réservé aux tâches administratives. Évitez d'activer la messagerie pour ces comptes. Utilisez-les pour exécuter des programmes standard ou pour naviguer sur Internet. Chaque compte doit posséder un mot de passe unique. Ces précautions de base permettent de réduire de manière significative l'exposition des comptes au monde extérieur et de diminuer la durée de connexion des comptes administratifs à un ordinateur ou un domaine.

Utilisation du service d'ouverture de session secondaire

Sous Microsoft Windows® 2000, Windows XP Professional et Windows Server 2003, vous pouvez exécuter des programmes avec un nom d'utilisateur différent de celui utilisé pour la connexion en cours. Sous Windows 2000, c'est le service Exécuter en tant que qui fournit cette fonction, tandis que sous Windows XP et Windows Server 2003, il s'agit du service d'ouverture de session secondaire. Le service Exécuter en tant que et le service d'ouverture de session secondaire sont identiques, seul le nom diffère.  

Le service d'ouverture de session secondaire permet aux administrateurs de se connecter à l'ordinateur avec un compte non administratif et, sans se déconnecter, d'effectuer des tâches administratives en exécutant des programmes administratifs de confiance dans des contextes administratifs.

Ce service permet de gérer les risques posés par les administrateurs qui exécutent des programmes susceptibles d'exécuter des codes malveillants (par exemple, un utilisateur qui accède à un site non approuvé alors qu'il est connecté avec des privilèges administratifs).

Ce service s'adresse en priorité aux administrateurs système ; cependant, tout utilisateur disposant de plusieurs comptes et devant démarrer des programmes sous différents contextes de compte sans se déconnecter peut l'utiliser.

Il est configuré pour démarrer automatiquement. Il utilise l'outil Exécuter en tant que comme interface utilisateur et runas.exe comme interface de ligne de commande. Le service Exécuter en tant que permet d'exécuter des programmes (*.exe), des consoles Microsoft Management Console (MMC) (*.msc) sauvegardées, des raccourcis vers des programmes, ainsi que des éléments du Panneau de configuration. Vous pouvez utiliser ces programmes en tant qu'administrateur même si vous êtes connecté à l'ordinateur sous un compte utilisateur standard, sans privilèges administratifs. Il suffit pour cela de saisir les informations d'identification du compte utilisateur administratif appropriées lorsque vous y êtes invité.

Le service Exécuter en tant que vous permet de gérer le serveur d'un autre domaine ou d'une autre forêt si vous disposez des informations d'identification associées au compte administrateur de ce domaine.

Remarque : le service Exécuter en tant que ne permet pas d'exécuter certains éléments comme le dossier Imprimantes, le Poste de travail et les Favoris réseau.

Utilisation du service Exécuter en tant que

Le service Exécuter en tant que peut être utilisé de plusieurs manières :

Pour démarrer une invite de commandes à l'aide des informations d'identification d'un compte administrateur de domaine

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, saisissez runas /user:<nom_domaine>\administrator cmd (où <nom_domaine> est le nom de votre domaine), puis cliquez sur OK.

  3. À l'invite, saisissez le mot de passe associé au compte administrateur (pour nom_domaine\administrator account), puis appuyez sur ENTRÉE.

  4. Une nouvelle fenêtre de console s'ouvre. Elle s'exécute dans le système administratif. Le titre de console s'identifie comme suit : Running as nom_domaine**\administrator**.

Pour utiliser le service Exécuter en tant que pour exécuter un élément du Panneau de configuration

  1. Sous Windows XP ou Windows Server 2003, cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Maintenez la touche MAJ enfoncée et cliquez avec le bouton droit sur l'outil ou le programme que vous souhaitez exécuter dans le contexte administratif (par exemple, Ajout de matériel).

  3. Dans le menu contextuel, cliquez sur Exécuter en tant que.

  4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L'utilisateur suivant, puis saisissez le nom de domaine, le nom du compte administrateur et le mot de passe appropriés ; par exemple :

    DOMAINENTREP\Administrateur

    P@ssw0rd

  5. Cliquez sur OK. Le programme s'exécute dans le contexte administratif.

Pour utiliser le service Exécuter en tant que pour ouvrir un programme du menu Démarrer tel que Utilisateurs et ordinateurs Active Directory

  1. Sous Windows Server 2003, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory.

  2. Dans le menu contextuel, cliquez sur Exécuter en tant que.

Vous pouvez également utiliser l'utilitaire de ligne de commande exécutable runas.exe pour exécuter des programmes et démarrer des consoles de gestion à partir de la ligne de commande.

Pour démarrer une instance de l'invite de commande en tant qu'administrateur sur l'ordinateur local

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, saisissez runas /user:<nom_ordinateur_local>\administrator cmd

  3. Cliquez sur OK.

  4. À l'invite, saisissez le mot de passe administrateur dans la fenêtre d'invite de commande, puis appuyez sur ENTRÉE.

Pour démarrer une instance du composant logiciel enfichable Gestion de l’ordinateur avec un compte administrateur admindomaine dans le domaine domainentrep  :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, saisissez runas /user:<domaineentrep>\<admindomaine> "mmc %windir%\system32\compmgmt.msc" 

  3. Cliquez sur OK.

  4. À l'invite, saisissez le compte administrateur dans la fenêtre d'invite de commande, puis appuyez sur ENTRÉE.

Vous pouvez également utiliser l'utilitaire runas.exe pour exécuter des programmes et démarrer des consoles de gestion à partir de la ligne de commande avec autorisations par carte à puce.

Pour démarrer une instance de la ligne de commande en tant qu'administrateur sur l'ordinateur local avec autorisations par carte à puce :

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, saisissez runas /smartcard /user:<nom_ordinateur_local>\administrator cmd 

  3. Cliquez sur OK.

  4. À l'invite, saisissez le code PIN de la carte à puce dans la fenêtre d'invite de commande, puis appuyez sur ENTRÉ.

Remarque : pour des raisons de sécurité, il n'est pas possible de saisir le mot de passe comme paramètre de ligne de commande dans runas.exe.

Exécution d'une session administrateur distincte pour les services Terminal Server

Le service Exécuter en tant que est la méthode que les administrateurs utilisent le plus souvent pour effectuer des modifications sur leurs ordinateurs locaux ou pour exécuter certains programmes sectoriels. Lorsque vous effectuez des tâches administratives informatiques, vous pouvez utiliser les services Terminal Server pour connecter les serveurs que vous devez gérer. Il est beaucoup plus simple de gérer plusieurs serveurs distants sans avoir à se déplacer. De plus, cette approche permet de réduire les besoins en droits de connexion interactifs sur les serveurs. Pour utiliser cette méthode, connectez-vous à l'aide des informations d'identification du compte utilisateur classique et exécutez une session de services Terminal Server en tant qu'administrateur de domaine. Il est recommandé d'effectuer les tâches d'administration à partir de cette fenêtre de session uniquement.

Définition d'un autre nom pour le compte administrateur par défaut

Le nom par défaut du compte administrateur indique que ce compte dispose de privilèges particuliers. Cette information reste inutile sans le mot de passe associé au compte, mais, en renommant le compte administrateur par défaut, vous rajoutez un niveau de protection supplémentaire pour parer aux risques d'attaque. Utilisez un prénom et un nom fictifs, d'un format identique à celui des autres noms utilisateur.

Remarque : renommer le compte administrateur par défaut n'empêche qu'un certain type d'attaques. Il est très facile pour un pirate de détecter le compte Administrateur par défaut car l'ID de sécurité de ce compte est toujours le même. En outre, il existe des outils qui permettent d'énumérer les membres d'un groupe et qui affichent toujours le compte administrateur d'origine en premier dans la liste. Afin de protéger au mieux votre compte administrateur intégré contre les attaques, créez un nouveau compte administrateur, puis désactivez le compte intégré.

Pour renommer le compte administrateur par défaut dans un domaine

  1. Connectez-vous en tant que membre du groupe Admins du domaine (mais pas au compte administrateur intégré), puis ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Dans l’arborescence de la console, cliquez sur Utilisateurs.

  3. Dans le volet d'informations, cliquez avec le bouton droit sur Administrateur, puis cliquez sur Renommer.

  4. Saisissez le prénom et le nom fictifs, puis appuyez sur ENTRÉE.

  5. Dans la boîte de dialogue Modification du nom de l'utilisateur, modifiez les valeurs relatives au Nom complet, au Prénom, au Nom, au Nom d'affichage, au Nom d'ouverture de session de l'utilisateur et au Nom d'ouverture de session de l'utilisateur (antérieur à Windows 2000) pour les faire correspondre au nom de compte fictif, puis cliquez sur OK.

  6. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur le nouveau nom, puis cliquez sur Propriétés.

  7. Cliquez sur l’onglet Général. Dans le champ Description, supprimez Compte d'utilisateur d'administration, puis saisissez une description qui ressemble à celle des autres comptes utilisateur (pour la plupart des entreprises, ce champ reste vide).

  8. Cliquez sur OK.

Pour renommer le compte Administrateur local par défaut

  1. Connectez-vous en tant que membre du groupe des administrateurs locaux (mais pas au compte administrateur intégré) et ouvrez le composant enfichable Utilisateurs et groupes locaux dans la console Gestion de l'ordinateur.

  2. Dans l'arborescence de la console, développez Utilisateurs et groupes locaux, puis cliquez sur Utilisateurs.

  3. Dans le volet d'informations, cliquez avec le bouton droit sur Administrateur, puis cliquez sur Renommer.

  4. Saisissez le prénom et le nom fictifs, puis appuyez sur ENTRÉE.

  5. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur le nouveau nom, puis cliquez sur Propriétés.

  6. Cliquez sur l’onglet Général. Dans le champ Nom complet, saisissez le nouveau nom complet. Dans le champ Description, supprimez Compte d'utilisateur d'administration, puis saisissez une description qui ressemble à celle des autres comptes utilisateur (pour la plupart des entreprises, ce champ reste vide).

  7. Cliquez sur OK.

Remarque : il existe également un paramètre d’objet Stratégie de groupe qui permet de renommer le compte administrateur par défaut sur un grand nombre d'ordinateurs. Toutefois, ce paramètre ne vous permet pas de modifier la description par défaut. Pour plus d’informations, reportez-vous à l'article de la Base de connaissances HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 site en anglais (PROCÉDURE : renommer des comptes administrateur et invité sous Windows Server 2003) à l'adresse https://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Création d'un compte administrateur leurre

La création d'un compte administrateur leurre rajoute un niveau de protection supplémentaire. Un pirate qui prévoie de s'approprier le mot de passe du compte administrateur est ainsi dupé puisqu'il attaque un compte ne possédant aucun privilège particulier, réduisant ainsi ses chances de découvrir le compte administrateur renommé. Vous pouvez également ralentir le pirate en vous assurant que ce compte leurre ne soit pas verrouillé et en lui associant un mot de passe fiable. Une fois le compte leurre créé, vérifiez s'il ne fait pas partie d'un groupe de sécurité privilégié, puis surveillez-le pour détecter les activités inattendues de type échec de connexion qui se produisent. Pour plus d'informations, consultez la page Securing Active Directory Administrative Groups and Accounts site en anglais (Sécurisation de comptes et de groupes d'administration Active Directory) à l'adresse www.microsoft.com/technet/security/topics/networksecurity/sec\_ad\_admin\_groups.mspx.

Pour créer un compte administrateur leurre dans un domaine

  1. Ouvrez une session en tant que membre du groupe Admins de domaine, puis ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur Utilisateurs, pointez sur Nouveau, puis cliquez sur Utilisateurs.

  3. Dans les champs Prénom et Nom d'ouverture de session de l'utilisateur, saisissez Administrateur, puis cliquez sur Suivant.

  4. Saisissez, puis confirmez le mot de passe.

  5. Désactivez l'option L'utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis cliquez sur Suivant.

  6. Vérifiez que les informations du compte leurre sont correctes, puis cliquez sur Terminer.

  7. Dans le volet d'informations, cliquez avec le bouton droit sur Administrateur, puis cliquez sur Propriétés.

  8. Cliquez sur l’onglet Général. Dans la zone Description, saisissez Compte d'utilisateur d'administration, puis cliquez sur OK.

Pour créer un compte administrateur local leurre

  1. Ouvrez une session en tant que membre du groupe local d'administrateurs et ouvrez le composant enfichable Utilisateurs et groupes locaux dans la console Gestion de l'ordinateur.

  2. Dans l’arborescence de la console, développez Utilisateurs et groupes locaux.

  3. Cliquez avec le bouton droit de la souris sur le nouveau dossier Utilisateurs, puis cliquez sur Nouvel utilisateur.

  4. Dans la zone Utilisateur, saisissez Administrateur. Dans la zone Description, saisissez Compte d'utilisateur d'administration.

  5. Saisissez, puis confirmez le mot de passe.

  6. Désactivez la case à cocher L'utilisateur doit changer de mot de passe à la prochaine ouverture de session.

  7. Cliquez sur Créer.

Création d'un compte administrateur secondaire et désactivation du compte intégré

Même si vous n'utilisez pas les services Terminal Server pour l'administration ou que vous n'autorisez pas les utilisateurs non-administrateurs à accéder à votre serveur, nous vous recommandons de créer un compte administrateur secondaire pour gérer vos serveurs. Intégrez cet utilisateur au groupe Administrateurs. Une fois le compte secondaire créé, vous pouvez désactiver le compte administrateur intégré.

Pour créer un compte administrateur secondaire :

  1. Connectez-vous en tant qu'administrateur et ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur Utilisateurs, pointez sur Nouveau, puis cliquez sur Utilisateurs.

  3. Dans Prénom et Nom d'ouverture de session de l'utilisateur, saisissez <nom d'utilisateur>, puis cliquez sur Suivant.

  4. Saisissez, puis confirmez le mot de passe fiable.

  5. Désactivez l'option L'utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis cliquez sur Suivant.

  6. Vérifiez que les informations du compte sont correctes, puis cliquez sur Terminer.

  7. Dans le volet d'informations, cliquez avec le bouton droit de la souris sur Nom d’utilisateur, puis cliquez sur Propriétés.

  8. Cliquez sur l'onglet Membre de, puis sur Ajouter ; saisissez administrateurs, puis cliquez sur Vérifier les noms et sur OK.

  9. Cliquez à nouveau sur OK pour fermer la page Propriétés.

Pour désactiver le compte administrateur intégré

  1. Connectez-vous au compte administrateur secondaire que vous venez de créer et ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez sur le conteneur Utilisateurs, cliquez avec le bouton droit sur le nom du compte administrateur intégré, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Compte.

  4. Sous Options de compte, faites défiler la fenêtre, puis cochez la case Le compte est désactivé.

  5. Cliquez sur OK.

Avertissement : lorsque vous désactivez le compte administrateur intégré, assurez-vous qu'un autre compte dispose des privilèges administrateur appropriés. Si vous désactivez le compte sans vous assurer qu'un autre compte est disponible, vous risquez de perdre le contrôle administratif de ce domaine, auquel cas vous devriez restaurer le système ou effectuer à nouveau l'installation.

Activation du verrouillage de compte pour les ouvertures de session administrateur à distance

Pour empêcher les pirates d'utiliser le compte administrateur intégré et ses informations d'identification, vous pouvez définir une stratégie de compte qui verrouille l'accès du compte au réseau lorsqu'un nombre défini d'échecs de connexion est atteint. Par défaut, le compte administrateur intégré ne peut pas être verrouillé ; toutefois, vous pouvez utiliser passprop.exe, programme de ligne de commande du kit Microsoft Windows 2000 Server Resource Kit, pour activer le verrouillage de compte administrateur pour les connexions à distance. Lorsque vous exécutez l'utilitaire passprop avec le commutateur /ADMINLOCKOUT, les stratégies de verrouillage de compte sont appliquées au compte administrateur. Sous Windows 2000 Server, elles s'appliquent uniquement aux connexions à distance. Étant donné qu'il est impossible de verrouiller le compte administrateur sur l'ordinateur local, ce programme vous permet de protéger le compte administrateur des attaques sur le réseau sans toutefois interdire un accès interactif.

Avertissement : sous Windows Server 2003, passprop permet de verrouiller le compte administrateur intégré pour les connexions interactives et à distance.

Avec passprop, vous pouvez utiliser les commutateurs de compte suivants :

passprop [/adminlockout] [/noadminlockout]

Le commutateur /adminlockout verrouille le compte administrateur.

Le commutateur /noadminlockout déverrouille le compte administrateur.

Remarque : lorsque vous activez ce paramètre et que le compte est verrouillé, aucun utilisateur ne peut effectuer de tâches administratives via le compte administrateur.

Création d'un mot de passe administrateur fiable

Utilisez un mot de passe fiable pour le compte administrateur intégré. Un mot de passe fiable réduit le risque qu'un pirate devine le mot de passe et intercepte les informations d'identification d'un compte utilisateur. Un mot de passe fiable de compte administrateur doit :

  • Contenir au moins 15 caractères.

  • Ne pas contenir de nom de compte, d'entreprise ou de nom réel.

  • Ne pas contenir de mots complets du dictionnaire, même de l'argot ou du jargon, quelle que soit la langue.

  • Être vraiment différent des mots de passe précédents. Les mots de passe qui se suivent (Mot de passe1, Mot de passe2, Mot de passe3...) ne sont pas fiables.

  • Contenir des caractères appartenant à au moins trois des cinq groupes répertoriés dans le tableau ci-dessous.

Tableau 3.1 Types de caractères pour les mots de passe fiables

Types de caractères

Exemple

Lettres majuscules

A, B, C...

Lettres minuscules

a, b, c...

Chiffres

0, 1, 2, 3...

Symboles non-alphanumériques du clavier

` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

Caractères Unicode

€, G, ƒ, ?
Utilisation de phrases de passe à la place des mots de passe

La méthode la plus simple pour créer un mot de passe fiable que vous n'aurez pas à écrire est de trouver une phrase de passe. Il s'agit d'une phrase dont vous pouvez vous souvenir, du type « Mon fils Laurent a trois ans de plus que ma fille Anne ». La première lettre de chaque mot de la phrase permet de constituer un mot de passe relativement fiable. On obtient : mfjatadpqmfa. Toutefois, vous pouvez rendre ce mot de passe encore plus fiable en mélangeant les majuscules et les minuscules, les chiffres et les caractères spéciaux qui ressemblent à des lettres. Par exemple, en utilisant toujours la même phrase et en y ajoutant quelques astuces, votre mot de passe devient : Mf£a3ad+qmf@.

Bien que les phrases de passe soient vulnérables aux attaques de dictionnaires, la plupart des logiciels de décodage de mots de passe commercialisés s'arrêtent aux mots de passe de 14 caractères. Une longue phrase de passe donne un mot de passe plus difficile à décoder et plus facile à retenir que les mots de passe fiables traditionnels. Lorsque les mots de passe sont faciles à retenir, les utilisateurs n'ont pas besoin de les écrire. Voici des exemples de phrases de passe fiables et efficaces :

  • Je vais @ la piscine 4 fois par $emaine !

  • Je vais vraiment @cheter 11 Chiens !

Ces phrases de passe contiennent plus de 20 caractères, elles sont très longues et comprennent des caractères appartenant aux quatre des cinq groupes possibles. Elles ne sont pas très répandues, mais sont plus simples à mémoriser qu'un mot de passe de 15 caractères alphanumériques composés de caractères, de symboles et de signes de ponctuation sans lien et qui n'ont pas de signification particulière.

Remplacement des mots de passe administrateur vides ou simples

Même si cela présente des risques de sécurité évidents, certaines entreprises attribuent des mots de passe vides ou simples aux comptes administrateur. Ce type de mot de passe est l'une des vulnérabilités les plus courantes pour un réseau et constitue le point d'accès privilégié des pirates.

Lorsque vous définissez un mot de passe simple ou vide pour le compte administrateur, les utilisateurs malveillants peuvent y accéder à l'aide de combinaisons de base comme « Administrateur » pour le nom d'utilisateur et une valeur vide ou « administrateur » pour le mot de passe. Les mots de passes vides ou simples sont très vulnérables aux tentatives de décodage, aux attaques de dictionnaire qui testent méthodiquement les mots les uns après les autres ainsi qu'aux attaques en force qui utilisent une liste de caractères communs comme A à Z et 0 à 9 en combinaisons linéaires.

Même si un mot de passes efficace ne garantit pas qu'aucun pirate n'aura accès à votre réseau, il fournit une excellente première ligne de défense.

Mise en place de mots de passe fiables

Veillez à ce que les administrateurs réseau de votre entreprise utilisent des mots de passe fiables. Sous Windows 2000 Server et Windows Server 2003, vous pouvez utiliser une stratégie de groupe pour mettre en place l'utilisation de mots de passe fiables.

Pour plus d'informations sur les mots de passe fiables et sécurisés, consultez le livre blanc Enforcing Strong Password Usage Throughout Your Organization (Mise en œuvre de mots de passe fiables dans votre entreprise) site en anglais à l'adresse www.microsoft.com/smallbusiness/gtm/securityguidance/articles/enforce\_strong\_passwords.mspx et le livre blanc Selecting Secure Passwords (Sélection de mots de passe fiables) site en anglais à l'adresse www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select\_sec\_passwords.mspx.

Changement régulier des mots de passe administrateur

Nous vous recommandons de modifier les mots de passe des comptes privilégiés régulièrement. Calculez l'intervalle entre les modifications en fonction de l'impact qu'aurait la violation du compte sur votre entreprise. Pour savoir comment déterminer cet intervalle, reportez-vous au guide The Security Risk Management Guide (Guide de gestion des risques de sécurité site en anglais** à l'adresse www.microsoft.com/technet/security/guidance/secrisk/default.mspx.

Modifiez régulièrement les mots de passe de vos comptes administrateur locaux. Vous pouvez automatiser ce processus pour les serveurs et les postes de travail à l'aide de l'outil cusrmgr.exe inclus dans le kit Microsoft Windows 2000 Server Resource Kit. Pour plus d'informations sur l'utilisation de l'outil cusrmgr.exe, consultez l'article How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers (Utilisation de l'outil Cusrmgr.exe pour modifier le mot de passe des comptes administrateur sur plusieurs ordinateurs) site en anglais de la Base de connaissances à l'adresse https://support.microsoft.com/kb/272530.

Il est également recommandé de modifier régulièrement le mot de passe du compte administrateur du mode Restauration des services d’annuaire (DSRM) sur les contrôleurs de domaine. Windows 2000 utilise l'utilitaire setpwd pour réinitialiser le mot de passe DSRM. Sous Windows Server 2003, c'est l'outil Ntdsutil qui fournit cette fonctionnalité. Vous pouvez utiliser ces outils à distance.

Automatisation de la détection des mots de passe simples

Les mots de passe vides et simples compromettent de manière significative la sécurité générale du réseau d'une entreprise. Nous recommandons aux entreprises de créer ou d'acheter un logiciel qui détecte ou teste automatiquement les mots de passe vides et simples.

Ce type d'outil utilise deux méthodes de base :

  • Tentatives de connexions multiples en ligne sur le réseau à l'aide de mots de passe classiques. Cette méthode en ligne est utilisée par Microsoft Baseline Security Analyzer (MBSA), par exemple. Elle est déconseillée car elle peut entraîner le refus de service si vous activez le verrouillage de compte.

  • Détection des mots de passe hors connexion. Il existe d'excellents outils de détection hors connexion tiers qui réduisent les risques de sécurité d'une entreprise en permettant aux administrateurs d'identifier et de palier les points faibles de la sécurité résultant de mots de passes simples. En général, ces outils recherchent les mots de passes simples et proposent des fonctions d'évaluation de la qualité, de rapport et des solutions. Cette méthode est recommandée pour tester les mots de passe simples.

Lorsque le mot de passe d'un compte est identifié comme simple ou faible, la solution adoptée doit être conforme au protocole de réponse aux incidents en vigueur dans votre entreprise. Voici quelques exemples de protocoles de réponse aux incidents :

  • Le système automatique remplace le mot de passe du compte par un mot de passe fiable.

  • Le système automatique envoie un e-mail au propriétaire du serveur pour demander de réinitialiser le mot de passe.

La réponse du propriétaire peut prolonger la période de vulnérabilité du serveur.

Analyse de mots de passe à l'aide de Microsoft Baseline Security Analyzer

Vous pouvez utiliser l'outil MBSA site en anglais, disponible à l'adresse www.microsoft.com/technet/security/tools/mbsahome.mspx, pour analyser les ordinateurs du réseau et détecter les mots de passe trop simples.

Outre divers tests de sécurité, cet outil permet de dresser une liste de tous les comptes utilisateur et de détecter les faiblesses suivantes :

  • Mot de passe vide

  • Mot de passe identique au nom du compte utilisateur

  • Mot de passe identique au nom de l'ordinateur

  • Mot de passe utilisé : « motdepasse »

  • Mot de passe utilisé : « admin » ou « administrateur »

Au terme de cette analyse, les comptes désactivés ou actuellement verrouillés vous sont également signalés.

Pour effectuer ce test, MBSA tente de modifier le mot de passe sur l'ordinateur cible en utilisant chacun de ces mots de passe. MBSA ne permet pas de réinitialiser ni de modifier définitivement le mot de passe, mais vous prévient si celui-ci est trop simple et représente donc un risque de sécurité.

Utilisation d'informations d'identification d'administration sur les ordinateurs approuvés uniquement

Dans votre société, vérifiez que les administrateurs n'utilisent jamais leurs informations d'identification d'administration pour se connecter à des ordinateurs dont ils n'ont pas le contrôle total. En effet, il est possible qu'un enregistreur de frappe ou qu'un extracteur de données soit installé sur l'ordinateur et capture les informations d'identification de l'administrateur.

Les enregistreurs de frappe sont des logiciels espions silencieux qui s'exécutent en arrière-plan. Ces logiciels sont conçus de manière à fonctionner discrètement tout en enregistrant les combinaisons de touches à l'insu de l'utilisateur. Ces informations sont ensuite enregistrées pour être récupérées ultérieurement ou envoyées directement à l'auteur du logiciel. Les enregistreurs de frappe enregistrent toutes les combinaisons de touches, notamment les données personnelles telles que les mots de passe ou les numéros de carte de crédit. Ils enregistrent également les courriers électroniques et les discussions en ligne.

Les extracteurs de données capturent les données composées de caractères émises par un ordinateur ou un programme. Ils examinent le contenu d'un affichage qui n'est pas destiné au transport de données ou à l'inspection par d'autres programmes, puis présentent cet affichage dans une interface utilisateur graphique plus conviviale. Les extracteurs les plus récents présentent ces informations au format HTML, ce qui permet de les consulter à partir d'un navigateur.

Vérification régulière des comptes et des mots de passe

Des vérifications régulières permettent de mieux contrôler l'intégrité du domaine et de mieux se protéger contre l'élévation des privilèges. Cette dernière peut fournir des privilèges administratifs à des comptes utilisateur non autorisés. Si vous ne protégez pas les capacités administratives, les pirates peuvent alors provoquer des vulnérabilités et contourner les mesures de sécurité. Par exemple, les pirates disposant de privilèges administratifs peuvent créer des comptes utilisateurs fictifs, ajouter des comptes à des groupes d'accès sans autorisation, élever les privilèges des comptes existants, ajouter ou modifier des stratégies et désactiver des paramètres de sécurité.

Il est recommandé de vérifier régulièrement l'ensemble des groupes et utilisateurs administratifs du domaine et l'ensemble des utilisateurs et groupes administratifs locaux sur les serveurs sensibles. Étant donné que les administrateurs ont la capacité (mais pas l'autorité) à modifier leurs propres comptes, les entreprises doivent s'assurer que ces comptes sont conformes à la stratégie de sécurité pour les utilisateurs administratifs de domaine. Il est essentiel de vérifier l'utilisation de ces privilèges et de comprendre que ces vérifications n'ont pas pour seul objectif de contrôler la fiabilité des mots de passe. En effet, elles permettent également de déterminer les tâches exécutées par les comptes administratifs. Vous pouvez utiliser l'Observateur d'événements pour consulter les journaux de sécurité créés après la configuration et l'activation de la vérification. En effectuant des vérifications régulières, vous pouvez également détecter les comptes administratifs de domaine non utilisés. Ces comptes représentent une vulnérabilité de l'environnement réseau, notamment si un pirate se les approprie à votre insu. Il est donc recommandé de supprimer tous les groupes et comptes administratifs inutilisés de votre domaine.

Interdiction de la délégation de compte

Il est recommandé d'activer le paramètre Le compte est sensible et ne peut pas être délégué pour tous les comptes administratifs de domaine. Vous protégez ainsi les informations d'identification contre l'usurpation d'identité grâce à un serveur approuvé pour la délégation.

La délégation d'authentification se produit lorsqu'un service réseau accepte la requête d'un utilisateur et utilise son identité pour lancer une connexion à un second service réseau. Cette opération est utile pour les applications à plusieurs niveaux utilisant connexions SSO sur plusieurs ordinateurs. Par exemple, les contrôleurs de domaine sont automatiquement approuvés pour la délégation. Si vous activez le système de cryptage de fichiers (EFS) sur un serveur de fichiers, celui-ci doit être approuvé pour la délégation afin de pouvoir enregistrer les fichiers cryptés au nom des utilisateurs. La délégation d'authentification est également utile lorsque les services Internet (IIS) prennent en charge l'interface Web d'une base de données exécutée sur un autre ordinateur, telle que l'interface Microsoft Outlook® Web Access (OWA) de Microsoft Exchange Server. En outre, elle est utile pour les pages de prise en charge d'inscriptions Web d'une autorité de certification d'entreprise lorsqu'un serveur Web distinct héberge les pages.

Il est recommandé d'interdire la délégation d'authentification aux comptes d'ordinateurs sous Active Directory, aux ordinateurs qui ne sont pas physiquement sécurisés et aux comptes d'administrateur de domaine. En effet, ces derniers permettent d'accéder à des ressources sensibles et peuvent représenter un risque élevé s'ils sont compromis. Pour plus d'informations, reportez-vous à la rubrique Enabling Delegated Authentication (Activation de la délégation d'authentification) site en anglais**du kit Windows Server 2003 Deployment Kit (Kit de déploiement Windows Server 2003) site en anglais à l'adresse www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc\_aut\_vwcs.asp.

Contrôle du processus d'ouverture de session d'administration

Les membres des groupes Administrateurs, Administrateurs de l'entreprise et Admins du domaine constituent les groupes les plus puissants de votre forêt et de chaque domaine individuel. Pour réduire les risques inhérents à la sécurité, suivez les étapes décrites dans les sections suivantes pour renforcer les informations d'identification des comptes administrateur.

Utilisation de cartes à puce pour les ouvertures de session d'administration

Il est important que les administrateurs de domaine passent par une authentification à deux facteurs pour utiliser leurs fonctions administratives. Celle-ci implique deux éléments :

  • Un élément que l'utilisateur possède, comme une carte à puce

  • Un élément que l'utilisateur connaît, comme un numéro d'identification personnel (PIN)

L'obligation d'utiliser ces deux éléments limite les possibilités d'accès non autorisé via l'utilisation d'informations d'identification à facteur simple partagées, volées ou dupliquées, telles que les noms d'utilisateur ou les mots de passe.

L'authentification à deux facteurs est un élément important de la sécurisation des comptes d'administrateurs de domaine. En effet, les noms d'utilisateur et mots de passe conventionnels sont des informations de texte libre généralement composées de jeux de caractères en langage naturel. De ce fait, un utilisateur malveillant peut les voler, partager ou dupliquer dans les cas suivants :

  • Un utilisateur approuvé partage son mot de passe avec un utilisateur non autorisé ou le conserve de manière non sécurisée (par exemple, sur un post-it collé au moniteur).

  • Le mot de passe est transmis en texte clair.

  • Un outil matériel ou logiciel capture la combinaison de touches utilisée pour la connexion.

L'obligation d'utiliser des cartes à puce pour établir des connexions interactives implique que les utilisateurs administratifs possèdent ces cartes et que des mots de passe fiables générés aléatoirement par cryptage sont utilisés sur les comptes utilisateur. Ces mots de passe constituent une protection contre le vol de mots de passe peu fiables visant à obtenir un accès administratif.

Pour mettre en œuvre l'utilisation de cartes à puce, activez l'option Carte à puce nécessaire pour ouvrir une session interactive pour chaque compte administratif.

Le PIN est un code crypté défini par l'utilisateur de la carte et enregistré sur celle-ci. Il s'agit d'une chaîne que l'utilisateur doit fournir pour s'authentifier afin d'utiliser la clé privée de la carte. Chaque clé privée est unique, garantissant ainsi la singularité de l'authentification.

L'authentification par carte à puce est particulièrement importante lorsque les administrateurs de domaine ouvrent des sessions interactives. Les cartes à puce simplifient la tâche des administrateurs de domaine responsables de plusieurs serveurs impliquant une authentification. En effet, plutôt que d'utiliser un mot de passe différent pour chaque serveur, vous pouvez protéger l'ensemble des serveurs en utilisant des cartes à puces uniques avec un même PIN.

Remarque : Windows 2000 Server prend en charge les cartes à puce pour l'accès distant. Cependant, vous devez utiliser Windows Server 2003 pour utiliser des cartes à puce pour des comptes de domaine. Windows Server 2003 est également requis pour utiliser des informations d'identification par carte à puce avec la commande runas du service d'ouverture de session secondaire.

Le déploiement de cartes à puce pour les administrateurs de domaine et l'application des principes et conseils décrits dans ce guide contribuent fortement à renforcer la sécurité des ressources réseau des entreprises.

Pour plus d'informations sur l'utilisation des cartes à puces pour l'authentification, reportez-vous aux ressources suivantes :

Partage des informations de connexion pour les comptes administratifs sensibles

Partagez chaque compte sensible (par exemple, un compte membre des groupes Administrateurs de l'entreprise ou Admins du domaine racine de la forêt) entre deux utilisateurs. Ainsi, la présence des deux utilisateurs est nécessaire pour utiliser ce compte. Ce partage permet un contrôle visuel implicite, dans la mesure où l'un des utilisateurs observe les actions de l'autre. Ce procédé empêche également un utilisateur de se connecter à un ordinateur en tant qu'administrateur pour compromettre sa sécurité, délibérément ou sous contrainte.

Vous pouvez implémenter des comptes administratifs partagés qui utilisent des mots de passe partagés ou des cartes à puce contrôlées par PIN. Si vos comptes administratifs sont contrôlés par des mots de passe, divisez chaque mot de passe entre deux utilisateurs afin que chacun ne connaisse que la moitié du mot de passe. Chaque utilisateur est responsable de sa moitié de mot de passe. Vous pouvez par exemple créer un compte administratif, Admin1, et lui affecter deux utilisateurs, David et Anne. Chacun se voit ensuite confier une moitié du mot de passe. Pour que l'un des deux puisse se connecter et utiliser ce compte, l'autre doit être présent et entrer la seconde moitié du mot de passe.

L'inconvénient de ce système est qu'il est présente peu de visibilité lors de vérifications. Les entreprises qui l'appliquent doivent donc utiliser un système de contrôle complémentaire, tel que des caméras de surveillance, pour vérifier que les utilisateurs n'abusent pas de leurs privilèges.

Si vous utilisez des cartes à puce, vous pouvez partager la responsabilité entre les deux utilisateurs qui partagent le compte : le premier possède physiquement la carte et le second est en possession du PIN. Pour utiliser le compte, les deux utilisateurs doivent être présents.

Restriction des modalités et des lieux où les administrateurs de domaine peuvent se connecter

Il est recommandé de restreindre les modalités et les lieux où les administrateurs de domaine peuvent se connecter. Les administrateurs peuvent se connecter de manière interactive aux contrôleurs de domaine auxquels ils ont accès si leur tâche ou rôle l'implique. Cependant, cela doit impliquer une authentification à deux facteurs.

Interdisez aux administrateurs de domaine de se connecter à des ordinateurs qui ne sont pas spécifiquement approuvés pour des tâches d'administration dans les cas suivants :

  • Utilisation de connexions interactives

  • Utilisation de Bureau à distance

  • Ouverture de session en tant que service

  • Ouverture de session en tant que tâche

Téléchargez

TéléchargezThe Security Monitoring and Attack Detection Planning Guide (Guide de planification de la surveillance de sécurité et de la détection des attaques)