Guide de planification de la sécurité des services et comptes de service

Chapitre 3 - Procédure à suivre pour exécuter les services de façon plus sécurisée

Dernière mise à jour le 31 mai 2005

En s'appuyant sur les approches et principes abordés dans les précédents chapitres de ce guide, ce chapitre décrit les tâches que vous devez réaliser lorsque vous planifiez une exécution plus sécurisée des services.

Pour sécuriser les services, vous devez réaliser les tâches suivantes :

• auditer tous les serveurs afin de déterminer les propriétés essentielles des services ;

• déterminer quels sont les services qui doivent réellement être exécutés ;

• identifier et éliminer tous les comptes administrateur de domaine pour les services ;

• utiliser une hiérarchie du moindre privilège pour le déploiement des services ;

• créer un groupe de serveurs haute sécurité pour les exceptions des administrateurs de domaine ;

• gérer les modifications de mot de passe des comptes de service ;

• mettre en place des mots de passe fiables ;

• automatiser la vérification des mots de passe administrateur faibles ;

Sur cette page

Audit de tous les serveurs pour déterminer les propriétés essentielles des services
Définition des services qui doivent réellement être exécutés
Identification et élimination de tous les comptes administrateur de domaine pour les services
Utilisation d'une hiérarchie du moindre privilège pour le déploiement des services
Création d'un groupe de serveurs haute sécurité pour les exceptions des administrateurs de domaine
Gestion des modifications de mot de passe des comptes de service
Mise en place de mots de passe fiables
Automatisation de la vérification des mots de passe administrateur faibles

Audit de tous les serveurs pour déterminer les propriétés essentielles des services

Vous devez déterminer le nombre exact de serveurs qui existent dans votre entreprise. Bien que cette tâche semble simple, une grande entreprise peut être surprise de constater la complexité de l'identification de chaque serveur dont elle dispose et de la détermination du niveau de gestion nécessaire aux services de chaque ordinateur. Par exemple, les ordinateurs du réseau de périmètre exigent des niveaux de gestion des services beaucoup plus élevés, sans quoi leur surface d'attaque est trop élevée.

Vous devriez auditer chaque serveur afin de constituer la liste de tous les services en cours d'exécution et d'enregistrer les informations d'identification de connexion que chaque service utilise pour s'authentifier. Vous pouvez utiliser les outils suivants pour vous aider dans ces tâches :

• Informations système dans Microsoft® Windows Server™ 2003. Vous pouvez utiliser les Informations système pour afficher une liste complète des propriétés de tous les services de l'ordinateur local ou d'autres ordinateurs à distance. Cependant, cette méthode n'est pas applicable aux situations dans lesquelles vous avez besoin d'auditer un grand nombre de serveurs. Pour accéder à cet outil, cliquez sur Démarrer, pointez sur Tous les programmes, puis Accessoires et Outils système, enfin cliquez sur Informations système.

• Console de gestion des services. Dans la console de gestion des services, vous pouvez utiliser l'onglet Ouverture de session de la page de propriétés d'un service pour trouver quel est le compte que le service utilise pour ouvrir une session à des fins d'authentification. Vous pouvez également utiliser l'onglet Dépendances pour visualiser de quels services dépend le service en cours et quels services dépendent de ce dernier. Les données de dépendance sont essentielles lors de l'audit des serveurs. Cependant, cette méthode n'est pas applicable aux situations dans lesquelles vous devez auditer un grand nombre de serveurs.

• Windows Management Instrumentation (WMI).**Utilisez WMI pour obtenir des informations sur les services qui s'exécutent sur tous vos serveurs. Vous pouvez utiliser WMI avec des outils de programmation ou des utilitaires de script tels que Windows Scripting Host, pour récupérer des informations de configuration sur la plupart des aspects concernant vos ordinateurs ou apporter des modifications sur vos ordinateurs. Plusieurs outils de gestion sont adaptés à WMI, tels que les Propriétés du système, les Informations système et le composant Dépendances des services. Les dépendances des services permettent d'identifier de quels services dépend le service en cours et quels services dépendent de ce dernier.

• Ligne de commande WMIC (Windows Management Instrumentation command line).**WMI fournit une interface de ligne de commande simple à WMI pour gérer les ordinateurs à distance qui fonctionnent sous des systèmes d'exploitation Windows. WMIC interagit avec les shells et les commandes externes existants et vous pouvez facilement l'élargir aux scripts ou autres applications destinées à l'administration.

  Par exemple, vous pouvez utiliser la commande wmic service get pour obtenir des informations sur toutes les propriétés d'un service précis, notamment :

  • Description

  • DisplayName

  • ErrorControl

  • InstallDate

  • PathName

  • ProcessId

  • StartMode

  • StartName

  • Status

  Syntaxe exemple :

  Remarque : certaines parties de l'extrait de code suivant ont été affichées sur plusieurs lignes afin de permettre une meilleure lisibilité. Elles doivent cependant être saisies en une seule ligne.

  SERVICE GET Nom,Nom d'affichage,Id du processus,Démarré, 
  Mode de démarrage,Nom de démarrage
  

  Vous pouvez utiliser la commande wmic service list brief pour obtenir une liste de propriétés de base de tous les services installés, comme suit :

  • ExitCode

  • Name

  • ProcessId

  • StartMode

  • State

  • Status

  Vous pouvez utiliser WMIC sur n'importe quel ordinateur doté de WMIC pour gérer tous les ordinateurs à distance qui exécutent WMI. Il n'est pas nécessaire d'installer ou d'utiliser WMIC sur l'ordinateur cible pour qu'il soit géré à distance par WMIC. Pour gérer un ordinateur à distance, vous devez utiliser la commande /node:<nom de l'ordinateur> qui demande à l'ordinateur de s'inscrire sur la liste des nœuds à partir desquels vous souhaitez récupérer des informations.

  Syntaxe exemple :

  Remarque : certaines parties de l'extrait de code suivant ont été affichées sur plusieurs lignes afin de permettre une meilleure lisibilité. Elles doivent cependant être saisies en une seule ligne.

  WMIC /NODE:Server1,Server2,Server3 SERVICE GET Name,
  DisplayName,ProcessId,Started,StartMode, SystemName
  

  Vous pouvez également fournir l'emplacement d'un fichier texte qui répertorie les ordinateurs distants sur lesquels vous voulez utiliser WMIC pour réaliser des actions.

  Syntaxe exemple :

  WMIC /NODE:@"C:\MyServerList.txt" SERVICE LIST BRIEF
  

  Vous pouvez utiliser WMIC pour simplifier les tâches des scénarios classiques suivants :

  • Gestion locale d'un ordinateur. Vous vous trouvez devant l'ordinateur et utilisez la commande WMIC pour le gérer.

  • Gestion à distance d'un ordinateur. Vous vous trouvez devant un ordinateur et utilisez WMIC pour gérer un autre ordinateur.

  • Gestion à distance de plusieurs ordinateurs. Vous vous trouvez devant un ordinateur et utilisez WMIC pour gérer plusieurs ordinateurs avec une seule commande.

  • Gestion à distance d'un ordinateur en utilisant une session à distance. Vous utilisez les technologies de session à distance telles que Telnet ou Terminal Services pour vous connecter à un ordinateur à distance et le gérer avec WMIC.

• Gestion automatisée à l'aide de scripts administratifs.**Vous pouvez utiliser WMIC pour rédiger un script de gestion simple permettant d'automatiser la gestion d'un ordinateur (local, à distance, ou plusieurs ordinateurs en série ou simultanément).

  Pour plus d'informations sur WMI, reportez-vous à la rubrique WMI : Introduction à Windows Management Instrumentation (en anglais) et à la page Windows Management Instrumentation overview.

• Autres outils de gestion d'entreprise. Il existe d'autres outils de gestion disponibles qui peuvent aider lors du processus d'audit, notamment :

  • Microsoft Systems Management Server

  • Tivoli

  • OpenView

  • Lieberman Software Service Account Manager

Créer une liste fondamentale des serveurs et de leurs services contribue à identifier et à résoudre les risques de sécurité liés aux services.

Vous pouvez utiliser votre audit pour créer des inventaires de tous les services qui utilisent :

• un compte utilisateur de domaine avec des privilèges d'administrateur de domaine ;

• un seul compte utilisateur de domaine utilisé sur plus d'un serveur.

Définition des services qui doivent réellement être exécutés

Lorsque vous installez Windows Server 2003 pour la première fois, le système d'exploitation crée plusieurs services par défaut et les configure pour qu'ils puissent s'exécuter au démarrage de l'ordinateur. Le classeur Microsoft Excel « Sécurité par défaut et configuration des services de Windows », compris dans le Guide des menaces et des contre-mesures (en anglais), documente les paramètres par défaut de type démarrage pour tous les services du système.

Ces services par défaut assurent une compatibilité avec les applications ou les clients, ou bien simplifient la gestion des systèmes. Cependant, il est possible que l'environnement de votre entreprise n'ait pas besoin de tous ces services, vous devriez donc évaluer soigneusement ceux dont vous avez besoin.

La définition des services dont vous avez besoin et de ceux que vous devriez désactiver peut être un processus compliqué. Il existe certains services pour lesquels la désactivation est évidente, mais cette décision n'est pas aussi claire pour tous. La stratégie de base à adopter est indiquée ci-après.

• S'il n'existe pas de raison précise pour utiliser un service donné, désactivez-le.

• Si vous pensez que vous risquez d'avoir besoin du service à l'avenir, désactivez-le jusqu'à ce que vous en ayez besoin.

Les services que vous avez besoin d'exécuter sur un ordinateur dépendent considérablement du rôle de cet ordinateur. Par exemple, vous ne devrez installer Internet Information Services (IIS) que sur les serveurs Web ou les ordinateurs qui en ont besoin, tels que les serveurs d'application. Si le serveur n'héberge pas des services d'accès à distance ou des sessions Telnet, vous devriez désactiver ou supprimer ces services. Il existe plusieurs situations dans lesquelles des logiciels, tels que les outils de gestion du système, ajoutent leurs propres services à ceux qui s'exécutent sur vos ordinateurs. Il est important que vous connaissiez ces services, les comptes qu'ils utilisent pour les ouvertures de session et le niveau d'accès dont ils ont besoin.

Microsoft a publié plusieurs guides sur la procédure à suivre pour verrouiller les ordinateurs en fonction de leurs rôles. Ces guides expliquent les services dont vous avez besoin pour des rôles spécifiques tels que les contrôleurs de domaine, les serveurs Web, les clients Windows XP et ainsi de suite. Ils sont disponibles aux adresses suivantes :

• Guide de sécurité Windows Server 2003

• Guide sur la sécurité de Windows XP

• Guide de sécurisation de Windows 2000

• Vue d'ensemble des services et exigences de ports réseau pour le système Windows Server

Dans un environnement d'essai ou de pré-production, lorsque vous souhaitez déterminer si vous avez besoin d'un service, vous pouvez le désactiver puis surveiller l'ordinateur au cours du temps afin de voir si tout fonctionne correctement. Cependant, vous devez savoir qu'il existe quelques services essentiels que la console de services ne vous permettra pas de désactiver ni même d'en modifier le type de démarrage. C'est le cas du service d'appels de procédure distante (RPC) et du service Plug-and-Play. Il existe également certains services que la console de services ne vous permettra pas d'arrêter, mais vous pourrez en modifier le type de démarrage. C'est le cas du service Journal des événements et du service de gestion des comptes de sécurité.

Si vous n'êtes pas sûr des fonctions d'un service donné, utilisez une ou plusieurs des méthodes suivantes pour en savoir plus :

• Consultez des descriptions de service plus détaillées dans le chapitre 7, « Services système » du Guide des menaces et des contre-mesures.

• Lisez la description du service. Pour accéder à la description, ouvrez la console de services, repérez le service qui vous intéresse, cliquez avec le bouton droit sur le nom du service, puis cliquez sur Propriétés.

• Utilisez l'Assistant Configuration de la sécurité pour obtenir la description d'un service.

L'Assistant Configuration de la sécurité fourni avec Windows Server 2003 et le Service Pack 1 (SP1) peut s'avérer très utile lorsque vous analysez les services que vous avez besoin d'exécuter.

Réduction de la surface d'attaque à l'aide de l'Assistant Configuration de la sécurité

L'Assistant Configuration de la sécurité (SCW) vous permet de configurer rapidement et facilement les serveurs Microsoft Windows, conformément à vos exigences fonctionnelles (serveur Web, contrôleur de domaine, ou autres) pendant que vous concevez des stratégies de sécurité visant à réduire la vulnérabilité face aux attaques. Pour installer le SCW, ouvrez le Panneau de configuration, double-cliquez sur Ajout ou suppression de programmes, cliquez sur Ajout/Suppression de composants Windows, sur la page Composants Windows, sous Composants, activez la case à cocher Assistant Configuration de la sécurité et cliquez sur Suivant. Ensuite, une fois que l'Assistant a terminé, cliquez sur Terminer. Ce processus ajoute un raccourci vers l'Assistant Configuration de la sécurité dans votre dossier Outils d'administration.

L'Assistant Configuration de la sécurité peut vous aider à repérer quels sont les services que les serveurs de votre entreprise exécutent actuellement et leur dépendance par rapport à d'autres services. Il peut également vous aider dans votre travail lorsque vous cherchez à déterminer quels sont les services nécessaires lors du déploiement de nouveaux serveurs. Vous pouvez déployer des stratégies générées par l'Assistant Configuration de la sécurité en utilisant une stratégie de groupe. Vous pouvez ainsi déployer des rôles de serveur spécifiques sur plusieurs ordinateurs similaires en même temps, au sein d'une même unité organisationnelle (UO) ou d'une même hiérarchie d'UO.

Le terme rôle de serveur définit les principales fonctions qu'un ordinateur remplit dans votre entreprise. Voici quelques exemples de rôles de serveur : serveur de fichier, contrôleur de domaine et rôles de serveur Web. Étant donné que les services requis, ports entrants et paramètres varient pour chaque rôle, les stratégies SCW que vous créez doivent correspondre au rôle que vous voulez attribuer à chaque ordinateur.

Vous pouvez utiliser le SCW pour vous aider à réduire la surface d'attaque des ordinateurs qui exécutent Windows Server 2003 avec SP1. L'Assistant vous guide dans le processus de création d'une stratégie de sécurité fondée sur les rôles exécutés par un serveur donné. Après avoir créé une stratégie, vous pouvez l'appliquer à un ou plusieurs serveurs configurés de manière similaire.

Le SCW comporte les sections suivantes :

• Configuration des services basée sur les rôles

• Sécurité du réseau

• Paramètres du registre

• Stratégie d'audit

• Internet Information Services (uniquement visible quand le rôle de serveur Web est sélectionné)

Pour ce guide, la seule section pertinente est celle qui est consacrée à la Configuration des services basée sur les rôles de l'Assistant. Utilisez cette section de l'Assistant pour configurer les services fondés sur les rôles du serveur sélectionné et d'autres fonctions.

Vous fondez la stratégie de sécurité que vous créez, sur les rôles installés sur le serveur sélectionné. Le serveur sélectionné peut être celui auquel vous souhaitez appliquer la stratégie. Vous pouvez également utiliser le serveur sélectionné comme un moyen pour créer une stratégie qui sera ensuite appliquée à un groupe de serveurs ayant des rôles similaires.

Fonctionnement de l'Assistant Configuration de la sécurité

L'Assistant Configuration de la sécurité réduit la surface d'attaque des serveurs Windows en posant une série de questions à l'utilisateur afin de déterminer les exigences fonctionnelles d'un serveur. Ensuite, il désactive la fonctionnalité qui n'est pas requise par les rôles exécutés par un serveur. En plus d'être une des pratiques recommandées fondamentales en matière de sécurité, la réduction de la surface d'attaque accroît la diversité de votre environnement Windows et réduit le nombre d'ordinateurs que vous devez immédiatement mettre à jour lorsque des vulnérabilités sont repérées.

Le SCW répond aux questions les plus fréquentes concernant Windows Server 2003 : Quels services pouvez-vous désactiver ?

À ce jour, il est toujours difficile de répondre à cette question en raison des milliers de combinaisons possibles de technologies installées, chacune impliquant une hiérarchie de dépendances, qui peuvent exister sur n'importe quel ordinateur Windows. Lorsque vous ajoutez d'autres serveurs, tels que Microsoft Exchange Server ou SQL Server™, les dépendances changent encore. SCW aborde ce problème et fournit aux administrateurs une méthode pour configurer les serveurs afin d'exécuter uniquement les services requis par les rôles attribués à un serveur. SCW y parvient en accédant à une base de données XML (Extensible Markup Language) qui contient les informations nécessaires sur Windows Server 2003 et les produits Microsoft qui s'exécutent sur Windows Server 2003.

Avantages de l'Assistant Configuration de la sécurité

Lorsque vous utilisez l'Assistant Configuration de la sécurité pour choisir des rôles fonctionnels, cela a automatiquement pour effet de :

• désactiver les services inutiles ;

• désactiver les extensions Web IIS inutiles ;

• bloquer les ports inutilisés.

Limites de l'Assistant Configuration de la sécurité

Bien que l'Assistant Configuration de la sécurité ne verrouille pas les paramètres de sécurité tels que le niveau d'authentification LM et la signature du protocole SMB (Server Message Block), les guides de sécurité pour Windows Server 2003 et Windows XP énumérés plus haut dans cette section, abordent et fournissent des recommandations pour ces paramètres.

Identification et élimination de tous les comptes administrateur de domaine pour les services

Avec les informations de l'audit du serveur, vous pouvez identifier et éliminer tous les comptes administrateur de domaine possible utilisés pour les services. Éliminer autant d'instances que possible des services qui utilisent des comptes administrateur de domaine constitue une première étape importante vers la sécurité des services. Dans la mesure du possible, vous devriez redéployer les services qui utilisent les comptes Service local, Service réseau ou Système local comme indiqué dans la section suivante du présent chapitre.

Les entreprises devraient essayer de supprimer les déploiements de service qui incluent :

• des comptes utilisateurs dotés de privilèges équivalents à ceux d'un administrateur qui ouvrent une session en tant que service ;

• des comptes administrateurs intégrés qui ouvrent une session en tant que service ;

• des comptes administrateur de domaine qui ouvrent une session en tant que service sur des serveurs à faible niveau de sécurité.

Utilisation d'une hiérarchie du moindre privilège pour le déploiement des services

Il est conseillé d'utiliser le compte qui dispose du moindre privilège requis pour exécuter un service. Les services déployés à l'aide de comptes disposant de privilèges plus élevés doivent être redéployés à l'aide de comptes ayant des privilèges moins élevés.

Une hiérarchie du moindre privilège devrait utiliser les comptes dans l'ordre suivant :

1. Service local. Ce compte est semblable à Système local, bien qu'il ait des privilèges minimaux sur l'ordinateur local. Les services qui ouvrent une session en tant que Service local accèdent aux ressources réseau à l'aide d'une session NULL avec des informations d’identification anonymes. Les privilèges du compte doivent être limités uniquement à ceux qui sont nécessaires au bon fonctionnement du service.

2. Service réseau. Ce compte est semblable à Système local, bien qu'il ait des privilèges minimaux sur l'ordinateur local. Les services qui ouvrent une session en tant que Service réseau accèdent à des ressources réseau en utilisant les informations d'identification du compte d'ordinateur (où l'ordinateur est référencé en tant que <nom_domaine\nom_ordinateur>$). Les privilèges du compte doivent être limités uniquement à ceux qui sont nécessaires au bon fonctionnement du service.

3. Compte utilisateur unique. Un service ne devrait s'exécuter en tant que compte utilisateur unique que s'il s'avère difficile à exécuter en tant que Service local ou Service réseau. Vous devriez utiliser un compte utilisateur local unique pour exécuter des services qui ne requièrent des privilèges que sur l'ordinateur local, par exemple Microsoft Internet Information Services (IIS) et SQL Server. Toutefois, les applications qui doivent s'exécuter sur des ordinateurs distribués, comme c'est le cas avec des applications distribuées telles que Systems Management Server et Microsoft Operations Manager, devront utiliser un compte utilisateur de domaine unique. Un compte utilisateur de domaine unique sera également nécessaire pour toutes les applications qui requièrent un accès aux ressources réseau. Vous devriez utiliser un compte utilisateur de domaine unique pour chaque application qui en a besoin. Par exemple, si vous exécutez plusieurs applications ASP.NET, vous devriez vous assurer que chaque application utilise son propre compte utilisateur unique. Les privilèges du compte utilisateur unique doivent être limités uniquement à ceux qui sont nécessaires au bon fonctionnement du service. Vous pouvez affecter des privilèges administratifs supplémentaires au compte unique pour lequel le service est configuré, mais uniquement si cela est nécessaire. Vous devriez également limiter l'appartenance au groupe des comptes uniques aux groupes requis. Les comptes utilisateur unique doivent être conformes à une stratégie d'entreprise pour l'utilisation sécurisée des mots de passe. Si plusieurs ordinateurs utilisent le même service ou des services connexes, les mots de passe de chaque compte utilisateur unique doivent également être uniques.

4. Système local. N'oubliez pas que les services qui ouvrent une session en tant que Système local ont des privilèges complets sur l'ordinateur local et présentent les informations d'identification de l'ordinateur sur le réseau (référencé en tant que <nom_domaine\nom_ordinateur>$). Les privilèges du compte doivent être limités uniquement à ceux qui sont nécessaires au bon fonctionnement du service.

5. Comptes administrateur local. Vous ne devriez exécuter un service en tant que compte administrateur local que s'il est difficile de l'exécuter en tant que Service local, Service réseau, compte utilisateur de domaine unique ou compte Système local. Pour rétrograder un service qui s'exécute en tant qu'administrateur local, vous pouvez parfois utiliser un compte utilisateur local et ajouter les privilèges requis ou modifier les entrées de la liste de contrôle d’accès système (SACL). Il vaut bien mieux utiliser l'une de ces approches qu'utiliser un service tiers, dont vous ne connaissez pas les vulnérabilités, qui s'exécute en tant qu'administrateur sur l'ordinateur. Vous devriez également indiquer à vos fournisseurs de logiciels l'importance des services à moindre privilège dans votre environnement en leur accordant une place préférentielle dans vos processus d'évaluation et d'achat. Par ailleurs, vous ne devriez pas laisser les fournisseurs de logiciels exécuter leur service en tant que compte administrateur. Vous feriez mieux de leur fournir des instructions quant aux ressources auxquelles le service doit avoir accès et aux niveaux d'autorisation requis. Vous devriez affecter les privilèges d'administrateur local des comptes uniquement sur l'ordinateur sur lequel est configuré le service, et uniquement si cela est absolument nécessaire. Le compte administrateur local doit être conforme à une stratégie d'entreprise pour l'utilisation sécurisée des mots de passe. Si plusieurs ordinateurs utilisent le même service ou des services connexes, les mots de passe de chaque compte administrateur local doivent également être uniques.

6. Comptes administrateur de domaine. Exécuter un service avec un compte administrateur de domaine est le pire des scénarios en termes de sécurité. Les entreprises doivent s'efforcer d'éliminer toutes les situations de ce genre. Si vous utilisez cette approche, vous devez gérer tous les ordinateurs de ce scénario comme des serveurs haute sécurité et les protéger comme vous le faites pour vos contrôleurs de domaine ou les autres ressources réseau sensibles. Les sections suivantes abordent plus en détail les serveurs haute sécurité.

Le diagramme de la figure suivante montre les points à prendre en considération lorsque vous décidez du type de compte à utiliser pour exécuter vos services de façon sécurisée.

Figure 3.1 Hiérarchie du moindre privilège pour le déploiement des services

Création d'un groupe de serveurs haute sécurité pour les exceptions des administrateurs de domaine

Si vous déterminez qu'un service doit s'exécuter avec une authentification au niveau administrateur de domaine, vous devriez n'héberger que ce service sur un serveur haute sécurité. Les serveurs haute sécurité les plus courants sont répertoriés ci-après.

• contrôleurs de domaine ;

• serveurs qui exécutent des services configurés pour ouvrir une session en tant qu'un compte ayant des privilèges équivalents à ceux d'un administrateur de domaine ;

• serveurs ayant été jugés fiables pour la délégation au sein d'une forêt ;

• serveurs qui exécutent des services ayant été jugés fiables pour la délégation au sein d'une forêt, à l'aide de la Délégation contrainte dans Windows Server 2003. Pour plus d'informations sur cette fonction, reportez-vous à l'article Transition de protocole Kerberos et délégation contrainte(en anglais).

Les principales étapes impliquées lors de la création d'un groupe de serveurs haute sécurité sont les suivantes :

1. décider quels serveurs vous désignez comme étant des serveurs haute sécurité ;

2. créer un groupe de sécurité universel dans chaque forêt de votre entreprise appelé, par exemple, Serveurs haute sécurité ;

3. ajouter les comptes d'ordinateur des serveurs sécurisés désignés aux nouveaux groupes universels.

4. Dans chaque domaine de chaque forêt, créez un groupe local de domaine nommé, par exemple, Tous les comptes administrateur de domaine, puis ajoutez les comptes utilisateurs équivalents à des comptes administrateur de domaine à ce nouveau groupe.

5. Dans chaque domaine de chaque forêt, créez un objet Stratégie de groupe au niveau du domaine et définissez la stratégie de façon à restreindre l'utilisation des comptes administrateur au niveau du domaine pour les services sur tous les ordinateurs. Définissez la stratégie sur les droits d'utilisateurs Refuser l'ouverture de session en tant que service et Interdire l'ouverture de session en tant que tâche, puis appliquez les autorisations Autoriser Lecture et Autoriser Appliquer à l'objet Stratégie de groupe pour l'ensemble du groupe local de domaines Tous les comptes administrateur de domaine que vous venez de créer.

6. Dans chaque domaine de chaque forêt, utilisez le filtrage Stratégie de groupe pour le groupe Serveurs haute sécurité sur chaque objet Stratégie de groupe de sorte que les membres de ce groupe puissent toujours utiliser les comptes administrateurs au niveau du domaine pour les services. Pour cela, appliquez les autorisations Autoriser Lecture et Autoriser Appliquer sur l'objet Stratégie de groupe uniquement pour le groupe universel Serveurs haute sécurité.

Pour gérer avec succès l'appartenance au groupe universel Serveurs haute sécurité, établissez un processus de workflow interne pour demander des ajouts à ce groupe. Ce processus devrait inclure des étapes servant à valider la requête et à évaluer les risques associés pour la sécurité si vous ajoutez le serveur demandé à ce groupe. Le processus de workflow pourrait tout simplement consister à envoyer un courrier électronique à un alias de requête, mais dans l'idéal, il faudrait que ce soit une procédure automatisée. Le kit Accélérateur de solution pour Business Desktop Deployment édition entreprise comprend un composant Zero Touch Provisioning (ZTP), qui fournit une procédure automatisée pour ce processus.

Pour plus d'informations, reportez-vous aux guides suivants :

• Zero Touch Provisioning Deployment Feature Team Guide (Guide des équipes fonctionnelles de déploiement du peuplement Zero Touch) (en anglais)

• Zero Touch Provisioning Developer Guide (Guide du développeur pour le peuplement Zero Touch) (en anglais)

• Zero Touch Provisioning End-User Guide (Guide de l'utilisateur final pour le peuplement Zero Touch) (en anglais)

Gestion des modifications de mot de passe des comptes de service

Lorsque vous attribuez un compte à un service, le Gestionnaire de contrôle des services (SCM, Service Control Manager), exige le mot de passe correct pour ce compte avant de procéder à l'attribution. Si vous donnez un mot de passe incorrect, le SCM refuse le compte.

Si vous configurez un compte de service pour utiliser les comptes Système local, Service local ou Service réseau, vous n'avez pas besoin de gérer le mot de passe du compte de service car le système d'exploitation s'en charge. De ce fait, aucune gestion de mot de passe n'est requise pour ces comptes de service.

Pour d'autres comptes de service, le SCM enregistre le mot de passe du compte dans la base de données des services. Une fois le mot de passe attribué, le SCM ne vérifie pas que le mot de passe enregistré dans la base de données des services et celui attribué au compte utilisateur dans le service d'annuaire Active Directory® continuent de correspondre. De ce fait, il pourrait se produire une situation semblable à celle qui suit :

1. Vous configurez un service pour qu'il s'exécute sous un compte utilisateur particulier.

2. Le service démarre sous ce compte en utilisant le mot de passe du compte en cours.

3. Vous modifiez le mot de passe du compte utilisateur.

4. Le service continue de s'exécuter. Cependant, si le service s'arrête, vous ne pouvez pas le redémarrer parce que le SCM continue d'utiliser l'ancien mot de passe, qui n'est plus valable. Cela est dû au fait que le changement du mot de passe dans Active Directory n'entraîne pas le changement du mot de passe enregistré dans la base de données des services.

Si vous exécutez des services sous un domaine standard ou des comptes utilisateur locaux, vous devez mettre à jour les mots de passe de ces services chaque fois que le mot de passe du compte utilisateur change. Cela peut représenter un temps considérable si vous ne savez pas précisément quels services s'exécutent sous ce compte, ou quels ordinateurs disposent de services qui s'exécutent sous ce compte. Vous devriez solidement documenter l'utilisation de ce type de comptes de service et leurs mots de passe. Pour les grandes entreprises, cela peut entraîner le besoin de recourir à un fichier de données chiffrées hors connexion et le conserver ensuite dans un lieu sécurisé, alors que pour les entreprises de moindre taille, il est peut-être préférable de conserver un document dans un tiroir fermé à clé ou un coffre.

Important : Si vous utilisez les utilisateurs et ordinateurs Active Directory ou les consoles utilisateurs et groupes locaux pour modifier le mot de passe d'un compte de service pour une application telle que Exchange Server ou SQL Server, vous devez également changer le mot de passe dans l'interface de l'application.

Remarque : Pour plus d'informations sur la procédure à suivre pour écrire un outil qui automatise la mise à jour des mots de passe des comptes de service, reportez-vous à la rubrique Changer le mot de passe sur le compte utilisateur d'un service (en anglais).

Mise en place de mots de passe fiables

Veillez à ce que les administrateurs réseau de votre entreprise utilisent des mots de passe fiables. Ils devraient appliquer des stratégies relatives aux mots de passe dans le cadre des stratégies de groupe pour avertir les utilisateurs de changer leurs mots de passe au bout d'une certaine période. Un mot de passe fiable doit contenir au moins 10 caractères (de préférence 15 ou plus) et comprendre une combinaison de majuscules, minuscules, chiffres et symboles. Sous Windows 2000 Server et Windows Server 2003, vous pouvez utiliser une stratégie de groupe pour mettre en place l'utilisation de mots de passe fiables. Pour plus d'informations, reportez-vous à l'article Mots de passe et stratégies des comptes (en anglais), et au Guide de sécurité Windows Server 2003.

Automatisation de la vérification des mots de passe administrateur faibles

Veillez à ce que les administrateurs réseau de votre entreprise utilisent régulièrement des outils de vérification automatisés afin de repérer les serveurs déployés avec des mots de passe faibles pour leurs comptes administrateur local. Le test devrait tenter de deviner le mot de passe du compte administrateur local intégré présent sur chaque ordinateur Windows.

Les mots de passe faibles représentent une des vulnérabilités les plus répandues dans les réseaux et constituent une des façons les plus simples pour les intrus d'obtenir un accès administrateur à un ordinateur et de mettre en danger les autorisations des comptes de services qui y sont enregistrées.

Utilisation de Microsoft Baseline Security Analyzer

Vous pouvez utiliser l'outil Microsoft Baseline Security Analyzer (MBSA) pour analyser tous les ordinateurs du réseau et repérer les mots de passe faibles. Pour plus d'informations sur MBSA et pour télécharger l'outil, consultez le site Microsoft Baseline Security Analyzer V1.2.1.

L'outil MBSA énumère tous les comptes utilisateur et vérifie les vulnérabilités suivantes pouvant mettre en danger les mots de passe :

• Mot de passe vide

• Mot de passe identique au nom du compte utilisateur

• Mot de passe identique au nom de l'ordinateur

• Mot de passe utilisé : « motdepasse »

• Mot de passe utilisé : « admin » ou « administrateur »

La vérification de l'outil MBSA signale également s'il existe des comptes désactivés ou qui sont actuellement verrouillés.

L'outil MBSA utilisera chacun des mots de passe énumérés pour essayer de changer le mot de passe sur l'ordinateur cible. En cas de réussite de l'opération, l'outil MBSA signale le compte qui utilise ce mot de passe. Bien que l'outil MBSA ne réinitialise pas ou ne change pas le mot de passe de façon permanente, il signale si ce dernier est trop simple et représente un risque de sécurité.

Sachez que bien que l'outil MBSA peut aider à repérer certains cas courants de mots de passe faibles en cours d'utilisation, il ne fournit pas un audit complet des mots de passe et des capacités de récupération, comme c'est le cas de certains outils tiers d'analyse hors connexion et de certaines applications disponibles sur le marché.

Remarque : MBSA réinitialise toutes les stratégies de verrouillage des comptes détectées sur un ordinateur de façon à ce qu'aucun compte utilisateur individuel ne soit verrouillé lors de ce contrôle de routine des mots de passe. MBSA ne réalise pas ces vérifications de mots de passe sur les ordinateurs configurés comme contrôleurs de domaine.

Téléchargez

Guide de planification de la sécurité des services et comptes de service