Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Décrit les considérations relatives aux meilleures pratiques, à l’emplacement, aux valeurs, à la gestion de la stratégie et à la sécurité pour le paramètre de stratégie de sécurité Ouvrir une session en tant que service.
Ce paramètre de stratégie détermine quels comptes de service peuvent inscrire un processus en tant que service. L’exécution d’un processus sous un compte de service évite de recourir à l’intervention humaine.
Constante : SeServiceLogonRight
Liste de comptes définie par l’utilisateur
Non défini
- Limitez le nombre de comptes auxquels ce droit d’utilisateur est accordé.
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur
Par défaut, ce paramètre est Service réseau sur les contrôleurs de domaine et les serveurs autonomes.
Le tableau ci-après répertorie les valeurs de stratégie par défaut réelles et applicables. Les valeurs par défaut sont également répertoriées dans la page des propriétés de la stratégie.
| Type de serveur ou objet de stratégie de groupe | Valeur par défaut |
|---|---|
Stratégie de domaine par défaut |
Non défini |
Stratégie de contrôleur de domaine par défaut |
Non défini |
Paramètres par défaut du serveur autonome |
Non défini |
Paramètres par défaut actuels du contrôleur de domaine |
Service réseau |
Paramètres par défaut actuels du serveur membre |
Service réseau |
Paramètres par défaut actuels de l’ordinateur client |
Service réseau |
Cette section décrit les fonctionnalités, les outils et les conseils permettant de gérer cette stratégie.
Un redémarrage de l’ordinateur n’est pas requis pour la prise en compte de ce paramètre de stratégie.
Toute modification apportée à l’attribution des droits utilisateur pour un compte prend effet à la prochaine connexion du propriétaire du compte.
Le paramètre de stratégie Refuser l’ouverture d’une session en tant que service remplace ce paramètre de stratégie si un compte d’utilisateur est soumis aux deux stratégies.
Les paramètres de stratégie de groupe sont appliqués dans l’ordre ci-après, qui remplacera les paramètres de l’appareil local lors de la prochaine mise à jour de la stratégie de groupe :
Paramètres de stratégie locale
Paramètres de stratégie de site
Paramètres de stratégie de domaine
Paramètres de stratégie d’unité d’organisation
Cette section décrit comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de sa mise en œuvre.
Le droit d’utilisateur Ouvrir une session en tant que service permet aux comptes de démarrer des services réseau ou des services qui s’exécutent en continu sur un ordinateur, même lorsqu’aucun utilisateur n’est connecté à la console. Le risque est limité par le fait que seuls les utilisateurs dotés de privilèges d’administration sont en mesure d’installer et de configurer des services. Une personne malveillante ayant déjà atteint ce niveau d’accès peut configurer le service pour qu’il s’exécute avec le compte Système Local.
Par définition, le compte Service réseau dispose du droit d’utilisateur Ouvrir une session en tant que service. Ce droit n’est pas accordé par le biais du paramètre de stratégie de groupe. Vous devez limiter le nombre d’autres comptes auxquels ce droit d’utilisateur est accordé.
Sur la plupart des ordinateurs, la limitation du droit d’utilisateur Ouvrir une session en tant que service aux comptes intégrés Système local, Service local et Service réseau est la configuration par défaut, et n’a aucun effet néfaste. Toutefois, si vous avez installé des composants facultatifs comme ASP.NET or IIS, il vous faudra éventuellement attribuer le droit d’utilisateur Ouvrir une session en tant que service à des comptes supplémentaires requis par ces composants. IIS requiert que ce droit d’utilisateur soit explicitement accordé au compte d’utilisateur ASPNET.