6. Renforcement de la sécurité du serveur Windows 2000 de base
Au cours de chapitres précédents, nous avons découvert des procédures de renforcement de la sécurité à appliquer à tous les serveurs de Contoso, la société fictive utilisée comme scénario dans ce guide pour illustrer les stratégies et les procédures nécessaires à la sécurisation des serveurs Microsoft® Windows® 2000 d'une entreprise.
Le présent chapitre explique les paramètres de base appliqués aux serveurs membres de Contoso. Les modifications requises pour des rôles de serveur spécifiques sont décrites en détail au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ». Ces rôles sont notamment les suivants : serveur de fichiers et d'impression, serveur Web et serveur d'infrastructure. La plupart des paramètres figurant dans la stratégie de base des serveurs membres (MSBP, Member Server Baseline Policy) sont également appliqués au rôle de serveur contrôleur de domaine. Les différences entre la stratégie de base des serveurs membres et la stratégie des contrôleurs de domaines sont expliquées au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ».
Le recours à une stratégie de groupe permet d'appliquer les modifications voulues à la configuration par défaut de Windows 2000 Server. Pour les serveurs membres de ce scénario, les paramètres de la stratégie de groupe sont stockés dans le modèle de sécurité Baseline.inf. Ce modèle est importé dans la stratégie de base des serveurs membres, laquelle est liée à l'unité d'organisation (OU, Organizational Unit) Serveur membre.
La stratégie de base des serveurs membres représente une partie de la stratégie de gestion du risque qui est principalement axée sur les paramètres communs à tous les serveurs membres, notamment ceux qui ont trait aux stratégies d'audit, à la configuration des services, aux stratégies qui limitent l'accès au Registre, au système de fichiers et d'autres paramètres de sécurité spécifiques.
L'emplacement
des objets dans le service d'annuaire Microsoft® Active Directory® de Contoso
est illustré par la figure ci-dessous.
Figure 6.1
Le modèle de sécurité Baseline.inf est importé dans la stratégie de base des serveurs membres, qui est ensuite liée à l'unité d'organisation (OU) Serveur membre.
Les paramètres du modèle de sécurité Baseline.inf sont décrits dans la section de ce chapitre consacrée à la stratégie de base des serveurs membres Windows 2000 Server. Ce modèle de sécurité a également servi de point de départ au modèle de sécurité Dcbaseline.inf.
Les différences entre Baseline.inf et Dcbaseline.inf sont décrites au chapitre 7, « Renforcement de la sécurité pour des rôles de serveur spécifiques ». Ce modèle a été importé dans l'objet Stratégie de groupe (GPO, Group Policy Object) Contrôleurs de domaine et il a été lié à l'unité d'organisation Contrôleurs de domaine. Pour obtenir des instructions pas à pas sur la création d'unités organisationnelles (OU) et de stratégies de groupe ainsi que sur l'importation ultérieure du modèle de sécurité approprié dans chaque objet Stratégie de groupe, reportez-vous au chapitre 5, « Sécurisation de l'infrastructure du domaine ».
Remarque : Il est impossible d'automatiser certaines procédures de renforcement de la sécurité par l'intermédiaire d'une stratégie de groupe ; celles-ci sont décrites à la section de ce chapitre intitulée « Autres procédures de renforcement de la sécurité des serveurs membres ».
Stratégie de base Windows 2000 Server
Le processus de configuration des paramètres au niveau du domaine définit les paramètres communs à tous les serveurs membres. Il implique la création d'un objet Stratégie de groupe lié à l'unité d'organisation Serveur membre, qui porte le nom de stratégie de base. L'objet Stratégie de groupe automatise le processus de configuration des paramètres de sécurité sur chaque serveur membre.
Paramètres des journaux des événements et d'audit
Un journal d'audit enregistre une entrée chaque fois que les utilisateurs effectuent une des actions que vous avez spécifié. Par exemple, la modification d'un fichier ou d'une stratégie peut engendrer une entrée d'audit, qui renseigne sur l'action exécutée, sur le compte d'utilisateur associé ainsi que sur les dates et heures de réalisation de l'action. Pour toutes ces actions, vous pouvez procéder à l'audit des tentatives qui ont abouti ou échoué.
L'état du système d'exploitation et des applications d'un ordinateur est dynamique. Par exemple, s'il s'avère parfois nécessaire de modifier temporairement des niveaux de sécurité pour permettre la résolution immédiate d'un problème réseau ou d'administration, il arrive fréquemment que ces modifications ne soient pas annulées a posteriori. Il est donc possible qu'un ordinateur ne réponde plus aux exigences de l'entreprise en termes de sécurité.
Une analyse régulière permet à un administrateur d'assurer le suivi et de garantir un niveau de sécurité approprié sur chaque ordinateur dans le cadre du programme de gestion des risques de sécurité d'une entreprise. L'analyse se concentre essentiellement sur des informations relatives à tous les aspects du système spécifiquement liés à la sécurité. De cette façon, un administrateur peut ajuster les niveaux de sécurité et, plus important, détecter toute faille de sécurité susceptible d'apparaître dans le système avec le temps.
L'audit de la sécurité est essentiel pour n'importe quel système d'entreprise. En effet, les journaux d'audit contiennent parfois la seule indication d'une violation de sécurité. Si cette violation est découverte par l'intermédiaire d'une autre source, des paramètres d'audit adéquats permettent de générer un journal d'audit contenant des informations importantes à son sujet.
Les journaux des échecs recèlent souvent plus d'informations que les journaux des actions réussies, dans la mesure où des échecs indiquent plus fréquemment des erreurs. Si, par exemple, un utilisateur ouvre une session système, l'opération est jugée normale. En revanche, si l'utilisateur tente à plusieurs reprises, et sans succès, d'ouvrir une session système, cela peut indiquer une tentative d'intrusion utilisant l'ID utilisateur d'une autre personne.
Les journaux des événements enregistrent des événements se produisant dans le système Le journal de sécurité enregistre quant à lui les événements d'audit. Le conteneur des journaux des événements de la stratégie de groupe sert à définir des attributs relatifs aux journaux des événements d'applications, de sécurité et système. Parmi ces attributs, citons la taille maximale des fichiers journaux, les droits d'accès de chaque journal ainsi que les méthodes et paramètres de conservation. Les paramètres de ces différents journaux sont configurés dans la stratégie de base des serveurs membres et appliqués à tous les serveurs membres du domaine Ameriquenord. Le tableau suivant montre les paramètres définis dans la stratégie d'audit de base des serveurs membres.
Tableau 6.1. Paramètres relatifs aux journaux des événements et d'audit de la stratégie de base des serveurs membres de Contoso
|
Nom complet du paramètre de stratégie dans
l'interface |
Paramètre de l'ordinateur |
|
Auditer les événements de connexion aux comptes |
Succès, Échec |
|
Auditer la gestion des comptes |
Succès, Échec |
|
Auditer l'accès au service d'annuaire |
Succès, Échec |
|
Auditer les événements de connexion |
Succès, Échec |
|
Auditer l'accès aux objets |
Succès, Échec |
|
Auditer les modifications de stratégie |
Succès, Échec |
|
Auditer l'utilisation des privilèges |
Échec |
|
Auditer le suivi des processus |
Pas d'audit |
|
Auditer les événements système |
Succès, Échec |
|
Taille maximale du journal des applications |
10 240 Ko |
|
Taille maximale du journal de sécurité |
184 320 Ko |
|
Taille maximale du journal système |
10 240 Ko |
|
Restreindre les accès Invités au journal d'applications |
Activé |
|
Restreindre les accès Invités au journal de sécurité |
Activé |
|
Restreindre les accès Invités au journal système |
Activé |
|
Durée de stockage du journal des applications |
Non défini |
|
Durée de stockage du journal de sécurité |
Non défini |
|
Durée de stockage du journal système |
Non défini |
|
Méthode de conservation du journal des applications |
Lorsque c'est nécessaire |
|
Méthode de conservation du journal de sécurité |
Lorsque c'est nécessaire |
|
Méthode de conservation du journal système |
Lorsque c'est nécessaire |
|
Arrêter l'ordinateur lorsque le journal d'audit de sécurité est plein |
Désactivé |
Parmi les options de sécurité et d'audit de la stratégie de base des serveurs membres figurent des paramètres de journal des événements et d'audit particulièrement importants. Ceux-ci sont décrits en détail ci-dessous.
Paramètres d'audit
Vulnérabilité
Si aucun audit n'est configuré, il est difficile, voire impossible, de déterminer les circonstances exactes d'un incident de sécurité. À l'inverse, si vous configurez l'audit de telle sorte qu'un grand nombre d'activités autorisées génèrent des événements, le journal des événements de sécurité sera rempli de données inutiles.
Contre-mesure
Des stratégies d'audit rationnelles doivent être activées sur tous les ordinateurs de votre organisation afin que des utilisateurs légitimes soient responsables de leurs actes et que toute activité non autorisée puisse être détectée et retracée. Les options des paramètres de sécurité sont les suivantes :
· Succès
· Échec
· Pas d'audit
Impact potentiel
Si les paramètres d'audit sont insuffisants et qu'un incident de sécurité se produit, l'analyse du réseau ne pourra fournir aucune preuve juridiquement reconnue. D'autre part, si l'audit porte sur un nombre excessif d'événements, le journal de sécurité comportera une multitude d'entrées non pertinentes.
Scénario Contoso
L'audit du réseau Contoso est idéalement configuré : les événements de sécurité significatifs sont enregistrés dans le journal des événements de sécurité, alors que d'autres, moins importants, ne sont pas pris en compte. Les paramètres d'audit choisis pour l'environnement Contoso sont répertoriés dans le tableau 6.1.
L'option Auditer le suivi des processus a été configurée avec la valeur Pas d'audit en raison du nombre excessif d'événements qui résulteraient de l’activation de la stratégie. L'audit des processus présente d'énormes avantages dans le cadre de la stratégie de réponse aux incidents puisqu'il génère un journal très détaillé sur les processus démarrés, l'heure à laquelle ils l'ont été et par quels utilisateurs.
Remarque : Dans Microsoft® Windows® 2000, l'activation de la fonctionnalité d'audit d'un objet, tel qu'un fichier, un dossier, une imprimante ou une clé de Registre, est un processus en deux étapes. Après l'activation de la stratégie d'audit de l'accès aux objets, vous devez déterminer les objets pour lesquels vous souhaitez surveiller l'accès avant de modifier leurs descripteurs de sécurité en conséquence.
Si, par exemple, vous souhaitez auditer toutes les tentatives d'accès à un fichier donné par des utilisateurs, vous pouvez définir un attribut Succès ou Échec directement sur le fichier à surveiller pour cet événement spécifique à l'aide de l'Explorateur Windows ou d'un outil de ligne de commande tel que Xcacls.exe.
Taille maximale des journaux d'applications, de sécurité et système
Vulnérabilité
Si vous augmentez sensiblement le nombre d'objets à auditer dans l'organisation, vous risquez à un moment donné d'être confronté à un dépassement de capacité du journal de sécurité, cela entraînant l'arrêt du système. Dans un tel cas, le journal de sécurité demeure inutilisable aussi longtemps qu'un administrateur n'en a pas effacé les entrées. Pour éviter cela, vous pouvez désactiver l'option d'arrêt indiquée dans le tableau 6.2 ci-dessous et/ou augmenter la taille du journal de sécurité. Ces deux mesures ont été appliquées dans le cadre du scénario Contoso.
Contre-mesure
Vous devez activer, pour tous les ordinateurs de votre organisation, des stratégies rationnelles en termes de taille des journaux. Ces stratégies doivent permettre que les utilisateurs légitimes puissent être tenus responsables de leurs actes, que toute activité non autorisée puisse être détectée et retracée et, enfin, qu'il soit possible de déceler et de diagnostiquer des problèmes système. Dans le cas des serveurs de Contoso, l'équipe de sécurité a estimé qu'il était nécessaire de conserver des données de plusieurs semaines dans les journaux des événements. De fait, les serveurs disposaient d'un espace libre suffisant sur leurs volumes système. Après quelques semaines de test, l'équipe a constaté, sur les serveurs les plus sollicités, jusqu'à 12 000 événements de sécurité enregistrés au cours d'une même journée. En multipliant ce chiffre par 21 jours et en déterminant une taille moyenne de 500 octets ou moins par événement, il a été décidé qu'une taille de journal d'environ 120 Mo devait suffire. Pour prévoir une marge de sécurité, la taille du journal a été augmentée de 50 % et s'établit donc à 180 Mo.
S'il n'existe aucune équation simple pour calculer la taille de journal la plus appropriée pour un serveur donné, il est possible toutefois de déterminer une taille raisonnable par tâtonnements successifs. Configurez la taille du fichier journal pour un échantillon représentatif de serveurs de production de l'entreprise. Après deux jours ouvrables, contrôlez la vitesse à laquelle les fichiers journaux se remplissent. Ensuite, selon les cas, augmentez ou diminuez la taille des fichiers journaux pour être certain qu'ils peuvent conserver les événements datant de plusieurs semaines. Après une nouvelle période de deux jours ouvrables, contrôlez à nouveau les journaux et ajustez la taille, le cas échéant. Vérifiez encore les serveurs à deux reprises au cours des quatre semaines suivantes pour vous assurer que les journaux conservent un nombre suffisant d'événements.
Impact potentiel
Lorsque la capacité des fichiers journaux est atteinte, les entrées ne peuvent plus y être inscrites, à moins que la méthode de conservation définie pour chacun d'eux soit le remplacement des entrées les plus anciennes par les plus récentes. C'est la méthode de conservation choisie dans le cadre du scénario Contoso. De cette façon, les risques de voir des entrées récentes ne pas figurer dans les fichiers journaux sont minimisés.
Le choix d'une telle méthode a pour conséquence de supprimer les événements plus anciens des journaux. Les pirates informatiques peuvent exploiter ce choix en générant un grand nombre d'événements sans rapport, afin de faire disparaître d'éventuelles preuves de leur attaque.
La solution idéale consiste à envoyer tous les événements étroitement surveillés à un serveur utilisant MOM (Microsoft® Operations Manager) ou un outil de surveillance automatisé. Ce point est capital dans la mesure où un pirate informatique qui parvient à compromettre un serveur peut effacer le journal des événements de sécurité. Si tous les événements sont envoyés à un serveur de surveillance, vous serez en mesure de réunir des preuves sur les activités de l'auteur de l'attaque.
Scénario Contoso
Une valeur de 184 320 Ko a été attribuée au paramètre Taille maximale du journal de sécurité dans une stratégie de groupe liée à l'unité d'organisation parente des serveurs de Contoso. Quant aux paramètres Taille maximale du journal des applications et Taille maximale du journal système, ils ont tous deux une valeur de 10 240 Ko. Le choix de telles valeurs résulte d'un compromis qui rationalise l'utilisation de l'espace disque sur le volume système tout en permettant d'examiner des événements plus anciens.
Contoso recourt à MOM pour la surveillance des événements de sécurité pour les rôles de serveurs décrits dans ce guide.
Méthode de conservation des journaux d'applications, de sécurité et système
Vulnérabilité
Si vous augmentez sensiblement le nombre d'objets à auditer dans l'organisation, vous risquez à un moment donné d'être confronté à un dépassement de capacité du journal de sécurité entraînant l'arrêt du système. Dans un tel cas, ce dernier est inutilisable tant qu'un administrateur n'a pas effacé les entrées du journal de sécurité. Pour éviter cela, vous pouvez désactiver l'option d'arrêt indiquée dans le tableau 6.2 et/ou augmenter la taille du journal de sécurité. Ces deux mesures ont été appliquées dans le cadre du scénario Contoso.
Si vous choisissez la valeur Manuellement ou Remplacer les événements par jours pour la méthode de conservation des journaux de sécurité, certains événements récents risquent de ne pas figurer dans le journal, ou vous pouvez être confronté à un refus de service (DoS, Denial of Service).
Contre-mesure
Attribuez au paramètre Méthode de conservation du journal système la valeur Remplacer les événements si nécessaire dans la stratégie de groupe associée à l'unité d'organisation parente de tous les serveurs de votre organisation.
Certaines sources recommandent de définir la valeur Manuel pour ce paramètre. Toutefois, la charge de travail administratif qu'implique un tel paramètre est trop élevée pour la plupart des organisations.
Une bonne solution consiste à transférer tous les événements significatifs vers un serveur de surveillance à l'aide de MOM ou d'un autre outil de surveillance automatisé. Les paramètres de la méthode de conservation sont les suivants :
· Remplacer les événements par jours
· Remplacer les événements si nécessaire
· Ne pas remplacer les événements (nettoyage manuel du journal)
· Non défini
Impact potentiel
Lorsque la capacité des fichiers journaux est atteinte, les entrées ne peuvent plus y être inscrites, à moins que la méthode de conservation définie pour chacun d'eux soit le remplacement des entrées les plus anciennes par les plus récentes.
Scénario Contoso
La méthode de conservation choisie dans le cadre du scénario Contoso est le remplacement des entrées les plus anciennes par les plus récentes. Ce choix permet d'atténuer les risques de voir des entrées récentes ne pas figurer dans les fichiers journaux. Il a pour conséquence de supprimer les événements plus anciens des journaux. Une bonne solution consiste à transférer tous les événements significatifs à un serveur de surveillance à l'aide de MOM ou d'un autre outil de surveillance automatisé. Par conséquent, dans l'environnement Contoso, la valeur définie comme méthode de conservation des journaux des événements dans la stratégie de groupe est Remplacer les événements si nécessaire. Pour de plus amples informations, le chapitre 9, « Audit et détection des intrusions », traite de certains événements significatifs à surveiller ainsi que des méthodes visant à évaluer les informations de ces journaux et à prendre les mesures adaptées.
Arrêt de l'ordinateur lorsque le journal d'audit de sécurité est plein
Vulnérabilité
Les journaux des événements de sécurité contiennent des informations critiques qui exigent généralement une réponse immédiate. En effet, ils enregistrent tous les échecs ou problèmes de sécurité potentiels survenant sur vos serveurs. En outre, ces événements peuvent avoir un effet en cascade sur tous les systèmes qui dépendent de ces serveurs. Dans le cadre des tâches d'exploitation normales, vous devez procéder à l'archivage régulier de vos journaux de sécurité et système pour prévenir la perte de ces informations importantes.
Dans certaines organisations, il suffit de conserver ces informations pendant un ou deux jours puisque la majorité des échecs de service seront détectés durant ce laps de temps. En revanche, certains serveurs génèrent une activité considérable dans la plupart des environnements audités. Par conséquent, il peut être nécessaire de conserver des enregistrements d'événements pendant de plus longues périodes, voire, dans certains cas, de façon permanente.
Un système de gestion des événements d'entreprise, tel que MOM, est un outil précieux permettant de centraliser, de gérer et d'archiver les enregistrements d'événements dans une base de données centrale. MOM est un logiciel Microsoft qui assure la gestion centralisée des performances et des événements pour les serveurs et applications Microsoft Windows 2000.
Contre-mesure
Attribuez la valeur Activé au paramètre Arrêter l'ordinateur lorsque le journal de sécurité est plein dans la stratégie de groupe liée à l'unité d'organisation parente de tous les serveurs de l'organisation.
Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
Si vous activez cette option, les serveurs s'arrêtent immédiatement lorsque leurs journaux des événements sont pleins. Cela peut être intéressant si votre organisation enregistre toutes les données des journaux des événements dans MOM ou dans un autre système de gestion d'entreprise et que les journaux des événements sont configurés pour remplacer les entrées si nécessaires. Toutefois, pour de nombreuses organisations, l'activation de ce paramètre donne lieu à une charge de travail administratif impossible à gérer.
Scénario Contoso
Par défaut, le paramètre Arrêter l'ordinateur lorsque le journal d'audit de sécurité est plein a la valeur Non défini dans Windows 2000 Server. Dans le scénario Contoso, il a la valeur Désactivé. Certes, il est recommandé de conserver toutes les entrées du journal de sécurité afin d'assurer le suivi de toutes les tentatives d'attaque, réussies ou non. Toutefois, il est impossible d'empêcher un pirate informatique disposant de droits administratifs sur un système de supprimer tout ou partie des entrées du journal des événements de sécurité local.
Sachant cela, vous devez comprendre que l'option d'arrêt de l'ordinateur lorsque le journal de sécurité est plein permet uniquement d'éviter que le système remplace des entrées existantes. Elle n'empêche nullement des pirates de modifier ou de supprimer des entrées. Comme indiqué ci-dessus, la présence d'un système de gestion des événements d'entreprise est indispensable pour atténuer cette vulnérabilité, dans la mesure où les entrées de journal peuvent y être transférées à partir des ordinateurs avant d’être modifiées ou supprimées (par le pirate).
Configuration de l'attribution des droits utilisateur
Débogage de programmes
Vulnérabilité
Une personne malveillante peut exploiter le privilège de débogage pour capturer des informations système sensibles à partir de la mémoire du système. Certains outils d'attaque exploitent le droit d'utilisateur de débogage des programmes pour extraire des mots de passe hachés et d'autres informations de sécurité privées. Le risque de voir de pirates exploiter cette vulnérabilité est limité par le fait que ce droit n'est attribué par défaut qu'aux administrateurs.
Contre-mesure
Révoquez le droit d'utilisateur Déboguer les programmes des programmes pour tous les utilisateurs et groupes.
Impact potentiel
La révocation de ce privilège se traduit par l'impossibilité pour quiconque de déboguer des programmes. Toutefois, dans des circonstances normales, le débogage est rarement nécessaire sur des systèmes de production. En cas de problème nécessitant le débogage temporaire d'une application sur un serveur de production, déplacez le serveur vers une autre unité d'organisation ou attribuez le droit d'utilisateur Déboguer les programmes au compte approprié.
Scénario Contoso
Dans ce scénario, il est rare que les administrateurs aient à déboguer des applications. Par conséquent, une stratégie de groupe a été utilisée pour supprimer tous les groupes du droit d'utilisateur Déboguer les programmes.
Options de sécurité de la stratégie de base des serveurs membres (MSBP)
La section Options de sécurité de la stratégie de groupe permet d'activer ou de désactiver des paramètres de sécurité des ordinateurs, comme la signature numérique des données, les noms de comptes Administrateur et Invité, l'accès au lecteur de disquette et au lecteur de CD-ROM, le comportement d'installation des pilotes et les invites d'ouverture de session. Les options de sécurité suivantes sont configurées dans la stratégie de groupe de base.
Tableau 6.2. Paramètres des options de sécurité de la stratégie de base des serveurs membres
|
Nom complet de l'option de sécurité dans l'interface |
Paramètre de l'ordinateur |
|
Restrictions supplémentaires pour les connexions anonymes |
N'autorise pas l'énumération des partages et des comptes SAM |
|
Permet aux opérateurs de serveur de planifier des tâches (contrôleurs de domaines uniquement) |
Désactivé |
|
Permet au système d'être arrêté sans avoir à se connecter |
Désactivé |
|
Permet l'éjection des supports NTFS amovibles |
Administrateurs |
|
Durée d'inactivité avant la déconnexion d'une session |
15 minutes |
|
Auditer l'accès des objets système globaux |
Désactivé |
|
Auditer l'utilisation des privilèges de sauvegarde et de restauration |
Désactivé |
|
Fermer automatiquement la session des utilisateurs à l’expiration du délai de la durée de session |
Non défini (voir remarque ci-dessous) |
|
Fermer automatiquement la session des utilisateurs à l’expiration du délai de la durée de session (local) |
Activé (voir remarque ci-dessous) |
|
Arrêt : Effacer le fichier d’échange de mémoire virtuelle |
Activé |
|
Signer numériquement les communications client (toujours) |
Désactivé |
|
Signer numériquement les communications client (lorsque cela est possible) |
Désactivé |
|
Signer numériquement les communications serveur (toujours) |
Désactivé |
|
Signer numériquement les communications serveur (lorsque cela est possible) |
Désactivé |
|
Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session |
Désactivé |
|
Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session |
Activé |
|
Niveau d'authentification Lan Manager |
Envoyer uniquement les réponses NTLMv2 |
|
Contenu du message pour les utilisateurs essayant de se connecter |
L'accès au système est limité aux utilisateurs autorisés. Toute personne tentant d'y accéder sans y être autorisée est passible de poursuites. Si vous n'êtes pas un utilisateur autorisé, mettez immédiatement fin à la tentative d'accès ! Si vous cliquez sur OK, vous acceptez les informations indiquées ici. |
|
Titre du message pour les utilisateurs essayant de se connecter |
VOUS COMMETTEZ UNE INFRACTION SI VOUS POURSUIVEZ L'OPÉRATION SANS Y ÊTRE AUTORISÉ. |
|
Nombre d'ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine ne serait pas disponible) |
10 ouvertures de sessions |
|
Empêche la maintenance par le système du mot de passe du compte ordinateur |
Désactivé |
|
Empêcher les utilisateurs d'installer des pilotes d'imprimante |
Activé |
|
Prévenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire |
14 jours |
|
Console de récupération : autoriser l'ouverture de session d'administration automatique |
Désactivé |
|
Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers |
Activé |
|
Renommer le compte Administrateur |
Non défini |
|
Renommer le compte Invité |
Non défini |
|
Ne permettre l'accès au lecteur de CD-ROM qu'aux utilisateurs connectés localement |
Activé |
|
Ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement |
Activé |
|
Canal sécurisé : crypter ou signer numériquement les données des canaux sécurisés (toujours) |
Désactivé |
|
Canal sécurisé : crypter numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
|
Canal sécurisé : signer numériquement les données des canaux sécurisés (lorsque cela est possible) |
Activé |
|
Canal sécurisé : nécessite une clé de session forte (Windows 2000 ou ultérieur) |
Activé |
|
Partition système sécurisée (pour plates-formes RISC seulement) |
Non défini |
|
Envoyer un mot de passe non crypté pour se connecter aux serveurs SMB tierce partie |
Désactivé |
|
Arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité |
Désactivé |
|
Comportement lorsque la carte à puce est retirée |
Verrouiller la station de travail |
|
Renforcer les autorisations par défaut des objets système globaux (comme les liens de symboles) |
Activé |
|
Comportement d'installation d'un pilote non signé |
Avertir, mais autoriser l'installation |
|
Comportement d'installation d'un fichier non-pilote non signé |
Réussite silencieuse |
Remarque : Pour les comptes de domaine, il ne peut exister qu'une seule stratégie de compte. Elle doit être définie dans la stratégie de domaine par défaut, appliquée par les contrôleurs de domaines qui composent le domaine. Un contrôleur de domaine extrait toujours la stratégie de compte de l'objet GPO Stratégie de domaine par défaut, même si une stratégie de compte différente est appliquée à l'unité d'organisation qui contient le contrôleur de domaine.
Par défaut, les stations de travail et les serveurs joints à un domaine (ordinateurs membres) reçoivent également la même stratégie de compte pour leurs comptes locaux. Il est toutefois possible de définir au niveau des ordinateurs membres des stratégies de compte locales qui diffèrent de la stratégie de compte de domaine : pour cela, il faut créer une stratégie de compte pour l'unité d'organisation qui contient les ordinateurs membres.
La stratégie de domaine par défaut configure l'option Déconnecter automatiquement à la fin de la période de connexion autorisée avec le paramètre Désactivé.
Les options de sécurité répertoriées dans le tableau 6.2 méritent d'être approfondies. Le reste du chapitre expose de façon plus détaillée la logique sous-jacente à chaque option implémentée dans le scénario Contoso, ainsi que les autres valeurs disponibles pour chacune d'elles.
Restrictions supplémentaires pour les connexions anonymes
Vulnérabilité
Par défaut, Windows 2000 permet aux utilisateurs anonymes de réaliser certaines opérations comme l'énumération des comptes de domaine et des partages réseau. Cela donne au pirate la possibilité de visualiser des informations sur un serveur distant sans avoir à s'authentifier avec un compte d'utilisateur.
Même si cette vulnérabilité ne permet pas au pirate de compromettre votre serveur, elle peut lui procurer des informations qui lui seront utiles pour orchestrer une attaque. Pour mieux sécuriser l'accès anonyme, il est possible de modifier cette option via la stratégie de groupe ou le Registre.
Contre-mesure
La fonctionnalité d'utilisateur anonyme peut être modifiée en changeant la valeur de l'entrée RestrictAnonymous, figurant dans la clé de Registre HKLM\SYSTEM\CurrentControlSet\Control\LSA, par l'une des valeurs suivantes :
. 0 - Aucun. Utiliser les autorisations par défaut
. 1 - Ne pas permettre l'énumération des comptes et
partages SAM
. 2 - Aucun accès sans autorisation explicite
La valeur par défaut de l'entrée réservée à l'autorité de sécurité locale (LSA, Local Security Authority) dans Windows 2000 est 0 - Utiliser les autorisations par défaut.
Il est possible d'obtenir les mêmes fonctionnalités en définissant l'option Restrictions supplémentaires pour les connexions anonymes par l'intermédiaire de la stratégie de groupe. Cette option peut avoir l'une des valeurs suivantes :
Aucun : Utiliser les autorisations par défaut
Le résultat est le même qu'avec RestrictAnonymous=0.
Ne pas
permettre l'énumération des comptes et partages SAM
Le résultat est le même qu'avec RestrictAnonymous=1.
Aucun
accès sans autorisation explicite
Le résultat est le même qu'avec RestrictAnonymous=2.
Impact potentiel
L'attribution de la valeur 1 à RestrictAnonymous ne bloque pas en réalité les connexions anonymes. En revanche, cela empêche la plupart des fuites d'informations possibles par l'intermédiaire des sessions nulles, et en particulier l'énumération des partages et des comptes d'utilisateur. Si vous n'attribuez pas la valeur 2, il est toujours possible d'obtenir certaines de ces informations.
L'attribution de la valeur 2 peut quant à elle provoquer plusieurs résultats indésirables selon l'environnement cible. Les applications et services suivants peuvent s'interrompre lorsque RestrictAnonymous a la valeur 2 :
· Le paramètre RestrictAnonymous = 2 est recommandé pour Windows 2000 dans divers livres blancs et outils émanant de Microsoft (ainsi que par d'autres sources), notamment l'outil MBSA. Ce paramètre n'est toutefois pris en charge que par Microsoft® Windows® XP et Microsoft® Windows® .NET Server 2003. S'il pose des problèmes dans Windows 2000, le support assuré par les Services de support technique de Microsoft sera limité à l'« effort optimal ». En outre, l'effet du paramètre RestrictAnonymous Windows 2000 s'étend à plusieurs paramètres de stratégie de groupe dans les plates-formes ultérieures prises en charge. Si vous souhaitez utiliser RestrictAnonymous = 2 dans votre environnement, mesurez-en les risques et testez-le de façon approfondie sur une plate-forme de test pour identifier d'éventuelles incompatibilités au niveau des applications.
· Les stations de travail ou serveurs membres de bas niveau ne peuvent établir de canal sécurisé vers le serveur.
· Lorsque RestrictAnonymous = 2, les contrôleurs de domaines de bas niveau dans les domaines de confiance ne peuvent établir de canal sécurisé d'ouverture de session réseau vers les contrôleurs de domaines.
· Les utilisateurs Microsoft® Windows NT® ne peuvent pas changer leur mot de passe après l'expiration de celui-ci. Les utilisateurs d'ordinateurs Macintosh, eux, ne peuvent pas modifier leur mot de passe depuis cette plateforme.
· Le service Explorateur d'ordinateur ne peut pas extraire des listes de domaines ou des listes de serveurs à partir des explorateurs secondaires, des maîtres explorateurs ou des explorateurs principaux de domaine qui s'exécutent sur des ordinateurs où l'entrée de Registre RestrictAnonymous a la valeur 2. C'est la raison pour laquelle dans ce cas, aucun programme utilisant le service Explorateur d'ordinateur ne fonctionnera correctement.
· Si vous utilisez un ordinateur client Microsoft® Outlook® qui se connecte à un serveur Microsoft® Exchange 2000 Server, vous ne serez pas en mesure d'effectuer des recherches dans la liste d'adresses globale ou de résoudre les noms qui y sont référencés. La liste d'adresses globale semble vide. Ce problème a été résolu dans le Service Pack 3 de Windows 2000.
· Il est possible que vous ne puissiez pas ajouter une imprimante réseau à partir d'Active Directory sur les contrôleurs de domaines où l'entrée de Registre RestrictAnonymous a la valeur 2. En revanche, vous pouvez toujours en ajouter une en la sélectionnant à partir de l'arborescence.
En raison de ces différents problèmes connus, il n'est pas recommandé de définir la valeur 2 pour l'entrée RestrictAnonymous dans un environnement client mixte. Pour plus d'informations sur les répercussions d'une telle configuration dans votre environnement, consultez l'article F246261 de la Base de connaissances Microsoft, « Utilisation de la valeur de Registre RestrictAnonymous dans Windows 2000 ».
Scénario Contoso
En raison de son environnement client mixte, le scénario Contoso utilise une stratégie de groupe pour attribuer la valeur Ne pas permettre l'énumération des comptes et partages SAM à l'option Restrictions supplémentaires pour les connexions anonymes.
Permet au système d'être arrêté sans avoir à se connecter
Vulnérabilité
Les utilisateurs qui peuvent accéder à la console localement ou par l'intermédiaire des services Terminal Server peuvent arrêter le système. Un pirate informatique ou un utilisateur maladroit peuvent se connecter au serveur via les services Terminal Server et arrêter le système ou le redémarrer sans devoir s'identifier.
Cette opération est également possible si l'auteur de l'attaque peut accéder physiquement à la console locale. Le serveur est alors redémarré, ce qui entraîne une condition de refus de service (DoS) temporaire, ou arrêté, de sorte que tous ses services et applications deviennent inaccessibles.
Contre-mesure
Attribuez la valeur Désactivé au paramètre Permet au système d'être arrêté sans avoir à se connecter dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
Les administrateurs devront ouvrir une session sur les serveurs avant de pouvoir les arrêter ou les redémarrer.
Scénario Contoso
Dans le scénario Contoso, il n'existe aucune raison de consentir aux utilisateurs qu’ils puissent arrêter un serveur à partir de la console sans devoir préalablement ouvrir une session. Par conséquent, une stratégie de groupe est utilisée pour paramétrer l'option Permet au système d'être arrêté sans avoir à se connecter sur Désactivé.
Permet l'éjection des supports NTFS amovibles
Vulnérabilité
Les utilisateurs sont parfois en mesure de déplacer des disques NTFS amovibles vers un ordinateur différent pour lequel ils disposent de privilèges d'administration. Si un disque amovible est déplacé vers un ordinateur pour lequel l'utilisateur possède des privilèges d'administration, celui-ci peut prendre possession de n'importe quel fichier, s'octroyer un contrôle total et afficher ou modifier celui-ci. Une telle situation peut se traduire par une exposition ou par la modification non détectable de certaines informations sensibles. Ce paramètre perd quelque peu de sa valeur dans la mesure où la majorité des périphériques de stockage amovibles éjectent les supports par la simple pression d'un bouton.
Contre-mesure
Attribuez au paramètre Permet l'éjection des supports NTFS amovibles la valeur Administrateurs dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
. Comptes de sécurité définis par l'utilisateur
. Non défini
Impact potentiel
Seuls les administrateurs seront en mesure d'éjecter des supports NTFS amovibles.
Scénario Contoso
Les seules personnes qui ont besoin de pouvoir retirer des supports NTFS amovibles sont les administrateurs. Dès lors, le scénario Contoso utilise une stratégie de groupe pour attribuer la valeur Administrateurs au paramètre Permet l'éjection des supports NTFS amovibles.
Durée d'inactivité avant la déconnexion d'une session
Vulnérabilité
Chaque session SMB (Server Message Block) consomme des ressources du serveur. Si un grand nombre de sessions nulles sont établies, on peut assister à un ralentissement, voire à une défaillance du serveur. Une attaque peut être mise au point de la sorte, en ouvrant un grand nombre de sessions SMB jusqu'à ce que le serveur cesse de répondre. Les services SMB fonctionnent dès lors au ralenti ou ne répondent plus.
Contre-mesure
Attribuez au paramètre Durée d'inactivité avant la déconnexion d'une session la valeur 15 minutes dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
. Durée définie par l'utilisateur, exprimée en minutes
. Non défini
Impact potentiel
L'impact est minime dans la mesure où les sessions SMB seront rétablies automatiquement si le client reprend son fonctionnement.
Scénario Contoso
Pour protéger les serveurs de Contoso contre les attaques de refus de service de type SMB, la stratégie de groupe a été utilisée pour affecter au paramètre Durée d'inactivité avant la déconnexion d'une session une valeur de 15 minutes.
Auditer l'accès des objets système globaux
Vulnérabilité
Si cette stratégie est activée, des objets système, tels que des mutex (exclusions mutuelles), des événements, des sémaphores et des périphériques DOS, sont créés avec une liste de contrôle d'accès système (SACL, System Access Control List) par défaut. Si la stratégie d'audit Auditer l'accès aux objets est également activée, l'accès à ces objets système est audité.
Contre-mesure
Attribuez au paramètre Auditer l'accès aux objets système globaux la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
L'activation de cette stratégie peut donner lieu à la génération d'un grand nombre d'événements de sécurité, surtout sur les contrôleurs de domaines et serveurs d'applications très sollicités. En conséquence, il est possible que les serveurs affichent des temps de réponse prolongés et que le journal de sécurité enregistre bon nombre d'événements peu pertinents.
Scénario Contoso
Pour éviter la présence d'un nombre excessif d'événements insignifiants dans les journaux de sécurité, le scénario utilise la stratégie de groupe pour attribuer la valeur Désactivé au paramètre Auditer l'accès aux objets système globaux.
Auditer l'utilisation des privilèges de sauvegarde et de restauration
Vulnérabilité
Ce paramètre détermine si les privilèges utilisateur de sauvegarde et de restauration sont audités lorsque la stratégie Auditer l'utilisation des privilèges est appliquée. L'activation conjointe de cette option et de la stratégie Auditer l'utilisation des privilèges provoque la génération d'un événement d'audit pour chaque fichier sauvegardé ou restauré. L'activation de ce paramètre peut vous aider à retrouver un administrateur qui, accidentellement ou intentionnellement, procède à des sauvegardes de données non autorisées.
Contre-mesure
Attribuez au paramètre Auditer l'utilisation des privilèges de sauvegarde et de restauration la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
L'activation de cette stratégie peut engendrer un grand nombre d'événements de sécurité, ce qui peut accroître les temps de réponse des serveurs et provoquer l'enregistrement d'une multitude d'événements de sécurité sans grande importance dans le journal de sécurité.
Scénario Contoso
Pour éviter la présence d'un nombre excessif d'événements insignifiants dans les journaux de sécurité, le scénario utilise une stratégie de groupe pour attribuer la valeur Désactivé au paramètre Auditer l'utilisation des privilèges de sauvegarde et de restauration.
Déconnecter automatiquement à la fin de la période de connexion autorisée (local)
Vulnérabilité
Ce paramètre détermine s'il faut fermer les connexions utilisateur à l'ordinateur local en dehors des heures valides d'ouverture de session pour leur compte d'utilisateur. Ce paramètre de stratégie affecte le composant SMB d'un serveur Windows 2000. S'il est activé, les sessions clientes avec le serveur SMB sont déconnectées de force à l'expiration des heures d'ouverture de session du client. S’il est désactivé, une session cliente établie peut être maintenue même après l'expiration des heures d'ouverture de session du client.
Contre-mesure
Attribuez au paramètre Déconnecter automatiquement à la fin de la période de connexion autorisée (local) la valeur Activé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Ce paramètre ne s'applique pas aux comptes d'administrateur.
Impact potentiel
Les sessions SMB sont fermées sur les serveurs membres à la fin de la période d'ouverture de session d'un utilisateur, et ce dernier ne peut se reconnecter au système qu'au début de la période d'accès planifiée suivante.
Scénario Contoso
Pour prémunir les serveurs contre les risques liés à la non-fermeture accidentelle de sessions de console ouvertes par des membres de l'équipe informatique, le scénario Contoso prévoit l'implémentation d'une stratégie de groupe qui attribue la valeur Activé au paramètre Déconnecter automatiquement les utilisateurs à la fin de la période de connexion autorisée (local).
Effacer le fichier d'échange de mémoire virtuelle lors de la fermeture du système
Vulnérabilité
Des informations importantes conservées dans la mémoire réelle peuvent être vidées périodiquement dans le fichier d'échange, ce qui facilite la gestion de fonctions multitâche dans Windows 2000. Un pirate informatique en mesure d'accéder physiquement à un serveur arrêté peut consulter le contenu du fichier d'échange. Il peut déplacer le volume système vers un autre ordinateur avant d'analyser le contenu du fichier d'échange. Ce processus, certes assez long, peut se traduire par l'exposition des données mises en cache de la mémoire vive (RAM) vers le fichier d'échange.
Contre-mesure
Attribuez au paramètre Créer un fichier d'échange de mémoire virtuelle lors de la fermeture du système la valeur Activé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Si ce paramètre est activé, Windows 2000 efface le fichier d'échange lors de la fermeture du système, supprimant ainsi toutes les informations contenues dans ce fichier. Selon la taille du fichier d'échange, le processus peut prendre quelques minutes avant l'arrêt complet du système. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Remarque : Un pirate ayant physiquement accès au serveur peut contourner cette contre-mesure en se contentant de débrancher la prise d'alimentation du serveur.
Impact potentiel
L'arrêt et le redémarrage du serveur peuvent prendre plus de temps, surtout dans le cas de serveurs disposant de fichiers d'échange volumineux. Pour un serveur possédant 2 Go de RAM et un fichier d'échange de 2 Go, ce paramètre peut rallonger le processus de fermeture du système de 20 à 30 minutes, voire plus. Pour certaines organisations, une indisponibilité aussi longue est contraire aux accords de niveau de service internes. Par conséquent, soyez prudent si vous implémentez cette contre-mesure dans votre environnement.
Scénario Contoso
Bien que ses serveurs soient sécurisés physiquement, la société Contoso a décidé d'appliquer ce paramètre parce qu'il offre une sécurité renforcée et qu'il n'a aucun impact sur les systèmes d'exploitation et les applications hérités se connectant au serveur. Le scénario Contoso utilise la stratégie de groupe pour attribuer la valeur Activé au paramètre Créer un fichier d'échange de mémoire virtuelle lors de la fermeture du système.
Signer numériquement les communications client / serveur
Vulnérabilité
Il existe quatre paramètres distincts relatifs à la signature numérique des communications SMB :Signer numériquement les communications client (toujours), Signer numériquement les communications serveur (toujours), Signer numériquement les communications client (lorsque cela est possible) et Signer numériquement les communications serveur (lorsque cela est possible).
L'implémentation de signatures numériques dans les réseaux à haute sécurité contribue à éviter l'emprunt d'identité des clients et des serveurs. Ce type d'emprunt d'identité est connu sous le nom de piratage de session, un type d'exploit au cours duquel un pirate suspend, interrompt définitivement ou s'approprie une session en cours à l'aide d'outils de piratage de session. Il est possible pour le pirate d'intercepter et de modifier des paquets SMB non signés. Un pirate qui a accès au même réseau que le client ou le serveur peut intercepter le trafic SMB. Il peut ensuite modifier le trafic et le transférer de sorte que le serveur effectue des opérations non souhaitées. Il peut également se faire passer pour le client ou le serveur après une authentification légitime et accéder aux données de façon non autorisée.
Les signatures SMB permettent d'authentifier l'utilisateur et le serveur qui héberge les données. Si le processus d'authentification échoue pour l'un des deux, la transmission des données n'a pas lieu. Lorsque les signatures SMB sont implémentées, le délai nécessaire à la signature et à la vérification de chaque paquet entre les serveurs augmente le temps de réponse de 15 %. Pour plus d'informations à propos de l'impact sur les performances, consultez l'article 161372 de la Base de connaissances « How to Enable SMB Signing in Windows NT » (en anglais).
Remarque : Une autre contre-mesure permettant de protéger tout le trafic réseau consiste à implémenter des signatures numériques avec IPSec (Internet Protocol Security). Il existe pour le cryptage et les signatures IPSec des accélérateurs matériels qui peuvent être utilisés pour minimiser l'impact sur les performances au niveau du processeur des serveurs. En revanche, aucun accélérateur de ce type n’est disponible pour les signatures SMB.
Contre-mesure
Attribuez la
valeur Désactivé aux paramètres Signer numériquement les
communications client (toujours), Signer numériquement les
communications serveur (toujours), Signer numériquement les
communications client (lorsque cela est possible) et Signer
numériquement les communications serveur (lorsque cela est possible) dans
la stratégie de groupe liée à l'unité d'organisation parente des serveurs.
Certaines sources recommandent d'activer tous ces paramètres, ce qui peut
toutefois se traduire par une dégradation des performances sur les ordinateurs
clients et les empêcher de communiquer avec des systèmes d'exploitation et des
applications SMB hérités. Les valeurs possibles pour ce paramètre de stratégie
de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
Le protocole de partage de fichiers et d'impression SMB de Windows 2000 Server, de Windows 2000 Professionnel et de Windows XP Professionnel prend en charge l'authentification mutuelle, qui interrompt les attaques de piratage de session, ainsi que l'authentification des messages, empêchant par conséquent les attaques actives des messages. Les signatures SMB fournissent ce type d'authentification en plaçant une signature numérique dans chaque bloc SMB, ensuite soumis à une vérification par le serveur et par le client. Toutefois, la signature numérique de tout le trafic SMB peut entraîner une dégradation des performances considérable sur les serveurs fortement sollicités. En outre, lorsque des ordinateurs sont configurés pour ignorer toutes les communications SMB non signées, les systèmes d'exploitation et les applications hérités ne sont pas en mesure de se connecter. La désactivation complète de toutes les signatures SMB rend les ordinateurs vulnérables au piratage de session.
Scénario Contoso
Dans le scénario Contoso, les paramètres Signer numériquement… ont été désactivés pour tout le trafic SMB pour des raisons de performances. Une stratégie de groupe a été utilisée pour attribuer la valeur Désactivé à Signer numériquement les communications client (toujours), Signer numériquement les communications serveur (toujours), Signer numériquement les communications client (lorsque cela est possible) et Signer numériquement les communications serveur (lorsque cela est possible).
Désactiver la combinaison de touches ctrl + alt+ suppr lors de l'ouverture de session
Vulnérabilité
Microsoft a mis au point cette fonctionnalité pour faciliter l'ouverture de session d'utilisateurs souffrant de certains handicaps physiques sur les ordinateurs Windows. Toutefois, le fait de ne pas devoir appuyer sur la combinaison de touches ctrl + alt + suppr ouvre la porte à des attaques visant à intercepter des mots de passe. L'obligation d'appuyer sur ctrl + alt + suppr avant toute ouverture de session garantit que l'utilisateur communique via un chemin approuvé au moment de l'entrée de son mot de passe.
Un pirate pourrait installer un cheval de Troie (un programme nuisible) mimant la boîte de dialogue d'ouverture de session classique de Windows pour capturer le mot de passe de l'utilisateur. Il pourrait ensuite ouvrir une session au moyen du compte compromis avec le niveau de privilège dont bénéficie l'utilisateur légitime.
Contre-mesure
Attribuez au paramètre Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session la valeur Désactivé dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs. Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini
Impact potentiel
Les utilisateurs doivent appuyer simultanément sur trois touches pour faire apparaître la boîte de dialogue d'ouverture de session (à moins qu'ils n'utilisent une carte à puce pour l'ouverture de session).
Scénario Contoso
Dans le scénario Contoso, aucune raison valable ne justifie l'abandon de cette combinaison de touches pour l'ouverture de session des utilisateurs sur le serveur. Par conséquent, une stratégie de groupe a été utilisée afin d'attribuer la valeur Désactivé au paramètre Désactiver la combinaison de touches ctrl + alt + suppr lors de l'ouverture de session.
Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session
Vulnérabilité
Un pirate en mesure d'accéder physiquement à la console ou d'y accéder en se connectant au serveur via les services Terminal Server peut consulter le nom du dernier utilisateur qui a ouvert une session sur le serveur. S'il parvient à deviner le mot de passe de ce compte, que ce soit à l'aide d'un outil automatisé d'attaque par dictionnaire ou par une attaque de force brute, il pourra ensuite ouvrir une session sur le serveur.
Contre-mesure
Attribuez la valeur Activé au paramètre Ne pas afficher le dernier nom d'utilisateur dans l'écran d'ouverture de session dans la stratégie de groupe liée à l'unité d'organisation parente des serveurs.
Les valeurs possibles pour ce paramètre de stratégie de groupe sont les suivantes :
· Activé
· Désactivé
· Non défini