Applications & Répertoires Utilisateurs

8. Applications & Répertoires Utilisateurs

A cause des dommages considérables que peuvent causer des programmes malintentionnés, il est important que vous contrôliez strictement leur introduction sur le système, protégez leurs différents fichiers exécutables et données de modifications injustifiées, et essayez de vous assurer que les utilisateurs avec des capacités sensibles n'exécutent pas des applications dangereuses. (Une application en qui les administrateurs savent qu’elle n’est pas

malintentionnée est appelée application de "confiance").Pour servir ces buts, stockez les applications tierces dans les répertoires “officiels” sous le contrôle d’utilisateurs dignes de confiance. Ceci fournit une utilisation plus cohérente des ACLs.

Les répertoires qui contiennent des programmes généraux (fichiers *.EXE) sont souvent appelés les répertoires “BIN”. Considérez un répertoire BIN comme un répertoire d' applications. La principale différence est que vous créez rarement des sous-répertoires par programmes dans les répertoires BIN.

Le groupe Installateurs d’ Application se voit fournir un accès spécial à ces répertoires pour qu’il puisse ajouter de nouvelles applications. Cela est lié à leurs capacités à modifier des éléments d'installation dans le répertoire WINNT et la Base de Registres.

Un nouveau groupe “Utilisateurs d’ Application ”permet d'empêcher les utilisateurs sensibles, comme les administrateurs globaux, d'exécuter des applications à moins que ces applications soient jugées dignes de confiance. Utilisateurs d’ Application contient tous les Utilisateurs qui sont autorisés à utiliser les applications locales à l’exception des comptes administratifs sensibles.

Voir la discussion sur le groupes installateurs d’applications dans l’aperçu pour Système de Fichier et Paramètres d'ACL du Registres.

Conseils

Répertoires d' Applications

Les pratiques suivantes sont recommandées. (Notez que le groupe Installateurs d’

Applications est aussi recommandé, et non pas prescrit.)

" Créez un ou peu de répertoires officiels pour les applications, par exemple, un seul appelé

“C:\Program Files,” qui est le standard lors de l’installation de Windows NT. Minimisez le nombre de répertoires d'applications. Vous installerez généralement chaque application dans son propre sous-répertoire dans l’un des répertoires d'applications, bien que

certaines suites d'applications partagent un seul et même sous-répertoire.

" Donnez à ces répertoires les ACLs suivantes (y compris les fichiers et répertoires de leurs

arborescences, si déjà installés):

C:\Program Files …et/ou autres répertoires programme

Utilisateurs d’ Application Lecture [1]

Installateurs d’ Application Modifier

Administrateurs Contrôle Total [2]

SYSTEM Contrôle Total [2]

Opérateurs de Serveurs Contrôle Total [2]

[1] “Utilisateurs d’ Application ” se réfère au groupe dont les membres doivent utiliser les applications. Parce que nous excluons pour les administrateurs l'exécution de fichiers *.EXE,

nous ne pouvons utiliser aucun groupe dont les administrateurs sont membres, comme Tout le Monde et Utilisateurs.

[2] Utilisez les Opérateurs de Serveurs uniquement sur les contrôleurs de domaine. Ne les remplacez pas par des Utilisateurs avec Pouvoirs sur les stations de travail NT.

" Pour n’importe quelle arborescence d’applications pre-installées, modifier tous les

fichiers *.EXE pour enlever la permission “R” pour les utilisateurs d’ Application. Les Installateurs d’Application devraient faire cela après avoir installé chaque application.

Voir “Retirer le “R” des Fichiers Programmes dans Spoofing”.

" Pour n’importe quelle arborescence d’applications pre-installées, modifier tous les

fichiers *.EXE pour enlever la permission “X” pour les Installateurs d’Applications, les Administrateurs, Opérateurs de Serveur, et SYSTEM. Les Installateurs d’Application devrait le faire après l’installation et le test de chaque application. Les fichiers *.EXE que vous estimez “dignes de confiance” peuvent être exemptés s’il est important que ces groupes administratifs puissent utiliser les programmes.

Vous n’avez pas besoin de modifier ces ACL dans les répertoire des application

nouvellement installées à moins que l’application ne le nécessite. Voir “Installer & Tester de Nouvelles Applications” dans Système de Fichiers & Paramètres d'ACL du Registre.

Répertoires personnels

Chaque utilisateur qui se connecte à un ordinateur et qui a besoin d'un espace de travail sous son contrôle doit avoir un répertoire personnel sur cet ordinateur. Les utilisateurs ne

devraient pas avoir accès à un répertoire personnel avant que son propriétaire n'ait eu le temps de personnaliser sa structure d'ACL.

Nous traitons aussi les répertoires personnels partagés par les utilisateurs. L’ essence de ce partage est que par défaut chaque utilisateur doit s'attendre à des protections limitées par rapport aux autres utilisateurs qui partagent ce répertoire. Tant que les utilisateurs comprennent ceci, les répertoires personnels partagés ne sont pas déconseillés même au Niveau 2.

Niveaux 1 & 2:

Les pratiques suivantes sont recommandées.

" Créez un répertoire appelé USERS sur chaque lecteur logique pour contenir les

répertoires personnels avec les mêmes ACLs que celles recommandées pour la racine du répertoire du lecteur (voir Système de Fichier et Paramètres d'ACL du Registre).

C:\USERS est l’endroit habituel.

" Créez un répertoire pour chaque utilisateur avec un nom de répertoire basé sur le nom de

connexion de l’utilisateur. (Notez qu’il peut y avoir des utilisateurs de différents

domaines avec le même nom de compte, et vous aurez peut-être besoin de les distinguer entre eux, typiquement en préfixant le nom de domaine où les conflits existent.)

Appliquez les ACLs suivantes, où “nom d’utilisateur ” est le nom du compte.

Guide NSA de Sécurisation Windows NT 63 8. Applications & Répertoires Utilisateurs C:\Users\ nom d’utilisateur … et/ou autre répertoires personnels

Nom d’utilisateurs Contrôle Total

CREATEUR/PROPRIETAIRE Contrôle Total

Gestionnaires de Données Utilisateurs (opt) Contrôle Total

Administrateurs Contrôle Total

SYSTEM Contrôle Total

Gestionnaires de Données Utilisateurs est optionnel et représente n’importe quel groupe qui par stratégie se voit donner par défaut l'accès contrôle total aux données utilisateurs.

Vous pouvez utiliser aussi des groupes comme Opérateurs de Serveur. Les utilisateurs peuvent par la suite exclure ce groupe. Ne donnez pas à de tels groupes le Droit de Prendre Possession car cela leur permettrait de modifier tous les fichiers sur le système.

" Si un répertoire personnel doit être partagé par d’autres utilisateurs, remplacez la

première entrée ACL au dessus par une entrée de la forme suivante pour chaque utilisateur:

Nom d’utilisateur Accès Spécial (RWXD)*(Non Spécifié)

Ceci autorise chaque utilisateur à créer de nouveaux éléments qui par défaut ne donnent aucun droit aux autres utilisateurs. (Le “*” indique que cette entrée devrait être installée comme une entrée non-propageante si vous n’avez pas d’outils pour le faire.)

" Si le répertoire doit être partagé par un groupe, utilisez la même entrée en substituant le

groupe comme le compte_utilisateur avec les permissions suivantes:

Nom du groupe Accès Spécial (RWXD)*(Non Spécifié)

Ceci permet à chaque utilisateur de créer de nouveaux éléments auxquels les autres utilisateurs n’ont pas accès.

" Installez le répertoire de base dans le compte utilisateur du Gestionnaire des Utilisateurs.

" Facultativement, créez un répertoire USERS\DEFAULT pour les utilisateurs qui n’ont

pas de répertoires personnels sur cet ordinateur. Ce répertoire est quasiment le même que C:\TEMP excepté que les utilisateurs ont une plus grande certitude de permanence.

" Alternativement, vous pouvez créer un répertoire de base sur un répertoire distant

partagé. Utilisez les mêmes techniques d'ACLs.

Ce guide met en avant la pratique standard qui permet aux groupes Administrateurs et SYSTEM d’avoir un contrôle total sur tous les fichiers et dossiers dans les répertoires

personnels. Les utilisateurs peuvent enlevez ces groupes de leurs propres ACL, mais cela peut rendre les opérations plus difficiles en forçant les administrateurs à prendre possession dans des cas exceptionnels où ils ont besoin de résoudre des problèmes dans les arborescences du répertoire utilisateur.

Examen Régulier:

L'examinateur devrait formuler une stratégie de site pour les répertoires personnels utilisateurs, revoyez alors tous les répertoires personnels à la recherche de pratiques potentiellement dangereuses vis-à-vis de votre stratégie. Ce qui suit sont des exemples qui peuvent être inclus dans une telle stratégie:

" Les fichiers personnels qui contiennent des informations “secrètes”, comme les mots de

passe pour différentes applications, doivent être correctement protégés, ou, de préférence, enlevés. En aucun cas les utilisateurs ne doivent stocker un mot de passe de connexion Windows dans un fichier.

" Renforcer la stratégie du site comme si les utilisateurs non-administratifs importaient des programmes sur le système. Si ils sont autorisés, les fichiers exécutables et leurs DLLs doivent être protégés de la modification.

" Vérifier les cas où des individus ne protègent pas correctement les arborescences de leurs

répertoires personnels.

" Vérifier les cas où des individus partagent un répertoire personnel mais dont l’un des

utilisateur stocke des données pour lesquelles les autres ne sont pas autorisés à accéder de par la stratégies du site.

Sections Associées:

Système de Fichier & Paramètre d'ACLs du Registre, y compris “Installer & Tester des Nouvelles Applications”

Spoofing, les dommages que les applications malintentionnées peuvent faire Droits Utilisateurs, le droit d'Outrepasser le Contrôle de Parcours

Guide NSA de Sécurisation Windows NT 65 8. Applications & Répertoires Utilisateurs

Guide NSA de Sécurisation Windows NT 67 9. Comptes Utilisateurs & Groupes