Attribution des droits utilisateur

4.4.2.1 Accéder à cet ordinateur à partir du réseau senetworklogonright = *S-1-5-11,*S-1-5-32-544

Le paramètre « senetworklogonright » permet l’accès au système par protocole réseau (SMB, NetBIOS, CIFS, HTTP et COM+). La présente stratégie accorde des privilèges aux

administrateurs et aux utilisateurs authentifiés. La possibilité d’accéder au système à partir d’un réseau présente un plus grand risque d’exposition aux attaques. En réduisant l’accès, on réduit les risques d’exposition.

4.4.2.2 Agir en tant que partie du système d’exploitation setcbprivilege =

Le paramètre « setcbprivilege » permet au compte d’agir en tant que partie du système d’exploitation. Selon Microsoft, il n’y a aucune raison pour qu’un compte ait besoin de ce privilège.

4.4.2.3 Ajouter des stations de travail au domaine semachineaccountprivilege =

Le paramètre « semachineaccountprivilege » octroie le droit d’ajouter des postes de travail à un domaine. Cette stratégie n’octroie aucun droit. Restreindre ce privilège aide à maintenir

l’intégrité du domaine.

4.4.2.4 Ajuster les quotas de mémoire pour un processus seincreasequotaprivilege = *S-1-5-32-544,*S-1-5-19,*S-1-5-20

Le paramètre « seincreasequotaprivilege » donne la possibilité d’ajuster les quotas de mémoire pour un processus. La présente stratégie octroie des privilèges aux comptes Administrateurs, LOCAL SERVICE et NETWORK SERVICE. Si ce paramètre est mal utilisé, des attaques par déni de service sont possibles.

4.4.2.5 Permettre l’ouverture d’une session locale seinteractivelogonright = *S-1-5-32-551,*S-1-5-32-544

Le paramètre « seinteractivelogonright » octroie des privilèges d’ouverture de session sur la console locale. Ces privilèges sont donnés aux administrateurs et aux opérateurs de sauvegarde. L’accès local est restreint aux comptes qui ont une raison légitime d’accéder à la console. En restreignant ce privilège, on réduit l’exposition du système.

4.4.2.6 Autoriser l’ouverture de session par les services Terminal Server seremoteinteractivelogonright = *S-1-5-32-544

Le paramètre « seremoteinteractivelogonright » octroie le droit d’ouvrir une session à distance par l’intermédiaire des services Terminal Server. La présente stratégie donne ce droit aux administrateurs. Rien n’exige que l’on accorde aux utilisateurs cette forme d’accès.

4.4.2.7 Sauvegarder des fichiers ou des répertoires sebackupprivilege = *S-1-5-32-551,*S-1-5-32-544

Le paramètre « sebackupprivilege » octroie le droit de sauvegarder des fichiers et des répertoires. Les droits sont donnés aux administrateurs et aux opérateurs de sauvegarde. Si votre stratégie ne permet pas aux administrateurs de sauvegarder les fichiers et les répertoires, omettez alors le groupe Administrateurs. L’attribution de ce privilège doit être contrôlée de près.

4.4.2.8 Outrepasser le contrôle de traversée

sechangenotifyprivilege = *S-1-5-32-545,*S-1-5-32-551,*S-1-5-11,*S-1-5-32-544

Le paramètre « sechangenotifyprivilege » octroie le droit de contourner le contrôle de traversée dans les systèmes de fichier NTFS et dans le Registre. La présente stratégie octroie des droits aux utilisateurs, opérateurs de sauvegarde, administrateurs et utilisateurs authentifiés.

4.4.2.9 Modifier l’heure système sesystemtimeprivilege = *S-1-5-32-544

Le paramètre « sesystemtimeprivilege » octroie le droit de modifier l’heure système. La présente stratégie octroie les droits aux administrateurs. L’heure système est essentielle dans les enquêtes sur les incidents. Sans un temps uniforme, il est difficile de synchroniser les événements sur des systèmes multiples.

4.4.2.10 Créer un fichier d’échange secreatepagefileprivilege = *S-1-5-32-544

Le paramètre « secreatepagefileprivilege » octroie le droit de créer un fichier d’échange. La présente stratégie octroie les droits aux administrateurs. Un fichier d’échange trop grand peut entraver la performance d’un système. En restreignant ce droit aux administrateurs, l’exposition du système est réduite aux seules personnes jugées fiables.

4.4.2.11 Créer un objet-jeton secreatetokenprivilege =

Le paramètre « secreatetokenprivilege » octroie le droit de créer des objets-jetons de sécurité locale. Ce privilège donne la possibilité de créer ou de modifier des jetons d’accès. Cette

stratégie n’octroie aucun droit à personne. Ce paramètre peut empêcher les attaques par escalade de privilèges et les conditions de déni de services.

4.4.2.12 Créer des objets globaux

secreateglobalprivilege = *S-1-5-6,*S-1-5-32-544

Le paramètre « secreateglobalprivilege » octroie le droit de créer des objets disponibles dans toutes les sessions. La présente stratégie octroie les droits aux administrateurs et au compte SERVICE. On peut l’utiliser pour affecter d’autres processus d’utilisateurs.

4.4.2.13 Créer des objets partagés permanents) secreatepermanentprivilege =

Le paramètre « secreatepermanentprivilege » octroie le droit de créer des objets partagés (dossiers, imprimantes). Les utilisateurs ayant ce privilège pourraient exposer des données sensibles sur les réseaux en créant un objet partagé. Seuls les membres du groupe des administrateurs peuvent créer des objets partagés permanents.

4.4.2.14 Déboguer les programmes sedebugprivilege =

Le paramètre « sedebugprivilege » octroie le droit de déboguer tout processus du noyau. Le déboguage des programmes ne devrait jamais être effectué dans un environnement opérationnel. Le cas échéant, on doit octroyer ces droits pour une brève période de temps.

4.4.2.15 Interdire l’accès à cet ordinateur à partir du réseau sedenynetworklogonright = *S-1-5-32-546, *S-1-5-7

Le paramètre « sedenynetworklogonright » empêche l’accès pour divers protocoles réseau. La stratégie applique ce paramètre aux invités et à l’ouverture de session par compte

ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux « Guest », « Support_388945a0 », et « Built-in Administrator ».

REMARQUE : S’il n’y a aucune raison pour accorder à un groupe ou à un utilisateur l’accès

réseau au systèmem, celui-ci devrait être refusé.

4.4.2.16 Interdire l’ouverture de session en tant que tâche sedenybatchlogonright = *S-1-5-32-546, *S-1-5-7

Le paramètre « sedenybatchlogonright » empêche la possibilité de créer des tâches par lots. Cette stratégie applique ce paramètre aux invités et au compte ANONYMOUS LOGON. Les

administrateurs doivent ajouter les comptes locaux « Guest » et « Support_388945a0 ». La fonction de tâche par lots pourrait être utilisée pour planifier des tâches qui résulteraient en une attaque par déni de service.

REMARQUE : S’il n’y a aucune raison pour accorder à un groupe ou à un utilisateur l’accès

par ouverture de session en tant que tâche, celui-ci devrait être refusé.

4.4.2.17 Interdire l’ouverture de session en tant que service sedenyservicelogonright = *S-1-5-32-546,*S-1-5-32-544, *S-1-5-7

Le paramètre « sedenyservicelogonright » empêche l’accès à divers protocoles réseau. La présente stratégie applique ce paramètre aux comptes Guests, ANONYMOUS LOGON, et Administrateurs. Les administrateurs doivent ajouter des comptes locaux « Guest », « Support_388945a0 » et « Built-in Administrator ».

4.4.2.18 Interdire l’ouverture d’une session locale sedenyinteractivelogonright = *S-1-5-32-546, *S-1-5-7

Le paramètre « sedenyinteractivelogonright » empêche l’accès local au système. La présente stratégie applique ce paramètre aux comptes Guests et ANONYMOUS LOGON. Les

REMARQUE : S’il n’y a aucune raison accorder à un groupe l’accès de manière interactive au

système, celui-ci devrait être refusé.

4.4.2.19 Interdire l’ouverture de session par les services Terminal Server sedenyremoteinteractivelogonright = *S-1-5-32-546, *S-1-5-7

Le paramètre « sedenyremoteinteractivelogonright » empêche l’ouverture de session par

l’intermédiaire des services de terminal. La présente stratégie applique ce paramètre aux comptes Guests et ANONYMOUS LOGON. Les administrateurs doivent ajouter les comptes locaux « Guest », « Support_388945a0 » et « Built-in Administrator ».

REMARQUE : S’il n’y a aucune raison pour accorder à un groupe l’accès par les services de

terminal, celui-ci devrait être refusé.

4.4.2.20 Autoriser que l’on fasse confiance aux comptes ordinateur et utilisateur pour la délégation

seenabledelegationprivilege =

Le paramètre « seenabledelegationprivilege » octroie le droit de modifier le paramètre « trusted for delegation » pour des objets de l’Active Directory. La présente stratégie n’octroie pas de privilège à quiconque. La mauvaise utilisation de ce privilège pourrait donner lieu à l’usurpation de l’identité des utilisateurs dans un domaine.

4.4.2.21 Forcer l’arrêt à partir d’un système distant seremoteshutdownprivilege =

Le paramètre « seremoteshutdownprivilege » octroie le droit de forcer l’arrêt à partir d’un

système distant. La présente stratégie n’octroie aucun droit à quiconque. Pour fermer les serveurs dans une zone haute sécurité, il faut y accéder physiquement.

4.4.2.22 Générer des audits de sécurité seauditprivilege = *S-1-5-19,*S-1-5-20

Le paramètre « seauditprivilege » octroie le droit de générer des enregistrements dans les

journaux de sécurité. La présente stratégie octroie les droits aux comptes NETWORK SERVICE et LOCAL SERVICE. En limitant les droits aux comptes non interactifs, on peut éviter les conditions de déni de service par inondation des journaux.

4.4.2.23 Usurper l’identité d’un client après authentification seimpersonateprivilege = *S-1-5-19,*S-1-5-20

Le paramètre « seimpersonateprivilege » octroie aux applications le droit d’assumer l’identité de ce client. La présente stratégie octroie les droits aux services Local Service et Network Service. Pour une sécurité accrue, les privilèges sont limités aux comptes non interactifs.

4.4.2.24 Augmenter la priorité de planification seincreasebasepriorityprivilege = *S-1-5-32-544

Le paramètre « seincreasebasepriorityprivilege » octroie le droit d’accroître la priorité des processus. La présente stratégie octroie les privilèges aux administrateurs. Si ce paramètre est mal utilisé, une condition de déni de service pourrait accaparer les ressources de l’unité centrale.

4.4.2.25 Charger et décharger des pilotes de périphériques seloaddriverprivilege = *S-1-5-32-544

Le paramètre « seloaddriverprivilege » octroie le droit de charger et de décharger des pilotes de périphériques. La présente stratégie octroie les privilèges aux administrateurs. Le code du pilote est exécuté avec des privilèges accrus. En restreignant les privilèges aux administrateurs, le risque d’exposition s’en trouve réduit.

4.4.2.26 Verrouiller des pages en mémoire selockmemoryprivilege =

Le paramètre « selockmemoryprivilege » octroie le droit de conserver les données en mémoire physique. La présente stratégie n’octroie aucun privilège à quiconque. L’utilisation abusive des privilèges peut accaparer les ressources mémoire et causer une situation de déni de service. En restreignant ce privilège, on réduit le risque d’exposition à cette menace.

4.4.2.27 Ouvrir une session en tant que tâche sebatchlogonright =

Le paramètre « sebatchlogonright » octroie le droit de soumettre des tâches par lots (c.-à-d. ouvrir une session en tant que tâche). La présente stratégie n’octroie aucun droit à quiconque. Le Planificateur de tâches pourrait provoquer un déni de service. En limitant ce privilège, on réduit la menace.

4.4.2.28 Ouvrir une session en tant que service seservicelogonright = *S-1-5-20,*S-1-5-19

Le paramètre « seservicelogonright » octroie le droit d’ouvrir une session en tant que service. La présente stratégie octroie les droits aux services Local Service et Network Service. Les comptes interactifs sont expressément exclus.

4.4.2.29 Gérer le journal d’audit et de sécurité sesecurityprivilege = *S-1-5-32-544

Le paramètre « sesecurityprivilege » octroie le droit de spécifier les options d’audit et d’accès à des objets spécifiques. La présente stratégie octroie les droits aux administrateurs. Seuls les administrateurs peuvent déterminer le niveau d’audit approprié. On s’assure ainsi que les utilisateurs du système ne peuvent pas réduire les niveaux d’audit et ainsi éliminer les traces de leurs activités.

4.4.2.30 Modifier les valeurs de l’environnement de microprogrammation sesystemenvironmentprivilege = *S-1-5-32-544

Le paramètre « sesystemenvironmentprivilege » octroie le droit de modifier les valeurs de l’environnement de microprogrammation. La présente stratégie octroie ces droits aux

administrateurs seulement. Il faut contrôler la possibilité de modifier les configurations système.

4.4.2.31 Effectuer des tâches de gestion des volumes semanagevolumeprivilege = *S-1-5-32-544

Le paramètre « semanagevolumeprivilege » octroie le droit de gérer les volumes ou les disques. La présente stratégie octroie les droits aux administrateurs seulement. La fonction administrative de gestion des volumes et des disques peut endommager les données utilisateur sur un disque. En restreignant ce privilège, on réduit la menace.

4.4.2.32 Profil de processus unique

seprofilesingleprocessprivilege = *S-1-5-32-544

Le paramètre « seprofilesingleprocessprivilege » octroie le droit de surveiller la performance des processus non-système. La présente stratégie octroie ces droits aux administrateurs. Le

« profilage » d’un processus peut fournir de l’information qui pourrait être utilisée comme base d’attaque. En limitant ces privilèges aux administrateurs, on réduit cette menace.

4.4.2.33 Profil de performance système sesystemprofileprivilege = *S-1-5-32-544

Le paramètre « sesystemprofileprivilege » octroie le droit de surveiller la performance d’un processus système. La présente stratégie octroie ces droits aux administrateurs seulement. Le « profilage » d’un système permet d’obtenir de l’information utile pour une attaque. En limitant ces privilèges aux administrateurs, on réduit cette menace.

4.4.2.34 Retirer l’ordinateur de la station d’accueil seundockprivilege = *S-1-5-32-544

Le paramètre « seundockprivilege » octroie le droit de retirer l’ordinateur du serveur. La présente stratégie octroie ces privilèges aux administrateurs seulement. À titre de mesure préventive, ces privilèges sont restreints.

4.4.2.35 Remplacer un jeton de niveau processus seassignprimarytokenprivilege = *S-1-5-19,*S-1-5-20

Le paramètre « seassignprimarytokenprivilege » octroie le droit de remplacer un jeton de sécurité de processus, pour un sous-processus. Ces droits sont octroyés aux services Local Service et Network Service. On peut se servir de ce paramètre pour lancer des processus en tant qu’« autre utilisateur », et ainsi masquer des activités non autorisées sur un système.

4.4.2.36 Restaurer des fichiers et des répertoires serestoreprivilege = *S-1-5-32-544

Le paramètre « serestoreprivilege » octroie le droit de contourner les permissions pour ce qui est de restaurer les objets. La présente stratégie octroie les privilèges aux administrateurs seulement. En raison de la nature du processus de restauration, les droits sont restreints aux comptes qui ont besoin de l’utiliser.

4.4.2.37 Arrêter le système

seshutdownprivilege = *S-1-5-32-544

Le paramètre « seshutdownprivilege » octroie le droit d’arrêter le système localement. La

présente stratégie octroie ce droit aux administrateurs seulement. En restreignant ce privilège, on réduit les risques d’arrêt accidentel ou malveillant.

4.4.2.38 Synchroniser les données de l’annuaire Active Directory sesyncagentprivilege =

Le paramètre « sesyncagentprivilege » octroie le droit de lire tous les objets et toutes les

propriétés dans l’annuaire. La présente stratégie révoque tous les privilèges. L’information tirée de l’Active Directory pourrait être utilisée pour forger une attaque contre le système.

4.4.2.39 Prendre possession des fichiers ou d’autres objets setakeownershipprivilege = *S-1-5-32-544

Le paramètre « setakeownershipprivilege » octroie le droit de prendre possession de tout objet pouvant être sécurisé dans le système. La modification de prise de possession sera consignée dans les journaux. La présente stratégie octroie les privilèges aux administrateurs seulement.