Droits des Utilisateurs

12. Droits des Utilisateurs

Chaque ordinateur Windows NT possède une “Stratégie de Droits” locale qui associe les divers groupes et comptes utilisables sur cet ordinateur avec environ 30 Droits. Les Droits ne sont pas une propriété de l'utilisateur ou du groupe, et un compte peut avoir différents droits sur différents ordinateurs. Les Administrateurs "Pleins Pouvoirs" gèrent les Droits d'un ordinateur en utilisant le Gestionnaire des Utilisateurs.

Quand Windows NT crée un session locale (primaire) ou distante (secondaire), il attache les Droits associés avec le compte utilisateur et tous les groupes de l'utilisateur à la session. Ces Droits sont hérités par les programmes qui fonctionnent au sein de cette session et à beaucoup de serveurs à partir desquels ces programmes exigent des services. Les Droits permettent aux programmes des capacités particulières. Les Droits d'ouverture de session ne sont pas affectés par les modification aux Droits pendant la durée de vie de la session. Ensemble, une

identification de compte utilisateur, les appartenances aux groupes, et les Droits déterminent les pouvoirs sur le système.

Les Droits Systèmes par défaut sont sensiblement sécurisés et les conseils ci-dessous ne prescrivent que peu de modifications. La plupart des Droits ne présentent d'intérêt que pour le système d'exploitation lui même et ne sont assignés qu'à peu de comptes.

Conseils

Niveaux 1 & 2:

Les Droits par Défaut sont déjà sensiblement sécurisés et nous ne proposons que peu de modifications.

" Nous recommandons que vous remplaciez “Tout le Monde” (si il existe) par

“Utilisateurs” dans le Droit d' “Ouvrir une sessions localement” et “Accéder à cet ordinateur à partir du réseau.” Votre Stratégie peut aussi imposer de pousser

davantage les restrictions de ces Droits comme décrit dans “Droits de connexion dans des environnements à plusieurs domaines” dans Domaines & Restrictions d'Accès de Base.

Tout le Monde et Utilisateurs concernent en général les même comptes. Cependant, permettre à Tout le Monde d'ouvrir une session locale ou distante semble trop large en principe général. Remarquons que ceci n'inclut pas l'accès distant par le compte Invité parce que par défaut, il n'est pas un membre de Utilisateurs.

" Retirez tous les utilisateurs et groupes du Droit nommé “Outrepasser le Contrôle de

Parcours.” Il n'y a rien de dangereux concernant l'assignation aux utilisateurs du Droit d'

“Outrepasser le Contrôle de Parcours,” tant que tous les utilisateurs système comprennent que restreindre l'ACL d'un répertoire à d'autre utilisateurs n'interdit pas nécessairement l'accès à ses fichiers et sous-répertoires. En prenant l'idée que les utilisateurs tendent à penser le contraire, et qu'Outrepasser le Contrôle de Parcours peut être nécessaire,²² le guide recommande que vous ne l'assigniez à personne. Vous pouvez mettre ce Droit sans danger aux utilisateurs administrateurs qui ont un large accès de toute façon.

22 Il y' a au moins un rapport mentionnant que le fait de retirer ce Droit ce certains comptes peut entraîner un crash du système d'exploitation (le fameux “blue screen of death”). Nous ne pouvons pas confirmer cela pour le moment.

" Nous vous recommandons d'ajouter les Opérateurs de Serveur et Utilisateurs avec Pouvoirs au Droit d' “Augmenter la priorité de planification.” C'est un privilège bénin en terme de sécurité et le donner plus largement aide à réduire l'utilisation de compte administrateurs 'Plein Pouvoirs'.

" Retirez le Droits “sauvegarde” et “restauration” aux Opérateurs de Serveur. Ces Droits

extrêmement critiques conviennent davantage aux comptes utilisés pour faire seulement des sauvegardes et des restaurations de données, normalement les Opérateurs de

Sauvegarde.

A l'exception des descriptions fournies par ces indications, n'étendez pas l'allocation des Droits à moins que vous ne conceviez pleinement toutes les ramifications. Beaucoup de Droits permettent en effet aux utilisateurs un accès illimité au système.

Notes

Droits Communs

La section suivante résume plusieurs Droits mentionnés dans le Guide:

Ouvrir une session localement

Accéder à cet ordinateur depuis le réseau

Un compte doit avoir le Droit d’“ouvrir une session localement” avant que le système ne lui autorise la connexion locale (primaire), et d’“accéder à cet ordinateur depuis le réseau” avant que le système ne crée une session distante (secondaire) pour ce compte.

Ces deux droits sont une façon effective de contrôler qui peut utiliser quel ordinateur.

Remarquons que des services fournis par des sociétés tierces peuvent ne pas se baser sur les mécanismes d'authentification distantes natifs de Windows NT, et peuvent fournir des fonctions aux utilisateurs distants qui n'ont pas le droit d'accéder à

l'ordinateur via le réseau. Il faudrait alors espérer qu'un tel service possède un contrôle utilisateur assez solide. Gérez ce genre de service au cas par cas.

Sauvegarder les fichiers et répertoires Restaurer les fichiers et répertoires

Ceux-ci sont probablement les Droits les plus puissants et permettent d'outrepasser les ACLs pour lire et écrire. Avec les outils standard de Windows NT, il est difficile pour les programmes qui possèdent ces privilèges de lire ou de modifier directement des fichiers que leurs ACLS refuseraient, mais créer des programmes spéciaux pour effectuer cette mission est à la portée d'un grand nombre d'administrateurs et d'agresseurs.

Prendre possession des fichiers et dossiers

Ce puissant Droit permet à un compte de devenir le propriétaire de l'objet d'un autre utilisateur (comme les fichiers, répertoires et clés de Registre). En tant que propriétaire, vous pouvez modifier l'ACL pour vous octroyer un accès illimité. Cependant, ce Droit ne vous permet pas d’inverser l'appartenance en remettant l'appartenance sur le propriétaire précédent.

Debugger des programmes

Ce Droit permet à un utilisateur d'intervenir dans le fonctionnement des programmes lancés par un autre utilisateur. C'est un privilège critique puisque l'autre utilisateur peut très bien être un Administrateur, ce qui permet à un debugger malin d'obtenir les capacités de l'administrateur.

Guide NSA de Sécurisation Windows NT 89 12. Droits des Utilisateurs Outrepasser le Contrôle de Parcours

Suspendre la vérification d'ACL que le système effectue lorsqu'un programme utilise un répertoire dans un nom de chemin. Sans ce Droit, si vous n'avez pas la permission nécessaire pour entrer dans un répertoire, vous n'obtiendrez jamais d'accès à quelque objet que ce soit au sein de l'arborescence en question, même si vous avez accès à cet objet. Par analogie, si la porte d'un bâtiment est fermée, vous ne pourrez pas atteindre un bureau même si sa porte est ouverte. Tout ceci change lorsque vous donnez à un utilisateur le droit d'Outrepasser le Contrôle de Parcours. Alors que vous ne pouvez toujours pas Lire ou Ecrire dans le dossier vous pouvez passer au travers en désignant un objet dans l'arborescence pour lequel vous avec un accès (pourvu que vous

connaissiez son chemin). Par défaut, Tout le Monde possède ce Droit.

Arrêter le système

Ces conseils ne considèrent pas le fait d'arrêter le système (un “dénie de service”) comme un problème de sécurité, bien que cela soit un important problème opérationnel. Voir aussi “Arrêter le Système” dans Stratégie Générale.

Chapitres et Sections associés:

Domaines & Restrictions d'Accès de Base, Droit d'ouvrir une session localement et à distance

Services Systèmes, Droits qui s'appliquent au compte SYSTEM.

Comptes Utilisateurs & Groupes, Droit d'ouvrir une session localement contre le paramètre “Se connecter à” dans un compte.

Références:

[Sutt96] “Droits des Utilisateurs” dans le Chapitre 7, Gérer les Groupes et les Comptes, p. 182.

[NetGd] “ Droits des Utilisateurs ” dans le Chapitre 2, Sécurité Réseau et Planification de Domaine.