P ROTECTION DES C OMPTES

Le compte Invité permet à des utilisateurs d'accèder à un système Windows NT sans avoir besoin d'un compte utilisateur particulier. Ce compte a accès à toutes les ressources sur lesquelles le groupe Tout le monde a des permissions. Ce groupe peut disposer de permissions risquées sur le répertoire %SYSTEMROOT%.

Le compte Invité est désactivé par défaut sur les contrôleurs de domaine Windows NT Server et activé sur les Windows NT Workstation et sur les serveurs membres du domaine. Dans ce cas, le compte Invité peut être utilisé pour ouvrir une session localement. Sur les contrôleurs de domaine, le compte Invité ne permet l'accès qu'à travers le réseau.

Dans le gestionnaire des utilisateurs, désactiver le compte Invité sur chaque station et serveur.

5.9.2. Gérer les comptes utilisateurs

Au sujet des comptes utilisateurs:

• Ne créez que des comptes de domaine si vous êtes dans une structure en Domaine

• Ne créez pas de comptes fonctionnels. Les comptes doivent être nominatifs.

Propriétés des utilisateurs

Utilisateur 8 caractères ou en fonction des besoins locaux

Nom détaillé Libre

Description Libre

Mot de passe cf. Stratégie de comptes

L’utilisateur doit changer de mot de passe à la

prochaine connexion Cocher la boite à la création du compte L’utilisateur ne peut pas changer de mot de

passe

Ne pas cocher la boite

Le mot de passe n’expire jamais Ne pas cocher la boite (sauf pour l’Administrateur local)

Compte désactivé Ne pas cocher la boite (le compte « Invité » doit être désactivé car il ne peut pas être supprimé)

Bouton Groupes PAS de comptes utilisateurs dans le groupe «

Invité » et « Utilisateurs avec pouvoir «.

Enlever « Invité » du groupe « Utilisateur du domaine »

Bouton Profils Libre d’utilisation par l’Administrateur

Bouton Horaires Activer si possible les horaires d'accès. Forcer la déconnexion des utilisateurs du serveur

89

5.9.3. Renommer le compte Administrateur

Le compte Administrateur de Windows NT est particulièrement connu et il n'est pas verrouillable. Il est conseillé de le renommer de façon à le rendre plus discret. Il faut éviter bien sur les noms tels que "root", "supervisor", ou pire "Administrator". Le mieux est de lui attribuer un nom d'utilisateur fictif conforme à la politique de nommage de l'entreprise.

Renommer le compte Administrateur à l'aide du Gestionnaire des Utilisateurs du domaine.

Il ne sert à rien de renommer le compte s'il est utilisé couramment devant les utilisateurs. Pour l'administration courante, vous pouvez créer un compte d'administration (membre du groupe Administrateurs du Domaine), qui aura par contre la particularité d'être verrouillable. Il sera toujours temps d'utiliser le compte d'origine pour déverrouiller le compte courant.

Renommer le compte Administrateur ne permet en aucun cas de le cacher. Il est possible de le récupérer en listant la base des comptes, en récupérant les SID, en surveillant la table NetBIOS des stations, ou tout simplement en recherchant les profils stockés sur les disques durs.

Astuce

Lorsque l'administrateur est connecté sur une station, il est possible de récupérer le nom de son compte par la commande :

nbtstat -A adresse IP

Il peut être intéressant de créer un compte nommé Administrateur qui sera un simple utilisateur.

Ce compte peut être désactivé. Il sera la cible privilégié. L'audit des échecs d'ouverture de session permettra de détecter rapidement l'attaque.

5.9.4. Choisir un mot de passe pour l'administrateur

Chaque station Windows NT dispose d'un compte Administrateur, créé à l'installation et utilisé pour la première ouverture de session. Ce compte ne peut pas être supprimé. Il n'est pas verrouillable à la suite de multiples tentatives. Aussi est-il conseillé d'utiliser un mot de passe complexe.

90 minuscules et majuscules.

• Ecrire ce mot de passe et le stocker dans un lieu physiquement protégé (coffre).

• Affecter ce mot de passe à chacun des comptes Administrateurs Locaux des stations

• Changer ce mot de passe chaque fois qu'un administrateur quitte l'équipe et en cas de divulgation

Les mots de passe des comptes locaux sont stockés sur le disque dur de la machine. Il est possible de récupérer ces fichiers et de procéder à une attaque de type "brute-forcing". Même si un mot de passe bien choisi devrait résister à ce genre d'attaque, il est préférable de ne pas utiliser le même mot de passe pour l'Administrateur local des stations et l'Administrateur des machines sensibles, tels les contrôleurs et serveurs autonomes.

5.9.5. Rendre le compte Administrateur verrouillable

Le compte Administrateur d'origine n'est pas verrouillable. Il peut donc être la cible des pirates sans aucune limitation. Ce choix a été déterminé pour éviter la perte d'accès total au serveur. Si quelqu'un parvenait à verrouiller ce compte, le serveur deviendrait inaccessible pour l'administrateur, réalisant une attaque par Deni de Service.

Passprob

Le logiciel Passprob est un outil fourni dans le kit de ressources NT qui permet de rendre le compte Administrateur verrouillable à travers une tentative de connexion par le réseau. Il reste utilisable à partir de la console du serveur et peut être ainsi déverrouillé.

PASSPROB /adminlockout

5.9.6. Limiter les membres du groupes Administrateurs

Le groupe Administrateurs de chaque station d'un domaine contient le groupe global Administrateurs du domaine, ce qui permet aux comptes administrateurs du domaine, déclarés sur les contrôleurs de domaine, d'administrer également les stations.

Il ne faut jamais inclure les comptes nominatifs des administrateurs dans le groupe Administrateurs. Dans ce cas, ils disposeraient en permanence des privilèges d'administration. Les administrateurs doivent disposer de deux comptes : un pour l'administration et un autre en qualité de simple utilisateur.

Astuce

Il peut être utile de déléguer l'administration des stations à une petite équipe, sans pour autant leur donner un compte membres des Administrateurs du domaine.. Pour cela :

• Créez un groupe global Administrateurs des Stations.

• Créez des comptes utilisateurs pour le personnel de l'équipe

• Ajoutez le groupe Administrateurs des Stations au groupe local Administrateurs de chaque station.

5.9.7. Cacher le nom du dernier utilisateur connecté

Lors de l'ouverture de session, le nom du dernier utilisateur connecté reste affiché. Il peut être source d'information pour un éventuel intrus.

Ajouter l'entrée suivante dans la base de registre.

Ruche HKEY_LOCAL_MACHINE\SOFTWARE

Clé Microsoft\Windows NT\Current Version\Winlogon Nom DontDisplayLastUserName

91 Type REG_SZ

Valeur 1

Cette protection peut aussi s'avérer être une contrainte pour les utilisateurs qui doivent saisir leur nom de login à chaque connexion.

5.9.8. Interdir l'ouverture de session automatique

Il est possible d'ouvrir une session automatiquement sur la machine en entrant des clefs supplémentaires dans la base des registres.

Il faut vérifier que les clefs suivantes n'existent pas et les détruire le cas échéant.

Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom AutoAdminLogon

Type REG_SZ Valeur 1

Ruche HKEY_LOCAL_MACHINE\SYSTEM

Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom DefaultPassword

Type REG_SZ

Valeur Le mot de passe en clair !

92