Partager via


Comptes locaux

Cet article décrit les comptes d’utilisateur locaux par défaut pour les systèmes d’exploitation Windows et explique comment gérer les comptes intégrés.

À propos des comptes d’utilisateur locaux

Les comptes d’utilisateur locaux sont définis localement sur un appareil et peuvent se voir attribuer des droits et des autorisations uniquement sur l’appareil. Les comptes d’utilisateur locaux sont des principaux de sécurité utilisés pour sécuriser et gérer l’accès aux ressources sur un appareil, pour les services ou les utilisateurs.

Comptes d’utilisateur locaux par défaut

Les comptes d’utilisateur locaux par défaut sont des comptes intégrés qui sont créés automatiquement lorsque le système d’exploitation est installé. Les comptes d’utilisateur locaux par défaut ne peuvent pas être supprimés ou supprimés et ne fournissent pas l’accès aux ressources réseau.

Les comptes d’utilisateur locaux par défaut sont utilisés pour gérer l’accès aux ressources de l’appareil local en fonction des droits et autorisations attribués au compte. Les comptes d’utilisateur locaux par défaut et les comptes d’utilisateur locaux que vous créez se trouvent dans le dossier Utilisateurs . Le dossier Utilisateurs se trouve dans le dossier Utilisateurs et groupes locaux de la console MMC (Microsoft Management Console) de gestion des ordinateurs local. La gestion de l’ordinateur est un ensemble d’outils d’administration que vous pouvez utiliser pour gérer un appareil local ou distant.

Les comptes d’utilisateur locaux par défaut sont décrits dans les sections suivantes. Développez chaque section pour plus d’informations.

Administrateur

Le compte d’administrateur local par défaut est un compte d’utilisateur pour l’administration du système. Chaque ordinateur a un compte d’administrateur (SID S-1-5-domain-500, nom d’affichage Administrateur). Le compte Administrateur est le premier compte créé pendant l’installation de Windows.

Le compte Administrateur dispose d’un contrôle total sur les fichiers, répertoires, services et autres ressources sur l’appareil local. Le compte Administrateur peut créer d’autres utilisateurs locaux, attribuer des droits d’utilisateur et attribuer des autorisations. Le compte Administrateur peut prendre le contrôle des ressources locales à tout moment en modifiant les droits et autorisations de l’utilisateur.

Le compte administrateur par défaut ne peut pas être supprimé ou verrouillé, mais il peut être renommé ou désactivé.

Le programme d’installation de Windows désactive le compte Administrateur intégré et crée un autre compte local membre du groupe Administrateurs.

Les membres des groupes Administrateurs peuvent exécuter des applications avec des autorisations élevées sans utiliser l’option Exécuter en tant qu’administrateur . Le basculement rapide d’utilisateur est plus sécurisé que l’utilisation runas ou l’élévation d’un utilisateur différent.

Appartenance au groupe de comptes

Par défaut, le compte Administrateur est membre du groupe Administrateurs. Il est recommandé de limiter le nombre d’utilisateurs dans le groupe Administrateurs, car les membres du groupe Administrateurs disposent d’autorisations Contrôle total sur l’appareil.

Le compte Administrateur ne peut pas être supprimé du groupe Administrateurs.

Considérations en matière de sécurité

Étant donné que le compte Administrateur est connu pour exister sur de nombreuses versions du système d’exploitation Windows, il est recommandé de désactiver le compte Administrateur lorsque cela est possible afin de rendre plus difficile l’accès au serveur ou à l’ordinateur client pour les utilisateurs malveillants.

Vous pouvez renommer le compte Administrateur. Toutefois, un compte Administrateur renommé continue d’utiliser le même identificateur de sécurité (SID) attribué automatiquement, qui peut être découvert par des utilisateurs malveillants. Pour plus d’informations sur la façon de renommer ou de désactiver un compte d’utilisateur, consultez Désactiver ou activer un compte d’utilisateur local et Renommer un compte d’utilisateur local.

En guise de bonne pratique en matière de sécurité, utilisez votre compte local (non administrateur) pour vous connecter, puis utilisez Exécuter en tant qu’administrateur pour accomplir les tâches qui nécessitent un niveau de droits supérieur à celui d’un compte d’utilisateur standard. N’utilisez pas le compte Administrateur pour vous connecter à votre ordinateur, sauf si cela est entièrement nécessaire. Pour plus d’informations, consultez Exécuter un programme avec des informations d’identification d’administration.

stratégie de groupe pouvez être utilisé pour contrôler automatiquement l’utilisation du groupe Administrateurs local. Pour plus d’informations sur stratégie de groupe, consultez stratégie de groupe Vue d’ensemble.

Important

  • Les mots de passe vides ne sont pas autorisés
  • Même lorsque le compte Administrateur est désactivé, il peut toujours être utilisé pour accéder à un ordinateur à l’aide du mode sans échec. Dans la console de récupération ou en mode sans échec, le compte Administrateur est automatiquement activé. Lorsque les opérations normales reprennent, elle est désactivée.

Invité

Le compte Invité permet aux utilisateurs occasionnels ou ponctuels, qui n’ont pas de compte sur l’ordinateur, de se connecter temporairement au serveur local ou à l’ordinateur client avec des droits d’utilisateur limités. Par défaut, le compte Invité est désactivé et a un mot de passe vide. Étant donné que le compte Invité peut fournir un accès anonyme, il est considéré comme un risque pour la sécurité. Pour cette raison, il est recommandé de laisser le compte Invité désactivé, sauf si son utilisation est nécessaire.

Appartenance au groupe de comptes invités

Par défaut, le compte Invité est le seul membre du groupe SID S-1-5-32-546Invités par défaut , qui permet à un utilisateur de se connecter à un appareil.

Considérations relatives à la sécurité du compte invité

Lorsque vous activez le compte Invité, accordez uniquement des droits et des autorisations limités. Pour des raisons de sécurité, le compte Invité ne doit pas être utilisé sur le réseau et rendu accessible à d’autres ordinateurs.

En outre, l’utilisateur invité dans le compte Invité ne doit pas être en mesure d’afficher les journaux des événements. Une fois le compte invité activé, il est recommandé de surveiller fréquemment le compte invité pour s’assurer que les autres utilisateurs ne peuvent pas utiliser les services et autres ressources. Cela inclut les ressources qui ont été laissées involontairement disponibles par un utilisateur précédent.

HelpAssistant

Le compte HelpAssistant est un compte local par défaut activé lors de l’exécution d’une session d’assistance à distance. Ce compte est automatiquement désactivé lorsqu’aucune demande d’assistance à distance n’est en attente.

HelpAssistant est le compte principal utilisé pour établir une session d’assistance à distance. La session d’assistance à distance est utilisée pour se connecter à un autre ordinateur exécutant le système d’exploitation Windows, et elle est lancée sur invitation. Pour l’assistance à distance sollicitée, un utilisateur envoie une invitation à partir de son ordinateur, par e-mail ou sous forme de fichier, à une personne qui peut fournir de l’aide. Une fois l’invitation de l’utilisateur à une session d’assistance à distance acceptée, le compte HelpAssistant par défaut est automatiquement créé pour accorder à la personne qui fournit l’assistance un accès limité à l’ordinateur. Le compte HelpAssistant est géré par le service Gestionnaire de session d’aide bureau à distance.

Considérations relatives à la sécurité du compte HelpAssistant

Les SID qui se rapportent au compte HelpAssistant par défaut sont les suivants :

  • SID : S-1-5-<domain>-13, nom d’affichage Utilisateur Terminal Server. Ce groupe inclut tous les utilisateurs qui se connectent à un serveur sur lequel les services Bureau à distance sont activés.
  • SID : S-1-5-<domain>-14, nom d’affichage Connexion interactive distante. Ce groupe inclut tous les utilisateurs qui se connectent à l’ordinateur à l’aide d’une connexion Bureau à distance. Ce groupe est un sous-ensemble du groupe interactif. Les jetons d’accès qui contiennent le SID d’ouverture de session interactive à distance contiennent également le SID interactif.

Pour le système d’exploitation Windows Server, l’Assistance à distance est un composant facultatif qui n’est pas installé par défaut. Vous devez installer l’assistance à distance avant de pouvoir l’utiliser.

Pour plus d’informations sur les attributs du compte HelpAssistant, consultez le tableau suivant.

Attributs du compte HelpAssistant

Attribut Valeur
SID/RID bien connu S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)
Type Utilisateur
Conteneur par défaut CN=Users, DC=<domain>
Membres par défaut Aucun(e)
Membre par défaut de Invités de domaine

Invités
Protégé par ADMINSDHOLDER ? Non
Sûr de sortir du conteneur par défaut ? Peut être déplacé, mais nous ne le recommandons pas.
Est-il possible de déléguer la gestion de ce groupe à des administrateurs n’appartenant pas au service ? Non

DefaultAccount

Le compte DefaultAccount, également appelé compte managé système par défaut (DSMA), est un type de compte d’utilisateur bien connu. DefaultAccount peut être utilisé pour exécuter des processus prenant en charge plusieurs utilisateurs ou indépendants de l’utilisateur.

La DSMA est désactivée par défaut sur les éditions de bureau et sur les systèmes d’exploitation serveur avec l’expérience de bureau.

DSMA a un RID bien connu de 503. L’identificateur de sécurité (SID) du DSMA aura donc un SID connu au format suivant : S-1-5-21-\<ComputerIdentifier>-503.

DSMA est membre du groupe bien connu Groupe de comptes managés système, qui a un SID connu de S-1-5-32-581.

L’alias DSMA peut se voir accorder l’accès aux ressources pendant la mise en lots hors connexion, même avant la création du compte lui-même. Le compte et le groupe sont créés lors du premier démarrage de l’ordinateur dans le Gestionnaire des comptes de sécurité (SAM).

Utilisation par Windows de DefaultAccount

Du point de vue des autorisations, defaultAccount est un compte d’utilisateur standard. DefaultAccount est nécessaire pour exécuter des applications multi-utilisateur manifested (applications MUMA). Les applications MUMA s’exécutent en permanence et réagissent aux utilisateurs qui se connectent et se déconnectent des appareils. Contrairement à Windows Desktop où les applications s’exécutent dans le contexte de l’utilisateur et sont arrêtées lorsque l’utilisateur se déconnecte, les applications MUMA s’exécutent à l’aide de DSMA.

Les applications MUMA sont fonctionnelles dans les références SKU de session partagée telles que Xbox. Par exemple, l’interpréteur de commandes Xbox est une application MUMA. Aujourd’hui, Xbox se connecte automatiquement en tant que compte invité et toutes les applications s’exécutent dans ce contexte. Toutes les applications prennent en charge plusieurs utilisateurs et répondent aux événements déclenchés par le gestionnaire d’utilisateurs. Les applications s’exécutent en tant que compte invité.

De même, Phone se connecte automatiquement en tant que compte DefApps , ce qui est similaire au compte d’utilisateur standard dans Windows, mais avec quelques privilèges supplémentaires. Les courtiers, certains services et applications s’exécutent comme ce compte.

Dans le modèle utilisateur convergé, les applications multi-utilisateurs et les répartiteurs multi-utilisateurs doivent s’exécuter dans un contexte différent de celui des utilisateurs. À cet effet, le système crée DSMA.

Comment defaultAccount est créé sur les contrôleurs de domaine

Si le domaine a été créé avec des contrôleurs de domaine exécutant Windows Server 2016, le DefaultAccount existe sur tous les contrôleurs de domaine du domaine. Si le domaine a été créé avec des contrôleurs de domaine exécutant une version antérieure de Windows Server, le DefaultAccount est créé après le transfert du rôle Émulateur PDC vers un contrôleur de domaine qui exécute Windows Server 2016. Le DefaultAccount est ensuite répliqué sur tous les autres contrôleurs de domaine du domaine.

Recommandations pour la gestion du compte par défaut (DSMA)

Microsoft ne recommande pas de modifier la configuration par défaut, où le compte est désactivé. Il n’y a aucun risque de sécurité avec le compte dans l’état désactivé. La modification de la configuration par défaut peut entraver les scénarios futurs qui s’appuient sur ce compte.

Comptes système locaux par défaut

Système

Le compte SYSTEM est utilisé par le système d’exploitation et par les services s’exécutant sous Windows. Il existe de nombreux services et processus dans le système d’exploitation Windows qui ont besoin de la possibilité de se connecter en interne, par exemple lors d’une installation de Windows. Le compte SYSTEM a été conçu à cet effet et Windows gère les droits d’utilisateur du compte SYSTEM. Il s’agit d’un compte interne qui n’apparaît pas dans le Gestionnaire d’utilisateurs et qui ne peut pas être ajouté à des groupes.

En revanche, le compte SYSTÈME apparaît sur un volume de système de fichiers NTFS dans le Gestionnaire de fichiers dans la partie Autorisations du menu Sécurité . Par défaut, le compte SYSTEM dispose d’autorisations Contrôle total sur tous les fichiers sur un volume NTFS. Ici, le compte SYSTEM dispose des mêmes droits et autorisations fonctionnels que le compte Administrateur.

Remarque

Accorder au compte Administrateurs des autorisations de fichier de groupe ne donne pas implicitement l’autorisation au compte SYSTEM. Les autorisations du compte SYSTEM peuvent être supprimées d’un fichier, mais nous vous déconseillons de les supprimer.

SERVICE RÉSEAU

Le compte NETWORK SERVICE est un compte local prédéfini utilisé par le gestionnaire de contrôle de service (SCM). Un service qui s’exécute dans le contexte du compte SERVICE RÉSEAU présente les informations d’identification de l’ordinateur aux serveurs distants. Pour plus d’informations, consultez Compte NetworkService.

LOCAL SERVICE

Le compte LOCAL SERVICE est un compte local prédéfini utilisé par le gestionnaire de contrôle de service. Il dispose de privilèges minimaux sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau. Pour plus d’informations, consultez Compte de service local.

Guide pratique pour gérer les comptes d’utilisateur locaux

Les comptes d’utilisateur locaux par défaut et les comptes d’utilisateur locaux que vous créez se trouvent dans le dossier Utilisateurs. Le dossier Utilisateurs se trouve dans Utilisateurs et groupes locaux. Pour plus d’informations sur la création et la gestion des comptes d’utilisateurs locaux, consultez Gérer les utilisateurs locaux.

Vous pouvez utiliser utilisateurs et groupes locaux pour attribuer des droits et des autorisations uniquement sur le serveur local afin de limiter la capacité des utilisateurs et groupes locaux à effectuer certaines actions. Un droit autorise un utilisateur à effectuer certaines actions sur un serveur, telles que la sauvegarde de fichiers et de dossiers ou l’arrêt d’un serveur. Une autorisation d’accès est une règle associée à un objet, généralement un fichier, un dossier ou une imprimante. Il règle les utilisateurs qui peuvent avoir accès à un objet sur le serveur et de quelle manière.

Vous ne pouvez pas utiliser les utilisateurs et groupes locaux sur un contrôleur de domaine. Toutefois, vous pouvez utiliser des utilisateurs et des groupes locaux sur un contrôleur de domaine pour cibler des ordinateurs distants qui ne sont pas des contrôleurs de domaine sur le réseau.

Remarque

Vous utilisez Utilisateurs et ordinateurs Active Directory pour gérer les utilisateurs et les groupes dans Active Directory.

Vous pouvez également gérer les utilisateurs locaux à l’aide de NET.EXE USER et gérer les groupes locaux à l’aide de NET.EXE LOCALGROUP, ou à l’aide de diverses applets de commande PowerShell et d’autres technologies de script.

Restreindre et protéger les comptes locaux avec des droits d’administration

Un administrateur peut utiliser de nombreuses approches pour empêcher les utilisateurs malveillants d’utiliser des informations d’identification volées, telles qu’un mot de passe volé ou un hachage de mot de passe, pour qu’un compte local sur un ordinateur soit utilisé pour s’authentifier sur un autre ordinateur avec des droits d’administration. C’est également ce qu’on appelle un mouvement latéral.

L’approche la plus simple consiste à se connecter à votre ordinateur avec un compte d’utilisateur standard, au lieu d’utiliser le compte Administrateur pour les tâches. Par exemple, utilisez un compte standard pour naviguer sur Internet, envoyer un e-mail ou utiliser un traitement de texte. Lorsque vous souhaitez effectuer des tâches d’administration telles que l’installation d’un nouveau programme ou la modification d’un paramètre qui affecte d’autres utilisateurs, vous n’avez pas besoin de basculer vers un compte Administrateur. Vous pouvez utiliser le contrôle de compte d’utilisateur (UAC) pour vous demander une autorisation ou un mot de passe administrateur avant d’effectuer la tâche, comme décrit dans la section suivante.

Les autres approches qui peuvent être utilisées pour restreindre et protéger les comptes d’utilisateur disposant de droits d’administration sont les suivantes :

  • Appliquer des restrictions de compte local pour l’accès à distance
  • Refuser l’ouverture de session réseau à tous les comptes d’administrateur locaux
  • Créer des mots de passe uniques pour les comptes locaux avec des droits d’administration

Chacune de ces approches est décrite dans les sections suivantes.

Remarque

Ces approches ne s’appliquent pas si tous les comptes locaux d’administration sont désactivés.

Appliquer des restrictions de compte local pour l’accès à distance

Le contrôle de compte d’utilisateur (UAC) est une fonctionnalité de sécurité qui vous informe lorsqu’un programme apporte une modification qui nécessite des autorisations d’administration. UAC fonctionne en ajustant le niveau d’autorisation de votre compte d’utilisateur. Par défaut, le contrôle de compte d’utilisateur est configuré pour vous avertir lorsque des applications tentent d’apporter des modifications à votre ordinateur, mais vous pouvez le modifier lorsque le contrôle de contrôle de compte d’utilisateur vous en informe.

UAC permet de traiter un compte disposant de droits d’administration comme un compte d’utilisateur standard non administrateur jusqu’à ce que des droits complets, également appelés élévation, soient demandés et approuvés. Par exemple, la UAC permet à un administrateur d’entrer des informations d’identification pendant la session utilisateur d’un non-administrateur pour effectuer des tâches administratives occasionnelles sans avoir à changer d’utilisateur, à se déconnecter ou à utiliser la commande Exécuter en tant que .

En outre, la UAC peut demander aux administrateurs d’approuver spécifiquement les applications qui apportent des modifications à l’échelle du système avant que ces applications ne soient autorisées à s’exécuter, même dans la session utilisateur de l’administrateur.

Par exemple, une fonctionnalité par défaut de UAC est affichée lorsqu’un compte local se connecte à partir d’un ordinateur distant à l’aide de l’ouverture de session réseau (par exemple, à l’aide de NET.EXE USE). Dans cette instance, il est émis un jeton utilisateur standard sans droits d’administration, mais sans possibilité de demander ou de recevoir une élévation. Par conséquent, les comptes locaux qui se connectent à l’aide de l’ouverture de session réseau ne peuvent pas accéder aux partages d’administration tels que C$, ou ADMIN$, ni effectuer d’administration à distance.

Pour plus d’informations sur le contrôle de compte d’utilisateur, consultez Contrôle de compte d’utilisateur.

Le tableau suivant présente les paramètres de stratégie de groupe et de Registre utilisés pour appliquer des restrictions de compte local pour l’accès à distance.

Non. Paramètre Description détaillée
Emplacement de la stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
1 Nom de la stratégie Contrôle de compte d’utilisateur : mode d’approbation Administrateur pour le compte Administrateur intégré
Paramètre de stratégie Activé
2 Emplacement de la stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Nom de la stratégie Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur
Paramètre de stratégie Activé
3 Clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nom de la valeur de Registre LocalAccountTokenFilterPolicy
Type de valeur de Registre DWORD
Données de valeur de Registre 0

Remarque

Vous pouvez également appliquer la valeur par défaut pour LocalAccountTokenFilterPolicy à l’aide de l’ADMX personnalisé dans les modèles de sécurité.

Pour appliquer des restrictions de compte local pour l’accès à distance

  1. Démarrer la console de gestion stratégie de groupe (GPMC)

  2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis stratégie de groupe Objetsforest est le nom de la forêt et domaine est le nom du domaine dans lequel vous souhaitez définir l’objet stratégie de groupe (GPO)

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur stratégie de groupe nouveaux objets >

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez <gpo_name> et >OKgpo_name correspond au nom du nouvel objet de stratégie de groupe. Le nom de l’objet de stratégie de groupe indique que l’objet de stratégie de groupe est utilisé pour restreindre le basculement des droits d’administrateur local sur un autre ordinateur

  5. Dans le volet d’informations, cliquez avec le bouton droit sur <gpo_name>, puis >sur Modifier

  6. Vérifiez que le contrôle de compte d’utilisateur est activé et que les restrictions de contrôle de compte d’utilisateur s’appliquent au compte d’administrateur par défaut en procédant comme suit :

    • Accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\ et >Options de sécurité
    • Double-cliquez sur Contrôle de compte d’utilisateur : exécuter tous les administrateurs en mode> d’approbation Administrationactivé>OK
    • Double-cliquez sur Contrôle de compte d’utilisateur : mode d’approbation Administration pour le compte> administrateur intégréActivé>OK
  7. Vérifiez que les restrictions de compte local sont appliquées aux interfaces réseau en procédant comme suit :

    • Accédez à Configuration ordinateur\Préférences et paramètres Windows, et >Registre
    • Cliquez avec le bouton droit sur Registre et >Nouvel>élément de Registre
    • Dans la boîte de dialogue Nouvelles propriétés du Registre , sous l’onglet Général , définissez le paramètre dans la zone Action sur Remplacer
    • Vérifiez que la zone Hive est définie sur HKEY_LOCAL_MACHINE
    • Sélectionnez (...), accédez à l’emplacement suivant pour Chemin > de la cléSélectionner pour :SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • Dans la zone Nom de la valeur, tapez LocalAccountTokenFilterPolicy
    • Dans la zone Type de valeur, dans la liste déroulante, sélectionnez REG_DWORD pour modifier la valeur
    • Dans la zone Données de la valeur, vérifiez que la valeur est définie sur 0
    • Vérifiez cette configuration et >OK
  8. Liez l’objet de stratégie de groupe à la première unité d’organisation des stations de travail en procédant comme suit :

    • Accédez au chemin d’accès *Forest*\<Domains>\*Domain*\*OU*
    • Cliquez avec le bouton droit sur le lien Stations > de travail d’un objet de stratégie de groupe existant
    • Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis >OK
  9. Tester les fonctionnalités des applications d’entreprise sur les stations de travail de cette première unité d’organisation et résoudre les problèmes causés par la nouvelle stratégie

  10. Créer des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail

  11. Créer des liens vers toutes les autres unités d’organisation qui contiennent des serveurs

Refuser l’ouverture de session réseau à tous les comptes d’administrateur locaux

Le fait de refuser aux comptes locaux la possibilité d’effectuer des ouvertures de session réseau peut empêcher la réutilisation d’un hachage de mot de passe de compte local dans le cas d’une attaque malveillante. Cette procédure permet d’éviter les mouvements latéraux en garantissant que les informations d’identification volées pour les comptes locaux d’un système d’exploitation compromis ne peuvent pas être utilisées pour compromettre d’autres ordinateurs qui utilisent les mêmes informations d’identification.

Remarque

Pour effectuer cette procédure, vous devez d’abord identifier le nom du compte administrateur local par défaut, qui n’est peut-être pas le nom d’utilisateur par défaut « Administrateur », ni tous les autres comptes membres du groupe Administrateurs local.

Le tableau suivant présente les paramètres stratégie de groupe utilisés pour refuser l’ouverture de session réseau pour tous les comptes d’administrateur locaux.

Non. Paramètre Description détaillée
Emplacement de la stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur
1 Nom de la stratégie Interdire l’accès à cet ordinateur à partir du réseau
Paramètre de stratégie Compte local et membre du groupe Administrateurs
2 Emplacement de la stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur
Nom de la stratégie Interdire l’ouverture de session par les services Bureau à distance
Paramètre de stratégie Compte local et membre du groupe Administrateurs

Pour refuser l’ouverture de session réseau à tous les comptes d’administrateur local

  1. Démarrer la console de gestion stratégie de groupe (GPMC)

  2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis stratégie de groupe Objets, où forest est le nom de la forêt et domaine est le nom du domaine dans lequel vous souhaitez définir l’objet stratégie de groupe (GPO)

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur stratégie de groupe Objets, puis >sur Nouveau

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe , tapez <gpo_name>, puis >OKgpo_name est le nom du nouvel objet de stratégie de groupe indique qu’il est utilisé pour empêcher les comptes d’administration locaux de se connecter de manière interactive à l’ordinateur

  5. Dans le volet d’informations, cliquez avec le bouton droit sur <gpo_name>, puis >sur Modifier

  6. Configurez les droits d’utilisateur pour refuser les connexions réseau pour les comptes locaux d’administration comme suit :

  7. Accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\et >Affectation des droits utilisateur

  8. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau

  9. Sélectionnez Ajouter un utilisateur ou un groupe, tapez Compte local et membre du groupe Administrateurs, puis >OK.

  10. Configurez les droits de l’utilisateur pour refuser les ouvertures de session Bureau à distance (Interactive à distance) pour les comptes locaux d’administration comme suit :

  11. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows et Stratégies locales, puis sélectionnez Attribution des droits utilisateur

  12. Double-cliquez sur Refuser l’ouverture de session via les services Bureau à distance

  13. Sélectionnez Ajouter un utilisateur ou un groupe, tapez Compte local et membre du groupe Administrateurs, puis >OK.

  14. Liez l’objet de stratégie de groupe à la première unité d’organisation Stations de travail comme suit :

    • Accédez au chemin d’accès <Forêt>\Domaines\<Domaine>\UO
    • Cliquez avec le bouton droit sur l’unité d’organisation Stations de travail, puis >lier un objet de stratégie de groupe existant
    • Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis >OK
  15. Tester les fonctionnalités des applications d’entreprise sur les stations de travail de cette première unité d’organisation et résoudre les problèmes causés par la nouvelle stratégie

  16. Créer des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail

  17. Créer des liens vers toutes les autres unités d’organisation qui contiennent des serveurs

Remarque

Vous devrez peut-être créer un objet de stratégie de groupe distinct si le nom d’utilisateur du compte Administrateur par défaut est différent sur les stations de travail et les serveurs.

Créer des mots de passe uniques pour les comptes locaux avec des droits d’administration

Les mots de passe doivent être uniques par compte individuel. Bien que cela soit vrai pour les comptes d’utilisateur individuels, de nombreuses entreprises ont des mots de passe identiques pour les comptes locaux courants, tels que le compte Administrateur par défaut. Cela se produit également lorsque les mêmes mots de passe sont utilisés pour les comptes locaux pendant les déploiements de système d’exploitation.

Les mots de passe qui sont laissés inchangés ou modifiés de manière synchrone pour les conserver identiques ajoutent un risque significatif pour les organisations. La randomisation des mots de passe atténue les attaques « pass-the-hash » en utilisant différents mots de passe pour les comptes locaux, ce qui empêche les utilisateurs malveillants d’utiliser les hachages de mot de passe de ces comptes pour compromettre d’autres ordinateurs.

Les mots de passe peuvent être aléatoires par :

  • Achat et implémentation d’un outil d’entreprise pour accomplir cette tâche. Ces outils sont communément appelés outils de « gestion des mots de passe privilégiés »
  • Configuration de la solution de mot de passe d’administrateur local (LAPS) pour accomplir cette tâche
  • Création et implémentation d’un script ou d’une solution personnalisée pour aléatoirer les mots de passe de compte local