Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un compte d’ordinateur ou un compte LocalSystem est hautement privilégié avec l’accès à presque toutes les ressources sur l’ordinateur local. Le compte n’est pas associé aux comptes d’utilisateur connectés. Les services s’exécutent en tant que ressources réseau locales en présentant les informations d’identification de l’ordinateur aux serveurs distants au format <domain_name>\\<computer_name>$. Le nom prédéfini du compte d’ordinateur est NT AUTHORITY\SYSTEM. Vous pouvez démarrer un service et fournir un contexte de sécurité pour ce service.
Avantages de l’utilisation d’un compte d’ordinateur
Un compte d’ordinateur présente les avantages suivants :
- Accès local illimité : le compte d’ordinateur fournit un accès complet aux ressources locales de l’ordinateur
- Gestion automatique des mots de passe : supprime la nécessité de modifier manuellement les mots de passe. Le compte est membre d’Active Directory et son mot de passe est automatiquement modifié. Avec un compte d’ordinateur, il n’est pas nécessaire d’inscrire le nom du principal de service.
- Droits d’accès limités hors machine : la liste de contrôle d’accès par défaut dans Les services de domaine Active Directory (AD DS) permet un accès minimal aux comptes d’ordinateur. Pendant l’accès par un utilisateur non autorisé, le service a un accès limité aux ressources réseau.
Évaluation du positionnement de sécurité du compte informatique
Utilisez le tableau suivant pour examiner les éventuels problèmes et atténuations liés au compte d’ordinateur.
| Problème de compte d’ordinateur | Atténuation |
|---|---|
| Les comptes d’ordinateur sont soumis à la suppression et à la recréation lorsque l’ordinateur quitte et rejoint le domaine. | Confirmez la nécessité d’ajouter un ordinateur à un groupe Active Directory. Pour vérifier les comptes d’ordinateur ajoutés à un groupe, utilisez les scripts dans la section suivante. |
| Si vous ajoutez un compte d’ordinateur à un groupe, les services qui s’exécutent en tant que LocalSystem sur cet ordinateur obtiennent des droits d’accès au groupe. | Soyez sélectif sur les appartenances aux groupes de comptes d’ordinateur. Ne créez pas de compte d’ordinateur membre d’un groupe d’administrateurs de domaine. Le service associé a un accès complet à AD DS. |
| Valeurs réseau inexactes par défaut pour LocalSystem. | Ne supposez pas que le compte d’ordinateur dispose de l’accès limité par défaut aux ressources réseau. Au lieu de cela, confirmez les appartenances au groupe pour le compte. |
| Services inconnus qui s’exécutent en tant que LocalSystem. | Vérifiez que les services qui s’exécutent sous le compte LocalSystem sont des services Microsoft ou des services approuvés. |
Rechercher des services et des comptes d’ordinateur
Pour rechercher les services qui s’exécutent sous le compte d’ordinateur, utilisez l’applet de commande PowerShell suivante :
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Pour rechercher des comptes d’ordinateur membres d’un groupe spécifique, exécutez l’applet de commande PowerShell suivante :
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Pour rechercher des comptes d’ordinateur membres de groupes d’administrateurs d’identité (administrateurs de domaine, administrateurs d’entreprise et administrateurs), exécutez l’applet de commande PowerShell suivante :
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Recommandations relatives aux comptes d’ordinateur
Important
Les comptes d’ordinateur sont hautement privilégiés. Par conséquent, utilisez-les si votre service nécessite un accès illimité aux ressources locales, sur l’ordinateur et que vous ne pouvez pas utiliser de compte de service managé (MSA).
- Confirmez que le service géré par le propriétaire fonctionne avec un MSA.
- Utiliser un compte de service managé de groupe (gMSA) ou un compte de service managé autonome (sMSA) si votre service le prend en charge
- Utiliser un compte d’utilisateur de domaine avec les autorisations nécessaires pour exécuter le service
Étapes suivantes
Pour plus d’informations sur la sécurisation des comptes de service, consultez les articles suivants :