Annexe D : Sécurisation des comptes d’administrateur intégrés dans Active Directory

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe D : Sécurisation des comptes d’administrateur intégrés dans Active Directory

Dans chaque domaine dans Active Directory, un compte Administrateur est créé dans le cadre de la création du domaine. Ce compte est par défaut membre des groupes Administrateurs et Administrateurs de domaine dans le domaine, et si le domaine est le domaine racine de forêt, le compte est également membre du groupe Administrateurs d’entreprise.

L’utilisation du compte administrateur d’un domaine doit être réservée uniquement aux activités de build initiales, et éventuellement aux scénarios de récupération d’urgence. Pour vous assurer qu’un compte Administrateur peut être utilisé pour effectuer des réparations si aucun autre compte ne peut être utilisé, vous ne devez pas modifier l’appartenance par défaut du compte Administrateur dans n’importe quel domaine de la forêt. Au lieu de cela, vous devez sécuriser le compte Administrateur dans chaque domaine de la forêt, comme décrit dans la section suivante et détaillé dans les instructions pas à pas qui suivent.

Notes

Ce guide utilisé pour recommander la désactivation du compte. Cela a été supprimé lorsque le livre blanc de récupération de forêt utilise le compte administrateur par défaut. La raison est que c’est le seul compte qui autorise l’ouverture de session sans serveur de catalogue global.

Contrôles pour les comptes d’administrateur intégrés

Pour le compte Administrateur intégré dans chaque domaine de votre forêt, vous devez configurer les paramètres suivants :

  • Activez le compte est sensible et ne peut pas être délégué sur le compte.

  • Activer la carte à puce est nécessaire pour l’indicateur d’ouverture de session interactive sur le compte.

  • Configurez les objets de stratégie de groupe pour restreindre l’utilisation du compte Administrateur sur les systèmes joints à un domaine :

    • Dans un ou plusieurs objets de stratégie de groupe que vous créez et connectez-vous aux unités d’organisation du serveur membre et de station de travail dans chaque domaine, ajoutez le compte Administrateur de chaque domaine aux droits d’utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits d’utilisateur :

      • Refuser l'accès à cet ordinateur à partir du réseau

      • Interdire l’ouverture de session en tant que tâche

      • Interdire l’ouverture de session en tant que service

      • Interdire l’ouverture de session par les services Bureau à distance

Notes

Lorsque vous ajoutez des comptes à ce paramètre, vous devez spécifier si vous configurez des comptes d’administrateur local ou des comptes d’administrateur de domaine. Par exemple, pour ajouter le compte Administrateur du domaine NWTRADERS à ces droits de refus, vous devez taper le compte en tant que NWTRADERS\Administrator ou accéder au compte Administrateur pour le domaine NWTRADERS. Si vous tapez « Administrateur » dans ces paramètres de droits utilisateur dans l’éditeur d’objets stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué.

Nous vous recommandons de restreindre les comptes d’administrateur local sur les serveurs membres et les stations de travail de la même façon que les comptes d’administrateur basés sur un domaine. Par conséquent, vous devez généralement ajouter le compte Administrateur pour chaque domaine dans la forêt et le compte Administrateur pour les ordinateurs locaux à ces paramètres de droits utilisateur. La capture d’écran suivante montre un exemple de configuration de ces droits d’utilisateur pour bloquer les comptes d’administrateur local et le compte Administrateur d’un domaine d’effectuer des journaux qui ne doivent pas être nécessaires pour ces comptes.

Capture d’écran mettant en évidence l’attribution des droits d’utilisateur.

  • Configurer des objets de stratégie de groupe pour restreindre les comptes d’administrateur sur les contrôleurs de domaine
    • Dans chaque domaine de la forêt, l’objet de stratégie de groupe des contrôleurs de domaine par défaut ou une stratégie liée à l’unité d’organisation des contrôleurs de domaine doit être modifié pour ajouter le compte Administrateur de chaque domaine aux droits d’utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits d’utilisateur :
      • Refuser l'accès à cet ordinateur à partir du réseau

      • Interdire l’ouverture de session en tant que tâche

      • Interdire l’ouverture de session en tant que service

      • Interdire l’ouverture de session par les services Bureau à distance

Notes

Ces paramètres garantissent que le compte Administrateur intégré du domaine ne peut pas être utilisé pour se connecter à un contrôleur de domaine, bien que le compte puisse se connecter localement aux contrôleurs de domaine. Étant donné que ce compte ne doit être utilisé que dans des scénarios de récupération d’urgence, il est prévu que l’accès physique à au moins un contrôleur de domaine soit disponible, ou que d’autres comptes disposant d’autorisations d’accès aux contrôleurs de domaine à distance peuvent être utilisés.

  • Configurer l’audit des comptes d’administrateur

    Lorsque vous avez sécurisé le compte administrateur de chaque domaine, vous devez configurer l’audit pour surveiller l’utilisation ou les modifications apportées au compte. Si le compte est connecté, son mot de passe est réinitialisé ou toute autre modification apportée au compte, les alertes doivent être envoyées aux utilisateurs ou aux équipes responsables de l’administration d’Active Directory, en plus des équipes de réponse aux incidents de votre organisation.

Instructions pas à pas pour sécuriser les comptes d’administrateur intégrés dans Active Directory

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.

  2. Pour empêcher les attaques qui tirent parti de la délégation pour utiliser les informations d’identification du compte sur d’autres systèmes, procédez comme suit :

    1. Cliquez avec le bouton droit sur le compte Administrateur , puis cliquez sur Propriétés.

    2. Cliquez sur l’onglet Compte.

    3. Sous Options de compte, sélectionnez Compte sensible et ne peut pas être délégué , comme indiqué dans la capture d’écran suivante, puis cliquez sur OK.

      Capture d’écran montrant que le compte est sensible et ne peut pas être délégué.

  3. Pour activer la carte à puce est nécessaire pour l’indicateur d’ouverture de session interactive sur le compte, procédez comme suit :

    1. Cliquez avec le bouton droit sur le compte Administrateur et sélectionnez Propriétés.

    2. Cliquez sur l’onglet Compte.

    3. Sous Options de compte , sélectionnez la carte à puce requise pour l’indicateur d’ouverture de session interactive, comme indiqué dans la capture d’écran suivante, puis cliquez sur OK.

      Capture d’écran montrant que la carte à puce est requise pour la case à cocher de connexion interactive.

Configuration des objets de stratégie de groupe pour restreindre les comptes d’administrateur au Domain-Level

Avertissement

Cet objet de stratégie de groupe ne doit jamais être lié au niveau du domaine, car il peut rendre le compte administrateur intégré inutilisable, même dans les scénarios de récupération d’urgence.

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Stratégie de groupe Gestion.

  2. Dans l’arborescence de la console, développez <Forest>\Domains\<Domain>, puis stratégie de groupe Objets (où <la> forêt est le nom de la forêt et <du domaine> est le nom du domaine dans lequel vous souhaitez créer le stratégie de groupe).

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur stratégie de groupe Objets, puis cliquez sur Nouveau.

    Capture d’écran montrant stratégie de groupe Objets dans l’arborescence de la console.

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe , tapez <le nom> de l’objet de stratégie de groupe, puis cliquez sur OK (où <le nom de l’objet de stratégie de groupe est le nom de cet objet de stratégie> de groupe), comme indiqué dans la capture d’écran suivante.

    Capture d’écran montrant la boîte de dialogue Nouvel objet de stratégie de groupe.

  5. Dans le volet d’informations, cliquez avec le bouton droit sur <Nom> de l’objet de stratégie de groupe, puis cliquez sur Modifier.

  6. Accédez à Configuration ordinateur\Policies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

    Capture d’écran montrant l’éditeur de gestion stratégie de groupe.

  7. Configurez les droits de l’utilisateur pour empêcher le compte Administrateur d’accéder aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :

    1. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau , puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.

    3. Tapez Administrateur, cliquez sur Vérifier les noms, puis cliquez sur OK. Vérifiez que le compte s’affiche au <format DomainName\Username>, comme indiqué dans la capture d’écran suivante.

      Capture d’écran montrant le format DomainName/Username.

    4. Cliquez à nouveau sur OK, puis sur OK .

  8. Configurez les droits de l’utilisateur pour empêcher le compte Administrateur de se connecter en tant que travail par lot en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session en tant que tâche de traitement par lot , puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.

    3. Tapez Administrateur, cliquez sur Vérifier les noms, puis cliquez sur OK. Vérifiez que le compte s’affiche au <format DomainName\Username>, comme indiqué dans la capture d’écran suivante.

      Capture d’écran montrant comment vérifier que vous avez configuré les droits utilisateur pour empêcher le compte Administrateur de se connecter en tant que travail par lot.

    4. Cliquez à nouveau sur OK, puis sur OK .

  9. Configurez les droits d’utilisateur pour empêcher le compte Administrateur de se connecter en tant que service en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session en tant que service , puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.

    3. Tapez Administrateur, cliquez sur Vérifier les noms, puis cliquez sur OK. Vérifiez que le compte s’affiche au <format DomainName\Username>, comme indiqué dans la capture d’écran suivante.

      Capture d’écran montrant comment vérifier que vous avez configuré les droits utilisateur pour empêcher le compte Administrateur de se connecter en tant que service.

    4. Cliquez à nouveau sur OK, puis sur OK .

  10. Configurez les droits de l’utilisateur pour empêcher le compte Administrateur d’accéder aux serveurs membres et aux stations de travail via les services Bureau à distance en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session via les services Bureau à distance , puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.

    3. Tapez Administrateur, cliquez sur Vérifier les noms, puis cliquez sur OK. Vérifiez que le compte s’affiche au <format DomainName\Username>, comme indiqué dans la capture d’écran suivante.

      Capture d’écran montrant comment vérifier que vous avez configuré les droits utilisateur pour empêcher le compte BA d’accéder aux serveurs membres et aux stations de travail via les services Bureau à distance.

    4. Cliquez à nouveau sur OK, puis sur OK .

  11. Pour quitter stratégie de groupe Éditeur de gestion, cliquez sur Fichier, puis sur Quitter.

  12. Dans stratégie de groupe Gestion, reliez l’objet de stratégie de groupe au serveur membre et aux unités d’organisation de station de travail en procédant comme suit :

    1. Accédez à la <forêt>\Domaines\<Domaine> (où <la> forêt est le nom de la forêt et <> du domaine est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué et cliquez sur Lier un objet de stratégie de groupe existant.

      Capture d’écran montrant l’option de menu Lier un objet de stratégie de groupe existant.

    3. Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis cliquez sur OK.

      Capture d’écran montrant où sélectionner l’objet de stratégie de groupe que vous avez créé.

    4. Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.

    5. Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.

Important

Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si vous configurez un compte d’administrateur local ou un compte d’administrateur de domaine en étiquetant les comptes. Par exemple, pour ajouter le compte d’administrateur du domaine TAILSPINTOYS à ces droits de refus, vous accédez au compte d’administrateur du domaine TAILSPINTOYS, qui apparaît comme TAILSPINTOYS\Administrator. Si vous tapez « Administrateur » dans ces paramètres de droits utilisateur dans l’Éditeur d’objet stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué, comme décrit précédemment.

Étapes de vérification

Les étapes de vérification décrites ici sont spécifiques à Windows 8 et Windows Server 2012.

Vérifier que l’option de compte « Carte à puce est requise pour l’ouverture de session interactive »
  1. À partir de n’importe quel serveur membre ou station de travail affecté par les modifications de l’objet de stratégie de groupe, essayez de vous connecter de manière interactive au domaine à l’aide du compte Administrateur intégré du domaine. Une fois que vous avez tenté de vous connecter, une boîte de dialogue similaire à ce qui suit doit s’afficher.

Capture d’écran indiquant que vous devez utiliser une carte à puce pour vous connecter.

Vérifier « Refuser l’accès à cet ordinateur à partir du réseau » Paramètres d’objet de stratégie de groupe

À partir d’un serveur membre ou d’une station de travail qui n’est pas affectée par les modifications de l’objet de stratégie de groupe (par exemple, un serveur de rebond), tentez d’accéder à un serveur membre ou à une station de travail sur le réseau affecté par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE en effectuant les étapes suivantes :

  1. Connectez-vous au domaine à l’aide du compte Administrateur intégré du domaine.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone de recherche , tapez l’invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.

  4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

    Capture d’écran montrant la boîte de dialogue User Access Control.

  5. Dans la fenêtre d’invite de commandes, tapez net use \\<Server Name>\c$, où <> le nom du serveur est le nom du serveur membre ou de la station de travail auquel vous tentez d’accéder sur le réseau.

  6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.

    Capture d’écran montrant une erreur d’échec d’accès.

Vérifier les paramètres d’objet de stratégie de groupe « Refuser l’ouverture d’une session en tant que travail de traitement par lots »

À partir de n’importe quel serveur membre ou station de travail affecté par les modifications de l’objet de stratégie de groupe, connectez-vous localement.

Créer un fichier batch
  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone de recherche , tapez le Bloc-notes, puis cliquez sur Bloc-notes.

  3. Dans le Bloc-notes, tapez dir c:.

  4. Cliquez sur Fichier , puis sur Enregistrer sous.

  5. Dans le champ Nom de fichier, tapez <Filename>.bat (où <Filename> est le nom du nouveau fichier batch).

Planifier une tâche
  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone de recherche , tapez le planificateur de tâches, puis cliquez sur Planificateur de tâches.

    Notes

    Sur les ordinateurs exécutant Windows 8, dans la zone de recherche, tapez des tâches de planification, puis cliquez sur Planifier les tâches.

  3. Dans le planificateur de tâches, cliquez sur Action, puis sur Créer une tâche.

  4. Dans la boîte de dialogue Créer une tâche, tapez <Le nom> de la tâche (où<> le nom de la tâche est le nom de la nouvelle tâche).

  5. Cliquez sur l’onglet Actions , puis sur Nouveau.

  6. Sous Action :, sélectionnez Démarrer un programme.

  7. Sous Programme/script :, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section « Créer un fichier de commandes », puis cliquez sur Ouvrir.

  8. Cliquez sur OK.

  9. Cliquez sur l’onglet General (Général).

  10. Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe.

  11. Tapez le nom du compte Administrateur au niveau du domaine, cliquez sur Vérifier les noms, puis cliquez sur OK.

  12. Sélectionnez Exécuter si l’utilisateur est connecté ou non et ne pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.

  13. Cliquez sur OK.

  14. Une boîte de dialogue doit s’afficher, demandant des informations d’identification de compte d’utilisateur pour exécuter la tâche.

  15. Après avoir entré les informations d’identification, cliquez sur OK.

  16. Une boîte de dialogue similaire à ce qui suit doit apparaître.

    Capture d’écran montrant une boîte de dialogue Planificateur de tâches.

Vérifier les paramètres d’objet de stratégie de groupe « Refuser l’ouverture de session en tant que service »
  1. À partir de n’importe quel serveur membre ou station de travail affecté par les modifications de l’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone de recherche , tapez des services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Imprimer le spouleur.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Se connecter en tant que :, sélectionnez Ce compte.

  7. Cliquez sur Parcourir, tapez le nom du compte Administrateur au niveau du domaine, cliquez sur Vérifier les noms, puis cliquez sur OK.

  8. Sous Mot de passe : et Confirmer le mot de passe :, tapez le mot de passe du compte d’administrateur, puis cliquez sur OK.

  9. Cliquez sur OK trois fois de plus.

  10. Cliquez avec le bouton droit sur le service Spouleur d’impression , puis sélectionnez Redémarrer.

  11. Lorsque le service est redémarré, une boîte de dialogue similaire à ce qui suit doit apparaître.

    Capture d’écran montrant la boîte de dialogue Services.

Rétablir les modifications apportées au service spouleur d’imprimante
  1. À partir de n’importe quel serveur membre ou station de travail affecté par les modifications de l’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone de recherche , tapez des services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Imprimer le spouleur.

  5. Cliquez sur l'onglet Se connecter.

  6. Sous Ouvrir une session en tant que :, sélectionnez le compte système local , puis cliquez sur OK.

Vérifier les paramètres d’objet de stratégie de groupe « Refuser l’ouverture de session via les services Bureau à distance »
  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone de recherche , tapez connexion Bureau à distance, puis cliquez sur Connexion Bureau à distance.

  3. Dans le champ Ordinateur , tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)

  4. Lorsque vous y êtes invité, fournissez les informations d’identification pour le nom du compte Administrateur au niveau du domaine.

  5. Une boîte de dialogue similaire à ce qui suit doit apparaître.

    sécurisation des comptes d’administrateur intégrés