Annexe G : Sécurisation des groupes d’administrateurs dans Active Directory

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe G : Sécurisation des groupes d’administrateurs dans Active Directory

Comme c’est le cas avec le groupe Administrateurs d’entreprise (Enterprise Admins, EA) et Administrateurs de domaine (DA), l’appartenance au groupe Administrateurs intégrés (BA) doit être requise uniquement dans les scénarios de génération ou de récupération d’urgence. Il ne doit y avoir aucun compte d’utilisateur au jour le jour dans le groupe Administrateurs, à l’exception du compte Administrateur intégré pour le domaine, s’il a été sécurisé comme décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active Directory.

Les administrateurs sont, par défaut, les propriétaires de la plupart des objets AD DS dans leurs domaines respectifs. L’appartenance à ce groupe peut être requise dans les scénarios de génération ou de reprise d’activité dans lesquels la propriété ou la capacité à prendre possession des objets est requise. En outre, les Administrateurs du domaine et les Administrateurs de l’entreprise héritent d’un certain nombre de leurs droits et autorisations en vertu de leur appartenance par défaut au groupe Administrateurs. L’imbrication de groupes par défaut pour les groupes privilégiés dans Active Directory ne doit pas être modifiée, et le groupe Administrateurs de chaque domaine doit être sécurisé comme décrit dans les instructions pas à pas qui suivent.

ATTENTION ! Les étapes décrites dans ce document doivent être testées de manière approfondie dans un environnement de non-production avant d'être appliquées dans un environnement de production.

Pour le groupe Administrateurs dans chaque domaine de la forêt :

1. Supprimez tous les membres du groupe Administrateurs, à l’exception possible du compte Administrateur intégré pour le domaine, à condition qu’il ait été sécurisé comme décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active Directory.

2. Dans les objets de stratégie de groupe liés à des unités d’organisation contenant des stations de travail et des serveurs membres dans chaque domaine, le groupe Administrateurs intégré de l’entreprise doit être ajouté aux droits d’utilisation suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution de droits d’utilisation :

   • Refuser l'accès à cet ordinateur à partir du réseau

   • Interdire l’ouverture de session en tant que tâche

   • Interdire l’ouverture de session en tant que service

3. Au niveau de l’unité d’organisation des contrôleurs de domaine dans chaque domaine de la forêt, le groupe Administrateurs doit disposer des droits d’utilisation suivants :

   • Accéder à cet ordinateur à partir du réseau

   • Permettre l’ouverture d’une session locale

   • Autoriser l’ouverture de session par les services Bureau à distance

4. L’audit doit être configuré de façon à envoyer des alertes si des modifications sont apportées aux propriétés ou à l’appartenance au groupe Administrateurs.

Instructions pas à pas pour supprimer tous les membres du groupe Administrateurs

1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.

2. Pour supprimer tous les membres du groupe Administrateur, procédez comme suit :

   1. Double-cliquez sur le groupe Administrateurs, puis cliquez sur l’onglet Membres.

      

   2. Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur OK.

3. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs aient été supprimés.

Instructions pas à pas pour sécuriser les groupes Administrateurs dans Active Directory

1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

   

4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez le <Nom d’objet de stratégie de groupe>, puis cliquez sur OK (où Nom d’objet de stratégie de groupe est le nom de cet objet de stratégie de groupe).

   

5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.

6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.

   

7. Configurez les droits d’utilisation de façon à empêcher les membres du groupe Administrateurs d’accéder aux stations de travail et aux serveurs membres sur le réseau en effectuant les étapes suivantes :

   1. Double-cliquez sur Interdire l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

8. Configurez les droits d’utilisation de façon à empêcher les membres du groupe Administrateurs de se connecter en tant que tâche en effectuant les étapes suivantes :

   1. Double-cliquez sur Interdire l’ouverture de session en tant que tâche, puis sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

9. Configurez les droits d’utilisation de façon à empêcher les membres du groupe Administrateurs de se connecter en tant que service en effectuant les étapes suivantes :

   1. Double-cliquez sur Refuser l’ouverture de session en tant que service, puis sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

10. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.

11. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en effectuant les étapes suivantes :

    1. Accédez à <Forêt>>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.

       

    3. Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.

       

    4. Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.

    5. Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.

       Important

       Si des serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent dans une unité d’organisation à laquelle cet objet de stratégie de groupe n’est pas lié.

       Notes

       Lorsque vous implémentez des restrictions sur le groupe Administrateurs dans des objets de stratégie de groupe, Windows applique les paramètres aux membres du groupe Administrateurs local d’un ordinateur en plus du groupe Administrateurs du domaine. Par conséquent, vous devez faire preuve de prudence lorsque vous implémentez des restrictions dans le groupe Administrateurs. Bien qu’il soit recommandé d’interdire les ouvertures de session réseau, par fichier de commande et par service pour les membres du groupe Administrateurs partout où cette implémentation est possible, ne limitez pas les ouvertures de session locales ou les ouvertures de session par le biais des services Bureau à distance. Le blocage de ces types d’ouverture de session peut bloquer l’administration légitime d’un ordinateur par les membres du groupe Administrateurs local.

       La capture d’écran suivante montre les paramètres de configuration qui bloquent l’utilisation incorrecte des comptes d’administrateurs locaux et de domaine intégrés, en plus de l’utilisation incorrecte des groupes d’administrateurs locaux ou de domaine intégrés. Notez que le droit d’utilisation Interdire l’ouverture de session par les services Bureau à distance n’inclut pas le groupe Administrateurs, car le fait de l’inclure dans ce paramètre bloquerait également ces ouvertures de session pour les comptes membres du groupe Administrateurs de l’ordinateur local. Si des services sur les ordinateurs sont configurés pour s’exécuter dans le contexte de l’un des groupes privilégiés décrits dans cette section, l’implémentation de ces paramètres peut entraîner l’échec des services et des applications. Par conséquent, comme pour toutes les recommandations de cette section, vous devez tester minutieusement les paramètres afin de vérifier leur applicabilité dans votre environnement.

       

Instructions pas à pas pour accorder des droits d’utilisation au groupe Administrateurs

1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

   

4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez le <Nom d’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom d’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).

   

5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.

6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.

   

7. Configurez les droits d’utilisation pour autoriser les membres du groupe Administrateurs à accéder aux contrôleurs de domaine sur le réseau en procédant comme suit :

   1. Double-cliquez sur Accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

8. Configurez les droits d’utilisation pour autoriser les membres du groupe Administrateurs à se connecter localement en procédant comme suit :

   1. Double-cliquez sur Autoriser l’ouverture d’une session locale, puis sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

9. Configurez les droits d’utilisation pour autoriser les membres du groupe Administrateurs à se connecter par les Services Bureau à distance :

   1. Double-cliquez sur Autoriser l’ouverture de session par les services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.

   2. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.

   3. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

      

   4. Cliquez sur OK, puis de nouveau sur OK.

10. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.

11. Dans Gestion de stratégie de groupe, liez l’objet de stratégie de groupe à l’unité d’organisation des contrôleurs de domaine en procédant comme suit :

    1. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation des contrôleurs de domaine, puis cliquez sur Lier un objet de stratégie de groupe existant.

       

    3. Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.

       

Étapes de vérification

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’accès à cet ordinateur à partir du réseau »

À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple un « serveur de saut »), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE.

1. Connectez-vous localement à l’aide d’un compte membre du groupe Administrateurs.

2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.

4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

   

5. Dans la fenêtre Invite de commandes, tapez net use \\<nom_serveur>\c$, où <nom_serveur> est le nom de la station de travail ou du serveur membre auquel vous tentez d’accéder via le réseau.

6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.

   

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que tâche »

À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

Créer un fichier batch

1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.

3. Dans Bloc-notes, tapez dir c:.

4. Cliquez sur Fichier, puis sur Enregistrer sous.

5. Dans le champ Nom de fichier, tapez <Filename>.bat (où <Filename> est le nom du nouveau fichier de batch).

Planifier une tâche

1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

2. Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur Planificateur de tâches.

   Notes

   Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.

3. Cliquez sur Action, puis sur Créer une tâche.

4. Dans la boîte de dialogue Créer une tâche, tapez <nom_tâche> (où <nom_tâche> est le nom de la nouvelle tâche).

5. Cliquez sur l’onglet Actions, puis sur Nouveau.

6. Dans le champ Action, sélectionnez Démarrer un programme.

7. Dans le champ Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.

8. Cliquez sur OK.

9. Cliquez sur l’onglet General (Général).

10. Dans le champ Options de sécurité, cliquez sur Utilisateur ou groupe.

11. Tapez le nom d’un compte membre du groupe Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

12. Sélectionnez Exécuter même si l’utilisateur n’est pas connecté et Ne pas mémoriser le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.

13. Cliquez sur OK.

14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.

15. Après avoir entré le mot de passe, cliquez sur OK.

16. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que service »

1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

4. Recherchez et double-cliquez sur Spouleur d’impression.

5. Cliquez sur l'onglet Se connecter.

6. Dans le champ Ouvrir une session en tant que, sélectionnez Ce compte.

7. Cliquez sur Parcourir, Tapez le nom d’un compte membre du groupe Administrateurs, cliquez sur Vérifier les noms et cliquez sur OK.

8. Dans les champs Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.

9. Cliquez à nouveau sur OK à trois reprises.

10. Cliquez avec le bouton droit sur Spouleur d’impression et cliquez sur Redémarrer.

11. Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.

    

Annuler les modifications apportées au service Spouleur d’impression

1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

4. Recherchez et double-cliquez sur Spouleur d’impression.

5. Cliquez sur l'onglet Se connecter.

6. Dans le champ Ouvrir une session en tant que, cliquez sur compte système local et cliquez sur OK.