Annexe H : Sécurisation des groupes et des comptes des administrateurs locaux

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Annexe H : Sécurisation des groupes et des comptes des administrateurs locaux

Sur toutes les versions de Windows actuellement prises en charge, le compte Administrateur local est désactivé par défaut, ce qui le rend inutilisable pour les attaques Pass-the-hash et autres vols d’informations d’identification. Toutefois, dans les environnements contenant des systèmes d’exploitation hérités ou dans lesquels des comptes Administrateur locaux ont été activés, ces comptes peuvent être utilisés comme décrit précédemment pour propager la compromission parmi les serveurs membres et les stations de travail. Chaque groupe et compte Administrateur local doit être sécurisé comme décrit dans les instructions pas à pas suivantes.

Pour plus d’informations sur les considérations relatives à la sécurisation des groupes Administrateur intégré (AI), consultez Implémentation de modèles d’administration selon le principe des privilèges minimum.

Contrôles pour les comptes Administrateur locaux

Pour le compte Administrateur local dans chaque domaine de votre forêt, vous devez configurer les paramètres suivants :

  • Configurez des objets de stratégie de groupe pour restreindre l’utilisation du compte Administrateur du domaine sur les systèmes joints à un domaine

    • Dans un ou plusieurs objets de stratégie de groupe que vous créez et liez à des unités d’organisation de station de travail et de serveur membre dans chaque domaine, ajoutez le compte Administrateur aux droits utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions des droits utilisateur :

      • Refuser l'accès à cet ordinateur à partir du réseau

      • Interdire l’ouverture de session en tant que tâche

      • Interdire l’ouverture de session en tant que service

      • Interdire l’ouverture de session par les services Bureau à distance

Instructions pas à pas pour sécuriser les groupes d’administrateurs locaux

Configuration d’objets de stratégie de groupe pour restreindre le compte Administrateur sur les systèmes joints à un domaine

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

  2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

  3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez le <Nom d’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom d’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.

  6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Configurez les droits utilisateur pour empêcher le compte Administrateur local d’accéder aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :

    1. Double-cliquez sur Interdire l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, tapez le nom d’utilisateur du compte Administrateur local, puis cliquez sur OK. Ce nom d’utilisateur est Administrateur, à savoir la valeur par défaut lorsque Windows est installé.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Cliquez sur OK.

      Important

      Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si vous configurez un compte Administrateur local ou un compte Administrateur de domaine selon la façon dont vous étiquetez les comptes. Par exemple, pour ajouter le compte Administrateur du domaine TAILSPINTOYS à ces droits de refus, vous accédez au compte Administrateur pour le domaine TAILSPINTOYS, qui apparaît sous la forme TAILSPINTOYS\Administrateur. Si vous tapez Administrateur dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué, comme décrit précédemment.

  8. Configurez les droits utilisateur pour empêcher le compte Administrateur local de se connecter en tant que tâche de traitement par lots en procédant comme suit :

    1. Double-cliquez sur Interdire l’ouverture de session en tant que tâche, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, tapez le nom d’utilisateur du compte Administrateur local, puis cliquez sur OK. Ce nom d’utilisateur est Administrateur, à savoir la valeur par défaut lorsque Windows est installé.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Cliquez sur OK.

      Important

      Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si vous configurez un compte Administrateur local ou un compte Administrateur de domaine selon la façon dont vous étiquetez les comptes. Par exemple, pour ajouter le compte Administrateur du domaine TAILSPINTOYS à ces droits de refus, vous accédez au compte Administrateur pour le domaine TAILSPINTOYS, qui apparaît sous la forme TAILSPINTOYS\Administrateur. Si vous tapez Administrateur dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué, comme décrit précédemment.

  9. Configurez les droits utilisateur pour empêcher le compte Administrateur local de se connecter en tant que service en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session en tant que service, puis sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, tapez le nom d’utilisateur du compte Administrateur local, puis cliquez sur OK. Ce nom d’utilisateur est Administrateur, à savoir la valeur par défaut lorsque Windows est installé.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Cliquez sur OK.

      Important

      Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si vous configurez un compte Administrateur local ou un compte Administrateur de domaine selon la façon dont vous étiquetez les comptes. Par exemple, pour ajouter le compte Administrateur du domaine TAILSPINTOYS à ces droits de refus, vous accédez au compte Administrateur pour le domaine TAILSPINTOYS, qui apparaît sous la forme TAILSPINTOYS\Administrateur. Si vous tapez Administrateur dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué, comme décrit précédemment.

  10. Configurez les droits utilisateur pour empêcher le compte Administrateur local d’accéder aux serveurs membres et aux stations de travail via Services Bureau à distance en procédant comme suit :

    1. Double-cliquez sur Refuser l’ouverture de session via Services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.

    2. Cliquez sur Ajouter un utilisateur ou un groupe, tapez le nom d’utilisateur du compte Administrateur local, puis cliquez sur OK. Ce nom d’utilisateur est Administrateur, à savoir la valeur par défaut lorsque Windows est installé.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Cliquez sur OK.

      Important

      Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si vous configurez un compte Administrateur local ou un compte Administrateur de domaine selon la façon dont vous étiquetez les comptes. Par exemple, pour ajouter le compte Administrateur du domaine TAILSPINTOYS à ces droits de refus, vous accédez au compte Administrateur pour le domaine TAILSPINTOYS, qui apparaît sous la forme TAILSPINTOYS\Administrateur. Si vous tapez Administrateur dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de stratégie de groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe est appliqué, comme décrit précédemment.

  11. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.

  12. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en effectuant les étapes suivantes :

    1. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).

    2. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis cliquez sur OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.

    5. Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.

Étapes de vérification

Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’accès à cet ordinateur à partir du réseau »

À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple, un serveur de saut), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE.

  1. Connectez-vous localement à n’importe quel serveur membre ou n’importe quelle station de travail qui n’est pas affecté(e) par les modifications apportées à l’objet de stratégie de groupe.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.

  4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. Dans la fenêtre Invite de commandes, tapez net use \\<Server Name>\c$ /user:<Server Name>\Administrator, où <Nom du serveur> est le nom du serveur membre ou de la station de travail auquel / à laquelle vous tentez d’accéder via le réseau.

    Notes

    Les informations d’identification d’administrateur local doivent provenir du même système que celui auquel vous tentez d’accéder via le réseau.

  6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que tâche »

À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

Créer un fichier batch

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.

  3. Dans Bloc-notes, tapez dir c:.

  4. Cliquez sur Fichier, puis sur Enregistrer sous.

  5. Dans la zone Nom de fichier, tapez <Filename>.bat (où <Nom de fichier> est le nom du nouveau fichier de commandes).

Planifier une tâche

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone de recherche, tapez « planificateur de tâches », puis cliquez sur Planificateur de tâches.

    Notes

    Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.

  3. Cliquez sur Action, puis sur Créer une tâche.

  4. Dans la boîte de dialogue Créer une tâche, tapez <nom_tâche> (où <nom_tâche> est le nom de la nouvelle tâche).

  5. Cliquez sur l’onglet Actions, puis sur Nouveau.

  6. Dans le champ Action, cliquez sur Démarrer un programme.

  7. Dans le champ Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.

  8. Cliquez sur OK.

  9. Cliquez sur l’onglet General (Général).

  10. Dans le champ Options de sécurité, cliquez sur Utilisateur ou groupe.

  11. Tapez le nom du compte Administrateur local du système, cliquez sur Vérifier les noms, puis cliquez sur OK.

  12. Sélectionnez Exécuter même si l’utilisateur n’est pas connecté et Ne pas mémoriser le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.

  13. Cliquez sur OK.

  14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.

  15. Après avoir entré les informations d’identification, cliquez sur OK.

  16. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’ouverture de session en tant que service »

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Dans le champ Ouvrir une session en tant que, cliquez sur Ce compte.

  7. Cliquez sur Parcourir, tapez le compte Administrateur local du système, cliquez sur Vérifier les noms, puis cliquez sur OK.

  8. Dans les champs Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.

  9. Cliquez à nouveau sur OK à trois reprises.

  10. Cliquez avec le bouton droit sur Spouleur d’impression et cliquez sur Redémarrer.

  11. Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Annuler les modifications apportées au service Spouleur d’impression

  1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.

  2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.

  4. Recherchez et double-cliquez sur Spouleur d’impression.

  5. Cliquez sur l'onglet Se connecter.

  6. Dans le champ Ouvrir une session en tant que :, sélectionnez Compte système local et cliquez sur OK.

Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture de session via Services Bureau à distance »

  1. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.

  2. Dans la zone Rechercher, tapez connexion Bureau à distance, puis cliquez sur Connexion Bureau à distance.

  3. Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)

  4. Lorsque vous y êtes invité, fournissez les informations d’identification pour le compte Administrateur local du système.

  5. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

    secure local admin accounts and groups