> Tech > Quand le moindre … peut le plus

Quand le moindre … peut le plus

Tech - Par Jan De Clercq - Publié le 24 juin 2010
email

Ici, un administrateur surfant sur le Web télécharge par mégarde du code malveillant. Là, un développeur Windows écrit du code qui, pour fonctionner correctement, exige des privilèges Administrator. Ces pratiques dangereuses ont en commun de transgresser l’un des concepts les plus fondamentaux de la sécurité : le principe du moindre privilège. Il stipule qu’il faut donner à un utilisateur ou à un fragment de code, uniquement les privilèges dont il a besoin pour faire un certain travail. Rien de moins, et surtout rien de plus.Un code malveillant peut faire beaucoup plus de ravages quand il évolue dans le contexte de sécurité d’un compte hautement privilégié, et les processus hautement privilégiés, une fois compromis, ont une plus grande capacité de nuisance.

Le moindre privilège a été pendant longtemps un principe prôné et respecté dans le monde UNIX, mais Microsoft n’a commencé à le prendre au sérieux qu’avec Windows XP et Windows 2000. Le support du LUA (Least-Privileged User Account) est un thème de sécurité majeur de Microsoft Vista (précédemment Longhorn) mais, pour l’instant, XP et Win2K offrent plusieurs outils permettant d’honorer le moindre privilège.

Utilisez-les pour exécuter les processus et applications Windows à partir d’un compte LUA ou non-administrateur. Et, surtout, mettez la sécurité au premier plan.

Quand le moindre … peut le plus

Fast User Switching est une fonction de XP Professional Edition (et de XP Home Edition) qui permet à plusieurs sessions de logon interactives simultanées de se dérouler sur un ordinateur Windows. Fast User Switching permet aux utilisateurs de basculer facilement entre les sessions de logon sans se déconnecter ou sans fermer les applications actives. La fonction n’est disponible que sur les machines ayant au moins 64 Mo de RAM, qui sont membres d’un groupe de travail (pas des machines jointes par des domaines), qui ont l’écran de logon Welcome validé, et sur lesquelles n’est pas installé un remplacement de module GINA (Graphical Identification and Authentication) (par exemple, un GINA personnalisé qui permet l’authentification biométrique ou autre méthode d’authentification poussée). De plus, l’utilisateur ne doit pas avoir validé le support Offline Files.

Pour valider Fast User Switching pour les utilisateurs, ouvrez l’applet Control Panel User Accounts puis cliquez sur Change the way users log on or off. Dans la boîte de dialogue Select logon and logoff options, illustrée figure 1, vous pouvez valider l’écran Welcome (s’il ne l’est pas déjà) ainsi que valider Fast User Switching.

Les utilisateurs peuvent ouvrir une autre session de logon en cliquant sur Start, Log off, puis en sélectionnant l’option Switch User ; en ouvrant Task Manager (en appuyant sur Ctrl+Alt+Suppr) puis en sélectionnant Switch User dans le menu Shut Down ; ou en maintenant la touche Windows enfoncée et en actionnant la touche L. Pour voir quelles sessions utilisateur sont actives sur votre ordinateur, ouvrez Task Manager et allez à l’onglet Users. (Avec des privilèges Administrator, vous pouvez aussi utiliser cet écran pour désinscrire des utilisateurs, déconnecter des utilisateurs, ou leur envoyer un message.)

Pour utiliser Fast User Switching de manière à mieux honorer le moindre privilège, créez un compte qui possède des privilèges administrateur d’ordinateur. Vous pouvez attribuer à ce compte un mot de passe ou le laisser avec un mot de passe vierge. (Dans XP et produits ultérieurs, les comptes avec un mot de passe vierge sont plus sûrs que ceux qui ont un mot de passe attribué. Par défaut, les comptes à mot de passe vierge n’ont pas le droit de se connecter à distance à un système. Vous pouvez contrôler cette fonction en utilisant le GPO (Group Policy Object) Accounts: Limit local account use of blank passwords to console logon only.)

Ensuite, créez un compte utilisateur à privilèges limités. Là aussi, vous pouvez attribuer un mot de passe ou le laisser vierge.

Utilisez le compte utilisateur pour le travail quotidien comme surfer sur le Web, gérer le courriel et pratiquer la messagerie instantanée (IM, Instant Messaging). Passez au contexte de sécurité du compte administrateur quand il vous faut installer des programmes ou exécuter des programmes qui demandent des privilèges Administrator. (Pour avoir un aperçu des programmes qui nécessitent vraiment des privilèges Administrator, voir l’article Microsoft « Certain Programs Do Not Work Correctly If You Log On Using a Limited User Account », ou visitez le nonadmin Wiki.)

Une fois de tels jobs terminés, quittez les comptes Administrator et revenez au compte utilisateur. Comme ce compte a des privilèges réduits, vous n’avez pas forcément besoin de déconnecter le compte utilisateur chaque fois que vous laissez votre ordinateur. Un simple verrouillage de l’écran suffit généralement.

Avant d’appliquer Fast User Switching, sachez qu’une mauvaise utilisation de cette fonction peut faire des dégâts. Ne laissez pas une session logon administrator tourner sur votre système. Si votre entreprise exige une très forte sécurité, désactivez Fast User Switching. A tout le moins, demandez fermement aux utilisateurs de toujours quitter les sessions administrateur quand ils ont fini un travail qui demande des privilèges Administrator. Pour désactiver Fast User Switching, vous devez désactiver l’utilisation de l’écran Welcome pour imposer l’usage du logon sécurisé (Ctrl+ Alt+ Suppr). Cela peut se faire par plusieurs méthodes sur un système XP autonome :

• Cocher la case Require users to press Ctrl+Alt+Delete sur l’onglet Advanced de la boîte de dialogue User Accounts.

• Ouvrir l’option Change the way users log on or off dans l’applet Control Panel User Accounts, puis décocher l’option Use the Welcome screen.

• Mettre à 1 la valeur de l’entrée du registre LogonType (sous la sous-clé de registre HKEY_LOCAL_MACHINES\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Syste.

Téléchargez cette ressource

Travail à distance – Guide complet pour les Directions IT et Métiers

Travail à distance – Guide complet pour les Directions IT et Métiers

Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.

Tech - Par Jan De Clercq - Publié le 24 juin 2010