Étapes pour contrôler les droits d'administrateur local

Les professionnels de l'informatique ont besoin de droits d'administrateur local sur les appareils d'entreprise pour installer des logiciels, modifier les paramètres de configuration, effectuer des dépannages, etc. Mais bien trop souvent, les utilisateurs professionnels se voient également accorder systématiquement des droits d'administrateur local sur leurs ordinateurs.

Bien que donner aux utilisateurs ces droits puisse être pratique, cela crée de sérieuses failles de sécurité. Tout d'abord, les utilisateurs eux-mêmes peuvent intentionnellement installer des applications non approuvées ou modifier des paramètres pour faciliter leur travail, sans comprendre suffisamment les risques de sécurité qu'ils pourraient introduire. De plus, tout utilisateur peut être victime d'une attaque d'ingénierie sociale — par exemple, ils ouvrent une pièce jointe malveillante ou cliquent sur un lien malveillant dans un e-mail de phishing. Mais si l'utilisateur dispose de droits d'administrateur local, il peut involontairement installer un logiciel malveillant, qui peut potentiellement capturer ou exploiter ces droits d'administrateur pour voler des données ou causer d'autres dommages.

En conséquence, il est recommandé de supprimer les droits d'administrateur local des utilisateurs professionnels sur chaque ordinateur. Voici les 4 étapes à suivre pour mettre en œuvre cette pratique de sécurité essentielle.

Étape 1 : Découvrez qui a un accès administrateur local.

La première étape consiste à identifier tous les utilisateurs qui disposent de droits d'administrateur local sur chaque serveur et ordinateur de bureau. Sur un système Windows, les utilisateurs peuvent se voir accorder un accès administrateur local par le biais de leur appartenance au groupe des Administrateurs locaux de l'une des manières suivantes :

• Adhésion directe au groupe — Le compte utilisateur est répertorié comme membre du groupe.
• Appartenance à un groupe indirect (imbriqué) — Le compte utilisateur est membre d'un autre groupe, et ce groupe est membre du groupe des Administrateurs locaux.

En général, il est judicieux d'éviter l'imbrication avec des groupes privilégiés, car cela rend plus difficile la détermination précise de qui possède des droits d'accès privilégiés.

Malheureusement, il n'existe aucun outil natif capable de fournir une liste complète des administrateurs locaux sur chaque système de votre parc informatique. Cependant, une solution tierce comme Netwrix Privilege Secure peut vous offrir une visibilité totale sur l'appartenance de chacun de vos groupes privilégiés, y compris les groupes Administrateurs locaux sur vos serveurs et postes de travail Windows. De plus, Netwrix Privilege Secure auditera tous les changements apportés à vos groupes privilégiés et vous alertera en cas d'activité suspecte.

Étape 2 : Demandez aux propriétaires de groupe de réviser et d'attester l'appartenance au groupe.

La prochaine étape consiste à déterminer le propriétaire de chaque groupe d'administrateurs locaux. Cela peut être une tâche difficile, alors envisagez d'utiliser une solution qui peut identifier automatiquement les propriétaires de groupe probables.

Ensuite, le propriétaire de chaque groupe doit examiner attentivement son appartenance, dans le but de supprimer les droits d'accès administrateur local qui ne sont pas nécessaires afin de réduire la surface d'attaque de l'organisation. Ce processus de révision et d'attestation doit être répété selon un calendrier régulier.

Étape 3. Assurez-vous que chaque compte administrateur local dispose d'un mot de passe unique.

Dans de nombreuses organisations, le compte administrateur local par défaut sur chaque appareil Windows a le même nom d'utilisateur et mot de passe. Par conséquent, un adversaire qui obtient ces identifiants sur une seule machine a accès administratif à toutes les machines, il peut donc se déplacer latéralement à volonté à travers votre domaine.

Pour aider, Microsoft propose la solution Windows Local Access Password Solution (LAPS). LAPS garantit que chaque ordinateur dans un domaine dispose d'un mot de passe unique pour le compte administrateur local, ainsi que le changement automatique du mot de passe de l'administrateur local à un intervalle configuré. LAPS peut être déployé en utilisant Group Policy ou Intune.

Étape 4 : Permettre aux utilisateurs et aux administrateurs d'effectuer leurs tâches requises en toute sécurité.

Le principe du moindre privilège est une pierre angulaire de la sécurité : Chaque utilisateur doit avoir uniquement les privilèges nécessaires pour effectuer son travail. Limiter les droits d'administrateur local est une étape importante dans l'application du moindre privilège — mais les administrateurs et les utilisateurs professionnels ont parfois besoin d'effectuer des tâches qui requièrent ces droits.

Avec les fonctionnalités natives de Windows, vous pourriez avoir des administrateurs se connectant à une machine avec un compte non privilégié puis utiliser l'option « exécuter en tant qu'administrateur » pour toute tâche nécessitant des droits élevés. Cependant, cette approche nécessite toujours des comptes admin permanents, qui sont sujets à un mauvais usage par leurs propriétaires et à des compromissions par des adversaires. Une bonne alternative est d'utiliser une solution Privileged Access Management (PAM) spécialement conçue qui remplace les comptes privilégiés permanents par des comptes à la demande qui ont juste assez d'accès pour effectuer la tâche requise et qui sont automatiquement supprimés par la suite. En conséquence, vous aurez presque aucun compte administratif permanent à surveiller constamment.

Pour permettre aux utilisateurs professionnels de contourner les invites UAC et d'exécuter les applications spécifiques dont ils ont besoin — sans leur accorder des droits d'administrateur local, envisagez Netwrix Endpoint Policy Manager Least Privilege Manager. Cette solution puissante peut également empêcher les utilisateurs de télécharger ou d'installer des rançongiciels ou d'autres exécutables indésirables.

Conclusion

Contrôler strictement l'accès privilégié est essentiel pour éviter les violations coûteuses, les temps d'arrêt et les pénalités de conformité. Avec les bons outils, vous pouvez retirer les droits d'administrateur local des utilisateurs professionnels sans nuire à leur capacité à effectuer leur travail, réduisant ainsi considérablement votre surface d'attaque.