Protection du compte Administrateur dans le Gestionnaire de comptes de s�curit� hors connexion

Num�ro d'article: 223301 - Voir les produits auxquels s'applique cet article

Ancien n� de publication de cet article�: F223301

Cet article aborde les probl�mes de s�curit� du Gestionnaire de comptes de s�curit� (SAM) hors connexion et des comptes qu'il contient.

Les contr�leurs de domaine Windows�2000 stockent les comptes d'utilisateur du domaine, les membres des groupes et d'autres objets dans l'annuaire Active Directory. L'outil de sauvegarde de Windows�2000 ainsi que d'autres programmes tiers de sauvegarde peuvent sauvegarder l'annuaire Active Directory bas� sur Jet sur un contr�leur de domaine Windows�2000 en ligne.

La maintenance du syst�me et la restauration de l'annuaire Active Directory ne peuvent �tre ex�cut�es qu'en pla�ant l'annuaire Active Directory "hors connexion" ou en mode "Restauration des services d'annuaire". Ce mode, qui utilise une base de donn�es de comptes SAM bas�e sur le Registre pour stocker le compte Administrateur et d'autres utilisateurs et groupes int�gr�s, repr�sente un contexte de s�curit� diff�rent de l'annuaire Active Directory.

Retour au d�but | Envoyer des commentaires

Plus d'informations

Cr�ation du Gestionnaire de comptes de s�curit� bas� sur le Registre

Microsoft Windows�NT version�4.0 et ant�rieure stocke les comptes d'utilisateurs et d'ordinateurs ainsi que les informations de groupes dans un Gestionnaire de comptes de s�curit� (SAM) bas� sur le Registre. Lors de la mise � niveau d'un contr�leur principal de domaine (PDC) Windows�NT�4.0 vers Windows�2000, DCPROMO d�marre � la fin du programme d'installation de Windows�2000. Les comptes du SAM sont migr�s vers l'annuaire Active Directory bas� sur le moteur Jet. Un nouveau SAM bas� sur le Registre et contenant le compte Administrateur "hors connexion" (et les autres comptes int�gr�s n�cessaires pour la r�cup�ration des contr�leurs de domaine Windows�2000) est cr��. Les comptes du SAM bas� sur le Registre sont disponibles uniquement en mode Restauration des services d'annuaire en appuyant sur F8 dans la premi�re phase du processus de d�marrage. Le SAM bas� sur le Registre est stock� dans le dossier %SYSTEMROOT%\SYSTEM32\CONFIG.

Pour les nouveaux domaines Windows�2000, la base de donn�es de l'annuaire Active Directory est cr��e et remplie par les utilisateurs et groupes par d�faut. Le m�me type Windows�NT version�4.0 de SAM bas� sur le Registre utilis� dans le sc�nario de mise � niveau de Windows�NT est cr�� dans le dossier %SYSTEMROOT%\SYSTEM32\CONFIG.

S�curisation du SAM hors connexion

Les m�thodes de protection du SAM hors connexion sont identiques � celles utilis�es dans Windows�NT 4.0. Les administrateurs soucieux de s�curiser le SAM hors connexion peuvent envisager les proc�dures suivantes�:

Maintenez un mot de passe diff�rent pour l'administrateur dans le service Annuaire et le compte Administrateur dans le SAM hors connexion. Comme strat�gie, il est recommand� d'utiliser un mot de passe diff�rent pour le compte Administrateur de l'annuaire Active Directory et le compte Administrateur hors connexion.

Les mots de passe en ligne et hors connexion seront diff�rents d�s la premi�re modification du mot de passe du compte Administrateur Active Directory.
�valuez le risque, puis d�veloppez une strat�gie de modification du mot de passe pour des comptes critiques tels que les comptes Administrateur hors connexion et Active Directory en appliquant des r�gles de mot de passe strictes.
Le SAM hors connexion n'est pas accessible par programmation lorsqu'un contr�leur de domaine Windows�2000 est ex�cut� en mode Active Directory. Pour impl�menter une strat�gie stricte de modification du mot de passe pour le compte Administrateur hors connexion�:
1. D�marrez le contr�leur de domaine Windows�2000 en mode Restauration des services d'annuaire.
2. Modifiez le mot de passe pour le ou les comptes.
3. D�marrez en mode Active Directory.
Le temps de fonctionnement r�el du serveur est utilis� comme intervalle de modification du mot de passe pour le compte Administrateur hors connexion.
Activez la surveillance du fichier SAM situ� dans le dossier %WINDIR%\SYSTEM32\CONFIG. Toute utilisation autre que la sauvegarde du syst�me ou une analyse antivirus doit �tre �tudi�e.

REMARQUE�: N'appliquez pas les proc�dures d�crites dans les articles suivants dans la Base de connaissances Microsoft�:

184017
(http://support.microsoft.com/kb/184017/ )
Les administrateurs peuvent afficher le contenu des mots de passe des comptes services
143475
(http://support.microsoft.com/kb/143475/FR/ )
La cl� syst�me Windows�NT permet un cryptage fort du SAM
La s�curisation physique de l'ordinateur, les disquettes de r�paration d'urgence et les bandes de sauvegarde constituent un composant essentiel d'un environnement s�curis�.

La perte de service observ�e par les administrateurs lorsqu'ils ne peuvent pas entrer le mot de passe du compte Administrateur hors connexion peut �tre plus importante que celle rencontr�e lors d'attaques contre le SAM hors connexion. D�finissez un processus interne pour le stockage et la r�cup�ration des mots de passe Administrateur qui ne met pas � risque la s�curit� mais qui conserve les mots de passe � disposition pour la maintenance et la restauration du syst�me. Gardez � l'esprit le fait que les serveurs sont souvent reconstruits en dehors des heures de pointe, et ce des mois voire des ann�es apr�s l'installation d'origine du syst�me d'exploitation.

Vous pouvez modifier le mot de passe du SAM hors connexion � distance � l'aide du mode d'administration � distance de Windows�NT Terminal Server, en basculant le commutateur Boot.ini entre les modes de d�marrage Restauration hors connexion et Active Directory.

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 223301 - Derni�re mise � jour: jeudi 15 janvier 2004 - Version: 3.0

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbinfo kbtool KB223301

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires